Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
 

Ведение реестра информационных активов

Цель: учёт, инвентаризация активов различного типа 
Типы активов, подлежащие в учёту, определяются в зависимости от уровня зрелости компании, исполняемых требований и целей. 
Варианты реализации:
  • Бумажные реестры
  • Электронные таблицы (excel)
  • CMDB/ITAM системы
  • Сервис SECURITM (модуль Активы)
В заметке к защитной мере приведен пример регламента учёта информационных активов на базе SECURITM.

Рекомендации к заполнению карточки:
  • Написать регламент учета активов и разместить его прямо в карточке или как ссылку на внешний документ 
  • Указать перечень учитываемых типов активов
Классификация
Тип
Организационная ? Организационные (процедурные, административные) меры Направленные на организацию деятельности пользователей, включают выпуск документации.
Реализация
Вручную
Периодичность
По событию
Ответственный
Не определено
Инструменты
Не определено

Исполнение требований

ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 8. Требования к организации и управлению защитой информации":
РЗИ.1
РЗИ.1 Реализация учета объектов и ресурсов доступа, входящих в область применения процесса системы защиты информации, для уровней информационной инфраструктуры, определенных в 6.2 настоящего стандарта, в том числе объектов доступа, расположенных в публичных (общедоступных) местах (в том числе банкоматах, платежных терминалах)
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 7 п. 4 п.п. 1
7.4.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры выявления, учета и классификации (отнесение к одному из типов) информационных активов организации БС РФ. Права доступа работников и клиентов организации БС РФ к информационным активам и (или) их типам должны быть учтены и зафиксированы.
Р. 8 п. 11 п.п. 1
8.11.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета информационных активов или типов информационных активов, существенных для обеспечения непрерывности бизнеса организации БС РФ. 
Р. 8 п. 3 п.п. 3
8.3.3. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета объектов среды для каждого информационного актива и (или) типа информационного актива, покрывающие все уровни информационной инфраструктуры организации БС РФ, определенной в разделе 6 настоящего стандарта. 
Р. 8 п. 3 п.п. 4
8.3.4. В организации БС РФ должны быть определены роли по учету информационных активов, учету объектов среды и назначены ответственные за выполнение указанных ролей. 
Р. 8 п. 3 п.п. 1
8.3.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета структурированных по классам (типам) защищаемых информационных активов. Классификацию информационных активов рекомендуется проводить на основании оценок ценности информационных активов для интересов (целей) организации БС РФ, например, в соответствии с тяжестью последствий потери свойств ИБ информационных активов. 
CIS Critical Security Controls v8 (The 18 CIS CSC):
6.6
6.6 Establish and Maintain an Inventory of Authentication and Authorization Systems
Establish and maintain an inventory of the enterprise’s authentication and authorization systems, including those hosted on-site or at a remote service provider. Review and update the inventory, at a minimum, annually, or more frequently 
1.1
1.1 Establish and Maintain Detailed Enterprise Asset Inventory
Establish and maintain an accurate, detailed, and up-to-date inventory of all enterprise assets with the potential to store or process data, to include: end-user devices (including portable and mobile), network devices, noncomputing/IoT devices, and servers. Ensure the inventory records the network address (if static), hardware address, machine name, enterprise asset owner, department for each asset, and whether the asset has been approved to connect to the network. For mobile end-user devices, MDM type tools can support this process, where appropriate. This inventory includes assets connected to the infrastructure physically, virtually, remotely, and those within cloud environments. Additionally, it includes assets that are regularly connected to the enterprise’s network infrastructure, even if they are not under control of the enterprise. Review and update the inventory of all enterprise assets bi-annually, or more frequently. 
15.1
15.1 Establish and Maintain an Inventory of Service Providers
Establish and maintain an inventory of service providers. The inventory is to list all known service providers, include classification(s), and designate an enterprise contact for each service provider. Review and update the inventory annually, or when significant enterprise changes occur that could impact this Safeguard. 
3.2
3.2 Establish and Maintain a Data Inventory
Establish and maintain a data inventory, based on the enterprise’s data management process. Inventory sensitive data, at a minimum. Review and update inventory annually, at a minimum, with a priority on sensitive data.
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 6. п.п. 1
6.1. Кредитные организации должны обеспечивать организацию учета и контроля состава следующих элементов (далее при совместном упоминании - критичная архитектура):
  • технологических процессов, реализуемых непосредственно кредитной организацией;
  • подразделений (работников) кредитной организации, ответственных за разработку технологических процессов, поддержание их выполнения, реализацию технологических процессов (далее - подразделения кредитной организации);
  • объектов информационной инфраструктуры кредитной организации, задействованных при выполнении каждого технологического процесса;
  • технологических участков технологических процессов, установленных в абзацах втором - шестом подпункта 5.2 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее соответственно - Положение Банка России N 683-П, технологические участки технологических процессов);
  • технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий;
  • работников кредитных организаций или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса;
  • взаимосвязей и взаимозависимостей кредитной организации с иными кредитными организациями, некредитными финансовыми организациями, поставщиками услуг в сфере информационных технологий в рамках выполнения технологических процессов (далее при совместном упоминании - участники технологического процесса);
  • каналов передачи защищаемой информации, установленной в абзацах первом - пятом пункта 1 Положения Банка России N 683-П, обрабатываемой и передаваемой в рамках технологических процессов участниками технологического процесса.
В целях организации учета и контроля состава технологических процессов, технологических участков технологических процессов, реализуемых поставщиками услуг в сфере информационных технологий, кредитные организации должны обеспечивать ведение отдельного реестра в соответствии с внутренними документами.

