Какое оборудование подлежит инвентаризации в ИТ-подразделении?

Инвентаризации подлежит всё оборудование, участвующее в обработке информации: серверы и серверные шасси, рабочие станции и ноутбуки, сетевое оборудование (коммутаторы, маршрутизаторы, точки доступа Wi-Fi), периферийные устройства (принтеры, сканеры, МФУ), источники бесперебойного питания, аппаратные средства защиты информации (криптошлюзы, HSM-модули, токены), а также IoT-устройства и контроллеры АСУ ТП. Для организаций — субъектов КИИ перечень расширяется оборудованием, входящим в состав значимых объектов.

Чем отличается бухгалтерская инвентаризация оборудования от ИТ-инвентаризации?

Бухгалтерская инвентаризация проводится по ФСБУ 6/2020 и фиксирует наличие основных средств, их балансовую стоимость и инвентарные номера. ИТ-инвентаризация учитывает технические параметры: IP-адрес, hostname, MAC-адрес, версию прошивки, установленное ПО, привязку к сегменту сети, ответственного администратора. Бухгалтерский акт (ИНВ-1) не содержит данных, критичных для информационной безопасности, поэтому для целей ИБ требуется отдельный ИТ-реестр с расширенным набором атрибутов.

Как часто нужно проводить инвентаризацию оборудования?

Бухгалтерская инвентаризация основных средств проводится не реже одного раза в год перед составлением годовой отчётности — это требование закона о бухгалтерском учёте (402-ФЗ). Для целей информационной безопасности рекомендуется непрерывная инвентаризация с автоматическим обнаружением новых устройств. Субъекты КИИ обязаны поддерживать актуальный реестр объектов постоянно. Оптимальный подход — автоматизированный агентный сбор данных с ежедневным обновлением реестра.

Какие документы оформляются по результатам инвентаризации оборудования?

По результатам бухгалтерской инвентаризации составляются: приказ о проведении инвентаризации (ИНВ-22), инвентаризационная опись основных средств (ИНВ-1), сличительная ведомость (ИНВ-18) при выявлении расхождений, акт о результатах инвентаризации (ИНВ-26). Для ИТ-инвентаризации оформляется реестр оборудования с техническими атрибутами, протокол расхождений с учётными данными и отчёт о неучтённых устройствах. Организация может использовать унифицированные формы Госкомстата или разработать собственные.

Можно ли автоматизировать инвентаризацию сетевого оборудования?

Да, сетевое оборудование инвентаризируется автоматически через протоколы SNMP (v2c/v3), SSH и Telnet. Агент или сканер опрашивает коммутаторы, маршрутизаторы и точки доступа, собирая модель, серийный номер, версию прошивки, список интерфейсов, таблицу MAC-адресов и конфигурацию. Специализированные системы инвентаризации поддерживают автоматическое обнаружение сетевого оборудования по IP-диапазонам и SNMP-опросу с нормализацией данных и привязкой к карте сети.

Какие типичные ошибки допускают при инвентаризации оборудования?

Пять самых частых ошибок: неполный охват — забывают серверные, удалённые офисы, склады с оборудованием в резерве; проведение только раз в год — к моменту следующей проверки данные устарели на 30–40%; расхождение бухучёта и ИТ-реестра — в бухгалтерии числится ПК, а на рабочем месте стоит другой; отсутствие привязки к ответственным — невозможно определить, кто пользуется устройством; игнорирование сетевого оборудования — коммутаторы и точки доступа не попадают в реестр, хотя являются критичной инфраструктурой.

Нужна ли инвентаризация оборудования для выполнения требований ФСТЭК?

Да, инвентаризация оборудования является обязательным элементом выполнения требований ФСТЭК. Приказ №21 требует учёта средств защиты ИСПДн, приказ №239 — реестра активов значимых объектов КИИ, приказ №117 — учёта технических средств ГИС. Без актуального реестра оборудования невозможно корректно определить периметр защиты, назначить меры защиты информации и подготовиться к проверке ФСТЭК. Проверяющие запрашивают перечень технических средств на первом этапе.

