Добавить в корзинуПозвонить
Найти в Дзене
ЦифраБез на линии )
36 подписчиков

Управление ИТ-активами на нулевом уровне: как организовать учет с нуля по методологии «Волга-27001»

9
8 мин
В условиях стремительной цифровизации бизнеса и государственного управления вопрос учета активов при использовании информационных технологий (ИТ) становится критически важным. Если раньше учет компьютеров и программ был задачей исключительно бухгалтерии, как основных средств, то сегодня это уже стало фундаментом информационной безопасности (ИБ). В этой статье мы разберем, как начать этот путь с нулевого уровня, используя требования методологии «Волга-27001» (уровень ОИБ-0) и актуальные российские стандарты. Представьте, что вы охраняете огромный склад, но не знаете, сколько там дверей, окон и что именно хранится на полках. Вы не сможете эффективно защитить этот склад. В мире ИТ ситуация аналогичная. Вы не можете защитить компьютер, о существовании которого не знаете, или контролировать лицензии на программное обеспечение (ПО), если не ведете их реестр. Согласно методологии «Волга-27001», для нулевого уровня обеспечения информационной безопасности (ОИБ-0) вводится базовое требование: Оп
Оглавление

В условиях стремительной цифровизации бизнеса и государственного управления вопрос учета активов при использовании информационных технологий (ИТ) становится критически важным. Если раньше учет компьютеров и программ был задачей исключительно бухгалтерии, как основных средств, то сегодня это уже стало фундаментом информационной безопасности (ИБ). В этой статье мы разберем, как начать этот путь с нулевого уровня, используя требования методологии «Волга-27001» (уровень ОИБ-0) и актуальные российские стандарты.

2. Что такое информационные активы и зачем их инвентаризировать

Представьте, что вы охраняете огромный склад, но не знаете, сколько там дверей, окон и что именно хранится на полках. Вы не сможете эффективно защитить этот склад. В мире ИТ ситуация аналогичная. Вы не можете защитить компьютер, о существовании которого не знаете, или контролировать лицензии на программное обеспечение (ПО), если не ведете их реестр.

Согласно методологии «Волга-27001», для нулевого уровня обеспечения информационной безопасности (ОИБ-0) вводится базовое требование: Определение ответственного за учет активов. Назначение сотрудника, ответственного за ведение учета ИТ-активов на неформальной основе.

Это требование — отправная точка. Оно означает, что организация должна неофициально закрепить за конкретным человеком задачу по сбору данных об ИТ-ресурсах. На этом этапе процесс ведется максимально просто: вручную, в электронных таблицах (например, Excel), без сложных автоматизированных систем.

2.1. Категории активов

Согласно международным стандартам, активы подразделяются на:

  1. Устройства (Devices): Ноутбуки, настольные ПК, серверы, сетевое оборудование (роутеры, коммутаторы), принтеры, сканеры.
  2. Программное обеспечение (Software) (ПО): Операционные системы, прикладные программы, облачные сервисы (SaaS), базы данных.
  3. Данные (Data): Финансовые отчеты, базы клиентов, персональные данные сотрудников, интеллектуальная собственность.
  4. Пользователи (Users): Сотрудники, подрядчики, администраторы.
  5. Сеть (Network): Локальные сети, VPN-каналы, Wi-Fi точки доступа.
  6. Документация (Documentation): Политики ИБ, регламенты, схемы сети и т.п.

По тому как определяет активы ФСТЭК России к их типам или по другому — объектам воздействия, относятся:

  1. Автоматизированное рабочее место.
  2. Сервер.
  3. Периферийное оборудование.
  4. Устройство хранения данных.
  5. Устройство интернета-вещей.
  6. Активное сетевое оборудование.
  7. Обеспечивающие системы.
  8. Телефония (VoIP, GSM).
  9. Средства защиты информации.
  10. Мобильное устройство.
  11. Информация (данные), содержащаяся в системах и сетях.
  12. Физические линии связи.

Дополнительно, методология предусматривает ещё несколько типов информационных активов:

  1. Программное обеспечение.
  2. Персонал (сотрудник).
  3. Криптографические средства.
  4. Процесс.
  5. Бизнес-актив.
  6. Облака.
  7. АСУ ТП.

2.2. Цели инвентаризации

Проведение инвентаризации преследует несколько целей:

  • Обнаружение «теневых» информационных активов: Выявление устройств и ПО, которые сотрудники используют без ведома ИТ-отдела.
  • Управление уязвимостями: Нельзя обновить ПО или закрыть уязвимость на устройстве, которого нет в списке.
  • Соблюдение требований: Законодательство РФ (например, ФЗ-152 о персональных данных) требует знать, где хранятся данные.
  • Оптимизация лицензирования: Понимание реального использования ПО для экономии бюджета.

3. Роль ответственного и специфика неформального учета

Согласно требованию методологии, сотрудник назначается «на неформальной основе». Что это значит на практике?

В отличие от зрелых систем управления, где учет ведется в специализированных базах данных (CMDB) или системах ITAM/SAM, здесь допускается использование подручных средств.

Кто может быть ответственным?

Обычно это системный администратор, инженер технической поддержки или даже офис-менеджер (в совсем маленьких компаниях). Главное — чтобы руководитель неофициально закрепил эту обязанность на уровне устного распоряжения, но которого все придерживаются.

Как выглядит процесс?

Ответственный ведет электронную таблицу (например, в Excel). Обновление реестра происходит «по факту» или «как получится». Это означает реактивный подход: купили новый ноутбук — внесли в список; уволили сотрудника — вычеркнули его компьютер из реестра.

