КиберОценка

A.8.1: Инвентаризация активов

Информационные и связанные с ними активы должны быть идентифицированы и инвентаризированы

Подробное описание

Инвентаризация активов является фундаментальным контролем ISO 27001, обеспечивающим полную видимость информационных активов организации и связанных с ними ресурсов (аппаратных, программных, данных, документации). Контроль требует создания и поддержания актуального реестра всех активов с указанием владельцев, классификации, местонахождения и взаимосвязей. Без полной инвентаризации невозможно эффективно управлять рисками, применять меры защиты и обеспечивать соответствие требованиям законодательства. Инвентарь должен охватывать весь жизненный цикл активов — от приобретения до утилизации — и регулярно актуализироваться при изменениях в инфраструктуре.

Практические шаги внедрения

  1. 1

    Определить области применения СУИБ и идентифицировать все типы информационных активов: базы данных, приложения, файловые хранилища, документация, аппаратное обеспечение, облачные сервисы

  2. 2

    Разработать классификационную схему активов с уровнями конфиденциальности (публичная, внутренняя, конфиденциальная, строго конфиденциальная) и критериями классификации

  3. 3

    Назначить владельцев (asset owners) для каждого актива из числа руководителей подразделений, ответственных за использование и защиту актива

  4. 4

    Создать централизованный реестр активов в системе управления конфигурациями (CMDB) или специализированном решении с полями: идентификатор, название, тип, владелец, классификация, местонахождение, зависимости

  5. 5

    Установить процедуру регулярного пересмотра инвентаря (не реже раза в год) с верификацией актуальности данных, выявлением новых активов и списанием выведенных из эксплуатации

  6. 6

    Интегрировать управление активами с процессами управления изменениями, обеспечив автоматическое обновление реестра при внедрении новых систем или выводе старых

  7. 7

    Внедрить автоматизированные средства обнаружения активов (asset discovery tools) для выявления неучтённых устройств и теневых IT-систем в корпоративной сети

Типичные нарушения

  • Отсутствие актуального реестра: инвентарь не велся годами или существует только на бумаге без связи с реальной инфраструктурой, критичные системы не задокументированы

  • Не назначены владельцы активов: в реестре указаны технические администраторы вместо бизнес-владельцев, ответственных за классификацию и принятие решений о защите

  • Теневые IT-активы: обнаружены незарегистрированные облачные сервисы (Shadow SaaS), личные устройства сотрудников с корпоративными данными, неучтённые базы данных

  • Отсутствие классификации активов: все активы помечены одним уровнем конфиденциальности или классификация проведена формально без анализа содержимого

  • Инвентарь не обновляется: реестр содержит активы, списанные 2-3 года назад, новые системы не добавлены в течение последнего года, нет процедуры периодического пересмотра

Почему это важно

Инвентаризация активов — это необходимое условие для всех остальных контролей ISO 27001: невозможно защитить то, о существовании чего вы не знаете. Отсутствие актуального реестра приводит к незащищённым периметрам, утечкам данных через забытые системы, невозможности оценить ущерб при инцидентах и соблюсти требования GDPR/152-ФЗ об учёте персональных данных. Для бизнеса это означает прямые финансовые потери, регуляторные штрафы и репутационный ущерб при компрометации неучтённых активов с критичными данными.

Проверяемые категории

OSINTDomain Squatting

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности