Полные, достоверные, актуальные данные об активах служат фундаментом для остальных смежных процессов, включая управление рисками, контроль соответствия требованиям, управление уязвимостями, реагирование на инциденты, управление сетевой безопасностью, защиту от вредоносных программ и т. д.
Без элементарного понимания собственной инфраструктуры, которую необходимо защищать, ценность наличия средств защиты, различных регламентов и процедур ИБ стремится к нулю.
Управление активами — один из самых важных процессов обеспечения информационной безопасности, что подтверждается множеством стандартов по ИБ, например ISO 27001, СТО БР ИББС, PCI DSS, NIST, CIS, 187-ФЗ. Полные, достоверные, актуальные данные об активах служат фундаментом для остальных смежных процессов, включая управление рисками, контроль соответствия требованиям, управление уязвимостями, реагирование на инциденты, управление сетевой безопасностью, защиту от вредоносных программ и т. д. Без элементарного понимания собственной инфраструктуры, которую необходимо защищать, ценность наличия средств защиты, различных регламентов и процедур ИБ стремится к нулю.
При этом ведение активов является весьма сложной и трудоёмкой задачей из-за большого количества информационных систем и связанного с ними оборудования. Данные быстро меняются: одни хосты и системы появляются, другие устаревают, поэтому сведения необходимо постоянно актуализировать. Ещё одна сложность кроется в том, что ведение активов — прерогатива ИТ-подразделения в 99 % случаев, а специалисты по ИБ обычно получают доступ к этой информации в каком-то виде. Если у них будут неполные, неактуальные или ограниченные сведения об активах, это скажется на общем состоянии защиты организации.
ИТ-подразделение ведёт учёт активов, как правило, в CMDB-системе — базе данных управления конфигурациями, хотя иногда для этого используются электронные таблицы. Но поскольку ИТ — это эксплуатирующее подразделение, CMDB обычно нацелена на функцию эксплуатации, предоставления сервисов, а также на поддержку инвентарного учёта. Поэтому по умолчанию в ней не будет тех метрик, полей и конфигурационных единиц, которые нужны ИБ-специалистам. Характерный пример — ведение реестра СКЗИ, которое необходимо «безопаснику» согласно требованиям законодательства, но совершенно не нужно «айтишнику». В результате специалисты по безопасности просят ИТ о заведении специальных полей и конфигурационных единиц под свои нужды, что не всегда оперативно реализуется в крупных организациях, или же создают свои собственные реестры активов.
Существуют ли специальные системы учёта активов для целей обеспечения ИБ? Да. Например, в платформе управления информационной безопасностью R‑Vision SGRC и платформе реагирования на инциденты R‑Vision IRP предусмотрен специальный функциональный блок по управлению активами. В нём учтена специфика активов в понимании безопасника и предусмотрены удобные инструменты для решения всех тех вопросов, с которыми специалист сталкивается на практике.
На портале Anti-Malware опубликована подробная статья экспертов R‑Vision, в которой рассматриваются преимущества добавления возможностей по управлению активами в продукты класса IRP/SOAR и SGRC и как с помощью продуктов R‑Vision ИБ-подразделение может сформировать единый мастер-ресурс по активам, вести их независимый учёт для своей деятельности и получать актуальные данные с необходимой степенью детализации.