Реестр ИТ-активов — обязательный документ при любой проверке ФСТЭК. Без актуального реестра инспектор не сможет проверить ни выполнение мер защиты, ни соответствие модели угроз, ни корректность аттестации. Это касается государственных информационных систем, ИСПДн любого класса и значимых объектов КИИ.
Типичный сценарий проверки начинается с одних и тех же вопросов: «Дайте перечень ИТ-активов на сегодняшнюю дату», «Кто отвечает за актуализацию», «Покажите регламент ведения реестра», «Где журнал изменений за последние 90 дней». Если ответственный начинает доставать Excel-файл годовой давности, проверка идёт по плохому сценарию.
Эта статья — практическая методика. Не «зачем нужна инвентаризация» и не «обзор инструментов автоматизации» — для этого есть отдельный материал об инвентаризации ИТ-активов и обзор автоматизации инвентаризации. Здесь — что конкретно должно быть в реестре, как его обновлять и как готовиться к встрече с инспектором.
Разберём состав полей по требованиям ФСТЭК, шаблон в Excel, регламент актуализации, типичные вопросы инспектора и чеклист готовности к проверке.
Что должно быть в реестре ИТ-активов
Состав реестра определяется не одним документом, а комбинацией требований Приказов ФСТЭК №17, 21, 239 и Постановления Правительства №1119. Минимальный набор полей закрывает меры ИНЦ.2 (идентификация активов) и АНЗ.4–АНЗ.5 (анализ конфигурации).
Обязательные поля (минимум по ФСТЭК)
| Поле | Описание | Источник требования |
|---|---|---|
| Идентификатор | Уникальный ID актива в реестре | ГОСТ Р 53114-2008 |
| Тип актива | Сервер / АРМ / Сетевое / СЗИ / СКЗИ | Приказ ФСТЭК №21, мера ИНЦ.2 |
| Местоположение | Физическое (помещение) и логическое (сегмент сети) | АНЗ.4 (Приказ №239) |
| Ответственный | ФИО, должность, подразделение | АНЗ.4 |
| Привязка к ИС | ИСПДн / ГИС / ОКИИ с указанием названия | 152-ФЗ, 187-ФЗ |
| Класс защиты | К1–К4 для ИСПДн, КИИ-1/2/3 для значимых объектов | ПП №1119, Приказ №239 |
| Состояние | Эксплуатация / резерв / списание | АНЗ.5 |
| Дата ввода | Когда введён в эксплуатацию | АНЗ.4 |
| Сертификат СЗИ | Номер и срок действия (если применимо) | ФСТЭК |
Девять полей — это минимум, который инспектор ожидает увидеть в любом реестре. Отсутствие хотя бы одного из них — основание для замечания.
Особое внимание стоит уделить полю «Привязка к ИС». На практике именно оно вызывает больше всего проблем: сервер обслуживает несколько ИСПДн одновременно, рабочая станция входит и в общую корпоративную сеть, и в сегмент значимого объекта КИИ, виртуальная машина мигрирует между хостами. Реестр должен корректно отражать эти связи — иначе при проверке возникнет вопрос «А этот сервер защищён по требованиям какого класса?». Правильное решение — поддерживать связь «многие ко многим»: один актив может быть привязан к нескольким ИС, у каждой ИС — свой класс защиты и свой набор мер.
Поле «Класс защиты» зависит от типа ИС. Для ИСПДн классы К1–К4 определяются по Постановлению Правительства РФ №1119 на основе категории ПДн и количества субъектов. Для государственных информационных систем — К1–К3 по Приказу ФСТЭК №17. Для значимых объектов КИИ — категории 1, 2 или 3 по 187-ФЗ и Приказу №239. Один актив, входящий в несколько ИС, должен быть защищён по самому высокому из применимых классов — это правило часто забывают, а инспектор спрашивает.
Дополнительные поля (для удобства управления)
Дополнительные поля нужны не ФСТЭК, а самой организации — для управления и финансового учёта:
- серийный и инвентарный номер для сверки с бухгалтерией;
- поставщик, дата покупки, срок гарантии;
- связи с другими активами (для CMDB-подхода — какое ПО на каком сервере);
- история изменений состояния и владельца;
- IP-адрес, MAC-адрес, имя в DNS;
- версия операционной системы и установленное ПО.
В модуле CMDB КиберОснова эти поля заполняются автоматически агентом или через интеграцию с Active Directory, в Excel — вручную.
