Инвентаризация ИТ-активов — процесс, через который проходит каждая организация. Сначала появляется Excel-таблица с десятком серверов. Потом в ней 200 строк, три вкладки и пять версий файла на разных компьютерах. К моменту, когда ФСТЭК запрашивает реестр активов для проверки, выясняется, что половина данных устарела, а треть оборудования вообще не учтена. Эта статья — практическое руководство по переходу от ручной инвентаризации к автоматизированному учёту активов с учётом специфики ИБ: СЗИ, СКЗИ, лицензии, сертификаты.
Проблемы ручной инвентаризации ИТ-активов
Excel-ад: типичные сценарии провала
Каждый ИБ-специалист знает ситуацию: реестр активов ведётся в Excel, и всё вроде бы работает — пока не начинаются проблемы.
Проблема 1: множественные версии. ИТ-отдел ведёт свою таблицу, ИБ-подразделение — свою, бухгалтерия — свою. Данные расходятся через неделю после синхронизации.
Проблема 2: устаревание данных. Сотрудник купил новый ноутбук, старый сдал, но в реестре по-прежнему два устройства. Через полгода в таблице 30% «мёртвых душ».
Проблема 3: отсутствие связей. В одной вкладке — серверы, в другой — ПО, в третьей — лицензии. Связать конкретный сервер с установленным на нём СЗИ и его сертификатом ФСТЭК — задача на несколько часов ручной работы.
Проблема 4: нет аудиторского следа. Кто-то удалил строку из таблицы. Когда? Зачем? Excel не ответит на эти вопросы. При проверке ФСБ или ФСТЭК это может стать серьёзной проблемой.
Проблема 5: нет уведомлений. Сертификат ФСТЭК на межсетевой экран истёк два месяца назад, лицензия антивируса закончилась, гарантия на сервер вышла — и никто не заметил.
Потерянные активы и «мёртвые души»
В организации с 500 рабочими станциями при ручной инвентаризации в среднем 10-15% активов остаются неучтёнными: тестовые серверы, личные устройства сотрудников, виртуальные машины, сетевое оборудование в удалённых офисах. При этом в реестре сохраняются записи о списанном или утерянном оборудовании.
Для задач ИБ «мёртвые души» — прямая угроза: неучтённый сервер не попадёт в скоуп сканирования уязвимостей, на нём не будет установлен СЗИ, он не будет включён в модель угроз.
Когда пора автоматизировать: признаки
- Количество активов превысило 100 единиц
- Более одного сотрудника вносят данные в реестр
- Существуют требования регуляторов к учёту (ФСТЭК, ФСБ, 152-ФЗ)
- Подготовка данных для проверки занимает более одного рабочего дня
- В реестре регулярно обнаруживаются ошибки и дубликаты
- Невозможно быстро ответить на вопрос «сколько у нас серверов с истекающими сертификатами СЗИ»
Перестаньте терять активы в Excel. Модуль инвентаризации КиберОснова автоматически сканирует сеть и ведёт актуальный реестр с контролем сроков и связями между объектами.
Что автоматизировать: виды активов для учёта
Аппаратное обеспечение и сетевое оборудование
Физические активы — основа инвентаризации. Минимальный набор данных для учёта:
| Категория | Что учитывать |
|---|---|
| Серверы | Модель, серийный номер, CPU, RAM, диски, расположение (стойка, ЦОД) |
| Рабочие станции | Модель, серийный номер, пользователь, подразделение, расположение |
| Ноутбуки | То же + статус (выдан / на складе / списан) |
| Сетевое оборудование | Коммутаторы, маршрутизаторы, МСЭ — модель, IP, firmware, порты |
| Периферия | Принтеры, МФУ, сканеры — модель, IP/USB, расположение |
| Мобильные устройства | Модель, IMEI, пользователь, MDM-профиль |
Программное обеспечение и лицензии
Учёт ПО включает не только список установленных программ, но и лицензионный статус:
- Коммерческое ПО — наименование, версия, тип лицензии, срок действия, привязка к устройству или пользователю
- Свободное ПО — наименование, версия, тип лицензии (GPL, MIT, Apache)
- Собственные разработки — наименование, версия, ответственный, среда (боевая / тестовая / разработческая)
- ОС — тип, версия, разрядность, дата установки, пакет обновлений
Средства защиты информации (СЗИ)
Учёт СЗИ — специфическая задача ИБ, которую стандартные ITAM-системы не покрывают. Для каждого СЗИ необходимо учитывать:
- Наименование и тип (антивирус, МСЭ, IDS/IPS, DLP, SIEM)
- Производитель и версия
- Номер сертификата ФСТЭК и срок его действия
- На каком активе установлен (связь с реестром оборудования)
- Ответственный за эксплуатацию
- Дата ввода в эксплуатацию
- Статус (эксплуатация / резерв / списание)
Средства криптографической защиты (СКЗИ)