Кредитные организации в отношении элементов, указанных в подпункте 6.1 настоящего пункта, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ 7.
ГОСТ Р № 57580.1-2017 от 01.01.2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер. Раздел 7. Требования к системе защиты информации":
ИУ.2
ИУ.2 Учет используемых и (или) эксплуатируемых объектов доступа
ИУ.1
ИУ.1 Учет созданных, используемых и (или) эксплуатируемых ресурсов доступа
ИУ.3
ИУ.3 Учет эксплуатируемых общедоступных объектов доступа (в том числе банкоматов, платежных терминалов)
Стандарт Банка России № РС БР ИББС-2.9-2016 от 01.05.2016 "Предотвращение утечек информации":
Р. 7 п. 2
7.2. В качестве типов информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие типы:
– базы данных;
– сетевые файловые ресурсы;
– виртуальные машины, предназначенные для размещения серверных компонентов автоматизированных банковских систем (далее – АБС);
– виртуальные машины, предназначенные для размещения автоматизированных рабочих мест пользователей и эксплуатирующего персонала; 
– ресурсы доступа, относящиеся к сервисам электронной почты; 
– ресурсы доступа, относящиеся к web-сервисам информационно-телекоммуникационной сети “Интернет” (далее – сети Интернет). 
Р. 7 п. 1
7.1. Организации БС РФ рекомендуется документировать и обеспечить выполнение идентификации и учета всех информационных активов информации конфиденциального характера и объектов среды информационных активов. В составе правил идентификации и учета информационных активов и объектов среды информационных активов рекомендуется определить: 
– перечень типов информационных активов и объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), подлежащих идентификации и учету; 
– состав учетных данных, хранимых для каждого информационного актива и объекта среды информационного актива; 
– обязанность подразделений информатизации и (или) функциональных подразделений организации БС РФ осуществлять идентификацию и учет информационных активов и объектов среды информационных активов; – способы выполнения подразделениями информатизации и (или) функциональных подразделений организации БС РФ идентификации и учета информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и учета; 
– обязанность службы ИБ организации БС РФ осуществлять контроль соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным; 
– способы выполнения службой ИБ контроля фактического состава информационных активов и объектов среды информационных активов, в том числе с использованием средств автоматизации идентификации и контроля; 
– правила размещения и (или) запрета размещения информационных активов разных классов информации конфиденциального характера на одном объекте среды информационных активов; 
– правила идентификации и учета работниками организации БС РФ носителей информации конфиденциального характера; 
– правила обработки работниками организации БС РФ информации конфиденциального характера на бумажных и переносных носителях информации. 
Р. 7 п. 3
7.3. В качестве типов объектов среды информационных активов, подлежащих идентификации и учету, рекомендуется рассматривать следующие: 
– серверное оборудование, хранилища данных; 
– рабочие станции пользователей и эксплуатационного персонала; 
– переносные (портативные) средства вычислительной техники (например, ноутбуки, планшетные компьютеры, смартфоны); 
– переносные носители информации (например, CD/DVD/blu-ray-диски, флеш-память, карты памяти, внешние HDD-диски, магнитные ленты); 
– бумажные носители информации. 
Р. 7 п. 5
7.5. Для каждого средства вычислительной техники – объекта среды информационных активов рекомендуется обеспечивать хранение как минимум следующих учетных данных:
– данные, позволяющие идентифицировать средство вычислительной техники; 
– данные, позволяющие установить место физического размещения средств вычислительной техники; – перечень информационных активов, размещенных на средстве вычислительной техники; 
– данные, позволяющие идентифицировать логическое размещение средства вычислительной техники, например сетевой адрес, доменное имя; 
– данные, устанавливающие тип вычислительной техники, в том числе из числа указанных в пункте 7.3 настоящих рекомендаций; 
– данные, устанавливающие класс информации конфиденциального характера, размещенной на средстве вычислительной техники.
Р. 7 п. 4
7.4. Для каждого информационного актива рекомендуется обеспечивать хранение как минимум следующих учетных данных: 
– данные, позволяющие идентифицировать информационный актив; 
– данные, позволяющие установить средство вычислительной техники – объект среды информационного актива; 
– данные, устанавливающие класс информации конфиденциального характера информационного актива; 
– данные, устанавливающие тип информационного актива, в том числе из числа указанных в пункте 7.2 настоящих рекомендаций; 
– данные, определяющие владельца информационного актива. 
