Что входит в инвентаризацию ИТ-активов?

Инвентаризация ИТ-активов охватывает несколько категорий: аппаратное обеспечение (серверы, рабочие станции, ноутбуки, мониторы и периферия, сетевые устройства — коммутаторы, маршрутизаторы, точки доступа); программное обеспечение (операционные системы, прикладное и специализированное ПО с точными версиями); лицензии на ПО и сертификаты на СЗИ с датами истечения; виртуальные машины и облачные ресурсы. Средства защиты и СКЗИ учитываются отдельно как подкатегория.

Как часто нужно проводить инвентаризацию ИТ-активов?

Рекомендуемая периодичность: полная инвентаризация — 1 раз в год; оперативная инвентаризация — ежеквартально для критичных активов (серверы, СЗИ, СКЗИ); непрерывный мониторинг — ежедневно при наличии автоматизированной системы учёта. Для субъектов КИИ учёт значимых объектов должен вестись непрерывно.

Можно ли вести учёт ИТ-активов в Excel?

Excel подходит для малых организаций (до 50 единиц техники), где один сотрудник ведёт реестр и знает каждый актив лично. При 100+ активах Excel-подход становится ненадёжным: данные дублируются, версионирование отсутствует, автоматического обнаружения новых устройств нет, а связи между активами (какое ПО на каком сервере) приходится поддерживать вручную. Рекомендуется переход на ITAM-систему или SGRC-платформу с модулем инвентаризации.

Какие нормативные документы требуют инвентаризации ИТ-активов?

152-ФЗ — учёт средств защиты и ИСПДн; 187-ФЗ — реестр объектов КИИ; Приказ ФСТЭК №21 — перечень средств защиты ИСПДн; Приказ ФСТЭК №239 — учёт активов КИИ; Приказ ФАПСИ №152 — учёт СКЗИ; ГОСТ Р 57580.1 — инвентаризация для финансовых организаций; ISO 27001 (A.8) — управление активами.

Как автоматизировать инвентаризацию ИТ-активов?

Основные методы автоматизации: агентный сбор — установка программных агентов на рабочие станции, собирающих полные данные об оборудовании и ПО; безагентное сканирование по протоколам WMI, SNMP, SSH для сетевого оборудования и серверов Linux; интеграция с Active Directory для импорта компьютеров и пользователей; сканирование IP-диапазонов для обнаружения неизвестных устройств. SGRC-платформа КиберОснова поддерживает все перечисленные методы и автоматически связывает ИТ-активы с рисками ИБ, уязвимостями и СЗИ.

Инвентаризация ИТ-активов: полное руководство 2026

Q: Чем отличается инвентаризация от управления ИТ-активами (ITAM)?

Инвентаризация — это разовый или периодический процесс выявления и фиксации ИТ-ресурсов: что есть, где находится, кто отвечает. ITAM (IT Asset Management) — непрерывный процесс управления полным жизненным циклом актива: закупка, ввод в эксплуатацию, техническое обслуживание, управление лицензиями и контрактами, списание. ITAM включает инвентаризацию как базовый элемент и расширяет её финансовым и контрактным управлением.

Инвентаризация ИТ-активов — фундаментальный процесс, без которого невозможно обеспечить информационную безопасность организации. Нельзя защитить то, чего не знаешь. В этом руководстве — полная методика проведения инвентаризации: от определения объектов учёта до автоматизации процесса, с шаблонами, примерами и ссылками на нормативные требования.

Что такое инвентаризация ИТ-активов и зачем она нужна

Инвентаризация ИТ-активов — это процесс выявления, учёта и классификации всех информационно-технологических ресурсов организации: оборудования, программного обеспечения, лицензий, сетевых устройств, виртуальных машин и облачных ресурсов. Результат инвентаризации — актуальный реестр ИТ-активов с атрибутами каждого объекта.

Инвентаризация является основой для всех процессов информационной безопасности:

Управление рисками — невозможно оценить риски, не зная перечень активов и их критичность
Управление уязвимостями — без реестра ПО невозможно определить, какие системы уязвимы
Учёт СКЗИ и СЗИ — требование ФСБ (Приказ ФАПСИ №152) и ФСТЭК
Категорирование КИИ — перечень объектов КИИ формируется на основе инвентаризации ИС и АСУ
Аудит ИБ — аудитор начинает с проверки актуальности реестра активов
Планирование бюджета — закупка и обновление оборудования требуют знания текущего парка

Нормативные требования

Инвентаризация ИТ-активов прямо или косвенно требуется множеством нормативных актов:

