Об управлении активами

Состояние защищенности организации можно определить по множеству факторов. Один из них — наличие процесса управления активами. Не случайно управлению активами уделяется так много внимания в СТБ ISO 27001, Приказе Оперативно-аналитического центра при Президенте Республики Беларусь № 66, СТБ 34.101.70-2016, ISO 27005 и других документах. Именно с управления активами начинаются такие важные для информационной безопасности (ИБ) процессы, как управление уязвимостями, инцидентами, аудитами, оценка рисков ИБ.

На практике я столкнулся с тем, что множество организаций под активами понимают лишь оборудование – компьютеры, серверы и сетевые устройства. Это неправильно! Я бы сказал, что актив – это все, что имеет ценность для организации. Это не только оборудование, но и персонал, который работает с этим оборудованием, программное обеспечение и данные, которые обрабатываются на этом оборудовании, и даже бизнес-процессы. Именно поэтому управление активами является очень непростой задачей.

Сейчас во многих организациях в составе систем защиты информации эксплуатируются решения класса SIEM, сканеры уязвимостей, антивирусное программное обеспечение и многие другие системы. Все эти системы затрагивают тему управления активами вскользь – они предоставляют службе ИБ сведения об оборудовании и его технических характеристиках, уязвимостях, программном обеспечении, но все эти сведения разрознены, и службе ИБ приходится тратить много времени на их сбор, обработку и анализ.

Кроме того, возникает вполне резонный вопрос – а как учитывать такой актив как персонал организации? Конечно часть информации можно взять, например, из Active Directory, еще что-то из кадровой системы, других источников. Но мой опыт показывает, что выполнить агрегирование и анализ этих данных очень непросто.

Другими словами, для управления активами необходима качественная система, автоматизирующая этот процесс.
Такой системой является, на мой взгляд, R-Vision. Я работаю с ней около года и не перестаю удивляться, с помощью R-Vision можно методически последовательно и грамотно автоматизировать основные процессы ИБ.

В R-Vision предусмотрен специальный функциональный блок по управлению активами. При этом учтена специфика активов в понимании специалиста по ИБ, предусмотрены удобные инструменты для решения всех тех вопросов, с которыми специалист сталкивается на практике.

Мой опыт показал, что инвентаризация инфраструктуры с помощью R-Vision выявляет порядка 30% активов, которые не внесены в общий реестр активов. Эту статистику необходимо расценивать как критичный инцидент информационной безопасности, ведь если организация не знает о существовании трети своих активов, то и плановое обновление этих активов не выполняется. Кроме того, невозможно оценить применение внутренних политик организации к этим активам, неизвестно, кто имеет к ним доступ. Можно еще долго фантазировать, что происходит на этих активах и к чему это может привести с точки зрения ИБ.

Более детально об управлении активами с помощью системы R-Vision я планирую написать в следующем посте.