Класс информации конфиденциального характера информационного актива определяется путем сопоставления фактической информации об информационном активе, предоставляемой (определяемой) его владельцем, с перечнем категорий информации конфиденциального характера, входящих в соответствующий класс. 
Р. 7 п. 6
7.6. Организациям БС РФ рекомендуется использовать средства автоматизации для выполнения следующих видов деятельности: 
– учет информационных активов и средств вычислительной техники – объектов среды информационных активов; 
– идентификация информационных активов и средств вычислительной техники для цели контроля соответствия фактического состава информационных активов и объектов среды информационных активов учетным данным. 
ГОСТ Р № ИСО/МЭК 27001-2021 от 01.01.2022 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования - Приложение А":
A.8.1.1
A.8.1.1  Инвентаризация активов 
Мера обеспечения информационной безопасности: Информация, средства обработки информации и другие активы, связанные с информацией, должны быть идентифицированы, а также должен быть составлен и поддерживаться в актуальном состоянии перечень этих активов (Пункт А.8.1.1 приведен с учетом технической правки 1 к ISO/IEC 27001:2013) 
CIS Critical Security Controls v7.1 (SANS Top 20):
CSC 1.4 CSC 1.4 Maintain Detailed Asset Inventory
Maintain an accurate and up-to-date inventory of all technology assets with the potential to store or process information. This inventory shall include all hardware assets, whether connected to the organization's network or not.
CSC 1.5 CSC 1.5 Maintain Asset Inventory Information
Ensure that the hardware asset inventory records the network address, hardware address, machine name, data asset owner, and department for each asset and whether the hardware asset has been approved to connect to the network.
Приказ ФСТЭК России № 31 от 14.03.2014 "Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности автоматизированной системы управления":
УКФ.1 УКФ.1 Идентификация объектов управления конфигурацией
АУД.1 АУД.1 Инвентаризация информационных ресурсов
Положение Банка России № 779-П от 15.11.2021 "Обязательные для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке"":
п. 1.4.
1.4. Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в рамках обеспечения операционной надежности должны обеспечивать организацию учета и контроля следующих элементов (при их наличии) (далее при совместном упоминании - критичная архитектура):
  • технологических процессов, указанных в приложении к настоящему Положению, реализуемых непосредственно некредитной финансовой организацией;
  • подразделений (работников) некредитной финансовой организации, ответственных за разработку технологических процессов, указанных в приложении к настоящему Положению, поддержание их выполнения, их реализацию;
  • объектов информационной инфраструктуры некредитной финансовой организации, задействованных при выполнении каждого технологического процесса, указанного в приложении к настоящему Положению, реализуемого непосредственно некредитной финансовой организацией;
  • технологических участков предусмотренных приложением к настоящему Положению технологических процессов, указанных в пункте 1.10 Положения Банка России от 20 апреля 2021 года N 757-П (далее - технологические участки технологических процессов), реализуемых непосредственно некредитной финансовой организацией;
  • технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых внешними контрагентами, оказывающими услуги в сфере информационных технологий, связанные с выполнением технологических процессов (далее - поставщики услуг);
  • работников некредитной финансовой организации или иных лиц, осуществляющих физический и (или) логический доступ, или программных сервисов, осуществляющих логический доступ к объектам информационной инфраструктуры некредитной финансовой организации (далее - субъекты доступа), задействованных при выполнении каждого технологического процесса, указанного в приложении к настоящему Положению;
  • взаимосвязей и взаимозависимостей между некредитной финансовой организацией и иными некредитными финансовыми организациями, кредитными организациями и поставщиками услуг в рамках выполнения технологических процессов, указанных в приложении к настоящему Положению (далее при совместном упоминании - участники технологического процесса);
  • каналов передачи защищаемой информации, указанной в пункте 1.1 Положения Банка России от 20 апреля 2021 года N 757-П, обрабатываемой и передаваемой в рамках технологических процессов, указанных в приложении к настоящему Положению, участниками технологического процесса.
Некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, в отношении своих элементов критичной архитектуры, являющихся значимыми объектами критической информационной инфраструктуры в соответствии с пунктом 3 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), должны выполнять требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры, установленные в соответствии с пунктом 4 части 3 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).