Инвентаризация оборудования в организации: порядок и акты

Инвентаризация оборудования — процесс, который существует на стыке двух миров: бухгалтерского учёта и информационной безопасности. Бухгалтерия считает основные средства по ФСБУ 6/2020, ИТ-подразделение ведёт реестр серверов и коммутаторов, а служба ИБ требует привязку каждого устройства к сегменту сети и мерам защиты. Три подразделения, три реестра, три формата — и ни один не содержит полной картины. В этой статье — как выстроить единый процесс инвентаризации оборудования, какие документы оформить и почему ручной обход перестаёт работать уже при 100 устройствах. Если вы ищете общую методику учёта всех категорий ИТ-ресурсов, начните с руководства по инвентаризации ИТ-активов.

Какое оборудование подлежит инвентаризации

Первый вопрос, который возникает перед комиссией: что именно считать? Ответ зависит от цели инвентаризации.

Бухгалтерский перечень

Бухгалтерия учитывает основные средства стоимостью выше лимита, установленного учётной политикой (с 2022 года — по ФСБУ 6/2020). Сюда входят:

Серверы и серверные шасси — blade-системы, стоечные серверы, СХД
Рабочие станции — десктопы, моноблоки, тонкие клиенты
Ноутбуки — включая выданные удалённым сотрудникам
Мониторы и периферия — при стоимости выше лимита учётной политики
Печатное оборудование — принтеры, МФУ, плоттеры
Источники бесперебойного питания — ИБП стоечные и настольные
Телекоммуникационное оборудование — АТС, SBC, IP-телефоны

Расширенный перечень для ИТ и ИБ

Служба информационной безопасности учитывает всё, что обрабатывает, передаёт или защищает информацию — вне зависимости от балансовой стоимости:

Сетевое оборудование — управляемые коммутаторы (L2/L3), маршрутизаторы, точки доступа Wi-Fi, контроллеры беспроводной сети
Аппаратные средства защиты — межсетевые экраны (NGFW), криптошлюзы (ViPNet Coordinator, «Континент»), HSM-модули
Криптографические устройства — токены (Рутокен, JaCarta), смарт-карты
IoT и специализированные устройства — камеры видеонаблюдения, СКУД-контроллеры, датчики
Оборудование АСУ ТП — ПЛК, HMI-панели, RTU (для промышленных организаций)
Устройства в DMZ — reverse proxy, WAF-аплайансы, почтовые шлюзы

Для субъектов КИИ перечень определяется в ходе категорирования и включает все технические средства, входящие в состав значимых объектов.

Инвентаризация сетевого оборудования: особенности

Сетевое оборудование заслуживает отдельного внимания. Коммутаторы и маршрутизаторы часто стоят дешевле лимита основных средств — бухгалтерия их не учитывает. Агент на них не установишь — нужны SNMP или SSH. При этом именно через сетевое оборудование проходит весь трафик организации.

Что учитывать при инвентаризации сетевого оборудования:

Управляемые коммутаторы — модель, прошивка, конфигурация VLAN, список портов и подключённых устройств (MAC-таблица)
Маршрутизаторы — таблица маршрутизации, ACL, настройки NAT, VPN-туннели
Точки доступа Wi-Fi — SSID, метод аутентификации, канал, мощность, число подключённых клиентов
Межсетевые экраны — правила фильтрации, версия сигнатур IPS, активные VPN-подключения
Балансировщики нагрузки — пулы серверов, health-check, сертификаты

Для каждого сетевого устройства критично фиксировать версию прошивки: именно устаревшие прошивки коммутаторов и маршрутизаторов чаще всего эксплуатируются при целевых атаках.

Практика показывает: в среднем 15–20% устройств в сети не учтены ни в одном реестре. Это неуправляемые коммутаторы, личные роутеры сотрудников, забытое тестовое оборудование. Каждое такое устройство — потенциальная точка входа для атакующего.