Учёт СКЗИ регулируется Приказом ФАПСИ №152 и предъявляет дополнительные требования:
- Поэкземплярный учёт с указанием серийных номеров
- Ведение технического журнала
- Учёт ключевых документов (сертификаты, ключи)
- Фиксация всех операций: выдача, возврат, уничтожение
- Контроль сроков действия сертификатов ФСБ
Виртуальные и облачные ресурсы
Отдельная категория, которую часто упускают при ручной инвентаризации:
- Виртуальные машины (гипервизор, ресурсы, назначение)
- Контейнеры (Docker, Kubernetes — образы, количество реплик)
- Облачные ресурсы (VPS, хранилища, DNS-зоны)
- Виртуальные сети и VLAN
Агентный vs безагентный подход к инвентаризации
Агентный сбор: принцип работы
На каждую рабочую станцию и сервер устанавливается программа-агент, которая регулярно (раз в час, раз в день) собирает данные и отправляет на центральный сервер.
Что собирает агент:
- Полную конфигурацию оборудования (CPU, RAM, диски, периферия)
- Список установленного ПО с версиями
- Список запущенных сервисов
- Установленные обновления
- Информацию о текущем пользователе
- Сетевые настройки (IP, MAC, DNS, шлюз)
Преимущества: полнота данных, мониторинг изменений в реальном времени, работа за пределами корпоративной сети (VPN, удалённые офисы).
Недостатки: необходимость развёртывания на каждый ПК, потребление ресурсов (минимальное, но есть), невозможность установки на сетевое оборудование.
Безагентное сканирование: WMI, SNMP, SSH
Центральный сервер опрашивает устройства по сетевым протоколам без установки дополнительного ПО.
| Протокол | Что сканирует | Для каких устройств |
|---|---|---|
| WMI | ОС, ПО, оборудование, пользователи | Windows-станции и серверы |
| SNMP | Сетевые интерфейсы, загрузка, firmware | Коммутаторы, маршрутизаторы, принтеры |
| SSH | Конфигурация, ПО, процессы | Linux/Unix-серверы |
| ICMP | Доступность устройства | Все устройства с IP |
Преимущества: не требует установки ПО, работает сразу после настройки, подходит для сетевого оборудования.
Недостатки: менее полные данные (зависит от протокола), требует учётных записей с правами на опрос, не работает за пределами сетевой видимости.
Комбинированный подход: оптимальная стратегия
Оптимальная стратегия для большинства организаций — комбинация двух методов:
- Агенты — на рабочие станции и серверы (полнота данных, мониторинг изменений)
- Безагентное сканирование — на сетевое оборудование, принтеры, IoT-устройства
- Импорт из Active Directory — дополнительный источник данных о ПК и пользователях
- Ручной ввод — для активов, недоступных для автоматического сканирования (физические носители, бумажные журналы)
Таблица сравнения подходов
| Критерий | Агентный | Безагентный | Комбинированный |
|---|---|---|---|
| Полнота данных | Высокая | Средняя | Высокая |
| Скорость развёртывания | Средняя (нужна установка) | Быстрая | Средняя |
| Сетевое оборудование | Нет | Да | Да |
| Удалённые офисы | Да | Ограниченно | Да |
| Мониторинг изменений | В реальном времени | По расписанию | Гибко |
| Потребление ресурсов | Минимальное на каждый ПК | На сервере | Распределённое |
Учёт СЗИ: особенности и требования
Что учитывать: сертификаты, версии, местоположение
Учёт СЗИ отличается от обычной инвентаризации ИТ-оборудования необходимостью отслеживать регуляторные параметры. Каждый СЗИ в организации должен быть связан с:
- Сертификатом ФСТЭК — номер, дата выдачи, срок действия, область применения
- Защищаемым активом — на каком сервере / рабочей станции установлен
- Информационной системой — к какой ИСПДн, ГИС или объекту КИИ относится
- Мерой защиты — какое требование из Приказа ФСТЭК закрывает
Контроль сроков сертификатов ФСТЭК
Сертификат ФСТЭК на СЗИ имеет ограниченный срок действия (обычно 3-5 лет). Использование СЗИ с истекшим сертификатом в ГИС или ИСПДн — нарушение требований. Автоматизированная система должна:
- Хранить даты окончания всех сертификатов
- Уведомлять ответственных за 90, 60 и 30 дней до истечения
- Формировать отчёт о СЗИ с истекающими сертификатами
- Связывать СЗИ с информационными системами, в которых они применяются
Связь СЗИ с защищаемыми активами
Ценность автоматизированного учёта — в связях между объектами. Зная, что антивирус Kaspersky Endpoint Security установлен на 150 рабочих станциях, относящихся к ИСПДн «Кадры», и сертификат ФСТЭК истекает через 45 дней, ответственный может заблаговременно спланировать обновление.
