Что входит в активы информационной безопасности?

Активы ИБ делятся на четыре типа: аппаратные (серверы, рабочие станции, сетевое оборудование), программные (ОС, ПО, базы данных), информационные (данные, документы, конфигурации) и организационные (процессы, персонал, репутация, лицензии). Все активы должны быть инвентаризированы и классифицированы.

Как вести реестр активов ИБ?

Реестр активов ИБ содержит: наименование актива, тип, владелец, местонахождение, критичность (высокая/средняя/низкая), связанные риски и меры защиты. Реестр должен актуализироваться при любых изменениях в инфраструктуре. КиберОснова автоматизирует ведение реестра с историей изменений.

В чём разница между CMDB и ITAM?

ITAM (IT Asset Management) — управление ИТ-активами с фокусом на финансовый учёт, лицензирование и жизненный цикл. CMDB (Configuration Management Database) — база данных конфигурационных единиц с фокусом на связи между компонентами ИТ-инфраструктуры. Для ИБ важны оба: ITAM для учёта, CMDB для понимания зависимостей.

Зачем инвентаризировать активы для ИБ?

Без полного реестра активов невозможно: провести оценку рисков (нельзя защитить то, что неизвестно), построить модель угроз (привязка угроз к активам), выполнить требования регуляторов (ФСТЭК требует перечень активов), расставить приоритеты в патч-менеджменте и управлении уязвимостями.

Глоссарий ИБ

Активы информационной безопасности

Активы ИБ — всё, что имеет ценность для организации: оборудование, ПО, данные, процессы. Основа управления рисками и выполнения требований ФСТЭК — полный реестр активов.

Попробовать КиберОснова Все термины

Активы ИБ — определение и классификация

Активы информационной безопасности — любые ресурсы, представляющие ценность для организации с точки зрения обеспечения ИБ. Управление активами (Asset Management) является обязательным требованием ISO 27001 (раздел A.8) и предпосылкой для всех последующих процессов ИБ: оценки рисков, управления уязвимостями, модели угроз.

Нормативная база: ГОСТ Р ИСО/МЭК 27001 (A.8 «Управление активами»), Приказ ФСТЭК №17/21/239 (перечень объектов защиты).

Типы активов ИБ

Аппаратные активы — серверы, рабочие станции, ноутбуки, сетевое оборудование, принтеры, СКЗИ
Программные активы — операционные системы, прикладное ПО, базы данных, утилиты
Информационные активы — данные, документы, ключевые информационные ресурсы, резервные копии
Организационные активы — бизнес-процессы, персонал (ключевые компетенции), репутация
Сервисные активы — облачные сервисы, ИТ-сервисы, услуги аутсорсеров

ITAM, CMDB и управление активами ИБ

Для полноценного управления активами ИБ используются два подхода: ITAM (учёт жизненного цикла и лицензий) и CMDB(учёт конфигураций и зависимостей между компонентами). Вместе они дают полную картину ИТ-ландшафта, необходимую для оценки рисков.

Модуль инвентаризации КиберОснова автоматически обнаруживает активы в сети, ведёт CMDB, связывает активы с уязвимостями из БДУ ФСТЭК и помогает в автоматизации ИБ-процессов.

Вопросы об активах ИБ

Связанные разделы

Автоматизируйте управление активами ИБ

КиберОснова обнаруживает активы в сети, ведёт CMDB и связывает с рисками и уязвимостями.