Порядок проведения инвентаризации оборудования

Инвентаризация оборудования на предприятии — процесс из шести этапов. Ниже — пошаговый порядок, применимый и к бухгалтерской, и к ИТ-инвентаризации.

Этап 1. Приказ руководителя

Инвентаризация начинается с организационно-распорядительного документа. Приказ о проведении инвентаризации (унифицированная форма ИНВ-22 или внутренняя форма) определяет:

Состав комиссии — председатель (обычно заместитель руководителя) и члены (бухгалтер, ИТ-специалист, специалист по ИБ, представитель подразделения-владельца оборудования)
Сроки проведения — дата начала и дата окончания
Объекты инвентаризации — перечень категорий оборудования и территориальных зон
Причина проведения — плановая (ежегодная), при смене материально ответственного лица, по результатам проверки, при реорганизации

Этап 2. Подготовка

До начала обхода комиссия выполняет подготовительные действия:

Запросить у бухгалтерии актуальные остатки по счетам 01 и 10 (основные средства и материалы)
Запросить у ИТ-подразделения текущий реестр оборудования (если ведётся)
Определить перечень зон осмотра: серверные, коммутационные шкафы, рабочие места, склад, удалённые офисы
Подготовить бланки описей или настроить шаблон в системе учёта
Проверить доступ в помещения (серверная, кроссовая, склад ИТ-оборудования)

Если в организации уже используется система инвентаризации, подготовка включает выгрузку текущего реестра и формирование списка устройств, по которым давно не было обновлений (потенциально неактуальные записи).

Этап 3. Сбор данных

Ключевой этап, который определяет качество результата. От выбранного метода зависят полнота данных, трудозатраты и актуальность результатов. Существуют два принципиально разных подхода.

Ручной обход. Комиссия физически обходит помещения, сверяет инвентарные номера, записывает серийные номера с шильдиков. Для организации с 200 рабочими местами ручной обход занимает 3–5 рабочих дней. Минусы очевидны: человеческий фактор (пропущенные устройства, ошибки в серийных номерах), невозможность собрать технические данные (IP, прошивку, ПО).

Автоматический сбор. Программный агент или сетевой сканер собирает данные об оборудовании удалённо: через WMI/WinRM (Windows), SSH (Linux), SNMP (сетевое оборудование). Организация с 200 АРМ получает полный реестр за 1–2 часа без участия комиссии в обходе рабочих мест. Подробнее о методах — в статье об автоматизации инвентаризации.

Этап 4. Сопоставление

Собранные данные сверяются с учётными записями:

Факт vs бухгалтерия — все ли основные средства на месте, нет ли недостачи или излишков
Факт vs ИТ-реестр — совпадают ли hostname, IP-адрес, серийный номер с данными в системе учёта
Выявление неучтённых устройств — оборудование, которое физически присутствует, но не числится ни в одном реестре

На этом этапе формируется протокол расхождений: список устройств с несоответствиями между фактическими и учётными данными. Типичные расхождения: устройство числится в кабинете 201, а стоит в 305; серийный номер в бухучёте не совпадает с фактическим (ошибка при первичном внесении); в ИТ-реестре указан IP-адрес, который уже переназначен другому устройству.

Этап 5. Оформление результатов

По итогам инвентаризации оформляется комплект документов:

Инвентаризационная опись (ИНВ-1) — перечень всех объектов с фактическими данными
Сличительная ведомость (ИНВ-18) — при выявлении расхождений с бухучётом
Акт о результатах инвентаризации (ИНВ-26) — итоговый документ с выводами комиссии
ИТ-реестр оборудования — актуализированный реестр с техническими атрибутами (для ИТ и ИБ)

Этап 6. Определение периодичности

Бухгалтерская инвентаризация — не реже 1 раза в год (402-ФЗ, ст. 11)
ИТ-инвентаризация для ИБ — рекомендуется непрерывная (автоматизированная) или ежеквартальная (ручная)
Для субъектов КИИ — реестр объектов КИИ поддерживается в актуальном состоянии постоянно (187-ФЗ)
При смене ответственного лица — обязательная внеплановая инвентаризация

Акт инвентаризации оборудования: что включает

Акт инвентаризации — итоговый документ, фиксирующий результаты. Для бухгалтерских целей используются унифицированные формы Госкомстата (ИНВ-1, ИНВ-1а) или формы, утверждённые учётной политикой организации.

