Заказать счет на подписку у менеджера
Поделитесь с друзьями:

"Инвентаризация как инструмент обеспечения информационной защиты"

Вернуться к содержанию выпуска
Есть решение

Об инвентаризации в компаниях чаще всего вспоминают в двух случаях: когда что-то пропало, например компьютер, либо когда хотят обнаружить что-то запрещенное законом, например
нелицензионное программное обеспечение. Однако инвентаризация является очень важным инструментом в деле обеспечения информационной безопасности, который позволяет получить
наиболее полную картину информационной системы. Потому что, сколько бы ни было
написано документов, к примеру, по моделям угроз или моделям нарушителей, все они будут
опираться на данные инвентаризации. В самом общем смысле термин «инвентаризация»
означает процесс сверки объектов, учтенных на бумаге, с фактически имеющимися. Главная
цель, которую мы преследуем в этом случае, – это учет. Он необходим – ведь, чтобы защищать
информационную систему, необходимо знать, что именно мы защищаем и где это расположено.
В этой статьей будут представлены ответы на следующие важные вопросы («4К»):
Каковы причины и цели проведения инвентаризации? Какие объекты должны быть учтены?
Каким образом следует организовать процесс? Как применять программные средства для
проведения инвентаризации?

 

Что такое инвентаризация и зачем она нужна? 


Типичная информационная система в крупных организациях подобна сказочному лесу, в котором может встретиться все что угодно. В принципе, у сотрудников ИТ-подразделения есть общее понимание структуры информационной  системы. Однако если инвентаризация в компании не проводилась достаточно долго, в той области, о которой мы ведем речь, может наступить полный хаос. Компьютер – это объект, который состоит из многих частей, и каждая из них обладает различным запасом прочности. Поэтому у одного и того же компьютера могут постоянно меняться детали (обычно так и происходит). Когда специалисты переставляют оперативную память с одного компьютера на другой, меняют местами мониторы и блоки питания, то в конечном итоге они и сами затрудняются сказать определенно, какова конфигурация в настоящее время на каждом конкретном рабочем месте. 
Добавьте к этому то, что часто организации имеют филиалы, и территориальная
удаленность не позволяет специалисту ИТ-отдела легко попасть на рабочее место конкретного пользователя,  чтобы определить параметры его системы.

Как провести инвентаризацию?

Естественно, для таких случаев существует система удаленного администрирования, но стоит помнить и о том, что с помощью нее можно отследить только те компьютеры, 
которые подключены к сети. Некоторые рабочие места, такие, например,
как компьютер, управляющий системой «Электронная проходная», не рекомендуется
подключать к общей сети. Чаще всего критичные системы выделяют в отдельные подсети либо оставляют  автономными. Таким образом, если речь идет об удаленном офисе, то системный администратор может сказать лишь о том, что он видит в сети. А значит, все, что является автономным, не учитывается, именно по этой причине через год или несколько лет в филиале можно будет многого недосчитаться. 

В нормативно-правовых актах часто упоминается требование об организации учета. Так, в п. 2 ст. 19 Федерального закона «О персональных данных» говорится о необходимости учета машинных носителей персональных данных. Инвентаризацию можно проводить в отношении программного и аппаратного обеспечения, информационных ресурсов. Учет компьютерной техники производится каждый год для бухгалтерии. При этом можно осуществлять инвентаризацию не только по номеру, но и по штрихкоду. С помощью инвентаризации техники в организациях стремятся избежать краж, выявить несоответствия, поломки. Для ее проведения 
обязательно создается инвентаризационная комиссия.

В компаниях часто приобретается оборудование похожей конфигурации.  Это распространенная практика в ситуации, когда какая-то конкретная модель была опробована в работе, внедрена в информационную систему и дала положительные результаты.  Соответственно в случае повторных закупок обычно принимается решение приобрести компьютеры аналогичной модели. Однако, если все надежды в компании связаны только с автоматизированным учетом ресурсов, такой подход к пополнению парка оборудования будет неверным. Ведь в таком случае конфигурация оборудования будет везде одинаковой, а вот чеки, гарантии, места приобретения будут отличаться. При поломке придется долго разбираться, где именно компьютер был куплен. 

Почему еще важна инвентаризация, проводимая специалистами?


Часто  компьютеры числятся под называниями должностей либо под фамилиями работников. Таким образом, в системе могут оказаться автоматизированные рабочие места, закрепленные за давно уволенными сотрудниками. При этом системный администратор тоже может не 
раз смениться за отчетный период. Следовательно, вполне возможна ситуация, когда в документах будут зафиксированы компьютеры с именами, которые ничего не скажут новому администратору, а отсюда вывод: нужно их вовремя переименовывать. Если в организации закрепилась традиция называть компьютеры по должностям, то и в этом случае необходимо 
постоянно обновлять информацию.Часто бывает, что сотрудник продвигается по карьерной лестнице, а компьютер у него остается прежним. Таким образом, компьютер «бухгалтер» уже будет трудно ассоциировать с оборудованием на рабочем месте главного бухгалтера.