Учёт СКЗИ: автоматизация по Приказу ФАПСИ №152
Поэкземплярный учёт в электронном виде
Приказ ФАПСИ №152 требует поэкземплярного учёта каждого средства криптографической защиты информации. Традиционно журнал ведётся в бумажном виде, однако электронный учёт допускается при обеспечении целостности и аудиторского следа.
Автоматизированная система учёта СКЗИ фиксирует:
- Наименование СКЗИ и серийный номер экземпляра
- Номер сертификата ФСБ и срок действия
- Дату получения и от кого получено
- Дату ввода в эксплуатацию
- Место установки (привязка к активу)
- Ответственного пользователя
- Дату и акт уничтожения (при списании)
Формирование журналов учёта
КиберОснова автоматически формирует журналы поэкземплярного и технического учёта СКЗИ в соответствии с формами Приказа ФАПСИ №152. Журналы доступны для выгрузки в печатном виде при проверке ФСБ.
Уведомления об истечении сертификатов
Система уведомляет ответственного за криптографическую защиту о приближении сроков:
- Истечение сертификата ФСБ на СКЗИ
- Истечение срока действия ключевых документов
- Необходимость плановой замены ключей
- Приближение даты плановой проверки
Учёт СЗИ и СКЗИ с контролем сертификатов ФСТЭК и ФСБ, формированием журналов по Приказу ФАПСИ №152 — в модуле инвентаризации и модуле учёта СКЗИ КиберОснова.
Как перейти от Excel к автоматизированному учёту
Этап 1. Аудит текущих данных
Определите, какие данные уже есть и в каком состоянии:
- Excel-таблицы с реестрами оборудования и ПО
- Данные Active Directory (компьютеры, пользователи, группы)
- Данные систем мониторинга (Zabbix, Nagios, PRTG)
- Бумажные журналы учёта СКЗИ и СЗИ
- Данные бухгалтерского учёта (основные средства)
Этап 2. Выбор инструмента
При выборе системы инвентаризации определите приоритет:
| Задача | Класс инструмента | Примеры |
|---|---|---|
| Только ИТ-управление | ITAM | Lansweeper, GLPI, Snipe-IT |
| Только ИБ-учёт (СЗИ, СКЗИ) | Специализированный модуль | КиберОснова, R-Vision |
| ИТ + ИБ в единой системе | SGRC-платформа | КиберОснова, R-Vision, Security Vision |
| ИТ + ИБ + бизнес | EAM/CMDB | ServiceNow, iTop |
Для организаций с требованиями ФСТЭК и ФСБ оптимальный выбор — SGRC-платформа, где инвентаризация является частью единой системы управления ИБ.