Обязательные графы акта

№	Графа	Пример заполнения
1	Наименование объекта	Сервер Dell PowerEdge R750
2	Инвентарный номер	ОС-2024-0847
3	Заводской (серийный) номер	CN7G8X3
4	Год выпуска	2024
5	Фактическое наличие	1 шт.
6	По данным бухучёта	1 шт.
7	Местонахождение	Серверная, стойка 3, юнит 12
8	Ответственное лицо	Петров И.В.
9	Примечание	Гарантия до 12.2027

Расширенные атрибуты для ИТ-реестра

Бухгалтерский акт не содержит данных, необходимых для информационной безопасности. ИТ-реестр дополняет акт следующими полями:

Атрибут	Описание	Пример
Hostname	Сетевое имя устройства	SRV-APP-01
IP-адрес	IPv4/IPv6 адрес	10.1.10.25
MAC-адрес	Аппаратный адрес сетевого интерфейса	00:1A:2B:3C:4D:5E
Версия прошивки/ОС	Текущая версия микрокода	iDRAC 7.00.00.173
Сегмент сети	Принадлежность к VLAN/зоне	VLAN 110 — серверный
Установленное ПО	Ключевое ПО на устройстве	CentOS 8, PostgreSQL 15
Роль в ИБ-архитектуре	Функция устройства	Сервер БД ИСПДн
Сертификат ФСТЭК/ФСБ	Для СЗИ — номер и срок действия	ФСТЭК №4329 до 01.2027

ИТ-инвентаризация vs бухгалтерская: сравнение

Два процесса пересекаются по объектам, но принципиально различаются по целям и методам.

Параметр	Бухгалтерская инвентаризация	ИТ-инвентаризация (ИБ)
Цель	Подтвердить наличие и стоимость ОС	Обеспечить полноту реестра ИТ-активов для управления рисками
Нормативная база	402-ФЗ, ФСБУ 6/2020	187-ФЗ, приказы ФСТЭК №117/21/239, ISO 27001
Объекты	ОС стоимостью выше лимита	Все устройства, обрабатывающие информацию
Метод сбора	Физический обход, пересчёт	Автоматический (агент, SNMP, WMI) + обход
Документы	ИНВ-1, ИНВ-18, ИНВ-26	Реестр оборудования, карта сети, протокол расхождений
Периодичность	Раз в год (обязательно)	Непрерывная или ежеквартальная
Кто проводит	Комиссия + бухгалтерия	ИТ-подразделение + служба ИБ
Ключевые атрибуты	Инв. номер, стоимость, амортизация	IP, hostname, прошивка, ПО, сегмент сети

Для ИБ-специалиста бухгалтерский реестр — стартовая точка, но не замена ИТ-инвентаризации. Бухгалтерия не знает, что на сервере с инвентарным номером ОС-2024-0847 работает PostgreSQL 15.4 с двумя критическими уязвимостями из БДУ ФСТЭК.

Главное отличие — в подходе к актуальности. Бухгалтерская инвентаризация фиксирует состояние на конкретную дату. ИТ-инвентаризация должна отражать текущее состояние инфраструктуры в любой момент времени. Это возможно только при автоматизации процесса сбора данных.

Оптимальная схема — вести единый реестр, в котором каждое устройство имеет и бухгалтерские атрибуты (инвентарный номер, стоимость, МОЛ), и технические (IP, hostname, ПО, уязвимости). Такой реестр используется и для годовой бухгалтерской сверки, и для ежедневного управления ИБ-рисками.

Автоматизация инвентаризации оборудования

Ручной обход — дорогой и ненадёжный процесс. Рассмотрим методы автоматизации и их применимость.