По результатам проведения инвентаризации формируется сводный файл-таблица со следующими  столбцами: 
Название программы.
Пользователь.
Платное/бесплатное.
Необходимость.
Предложения.
Удобно делать сводные отчеты по структурным подразделениям, календарным
годам, пользователям. Работа эта достаточно кропотливая и занимает
большое количество времени.

Софт для инветаризации


Существуют специализированные программы для проведения инвентаризации.
Но можно осуществлять ее и собственными силами, а отчеты  формировать в офисных приложениях. Инвентаризацию выполняют программисты  и системные администраторы, а полученные ими данные могут представлять большой интерес для специалистов по безопасности. 
При инвентаризации программ необходимо выявить нелицензионное программное обеспечение, устаревшее, неиспользуемое,необновляемое. Что касается самого программного обеспечения, то здесь особое внимание следует уделить его лицензированию. Важно не просто устанавливать лицензионное программное обеспечение, но и хранить информацию о том, какая именно 
лицензия к какому рабочему месту относится. В случае проверки придется доказывать, что на этом компьютере стоит именно та операционная система, которая была куплена. Важно помнить про даунгрейд. Ведь на вопрос, каким образом новая версия системы соотносится с лицензией, опять придется давать ответ ИТ-специалистам компании. Очень важно учитывать и другие объекты авторского права: видео-, аудио-и фотофайлы, которые могут нарушить чужие авторские права. В последнее время в Российской Федерации очень распространены судебные дела в области гражданского права, связанные именно с этой проблемой. Отдельно стоит сказать об инвентаризации документов и носителей информации: конфиденциальные документы обязательно нужно строго учитывать.

Инвентаризация программного обеспечения нужна в первую очередь для борьбы
с нелицензионным по.

 

Что можно сделать самостоятельно в процессе инветаризации?

Программы для инвентаризации весьма дороги, однако из этого положения есть выход – можно собрать нужную информацию вручную с помощью разнообразных утилит. Пусть оформление отчетов займет больше времени и нельзя будет обеспечить их автоматическое обновление, однако если проводить проверки достаточно регулярно, можно получить достаточно актуальную картину информационных ресурсов. Здесь возникает вопрос: с какой периодичностью следует организовывать проверки? Можно сказать с уверенностью, что очень часто лицензия на постоянно обновляемую программу (например, антивирус) действует в течение года. Значит, не менее чем раз в год необходимо осуществлять инвентаризационные мероприятия. Занимается инвентаризацией компьютеров обычно отдел информационных 
технологий, однако не стоит забывать о том, что эта сфера напрямую связано с безопасностью. Для оптимизации работы с программным обеспечением необходимо сформировать рабочую группу из состава работников отдела безопасности и отдела информационных технологий, назначить ее руководителя. 

 

Спасибо за проявленный интерес к нашему журналу!

Для получения доступа к статьям Вам необходимо зарегистрироваться у нас на сайте или .

После регистрации на сайте Вам в Личном кабинете будет предоставлен бесплатный доступ к скачиванию любых 5 статей (на выбор). Срок действия доступа — 30 дней с момента скачивания первой статьи.

Статьи приобретаются навсегда и будут доступны в Вашем Личном кабинете.

В дальнейшем Вы можете приобретать доступ к другим статьям оформляя счет-оферты в Личном кабинете.
С полными текстами всех статей вы можете ознакомиться на страницах журнала



Для того, чтобы добавить статью,
вам необходимо или зарегистрироваться


Все статьи

Журнал

В следующем номере

  • Контроль коммуникаций. Юридические и этические аспекты
  • Зарубежные стандарты корпоративной безопасности»
  • Читать полностью

Контакты

Прямая линия рекламной службы:
+7 (499) 267-40-10, доб. 206
e-mail: reklama@s-director.ru

Отдел подписки:
+7 (499) 267-40-10
e-mail: podpiska@s-director.ru

Редакция: +7 (499) 267-40-10
e-mail: info@s-director.ru

Поделитесь с друзьями:

Недостаточно средств

Пополнить счет

Если Вы является подписчиком годовой электронной копии журнала, то Вам не нужно покупать статьи в журналах подписного периода.
Доступ к ним осуществляется в Личном кабинете в разделе «Электронные копии статей».
Логин или E-mail
Пароль (Забыли пароль?)
Запомнить
Если Вы ещё не зарегистрированы в системе, Вам необходимо зарегистрироваться
Введите e-Mail:
Межотраслевой круглый стол. Москва.
Sat, 17 Aug 2019 20:04:14


Практический треннинг