Этап 3. Пилотный проект
Не пытайтесь автоматизировать всё сразу. Выберите один сегмент для пилота:
- Серверы — обычно немного (10-50), данные критичны, быстрый результат
- СЗИ — требование регулятора, высокая мотивация навести порядок
- Рабочие станции одного подразделения — ограниченный скоуп, понятный результат
Этап 4. Миграция данных из Excel
Импортируйте существующие данные в новую систему:
- Выгрузите Excel-таблицы в CSV-формат
- Сопоставьте столбцы Excel с полями системы (mapping)
- Импортируйте данные пакетно
- Проверьте корректность импорта (выборочно 10-20% записей)
- Удалите дубликаты и «мёртвые души»
Этап 5. Настройка автосканирования
После миграции исторических данных настройте автоматический сбор:
- Установите агенты на рабочие станции и серверы
- Настройте безагентное сканирование для сетевого оборудования
- Подключите импорт из Active Directory
- Определите расписание сканирования (ежедневно для критичных сегментов)
- Настройте уведомления об обнаружении новых устройств
Этап 6. Масштабирование
После успешного пилота подключайте остальные сегменты:
- Расширьте сканирование на все подсети
- Подключите удалённые офисы
- Настройте интеграции с внешними системами
- Обучите персонал работе с системой
- Выведите из использования Excel-таблицы
Интеграции: AD, SIEM, сканеры уязвимостей
Active Directory — источник данных о ПК и пользователях
Интеграция с Active Directory решает сразу несколько задач:
- Импорт компьютеров — рабочие станции и серверы из AD автоматически попадают в реестр
- Импорт пользователей — ФИО, подразделение, должность, контакты
- Связь «устройство — пользователь» — кто на каком ПК работает
- Оргструктура — привязка активов к подразделениям
- Группы безопасности — понимание прав доступа
SIEM — корреляция событий с активами
Интеграция системы инвентаризации с SIEM (MaxPatrol SIEM, KUMA, ELK) позволяет обогатить события безопасности контекстом: вместо IP-адреса аналитик видит конкретный актив, его владельца, подразделение и критичность.
Сканеры уязвимостей — привязка CVE к активам
Связь между реестром активов и результатами сканирования уязвимостей — ключевая интеграция для ИБ. Она позволяет:
- Привязать каждую уязвимость к конкретному активу и его владельцу
- Приоритизировать устранение с учётом критичности актива
- Контролировать покрытие сканирования (какой процент активов просканирован)
- Отслеживать связь с БДУ ФСТЭК и базой NVD
Автоматизация инвентаризации в SGRC-платформе
Преимущества SGRC-подхода: активы + риски + комплаенс
Стандартная ITAM-система (IT Asset Management) решает задачу учёта: что, где, сколько. SGRC-платформа идёт дальше, связывая инвентаризацию с процессами информационной безопасности:
| Возможность | ITAM | SGRC |
|---|---|---|
| Учёт оборудования и ПО | Да | Да |
| Учёт СЗИ с сертификатами ФСТЭК | Нет | Да |
| Учёт СКЗИ по Приказу ФАПСИ №152 | Нет | Да |
| Связь актива с рисками | Нет | Да |
| Связь актива с ИСПДн/ГИС/КИИ | Нет | Да |
| Привязка уязвимостей к активам | Ограниченно | Да |
| Отчётность для ФСТЭК/ФСБ | Нет | Да |
Как это работает в КиберОснова
Модуль инвентаризации КиберОснова реализует комбинированный подход:
- Агентный сбор — установка лёгкого агента на рабочие станции и серверы
- Безагентное сканирование — опрос сетевого оборудования по SNMP
- Импорт из AD — автоматическая синхронизация компьютеров и пользователей
- Импорт из CSV/Excel — для первоначальной миграции данных
- Ручной ввод — для активов, недоступных для автоматического сбора
Каждый актив автоматически связывается с установленными СЗИ, СКЗИ, лицензиями, ответственными и информационными системами. При обнаружении нового устройства в сети система уведомляет администратора.
Результат: единый реестр для ИТ и ИБ
Автоматизированная инвентаризация в SGRC-платформе даёт организации:
- Актуальный реестр всех активов с автоматическим обновлением
- Контроль сроков (лицензии, сертификаты, гарантии)
- Мгновенные ответы на вопросы: «сколько серверов с устаревшим СЗИ», «какие активы относятся к ИСПДн "Кадры"», «кто ответственный за этот коммутатор»
- Готовые отчёты для проверок ФСТЭК и ФСБ
- Основу для управления рисками и уязвимостями — невозможно оценивать риски без полного реестра активов
Заключение
Переход от Excel к автоматизированной инвентаризации — первый и наиболее понятный шаг к автоматизации процессов ИБ. Он решает конкретные боли: устраняет «мёртвых душ» в реестре, обеспечивает контроль сроков сертификатов и лицензий, формирует аудиторский след и ускоряет подготовку к проверкам.