Методы автоматического сбора данных

Метод	Протокол	Что собирает	Применимость
Агентный сбор	Собственный протокол	Полные данные: оборудование, ПО, конфигурация, изменения	Windows, Linux, macOS
SNMP-опрос	SNMP v2c/v3	Модель, серийный номер, интерфейсы, загрузка	Сетевое оборудование, принтеры, ИБП
WMI/WinRM	DCOM/WinRM	Оборудование, ПО, службы, пользователи	Windows (домен)
SSH	SSH	Оборудование, ПО, конфигурация	Linux, сетевое оборудование
Сканирование IP	ICMP, TCP	Обнаружение устройств, открытые порты	Все сетевые устройства

Сравнение подходов: ручной обход vs Excel vs агент

Параметр	Ручной обход	Excel-реестр	Агент КиберОснова
Время на 200 устройств	3–5 рабочих дней	1–2 дня (заполнение)	1–2 часа (автоматически)
Полнота данных	60–70% (что видно глазами)	40–50% (что внесли вручную)	95–100% (автоматический сбор)
Актуальность	Устаревает в день проверки	Устаревает за неделю	Обновляется ежедневно
Обнаружение новых устройств	Нет	Нет	Автоматическое
Контроль изменений	Невозможен	Невозможен	Фиксация каждого изменения
Привязка к уязвимостям	Нет	Нет	Автоматическая сверка с БДУ ФСТЭК
Стоимость (трудозатраты/год)	20–30 чел./дней	10–15 чел./дней	2–3 чел./дня (настройка + контроль)

Как работает агент КиберОснова

Агент КиберОснова устанавливается на рабочие станции и серверы и автоматически собирает данные об оборудовании:

Автоматическое обнаружение — агент определяет все компоненты: процессор, память, диски, сетевые адаптеры, периферию
Нормализация данных — производитель и модель приводятся к единому формату, устраняются дубли и неточности
Сверка с БДУ ФСТЭК — оборудование с известными уязвимостями помечается автоматически
Обновление в реальном времени — изменения фиксируются при каждом запуске агента (по расписанию или событию)
Привязка к ИБ-процессам — каждое устройство связывается с мерами защиты, ответственными и результатами аудита

Для сетевого оборудования, на которое нельзя установить агент, платформа использует SNMP-опрос по настроенным IP-диапазонам.

Пример: инвентаризация за 2 часа вместо 5 дней

Организация с 300 рабочими местами и 40 единицами сетевого оборудования. До внедрения агента инвентаризация проводилась раз в год: комиссия из 4 человек обходила 3 здания в течение 5 рабочих дней. Результаты вносились в Excel-таблицу. К моменту завершения обхода данные по первому зданию уже устаревали.

После установки агента КиберОснова:

Первый полный сбор данных — 2 часа (агенты развёрнуты через групповые политики AD)
Обнаружено неучтённых устройств — 47 единиц (личные роутеры, тестовые серверы, забытые точки доступа)
Время на ежедневное обновление реестра — 0 минут (автоматически)
Трудозатраты комиссии — сведены к проверке протокола расхождений (2–3 часа в квартал)

Подробнее о возможностях модуля — на странице инвентаризации оборудования. Обзор программ для автоматизации — в статье «Программы для инвентаризации компьютеров».

Типичные ошибки при инвентаризации оборудования

Даже организации с выстроенными ИТ-процессами допускают системные ошибки, которые обесценивают результаты инвентаризации и создают ложное чувство контроля над инфраструктурой. Ниже — шесть самых распространённых проблем и их последствия.

1. Неполный охват

Комиссия обходит офисные помещения, но забывает про:

Серверные и кроссовые — «там же всё известно, мы сами ставили». На практике в серверной обнаруживается оборудование предыдущего подрядчика, тестовые серверы трёхлетней давности, неуправляемые коммутаторы
Удалённые офисы и филиалы — оборудование филиала учитывается по остаточному принципу
Склад и резерв — списанное, но не утилизированное оборудование, в том числе с данными на дисках
Домашние рабочие места — ноутбуки удалённых сотрудников выпадают из обхода

2. Устаревшие данные

Инвентаризация проводится раз в год. За 12 месяцев:

10–15% оборудования заменяется или перемещается
Появляются новые устройства, не попавшие в реестр
Изменяются IP-адреса, конфигурации, сегменты сети
Обновляется прошивка, меняются версии ПО

Результат: к следующей инвентаризации реестр расходится с реальностью на 30–40%.