Отдельно стоит сказать про учёт ПО. Реестр ИТ-активов и реестр программного обеспечения часто ведутся как разные документы. ПО привязывается к конкретному активу через связь «многие ко многим»: на одном сервере несколько программ, одна и та же программа стоит на десятках АРМ. Для проверки ФСТЭК важна не каждая мелкая утилита, а системное и прикладное ПО, обрабатывающее защищаемую информацию: операционная система, СУБД, прикладные системы (бухгалтерия, кадры, почта), средства защиты, СКЗИ. Список «что считать значимым ПО» фиксируется в регламенте — иначе реестр забивается тысячами строк типа «Notepad++ версия 8.5» и теряет управляемость.
Шаблон реестра ИТ-активов
Минимальный Excel-шаблон строится в одну плоскую таблицу. Каждая строка — один актив, каждый столбец — одно поле:
| ID | Тип | Наименование | S/N | IP | ОС | Местоположение | ИС | Класс | Ответственный | СЗИ | Состояние | Дата ввода |
Для удобства добавляют отдельные листы:
- Реестр активов — основная таблица.
- Реестр СЗИ — отдельный лист с сертификатами, срокам действия и привязкой к активам. Подробнее в материале об учёте средств защиты информации.
- Реестр СКЗИ — поэкземплярный учёт по форме Приказа ФАПСИ №152. Подробнее в руководстве по учёту СКЗИ.
- Журнал изменений — кто, когда и что изменил.
- Справочники — списки ИС, подразделений, классов защиты для выпадающих списков.
Готовый шаблон с настроенными формулами и валидацией доступен по ссылке внизу статьи — он покрывает все обязательные поля и подходит для проверки ФСТЭК до перехода на автоматизированную систему.
Несколько практических замечаний по работе с шаблоном. Идентификатор актива должен быть уникальным и никогда не переиспользоваться — даже если актив списан, его ID остаётся в истории. Простой формат: префикс типа + порядковый номер (SRV-0142, ARM-0871, NET-0023). Серийный номер пишется ровно так, как нанесён производителем — без сокращений и «пропусков нечитаемых символов». IP-адрес для динамически назначаемых АРМ можно не фиксировать или указывать диапазон DHCP-пула. Для серверов и сетевого оборудования IP должен быть статическим и присутствовать в реестре.
Справочник информационных систем ведётся отдельным листом или таблицей. Это первичный источник: все привязки активов ссылаются на ID из справочника, а не на свободный текст в каждой строке. При смене названия ИС изменения вносятся в одном месте, а не по всему реестру.
Как организовать процесс ведения реестра
Реестр без процесса — это снимок на момент создания. Через месяц он устареет, через полгода станет бесполезен. Процесс ведения важнее самой таблицы.
Кто ответственный
В большинстве организаций ведение реестра распределяется между двумя подразделениями. ИТ-отдел отвечает за первичный сбор и техническое обновление: добавление новых компьютеров, фиксацию замен, описание серверов. Подразделение информационной безопасности контролирует соответствие реестра требованиям регуляторов и привязку активов к мерам защиты.
Назначение ответственного приказом руководителя организации — обязательное требование. Без приказа на проверке инспектор задаст вопрос «А кто у вас отвечает?» и получит ответ «вообще-то ИТ» — это плохой сценарий. В приказе указывается ФИО, должность, перечень обязанностей и периодичность отчётности.
Как часто обновлять
Минимальная частота установлена Приказом ФСТЭК №21 (мера ИНЦ.2) — не реже одного раза в год. Для значимых объектов КИИ Приказ ФСТЭК №239 требует поддерживать реестр в актуальном состоянии непрерывно: каждое изменение должно отражаться в реестре в установленный регламентом срок.
Реалистичная практика выглядит так:
- ежедневный автоматический сбор данных агентом;
- еженедельная сверка ответственным лицом — что новое появилось, что исчезло;
- ежеквартальная инвентаризация выборкой — физическая проверка 10–20% активов;
- ежегодная полная инвентаризация — приказ, комиссия, акт.
Полностью ручной процесс на 100+ активах не работает: реестр становится «протухшим» за 2–3 месяца.
