Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Поиск
Вход Регистрация
Карточка защитной меры
Меры Ведение реестра активов ИТ-инф...
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Ведение реестра активов ИТ-инфраструктуры

1 48
Цель: инвентаризация компонентов информационной инфраструктуры (пользовательские устройства, сервера, периферийное оборудование, сетевое оборудование и т.д.) для формирования реестров учета.

Варианты реализации реестров учёта:
  • Бумажные реестры
  • Электронные таблицы (excel)
  • CMDB/ITAM системы
  • Сервис SECURITM (модуль Активы)
При инвентаризации необходимо учитывать все типы активов, такие как:

  • Рабочие станции
  • Серверы
  • Сетевые устройства (коммутаторы, маршрутизаторы, точки доступа)
  • Средства защиты информации (брандмауэры, IDS/IPS, VPN-шлюзы)
  • СУБД (Oracle, MySQL, PostgreSQL, MS SQL)
  • Системное и прикладное ПО
  • Веб-приложения (внешние и внутренние)
  • Системы телефонии и VoIP
  • IoT, МФУ, камеры видеонаблюдения
  • Облачные сервисы и контейнерные среды (Docker, Kubernetes)
Рекомендации к заполнению карточки:
  • Сформировать реестр учёта одним из вышеуказанных способов. 
  • Добавить реестр учета в Реестр документов по защите информации (в модуле активов SECURITM) и привязать как инструмент к защитной мере.
  • В случае использования CMDB/ITAM системы - учесть систему в модуле "Активы"  (указать название,, типы учитываемых активов) и иную необходимую информацию.
  • CMDB/ITAM-систему (как актив) привязать к карточке меры как инструмент.
  • Добавить шаблон регулярной задачи по проведению инвентаризации ИТ-активов.
Область действия: Вся организация
Классификация
Тип
Организационная ?
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено

Ресурсная оценка

Качественная оценка

Количественная оценка

Итоговая оценка

Стоимость

Трудозатраты

Сложность

Стоимость, тыс. руб

Трудозатраты, дней/ год

CAPEX

?
Низкая
Средние
Низкая
Неизвестно
Неизвестно
6 - Низкая

OPEX

?
Низкая
Низкие
Низкая
Неизвестно
Неизвестно

Связанные риски

Ничего не найдено

Заметки

1
3 года назад
Community

Регламент учета информационных активов

  1. Регламент устанавливает требования в отношении учета и контроля информационных активов Общества.
  2. Активом является любой физический или логический объект, имеющий ценность для Общества.
  3. Активы, подлежащие контролю и учету, классифицируются по типу:
    1. Бизнес-активы
      1. Информация (данные, сведения)
      2. Системы
      3. Процессы
    2. ИТ-активы
      1. Оборудование
      2. Программное обеспечение
      3. Внешние сервисы
      4. Каналы связи (канал передачи информации)
      5. Сети (IP-адреса)
      6. Объекты файловой системы
    3. Базовые активы
      1. Физические лица (люди, человек, человеческий ресурс)
      2. Юридические лица (юридическая структура, компания, организация, общество)
      3. Физические пространства (место, локация, недвижимое имущество)
  4. Каждый из типов активов может быть детализирован и уточнен подтипами. Детализация осуществляется по необходимости.
  5. Активы могут быть физически и логически связаны друг с другом. Один актив может располагаться на другом (входить в состав другого актива).
  6. Владелец и администратор актива
    1. За каждым активом (за исключением физических лиц) закрепляется владелец. Владелец актива — это лицо, являющееся ключевым заказчиком (потребителем) актива, устанавливающее требования к функционированию актива и права доступа к нему.
    2. За каждым ИТ активом закрепляется администратор. Администратор — это лицо, обеспечивающее исправное функционирование актива.
    3. Владелец и Администратор могут назначаться для целого типа (группы) активов.
  7. Приоритет активов
    1. Для активов определяется их приоритет (критичность). Приоритет актива — это уровень влияния работоспособности и доступности актива на достижение Компанией своих целей.
    2. Приоритет актива определяется через серьезность последствий для Компании в случае потери активом одного или нескольких из своих свойств (конфиденциальности, целостности, доступности). Учитываются:
      1. критичность бизнес-процессов и систем, использующих актив;
      2. количество пользователей актива;
      3.  финансовые и репутационные потери.
    3. Приоритет актива может быть низкий, средний, высокий или критической.
    4. Приоритет актива определяется владельцем актива и может быть скорректирована руководством Компании.
    5. Приоритет актива используется для оценки рисков информационной безопасности, определения схемы резервирования и резервного копирования (для ИТ активов), приоритезации задач, связанных с активом.
    6. Приоритеты связанных активов влияют друг на друга. Высокий приоритет актива повышает приоритет активов, на которых он размещен (расположен, содержится).
  8. Учет активов
    1. Учет активов ведется в электронном виде в реестре активов в сервисе управления информационной безопасностью, расположенном по адресу https://service.securitm.ru
    2. Учёт ведётся работниками Службы ИТ, каждым в части своей области ответственности и полномочий.
    3. За актуализацию сведений в реестре активов и в карточке актива несёт ответственность администратор актива, его владелец или администратор(владелец) соответствующего типа активов.
    4. Базовыми сведениями (полями), подлежащими учёту для каждого актива вне зависимости от его типа, являются:
      1. тип;
      2. название;
      3. описание;
      4. приоритет;
      5. владелец;
      6. администратор;
      7. место расположения.
    5. В зависимости от типа актива осуществляется учёт дополнительных данных (полей):
      1. ip;
      2.  hostname;
      3. подразделение;
      4. должность;
      5. url;
      6. и т.д.
    6. Все дополнительные сведения, инструкции, файлы, обсуждения и комментарии, связанные с активом, ведутся и хранятся в карточке актива.
    7. При изменении состава и характеристик актива, в т. ч. его создании и удалении, реестр активов подлежит корректировке. Корректировка осуществляется сотрудником, проводившим изменение актива в течение 1 рабочего дня с момента изменения актива.
    8. Сведения об активах, первичная информация о которых содержится в корпоративных системах, обновляются в реестре автоматически. К первичным источникам сведений об ИТ активах относятся:
      1. Служба каталогов Active Directory;
      2.  Сканеры технических уязвимостей.

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.