Нормативный акт	Требование
152-ФЗ	Учёт средств защиты ПДн, перечень ИСПДн
187-ФЗ	Реестр объектов КИИ и значимых объектов
Приказ ФСТЭК №21	Перечень средств защиты ИСПДн
Приказ ФСТЭК №239	Учёт активов значимых объектов КИИ
Приказ ФАПСИ №152	Поэкземплярный учёт СКЗИ
ГОСТ Р 57580.1	Инвентаризация для финансовых организаций
ISO 27001 (A.8)	Управление активами — обязательное приложение
PCI DSS (req. 2, 9)	Учёт компонентов карточной среды

Для любой организации, обрабатывающей персональные данные или являющейся субъектом КИИ, инвентаризация ИТ-активов — не опция, а обязательный процесс.

Что входит в инвентаризацию: классификация ИТ-активов

Аппаратное обеспечение (Hardware)

Первая и наиболее очевидная категория. Включает физические устройства:

Серверы — физические серверы, blade-системы, гипервизоры
Рабочие станции — десктопы, ноутбуки, моноблоки
Периферия — мониторы, принтеры, МФУ, сканеры
Сетевое оборудование — коммутаторы, маршрутизаторы, точки доступа Wi-Fi
Средства защиты — межсетевые экраны, IDS/IPS, криптошлюзы
Носители информации — внешние диски, USB-накопители, ленточные библиотеки
Криптографические устройства — токены (Рутокен, JaCarta), HSM-модули
Телекоммуникации — IP-телефоны, видеоконференцсвязь, SBC

Для каждого устройства фиксируются: наименование, производитель, модель, серийный номер, инвентарный номер, MAC-адрес, IP-адрес, местоположение (здание, этаж, кабинет, стойка), ответственное лицо, дата ввода в эксплуатацию, статус, гарантия.

Программное обеспечение (Software)

Вторая критически важная категория. Учёт ПО необходим для контроля лицензий, обновлений безопасности и управления уязвимостями.

Операционные системы — Windows, Linux, macOS с точными версиями и билдами
Прикладное ПО — офисные пакеты, браузеры, почтовые клиенты
Специализированное ПО — ERP, CRM, АСУ ТП, медицинские ИС
Средства защиты — антивирусы, DLP, SIEM-агенты, СКЗИ (КриптоПро CSP, VipNet)
СУБД — PostgreSQL, Oracle, MS SQL, MySQL
Средства разработки — IDE, CI/CD, контейнеризация
Системное ПО — средства мониторинга, бэкапирования, виртуализации

Атрибуты ПО: наименование, версия, разработчик, тип лицензии, количество лицензий, срок действия лицензии, установленное на (связь с Hardware), сертификат ФСТЭК/ФСБ (при наличии).

Лицензии и сертификаты

Отдельная подкатегория, критичная для юридического комплаенса:

Коммерческие лицензии — Microsoft, 1С, Kaspersky, Positive Technologies
Подписки — SaaS-сервисы, облачные ресурсы
Сертификаты соответствия — ФСТЭК, ФСБ на средства защиты
SSL/TLS-сертификаты — для веб-серверов и сервисов
Сертификаты ключей ЭП — УКЭП руководителей и бухгалтерии

Виртуальная и облачная инфраструктура

Современные организации используют гибридную инфраструктуру, где часть ресурсов виртуализирована:

Виртуальные машины — на VMware, Hyper-V, KVM, Proxmox
Контейнеры — Docker, Kubernetes
Облачные ресурсы — VPS, облачные хранилища, SaaS
Виртуальные сети — VLAN, VPN-туннели, SDN

Информационные системы

Для целей ИБ критично учитывать не только отдельные активы, но и информационные системы как совокупности:

ИСПДн — информационные системы персональных данных
ГИС — государственные информационные системы
Объекты КИИ — значимые объекты критической информационной инфраструктуры
АСУ ТП — автоматизированные системы управления технологическими процессами

Методы проведения инвентаризации

Ручная инвентаризация

Классический подход: сотрудник физически обходит кабинеты, переписывает серийные номера, проверяет наличие оборудования.

Когда подходит: первичная инвентаризация в малой организации (до 50 рабочих мест), верификация данных автоматизированных систем.

Инструменты: Excel-таблица, бумажный реестр, фотофиксация.

Проблемы: трудоёмкость (1 рабочее место = 15-30 минут), быстрое устаревание данных, ошибки ручного ввода, невозможность учесть ПО.