В целях организации учета и контроля состава технологических процессов, указанных в приложении к настоящему Положению, технологических участков технологических процессов, реализуемых поставщиками услуг, некредитные финансовые организации, обязанные соблюдать усиленный, стандартный или минимальный уровень защиты информации, должны обеспечивать ведение реестра указанных технологических процессов и технологических участков технологических процессов в соответствии со своими внутренними документами.
Приказ ФСТЭК России № 239 от 25.12.2017 "Состав мер по обеспечению безопасности для значимого объекта соответствующей категории значимости":
АУД.1 АУД.1 Инвентаризация информационных ресурсов

Связанные риски

Ничего не найдено

Комментарии 1

6 месяцев назад

Регламент учета информационных активов

  1. Регламент устанавливает требования в отношении учета и контроля информационных активов Общества.
  2. Активом является любой физический или логический объект, имеющий ценность для Общества.
  3. Активы, подлежащие контролю и учету, классифицируются по типу:
    1. Бизнес-активы
      1. Информация (данные, сведения)
      2. Системы
      3. Процессы
    2. ИТ-активы
      1. Оборудование
      2. Программное обеспечение
      3. Внешние сервисы
      4. Каналы связи (канал передачи информации)
      5. Сети (IP-адреса)
      6. Объекты файловой системы
    3. Базовые активы
      1. Физические лица (люди, человек, человеческий ресурс)
      2. Юридические лица (юридическая структура, компания, организация, общество)
      3. Физические пространства (место, локация, недвижимое имущество)
  4. Каждый из типов активов может быть детализирован и уточнен подтипами. Детализация осуществляется по необходимости.
  5. Активы могут быть физически и логически связаны друг с другом. Один актив может располагаться на другом (входить в состав другого актива).
  6. Владелец и администратор актива
    1. За каждым активом (за исключением физических лиц) закрепляется владелец. Владелец актива — это лицо, являющееся ключевым заказчиком (потребителем) актива, устанавливающее требования к функционированию актива и права доступа к нему.
    2. За каждым ИТ активом закрепляется администратор. Администратор — это лицо, обеспечивающее исправное функционирование актива.
    3. Владелец и Администратор могут назначаться для целого типа (группы) активов.
  7. Приоритет активов
    1. Для активов определяется их приоритет (критичность). Приоритет актива — это уровень влияния работоспособности и доступности актива на достижение Компанией своих целей.
    2. Приоритет актива определяется через серьезность последствий для Компании в случае потери активом одного или нескольких из своих свойств (конфиденциальности, целостности, доступности). Учитываются:
      1. критичность бизнес-процессов и систем, использующих актив;
      2. количество пользователей актива;
      3.  финансовые и репутационные потери.
    3. Приоритет актива может быть низкий, средний, высокий или критической.
    4. Приоритет актива определяется владельцем актива и может быть скорректирована руководством Компании.
    5. Приоритет актива используется для оценки рисков информационной безопасности, определения схемы резервирования и резервного копирования (для ИТ активов), приоритезации задач, связанных с активом.
    6. Приоритеты связанных активов влияют друг на друга. Высокий приоритет актива повышает приоритет активов, на которых он размещен (расположен, содержится).
  8. Учет активов
    1. Учет активов ведется в электронном виде в реестре активов в сервисе управления информационной безопасностью, расположенном по адресу https://service.securitm.ru
    2. Учёт ведётся работниками Службы ИТ, каждым в части своей области ответственности и полномочий.
    3. За актуализацию сведений в реестре активов и в карточке актива несёт ответственность администратор актива, его владелец или администратор(владелец) соответствующего типа активов.
    4. Базовыми сведениями (полями), подлежащими учёту для каждого актива вне зависимости от его типа, являются:
      1. тип;
      2. название;
      3. описание;
      4. приоритет;
      5. владелец;
      6. администратор;
      7. место расположения.
    5. В зависимости от типа актива осуществляется учёт дополнительных данных (полей):
      1. ip;
      2.  hostname;
      3. подразделение;
      4. должность;
      5. url;
      6. и т.д.
    6. Все дополнительные сведения, инструкции, файлы, обсуждения и комментарии, связанные с активом, ведутся и хранятся в карточке актива.
    7. При изменении состава и характеристик актива, в т. ч. его создании и удалении, реестр активов подлежит корректировке. Корректировка осуществляется сотрудником, проводившим изменение актива в течение 1 рабочего дня с момента изменения актива.
    8. Сведения об активах, первичная информация о которых содержится в корпоративных системах, обновляются в реестре автоматически. К первичным источникам сведений об ИТ активах относятся:
      1. Служба каталогов Active Directory;
      2.  Сканеры технических уязвимостей.