Артемий ПономарёвИнвентаризация IT-активов
Ядро методологииАртемий ПономарёвАртемий ПономарёвАртемий ПономарёвЦелью инвентаризации IT-активов является формирование перечня таких активов. Анализ данных об IT-активах и связях между ними помогает сформировать представление об IT-инфраструктуре организации. Результаты инвентаризации могут использоваться для определения и уточнения целевых и ключевых систем и точек проникновения.
В рамках концепции результативной кибербезопасности по результатам инвентаризации требуется получить информацию о следующих видах IT-активов:
Все вышеперечисленные активы (кроме узлов в ЛВС) должны оцениваться с точки зрения возможности получения доступа в ЛВС организации.
IT-актив — программное обеспечение или оборудование, которое используется в организации для обработки, хранения и передачи информации
Инвентаризация IT-активов — сбор сведений об IT-активах для получения представления об IT-инфраструктуре организации.
Для проведения инвентаризации могут быть использованы данные из уже имеющихся систем, в которых ведется учет IT-активов.
В организациях могут быть внедрены различные системы учета IT-активов:
Нужно понимать, что IT-актив может учитываться по-разному (например, как имущество организации или как конфигурационная единица, участвующая в предоставлении IT-услуги), поэтому информация из других систем учета нуждается в дополнительном анализе. Характеристики систем учета IT-активов приведены в таблице 1.
Таблица 1. Характеристики различных систем учета IT-активов
Из таблицы видно, что один и тот же IT-актив может быть рассмотрен в различных системах учета и цели учета у них различаются, поэтому ценность результатов также разная.
Существуют следующие методы инвентаризации IT-активов:
Для проведения инвентаризации необходимо выполнить следующие восемь шагов.
Результаты инвентаризации IT-активов могут быть использованы для определения ключевых систем и точек проникновения. Отчет должен содержать описание использованных методов и основных результатов, включающих реестр IT-активов. Объем и наполнение такого отчета зависят от масштаба IT-инфраструктуры организации.
| Шаг 5. Анализ используемых облачных сервисов | Все используемые облачные сервисы должны быть выявлены и проанализированы на предмет их связи с IT-инфраструктурой организации. Выявить облачные сервисы можно: - В ходе интервьюирования работников IT-функции. - Через анализ договоров с провайдерами облачных сервисов. - Через анализ межсетевых взаимодействий с инфраструктурой облачных сервисов |
| Шаг 6. Анализ договоров с поставщиками IT-услуг | Договоры с поставщиками IT-услуг могут предоставить информацию об используемых IT-активах и потребляемых IT-услугах. Объем информации зависит от объема передачи IT-инфраструктуры на аутсорсинг |
| Шаг 7. Определение владельцев IT-актива | Для каждого IT-актива должен быть определен владелец IT-актива |
| Шаг 8. Формирование результатов инвентаризации IT-активов | Все результаты инвентаризации должны быть зафиксированы в форме отчета и объединены в реестр IT-активов, который должен содержать следующие поля: - номер актива; - наименование IT-актива; - краткое описание; - IP-адрес (при наличии) / MAC-адрес; - тип IT-актива |