Агентный сбор данных

На каждую рабочую станцию устанавливается программный агент, который автоматически собирает данные и передаёт их на сервер.

Что собирает агент:

Аппаратная конфигурация (CPU, RAM, диски, серийные номера)
Установленное ПО с версиями
Обновления безопасности
Запущенные процессы и службы
Подключённая периферия
Текущий пользователь

Преимущества: полнота данных, автоматическое обновление, учёт удалённых рабочих мест (ноутбуки в командировке).

Недостатки: требуется развёртывание агентов (через GPO, SCCM или вручную), нагрузка на рабочие станции, не работает на сетевом оборудовании.

Безагентное сканирование

Сбор данных по сети без установки ПО на конечные устройства.

Протоколы:

WMI (Windows Management Instrumentation) — для Windows-систем
SNMP (Simple Network Management Protocol) — для сетевого оборудования, принтеров
SSH — для Linux/Unix-систем
WinRM — для Windows PowerShell Remoting
ICMP/ARP — обнаружение устройств в сети

Преимущества: не требует установки агентов, покрывает сетевое оборудование.

Недостатки: менее полные данные (зависит от настроек протоколов), требует сетевых учётных данных, не работает для устройств за пределами сети.

Интеграция с Active Directory

Импорт данных из доменной структуры:

Компьютеры (имя, ОС, последний вход)
Пользователи (ФИО, подразделение, должность)
Организационная структура (OU)
Групповые политики

Преимущества: мгновенный импорт, актуальные данные о пользователях.

Недостатки: только Windows-домен, нет данных о ПО и аппаратной конфигурации, не учитывает устройства вне домена.

Комбинированный подход (рекомендуемый)

Оптимальная стратегия — комбинация методов:

AD-интеграция → базовый импорт компьютеров и пользователей
Агенты → детализация по ПО и аппаратуре на рабочих станциях
SNMP/SSH-сканирование → сетевое оборудование и серверы Linux
Ручная верификация → ежегодная проверка физического наличия

КиберОснова поддерживает все четыре метода, обеспечивая полное покрытие ИТ-инфраструктуры.

Шаблон реестра ИТ-активов

Минимальный набор полей для реестра:

Поле	Тип	Описание
ID	Уникальный	Внутренний идентификатор актива
Инвентарный номер	Текст	Бухгалтерский инвентарный номер
Тип актива	Справочник	Сервер, РС, Ноутбук, Коммутатор, ПО и т.д.
Наименование	Текст	Полное наименование (HP ProLiant DL380 Gen10)
Серийный номер	Текст	S/N с корпуса или из системы
Производитель	Справочник	HP, Lenovo, Cisco, и т.д.
Модель	Текст	Точная модель
IP-адрес	IP	Основной IP-адрес
MAC-адрес	MAC	Основной MAC
Hostname	Текст	Имя в сети
ОС	Текст	Операционная система с версией
Местоположение	Справочник	Здание → Этаж → Кабинет → Стойка
Ответственный	Ссылка	ФИО ответственного сотрудника
Подразделение	Справочник	Подразделение-владелец
Статус	Справочник	В эксплуатации / На складе / Списан / Ремонт
Дата ввода	Дата	Дата ввода в эксплуатацию
Гарантия до	Дата	Дата окончания гарантии
Критичность	Справочник	Высокая / Средняя / Низкая
ИС	Ссылка	К какой информационной системе относится
Примечание	Текст	Дополнительная информация

Этот шаблон можно расширять под задачи организации. Для целей ИБ добавьте поля: «Класс защиты», «Наличие СЗИ», «Объект КИИ (да/нет)», «Обрабатываемые ПДн (да/нет)».

Пошаговая инструкция проведения инвентаризации

Шаг 1: Определение объёма и целей

Перед началом инвентаризации определите:

Объём: все ИТ-активы организации или конкретная площадка/подразделение
Цель: выполнение требований регулятора, подготовка к аудиту, оптимизация затрат
Глубина: только оборудование или оборудование + ПО + лицензии
Сроки: крайний срок завершения
Ответственные: кто проводит, кто контролирует, кто утверждает результат

Шаг 2: Формирование приказа

Инвентаризация проводится на основании приказа руководителя. Приказ содержит:

Основание для проведения (плановая / внеплановая / по требованию регулятора)
Состав комиссии
Объекты инвентаризации
Сроки проведения
Ответственных за каждый этап

Шаг 3: Подготовка инструментов

В зависимости от масштаба:

До 50 рабочих мест: Excel-таблица с шаблоном + физический обход
50-200 рабочих мест: безагентное сканирование (10-Strike, Total Network Inventory) + AD-импорт
200+ рабочих мест: SGRC-платформа с агентным и безагентным сканированием

Шаг 4: Сбор данных

Выполните импорт из Active Directory (получите базовый список компьютеров)
Запустите сетевое сканирование (обнаружьте устройства не в домене)
Развёрните агенты на рабочие станции (соберите детальные данные о ПО)
Опросите сетевое оборудование по SNMP
Проведите физическую верификацию для критичных активов

Шаг 5: Классификация и обогащение данных

Присвойте каждому активу категорию (сервер, РС, сетевое, и т.д.)
Назначьте ответственных
Укажите принадлежность к информационным системам
Определите критичность (влияние на бизнес при отказе)
Зафиксируйте местоположение

Шаг 6: Формирование реестра

Консолидируйте данные из всех источников в единый реестр. Устраните дубликаты, проверьте полноту данных. Реестр должен быть согласован ответственными и утверждён руководителем.

Шаг 7: Регулярная актуализация

Инвентаризация — не разовое мероприятие. Настройте процесс поддержания актуальности:

Автоматическое обнаружение новых устройств в сети
Уведомления при изменении конфигурации
Ежеквартальная сверка физического наличия критичных активов
Ежегодная полная ревизия

Автоматизация инвентаризации

Когда переходить от Excel к системе

Признаки того, что пора автоматизировать:

Реестр содержит более 100 записей
Данные устаревают быстрее, чем обновляются
Несколько сотрудников редактируют один файл
Нет связей между активами (какое ПО на каком сервере)
Невозможно быстро ответить на вопрос: «Где установлен КриптоПро CSP 4.0?»
Подготовка к проверке регулятора занимает более 3 дней

Что даёт автоматизация

Задача	Вручную	Автоматизировано
Обнаружение нового устройства	Дни (пока заметят)	Минуты (автосканирование)
Инвентаризация 500 ПК	2-3 недели	2-4 часа
Поиск всех ПК с уязвимой версией ПО	Часы (вручную)	Секунды (фильтр)
Формирование отчёта для ФСТЭК	Дни	Минуты
Контроль истечения лицензий	Ручной (забывается)	Автоуведомления

КиберОснова объединяет инвентаризацию ИТ-активов с процессами информационной безопасности: каждый актив связан с рисками, уязвимостями и средствами защиты. Это позволяет не просто считать оборудование, а управлять безопасностью на основе актуальных данных.

Типичные ошибки при инвентаризации

1. Учёт только оборудования. ПО, лицензии и виртуальные ресурсы не менее важны. Уязвимость в ПО — такой же риск, как отсутствие сервера.

2. Разовое мероприятие. Инвентаризация раз в год — это не инвентаризация, а моментальный снимок. К следующей проверке данные устареют.

3. Нет ответственных за активы. Без назначенного владельца актив «ничей» — никто не обновляет ПО, не следит за состоянием.

4. Нет связи с ИС. Учёт серверов отдельно, ИСПДн отдельно, СКЗИ отдельно. В результате невозможно ответить: «Какие СКЗИ защищают ИСПДн "Кадры"?»

5. Игнорирование BYOD и удалённых сотрудников. Ноутбуки удалённых сотрудников, личные устройства с доступом к корпоративной почте — всё это активы, которые нужно учитывать. Для BYOD выработайте политику: либо запрет (MDM-решение), либо регистрация в реестре с указанием категории «BYOD» и ограничениями доступа.

6. Нет атрибута критичности. Не все активы одинаково важны. Сервер с персональными данными и рабочая станция бухгалтера в командировке требуют разного уровня внимания. Расставьте приоритеты: высокая критичность — серверы ИСПДн, объекты КИИ, СКЗИ; средняя — рабочие станции с корпоративным доступом; низкая — принтеры, периферия без сетевого подключения. Это позволяет направить ресурсы защиты туда, где они нужны больше всего.

Инвентаризация, ITAM и CMDB: в чём разница

Три термина часто используют как синонимы, но они отличаются по глубине и цели.

Инвентаризация ИТ-активов — базовый уровень: выявить, зафиксировать и актуализировать перечень ИТ-ресурсов. Главная цель — знать, что есть в организации.

ITAM (IT Asset Management) — управление полным жизненным циклом актива: закупка, ввод в эксплуатацию, обслуживание, списание. Включает финансовый учёт (амортизация, балансовая стоимость), управление лицензиями, контрактами с вендорами.