В регламенте отдельно стоит зафиксировать триггеры внеплановой актуализации: ввод нового сервера, замена рабочей станции, изменение класса защиты ИС, реорганизация подразделений, смена ответственного. Каждое такое событие должно автоматически порождать задачу на обновление реестра. На практике эта связка работает через интеграцию реестра с системой заявок: закрытие заявки «настройка нового АРМ» невозможно без отметки «актив добавлен в реестр».
Регламент внесения изменений
Регламент — это документ, который описывает: кто имеет право вносить изменения, какие изменения требуют согласования, как фиксируется каждое изменение и где хранится журнал. Для значимых объектов КИИ изменения в реестре, влияющие на состав значимого объекта, согласуются с комиссией по категорированию.
Ключевой элемент регламента — журнал изменений. По требованию 152-ФЗ ст. 18.1 оператор персональных данных обязан вести учёт лиц, имеющих доступ к ПДн, и фиксировать действия с системой. Журнал изменений реестра активов — часть этого механизма: кто, когда, что изменил, на каком основании.
Аудит реестра
Внутренний аудит реестра проводится ежеквартально: ответственный или ИБ-служба берут выборку 10–20 активов и физически проверяют — стоит ли указанная техника в указанном помещении, тот ли ответственный, та ли версия ОС. Расхождения фиксируются актом и устраняются.
Внешний аудит реестра проводится при категорировании КИИ, аттестации ИС, плановых и внеплановых проверках ФСТЭК. Подробнее о проверках — в статье что проверяет ФСТЭК при проверках.
Результаты аудита оформляются актом: дата, состав комиссии, объём выборки, выявленные расхождения, план устранения, сроки. Акт подписывается председателем комиссии и хранится не менее трёх лет — этот срок пересекается с типичным циклом плановых проверок ФСТЭК. Инспектор имеет право запросить акты внутренних аудитов за прошлые периоды, и их отсутствие воспринимается как «процесс не работает».
Excel или автоматизированная система — что выбрать
Excel — рабочий вариант для малых организаций до 100 активов. Один администратор знает каждый сервер лично, изменений мало, ручное обновление успевает за реальностью. Преимущества: бесплатно, не требует внедрения, понятно любому сотруднику.
Когда активов становится 100+, Excel перестаёт справляться:
- журнал изменений ведётся «как получится» — без подписей, без времени, без объяснений;
- два сотрудника одновременно правят файл и теряют изменения;
- разграничение доступа отсутствует — у всех полный доступ;
- связи между активами (какое ПО на каком сервере) поддерживаются вручную и устаревают;
- актуализация требует ручного обхода — проще проигнорировать новую технику;
- нет автоматического сопоставления версий ПО с уязвимостями — приходится вручную сверять с БДУ ФСТЭК;
- невозможно одновременно разные срезы — отчёт по СЗИ, отчёт по ИСПДн, отчёт по подразделению.
Автоматизированная система решает эти проблемы: агент собирает данные о реальной инфраструктуре, журнал изменений ведётся технически, разграничение доступа настраивается ролями, связи строятся автоматически. Главное преимущество для аудита ФСТЭК — дата актуализации показывает «сегодня», а не «март 2025-го». Дополнительно — автоматическая проверка установленного ПО на уязвимости из БДУ ФСТЭК, готовые отчётные формы под Приказы №17, 21, 239, журнал изменений с цифровыми подписями.
Переход с Excel на автоматизированную систему обычно занимает 2–4 недели и проходит в три этапа: импорт текущего реестра, развёртывание агентов на серверах и АРМ, настройка регламента и ролей. Часть данных (поставщики, гарантии, связи с ИС) переносится из Excel; данные о реальной конфигурации — собираются заново агентами и сравниваются с импортированными. Расхождения — это и есть тот реальный масштаб «протухания» Excel-реестра, который обычно ужасает руководство ИБ.
Подробное сравнение подходов — в обзоре автоматизации инвентаризации. Для субъектов КИИ автоматизация почти обязательна — см. решение по инвентаризации КИИ.
Что инспектор ФСТЭК спрашивает про реестр
На проверке инспектор задаёт стандартный набор вопросов. Готовиться нужно заранее — каждый ответ должен быть подкреплён документом.
1. «Покажите актуальный реестр ИТ-активов». Реестр должен быть на дату проверки или не старше одной недели. Если последняя дата актуализации — полгода назад, это уже замечание. Для значимых объектов КИИ требование жёстче: реестр должен отражать текущее состояние.