3. Расхождение бухучёта и ИТ-реестра

Бухгалтерия числит монитор LG 27UK850 за Ивановым (каб. 305). Фактически монитор давно переставлен Петрову (каб. 412), а Иванов уволился. ИТ-реестр показывает третий вариант. Три источника — три версии реальности.

4. Отсутствие привязки к ответственным

Оборудование есть в реестре, но поле «ответственный» пустое или содержит фамилию уволенного сотрудника. При инциденте невозможно определить, кто работал с устройством.

5. Игнорирование сетевого оборудования

Коммутаторы, точки доступа и маршрутизаторы не попадают в бухгалтерский акт (стоимость ниже лимита) и не охватываются ИТ-инвентаризацией (нет агента). Результат — «слепые зоны» в сетевой инфраструктуре. Атакующий, получивший доступ к неуправляемому коммутатору, может перехватывать трафик всего сегмента сети.

6. Отсутствие связи с процессами ИБ

Реестр оборудования существует сам по себе, отдельно от управления уязвимостями, учёта СЗИ и документов ИБ. При обнаружении уязвимости в конкретной модели оборудования невозможно быстро определить, сколько таких устройств в сети и где они расположены. При проверке ФСТЭК невозможно показать, какие меры защиты применяются к конкретному серверу.

Все перечисленные ошибки устраняются одним решением: переход от ежегодного ручного обхода к непрерывной автоматизированной инвентаризации. Платформа КиберОснова закрывает полный цикл: от автоматического обнаружения устройств до формирования отчётов для бухгалтерии и службы ИБ.

Помимо самого оборудования, организации ведут учёт средств защиты информации — антивирусов, межсетевых экранов и других СЗИ, установленных на этом оборудовании. Для непрерывного контроля состояния рабочих станций используйте мониторинг рабочих станций.

Чек-лист: как провести инвентаризацию оборудования

Пять шагов для запуска процесса инвентаризации в организации:

Издать приказ — определить состав комиссии, сроки проведения и перечень зон осмотра. Обязательно включить в комиссию представителя ИТ-подразделения и службы ИБ, а не только бухгалтерию
Определить объекты — составить полный перечень категорий оборудования: серверы, АРМ, сетевое оборудование, СЗИ, периферия, IoT. Не ограничиваться бухгалтерскими основными средствами
Выбрать метод сбора — для организаций до 50 устройств допустим ручной обход. От 100 устройств — автоматизация обязательна. Сравнение программ поможет выбрать инструмент
Провести сверку — сопоставить фактические данные с бухучётом и ИТ-реестром. Зафиксировать все расхождения в протоколе. Особое внимание уделить неучтённым устройствам — каждое из них должно быть либо поставлено на учёт, либо отключено от сети
Настроить непрерывный учёт — внедрить агентное решение для ежедневного обновления реестра. Назначить ответственного за поддержание данных в актуальном состоянии. Настроить оповещения о появлении новых устройств в сети и об изменениях конфигурации существующих

Инвентаризация оборудования — не разовое мероприятие, а фундамент для всех процессов ИТ и информационной безопасности. Без актуального реестра невозможно управлять уязвимостями, проходить проверки ФСТЭК и принимать обоснованные решения о закупках и модернизации. Организации, которые переходят от ежегодного ручного обхода к непрерывному автоматизированному учёту, сокращают трудозатраты на инвентаризацию в 10 раз и всегда готовы к проверкам регулятора.

Запросите демо КиберОснова — посмотрите, как агент автоматически собирает данные об оборудовании и формирует реестр за часы вместо дней.

Инвентаризация оборудования в организации: порядок, акты и автоматизация