Для старта достаточно фиксировать следующие данные:

  1. Наименование актива (например, "Ноутбук Lenovo ThinkPad").
  2. Инвентарный номер (если есть).
  3. Местоположение (офис №5 / кабинет директора).
  4. Ответственный пользователь (ФИО).
  5. Критичность данных (высокая/средняя/низкая).
  6. Статус (в работе/на ремонте/списан).

4. Практические примеры и сценарии

Рассмотрим два типичных сценария для малого бизнеса, где отсутствие инвентаризации приводит к рискам.

Пример 1: «Забытый» ноутбук

В небольшой компании системный администратор уволился три года назад. В углу серверной остался старый ноутбук под управлением Windows . Он не числится в бухгалтерии как основное средство и не включен в реестр ИТ-активов.

  • Риск: Учётная запись системного администратора действует, её никто не удалил. Вероятность, что системный администратор (или кто-то под ним) может подключиться к ноутбуку, если он будет подключен к сети Интернет — высокая. Также операционная система этого ноутбука давно не получает обновлений безопасности. Злоумышленник может использовать уязвимость для проникновения в сеть компании и кражи базы данных клиентов;
  • Решение: Регулярная инвентаризация выявила бы это устройство, что позволило бы либо обновить его, либо изолировать от сети и удалить ранее использовавшиеся учётные записи.

Пример 2: BYOD (политика позволяющая использовать собственные устройства для выполнения рабочих задач)

Сотрудник отдела продаж использует личный смартфон для доступа к корпоративной почте и CRM-системе через мобильное приложение.

  • Риск: Если телефон будет украден или взломан через вредоносное приложение, корпоративные данные окажутся под угрозой;
  • Решение: С помощью системы MDM (Mobile Device Management) устройство добавляется в реестр активов как «личное устройство сотрудника». На него устанавливаются политики безопасности: обязательный пароль, шифрование данных, возможность удаленной очистки корпоративных данных при утере.

5. Нормативная база и стандарты

Методология «Волга-27001» гармонизирована с международными стандартами и российским законодательством. При ведении учета важно опираться на следующие документы:

ГОСТ Р ИСО/МЭК 19770-1

Это национальный стандарт РФ по управлению ИТ-активами. Он определяет требования к созданию системы управления активами.

Суть: Стандарт говорит о том, что учет должен быть систематическим.

Для уровня 0: Вы пока не создаете сложную систему, но закладываете фундамент для её будущего внедрения согласно этому ГОСТу.

Постановление Правительства РФ № 900 от 01.07.2024

Документ устанавливает правила учета ИТ-активов для цифровой трансформации госсектора.

Суть: Введены понятия «события с ИТ-активами» (покупка, списание), «цифровой профиль» и обязательность ведения реестров.

Для бизнеса: Хотя постановление напрямую касается госорганов, оно задает тренд для всей страны. Принципы прозрачности и жизненного цикла активов становятся обязательными для всех участников рынка.

6. Практические шаги внедрения учета

Если вы назначены ответственным за неформальный учет, вот пошаговый план действий для достижения начального уровня обеспечения ИБ (ОИБ - 1):

Шаг 1: Первичный аудит (Инвентаризация)

Вам нужно физически обойти офис или просканировать сеть.

Как делать: Используйте встроенные средства ОС или простые бесплатные утилиты для сбора информации о "железе" и установленном ПО.

Результат: Файл Excel со списком всего найденного оборудования.

Шаг 2: Классификация активов

Не все активы одинаково важны. Разделите их на группы:

Критичные: Содержат персональные данные клиентов или финансовую тайну.

Важные: Рабочие инструменты сотрудников.

Общие: Принтеры, сканеры, МФУ.

Это поможет вам понять, куда направить внимание в первую очередь при возникновении угроз.

Шаг 3: Регламентация процесса

Напишите простую инструкцию: «Как мы учитываем активы».

Например: «При покупке нового компьютера системный администратор обязан внести его в реестр Excel в течение 3 рабочих дней». Это превращает хаотичное «как получится» в предсказуемый процесс.

Шаг 4: Назначение владельца данных

В реестре напротив каждого актива должен быть указан не только пользователь, но и владелец информации на этом устройстве. Это важно для управления рисками ИБ (Инфратех).

7. Переход от ручного учета к автоматизации

Ручной учет в Excel имеет существенные недостатки: человеческий фактор (забыли внести), сложность поиска информации и отсутствие контроля лицензий. Как только база вырастет до нескольких десятков позиций, управлять ею станет труднее.

На рынке существуют системы класса ITAM (IT Asset Management) и SAM (Software Asset Management). Компании на рынке предлагают решения для автоматизации этого процесса:

  1. Автоматический сбор данных: Система сама сканирует сеть и находит новые устройства.
  2. Контроль лицензий: Программа предупредит вас о рисках использования нелицензионного ПО перед проверкой.
  3. Оптимизация бюджета: Вы увидите, какими дорогими программами никто не пользуется, и сможете сэкономить деньги.

8. Связь с управлением рисками информационной безопасности

Учет активов — это фундамент для оценки рисков ИБ. Невозможно оценить риск взлома компьютера, если вы не знаете о его существовании или не понимаете ценность данных на нем.

Процесс управления рисками выглядит так:

  • Идентификация актива (вы его учли);
  • Оценка угрозы (например, вирус-шифровальщик);
  • Оценка уязвимости (на компьютере старая ОС);
  • Расчет ущерба (сколько денег мы потеряем, если данные пропадут).

Без первого пункта этот алгоритм просто не запустится.

Заключение

Требование методологии «Волга-27001» об определении ответственного за неформальный учет ИТ-активов — это не бюрократическая формальность, а жизненно важный шаг для любой организации уровня ИБ-0. Определив ответственного и заведя простой реестр в Excel, вы переходите от состояния полного хаоса к управляемой среде.

Платная поддержка для малого и среднего бизнеса в вопросах информационной безопасности.