2. «Кто ответственный за актуализацию?» Ответ — приказ руководителя организации с ФИО, должностью и перечнем обязанностей. Без приказа ответ «отвечает ИТ-отдел» не засчитывается.
3. «Как обновляется реестр?» Регламент ведения реестра ИТ-активов как отдельный утверждённый документ. В регламенте — частота актуализации, процедура внесения изменений, ответственные за каждый тип операций.
4. «Покажите историю изменений за последний квартал». Журнал изменений с датами, инициаторами, описанием изменений и основаниями. Для значимых объектов КИИ — с подписями ответственного и согласующих лиц.
5. «Как реестр связан с информационными системами?» В каждой строке реестра — поле привязки к ИС (название ИСПДн, ГИС или значимого объекта КИИ). На запрос «покажите все активы ИСПДн „Кадры“» ответ должен быть готов за минуту.
6. «Где учёт СЗИ и СКЗИ?» Отдельный реестр СЗИ с сертификатами или раздел общего реестра. Для СКЗИ обязательно поэкземплярный журнал по форме Приказа ФАПСИ №152 — см. учёт СКЗИ. Для СЗИ — реестр с привязкой к результатам сверки с БДУ ФСТЭК.
7. «Покажите неучтённые активы за период». Отчёт по выявленным в инвентаризации активам, которых не было в реестре. Это может быть новый компьютер сотрудника, неучтённый сервер, забытое сетевое устройство. Главное — не отсутствие таких находок (это даже подозрительно), а зафиксированный процесс выявления и легализации.
К этим семи вопросам инспектор обычно добавляет уточняющие. «Покажите все АРМ, на которых установлено такое-то ПО» — проверка правильности ведения реестра ПО. «Сколько у вас серверов с истекающим в этом году сертификатом СЗИ» — проверка контроля сроков. «Дайте список активов, выведенных из эксплуатации за последний год» — проверка ведения истории. Готовый реестр должен отвечать на такие вопросы за минуту, а не за день поисков.
Чеклист готовности к проверке ФСТЭК
Десять пунктов, которые нужно проверить за неделю до проверки:
- Реестр актуален на дату проверки (последнее обновление ≤ 7 дней назад).
- Назначен ответственный за актуализацию — есть приказ руководителя.
- Регламент ведения реестра утверждён и подписан.
- Каждый актив привязан к информационной системе (ИСПДн, ГИС, ОКИИ).
- У каждого актива есть владелец — ФИО и подразделение.
- Реестр СЗИ ведётся отдельно с указанием сертификатов и сроков.
- Реестр СКЗИ ведётся поэкземплярно по Приказу ФАПСИ №152.
- Журнал изменений активен — последние записи есть, не «пустота за квартал».
- Резервная копия реестра хранится отдельно от рабочей.
- Доступ к реестру ограничен ролями и логируется.
Если на любом пункте «нет» — это потенциальное замечание. Закрывать пробелы нужно до проверки, а не во время.
Типичная ошибка — оставлять подготовку к проверке на последнюю неделю. За семь дней невозможно качественно актуализировать реестр на 500 активов, написать регламент, согласовать его, провести инвентаризацию и сформировать акты. Подготовка к плановой проверке начинается за 2–3 месяца. Внеплановая проверка по поводу инцидента не оставляет времени на подготовку вообще — реестр должен быть в порядке всегда. Это и есть главный аргумент в пользу автоматизированной системы: она не «готовится к проверке», она просто всегда готова.
Готовый чеклист с расширенными комментариями по каждому пункту — в шаблоне реестра по ссылке ниже.
Готовый реестр под проверку ФСТЭК
Excel-шаблон работает, пока активов мало. На 100+ активах реестр в Excel становится узким местом: устаревает, теряется, не выдерживает аудита. Автоматизация решает три ключевые задачи: данные собираются сами и всегда актуальны, журнал изменений ведётся технически с подписями, связи между активами и ИС строятся без ручной работы.
КиберОснова — SGRC-платформа с встроенным модулем CMDB: автоматический сбор данных через агенты и интеграции с Active Directory, готовые отчёты под проверки ФСТЭК, журнал изменений с разграничением доступа, связь активов с моделью угроз и мерами защиты. Реестр всегда актуален на «сегодня», а не на «полгода назад».
Запросите демо — покажем готовый реестр под проверку ФСТЭК на примере вашей инфраструктуры: /demo/.