CMDB (Configuration Management Database) — база конфигурационных единиц (CI), хранящая не только перечень активов, но и связи между ними. CMDB используется в ITSM-процессах: управление изменениями, инцидентами, проблемами.

	Инвентаризация	ITAM	CMDB
Фокус	Что есть?	Жизненный цикл	Связи и зависимости
Для кого	ИБ, ИТ	ИТ, финансы	ИТ (ITSM)
Нормативные требования	Да (ФСТЭК, ФСБ)	Нет прямых	Нет прямых
Сложность внедрения	Низкая	Средняя	Высокая

Для целей ИБ первичен реестр инвентаризации — знать, что есть, где находится и кто отвечает. ITAM и CMDB расширяют этот функционал. Модуль инвентаризации КиберОснова покрывает все три уровня и связывает активы с процессами ИБ.

Особенности инвентаризации для субъектов КИИ

Субъекты критической информационной инфраструктуры обязаны вести учёт объектов КИИ как часть системы безопасности значимых объектов. Приказ ФСТЭК №239 требует постоянного обновления перечня активов значимого объекта КИИ.

Особенности инвентаризации для КИИ:

Каждый объект КИИ должен быть обследован перед категорированием
Перечень активов формируется комиссией по категорированию
При изменении состава объекта КИИ — пересмотр категории в течение 10 дней
Учёт средств защиты должен быть привязан к конкретным объектам КИИ

КиберОснова связывает реестр инвентаризации с перечнем объектов КИИ, что позволяет автоматически формировать документы по 187-ФЗ на основе актуальных данных об инфраструктуре.

Связь инвентаризации с другими процессами ИБ

Инвентаризация — не изолированный процесс. Она питает данными все остальные процессы ИБ и является единой точкой истины о ИТ-инфраструктуре. Без актуального реестра активов каждый следующий процесс будет строиться на устаревших или неполных данных:

Управление рисками — риски привязываются к конкретным активам, и при изменении реестра риски пересчитываются автоматически
Управление уязвимостями — сканирование привязывается к реестру активов; новые уязвимости немедленно связываются с затронутым ПО
Учёт СКЗИ — СКЗИ являются подкатегорией инвентаризации; их учёт ведётся в том же реестре с расширенными атрибутами
Модель угроз — актуальные активы определяют объекты воздействия при построении модели угроз по методике ФСТЭК
Аудит ИБ — аудитор всегда начинает с проверки полноты и актуальности реестра активов как фундамента системы ИБ

Использование единой SGRC-платформы, такой как КиберОснова, обеспечивает все эти связи автоматически — без ручного дублирования данных между разными таблицами. Запросите демо, чтобы увидеть, как инвентаризация интегрируется с другими модулями.

FAQ

Нужна ли инвентаризация, если мы небольшая организация? Да. Даже организации на 20–50 сотрудников обязаны вести учёт ПДн-систем (152-ФЗ) и СКЗИ (Приказ ФАПСИ №152), если используют криптосредства. Кроме того, регуляторные проверки затрагивают в том числе небольшие организации — наличие актуального реестра значительно снижает риски претензий. Для небольших организаций достаточно Excel-реестра с простым шаблоном — главное, чтобы он поддерживался в актуальном состоянии.

Как связать инвентаризацию с управлением уязвимостями? Реестр ПО с версиями — фундамент для управления уязвимостями. Зная, что на сервере установлен Apache 2.4.49, система может автоматически сопоставить его с уязвимостями из БДУ ФСТЭК и CVE. Без реестра это ручная работа на дни; с реестром — секунды. КиберОснова делает эту связку автоматически: новая уязвимость из БДУ ФСТЭК проверяется на наличие затронутого ПО во всех зарегистрированных активах.

Что делать с устаревшим оборудованием в реестре? Не удалять, а присваивать статус «Списан» с датой списания и подтверждающим документом (акт списания). Исторические данные важны для аудита — регулятор может запросить сведения об активах за прошлые периоды. Физическое уничтожение носителей информации (жёсткие диски, ключевые носители) должно фиксироваться в отдельном акте уничтожения согласно требованиям ФСТЭК и ФСБ.

Как проверить, что инвентаризация актуальна? Самый надёжный способ — контрольная точка: выбрать 10–20 случайных активов из реестра и физически проверить их наличие. Если более 10% не совпадают — реестр устарел и требует ревизии. Автоматизированные системы выполняют эту проверку непрерывно и сигнализируют при расхождениях.

Инвентаризация ИТ-активов в организации: полное руководство