Главная » Блоги Экспертов И ИТ-Компаний » СОИБ. Анализ. Инвентаризация активов

СОИБ. Анализ. Инвентаризация активов

По материалам блога http://sborisov.blogspot.com/

С одной стороны инвентаризация информационных активов не совсем прерогатива ИБ. Скорее это часть управления информационными активами которое является частью управления ИТ.

С другой стороны достаточно много мероприятий ИБ зависят от инвентаризации активов и очень часть приходится делать ещё в рамках проектов по ИБ. Часть таких работ я уже описывал в одной изпредыдущих заметок.


Действительно, нам нужно четко понимать что мы защищаем, как изменяется объект защиты, когда меняется объект защиты.

 

Кроме того, есть несколько двигателей в виде законов, подзаконных актов и стандартов:

·        152-ФЗ.

“Статья 19.

2. Обеспечение безопасности персональных данных достигается, в частности:

5) учетом машинных носителей персональных данных;”

·        ПП 781

“12. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;”

·        Приказ ФСТЭК 58

“2.1. Методами и способами защиты информации от несанкционированного доступа являются:

учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

Приложение 1

2.1. Для информационных систем 3 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:

обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по наличию имен (идентификаторов) компонентов системы защиты персональных данных, целостность программной среды обеспечивается отсутствием в информационной системе средств разработки и отладки программ;

4.1. Для информационных систем 1 класса при однопользовательском режиме обработки персональных данных применяются следующие основные методы и способы защиты информации:

дублирующий учет защищаемых носителей информации;”

·        Методические рекомендации ФСБ № 149/54-144 по защите ПДн

“3.2       Методология формирования модели угроз верхнего уровня

Определение условий создания и использования персональных данных

Должны быть описаны условия создания и использования персональных данных. Для этого определяются:

-             информационные технологии, базы данных, технические средства, используемые для создания и обработки персональных данных;

-             используемые в процессе создания и использования персональных данных объекты, которые могут быть объектами угроз, создающими условия для появления угроз персональным данным. Такого рода объектами могут быть, например, технические и программные средства.”

·        Типовые требования ФСБ № 149/6/6-622 по защите ПДн

“2.3. При разработке и реализации мероприятий по организации и обеспечению безопасности персональных данных при их обработке в информационной системе оператор или уполномоченное оператором лицо осуществляет:

- поэкземплярный учет используемых криптосредств, эксплуатационной и технической документации к ним, носителей персональных данных;”

·        Положение ЦБ РФ N 382-П

“ 2.6.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов.

2.10.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет и контроль состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения.”

·        СТО БР ИББС 1.0

“7.8.3.  Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских платежных технологических процессов. Состав уста-новленного и используемого в ЭВМ и АБС программного обеспечения должен соответ-ствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.

7.9.7. Должны быть документально определены перечни программного обеспе-чения, устанавливаемого и(или) используемого в ЭВМ и АБС и необходимого для вы-полнения конкретных банковских информационных технологических процессов. Состав установленного и используемого в ЭВМ и АБС программного обеспечения должен со-ответствовать определенному перечню. Выполнение данных требований должно контролироваться с документированием результатов.”

·        ИСО 27002

Весь раздел 7.1.1 Опись активов

 

Плюс инвентаризация и паспорта технических средств нужны при аттестации.

 

Конечно, инвентаризацию и учет активов можно делать в ручную. Но это не эффективно. Поэтому для оптимизации затрат необходимо использовать автоматизированные решения по инвентаризации активов.

 

 Выбор таких решений широк.

Мне известны следующие решения для инвенторизации информационных активов (аппаратной составляющей, ПО, файлов + дополнительные возможности):

·        КБ: Инвентаризация 2.2  (большие возможности для ИБ - контроль USB, белые и черные списки, категории ПО, инвенторизация СЗИ, сертификат ФСТЭК)

·        Realite (есть интеграция с бухгалтерией, учет материальных ценностей)

·        Hardware Inspector (учет перемещения ТС, привязка к карте, возможность ввода визуальных серийниов, заявки)

·        Total Network Inventory 2 (современный нью стайл интерфейс)

·        Altiris (Symantec) Client Management Suite 7.1 (комплексное решение по управлению конечными узлами с поддержкой Windows, Linux, Mac)

·        Microsoft System Center Configuration Manager 2012 (комплексное решение по управлению конечными узлами для сети полностью на Windows)


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
Комментарии
Другие публикации
RU, Краснодар
https://docshell.ru/, https://docshell.ru/
Информационные технологии



Забыл пароль?
Авторизоваться через
Зарегистрируйся сейчас!
Присоединяйся к нашему обществу для того чтобы познакомиться с новыми людьми, создать собственный блог, публиковать анонсы событий и объявления, а также участвовать в обсуждении публикаций CNews. Мы создали единое пространство для общения специалистов рынка информационных технологий и всех, кто интересуется современными технологиями. Регистрация =>