Ключевые рекомендации:
- Начинайте с пилота на одном сегменте (серверы или СЗИ) — не пытайтесь автоматизировать всё сразу
- Используйте комбинированный подход: агенты на ПК + безагентное сканирование сети + импорт из AD
- Выбирайте инструмент с учётом специфики ИБ: учёт СЗИ, СКЗИ, сертификатов ФСТЭК
- Для организаций с требованиями регуляторов оптимальна SGRC-платформа, где инвентаризация — часть единой системы
Запросите демо КиберОснова и за 30 минут оцените, как платформа автоматизирует инвентаризацию ваших активов — от обнаружения устройств в сети до формирования отчётов для проверки ФСТЭК.
Часто задаваемые вопросы
Почему Excel не подходит для инвентаризации ИТ-активов?
Основные проблемы Excel для инвентаризации: нет единой версии — несколько сотрудников работают с разными копиями файла; отсутствует автоматическое обнаружение — новые устройства в сети не появляются сами; нет связей между данными — невозможно связать сервер, установленное ПО, лицензию и ответственного; нет уведомлений — истечение лицензий и гарантий замечается поздно; ручной ввод порождает опечатки, пропуски и дубликаты; нет аудиторского следа. При 100+ активах трудозатраты на ведение Excel превышают стоимость специализированной системы.
Что лучше: агентный или безагентный подход к инвентаризации?
Агентный подход: на каждый ПК устанавливается программа-агент, которая регулярно отправляет данные (ОС, ПО, оборудование). Плюсы — полнота данных, работа за пределами корпоративной сети, мониторинг изменений. Минусы — необходимость развёртывания на все ПК, потребление ресурсов. Безагентный подход: сервер опрашивает устройства по WMI, SNMP, SSH. Плюсы — не требует установки, работает сразу. Минусы — неполные данные, нужны учётные записи с правами. Оптимально — комбинированный подход: агенты на рабочих станциях + безагентное сканирование сетевого оборудования.
Что входит в учёт СЗИ и СКЗИ?
Учёт средств защиты информации (СЗИ) включает: наименование и тип СЗИ (антивирус, межсетевой экран, IDS/IPS); серийный/лицензионный номер; сертификат ФСТЭК (номер, срок действия); местоположение (на каком активе установлен); ответственный; даты ввода в эксплуатацию и списания. Учёт СКЗИ дополнительно требует (Приказ ФАПСИ №152): поэкземплярный учёт с серийными номерами; технический журнал; контроль ключевых документов; фиксация всех операций (выдача, возврат, уничтожение). Оба вида учёта обязательны при проверках регуляторов.
Как перейти от ручной инвентаризации к автоматизированной?
Пошаговый переход: аудит текущего состояния — определить, какие данные уже есть (Excel, AD, мониторинг); выбор инструмента — определить приоритет (ИТ-управление или ИБ); пилотный проект — автоматизировать один сегмент (например, серверы или СЗИ); миграция данных — импорт существующих данных из Excel; настройка автоматического сканирования — агенты и/или безагентный сбор; верификация — сопоставить автоматически собранные данные с реальностью; масштабирование — подключить остальные сегменты; обучение персонала и передача в эксплуатацию.
Какие данные должна собирать автоматизированная система инвентаризации?
Минимальный набор: аппаратное обеспечение — модель, серийный номер, CPU, RAM, диски, MAC-адреса; ПО — список установленных программ с версиями; сеть — IP-адрес, DNS-имя, VLAN, открытые порты; пользователь — текущий пользователь, подразделение; лицензии — тип, срок действия, привязка к ПО. Для задач ИБ дополнительно: СЗИ — тип, сертификат ФСТЭК, срок сертификата; СКЗИ — экземпляры по Приказу ФАПСИ №152; уязвимости — связь актива с записями БДУ ФСТЭК; классификация — принадлежность к ИСПДн, ГИС, КИИ.
Сколько времени занимает внедрение автоматизированной инвентаризации?
Сроки зависят от масштаба: малая организация (до 100 активов) — 1–2 недели: установка системы, настройка сканирования, импорт данных; средняя (100–500 активов) — 2–4 недели: пилот, миграция данных, настройка интеграций (AD, SIEM); крупная (500+ активов) — 1–3 месяца: поэтапное внедрение по сегментам, интеграции, обучение. КиберОснова позволяет начать с пилотного модуля за 1–2 недели и масштабировать постепенно.
