Об инвентаризации в компаниях чаще всего вспоминают в двух случаях: когда что-то пропало, например компьютер, либо когда хотят обнаружить что-то запрещенное законом, например
нелицензионное программное обеспечение. Однако инвентаризация является очень важным инструментом в деле обеспечения информационной безопасности, который позволяет получить
наиболее полную картину информационной системы. Потому что, сколько бы ни было
написано документов, к примеру, по моделям угроз или моделям нарушителей, все они будут
опираться на данные инвентаризации. В самом общем смысле термин «инвентаризация»
означает процесс сверки объектов, учтенных на бумаге, с фактически имеющимися. Главная
цель, которую мы преследуем в этом случае, – это учет. Он необходим – ведь, чтобы защищать
информационную систему, необходимо знать, что именно мы защищаем и где это расположено.
В этой статьей будут представлены ответы на следующие важные вопросы («4К»):
Каковы причины и цели проведения инвентаризации? Какие объекты должны быть учтены?
Каким образом следует организовать процесс? Как применять программные средства для
проведения инвентаризации?
Что такое инвентаризация и зачем она нужна?
Типичная информационная система в крупных организациях подобна сказочному лесу, в котором может встретиться все что угодно. В принципе, у сотрудников ИТ-подразделения есть общее понимание структуры информационной системы. Однако если инвентаризация в компании не проводилась достаточно долго, в той области, о которой мы ведем речь, может наступить полный хаос. Компьютер – это объект, который состоит из многих частей, и каждая из них обладает различным запасом прочности. Поэтому у одного и того же компьютера могут постоянно меняться детали (обычно так и происходит). Когда специалисты переставляют оперативную память с одного компьютера на другой, меняют местами мониторы и блоки питания, то в конечном итоге они и сами затрудняются сказать определенно, какова конфигурация в настоящее время на каждом конкретном рабочем месте.
Добавьте к этому то, что часто организации имеют филиалы, и территориальная
удаленность не позволяет специалисту ИТ-отдела легко попасть на рабочее место конкретного пользователя, чтобы определить параметры его системы.
Как провести инвентаризацию?
Естественно, для таких случаев существует система удаленного администрирования, но стоит помнить и о том, что с помощью нее можно отследить только те компьютеры,
которые подключены к сети. Некоторые рабочие места, такие, например,
как компьютер, управляющий системой «Электронная проходная», не рекомендуется
подключать к общей сети. Чаще всего критичные системы выделяют в отдельные подсети либо оставляют автономными. Таким образом, если речь идет об удаленном офисе, то системный администратор может сказать лишь о том, что он видит в сети. А значит, все, что является автономным, не учитывается, именно по этой причине через год или несколько лет в филиале можно будет многого недосчитаться.
В нормативно-правовых актах часто упоминается требование об организации учета. Так, в п. 2 ст. 19 Федерального закона «О персональных данных» говорится о необходимости учета машинных носителей персональных данных. Инвентаризацию можно проводить в отношении программного и аппаратного обеспечения, информационных ресурсов. Учет компьютерной техники производится каждый год для бухгалтерии. При этом можно осуществлять инвентаризацию не только по номеру, но и по штрихкоду. С помощью инвентаризации техники в организациях стремятся избежать краж, выявить несоответствия, поломки. Для ее проведения
обязательно создается инвентаризационная комиссия.
В компаниях часто приобретается оборудование похожей конфигурации. Это распространенная практика в ситуации, когда какая-то конкретная модель была опробована в работе, внедрена в информационную систему и дала положительные результаты. Соответственно в случае повторных закупок обычно принимается решение приобрести компьютеры аналогичной модели. Однако, если все надежды в компании связаны только с автоматизированным учетом ресурсов, такой подход к пополнению парка оборудования будет неверным. Ведь в таком случае конфигурация оборудования будет везде одинаковой, а вот чеки, гарантии, места приобретения будут отличаться. При поломке придется долго разбираться, где именно компьютер был куплен.
Почему еще важна инвентаризация, проводимая специалистами?
Часто компьютеры числятся под называниями должностей либо под фамилиями работников. Таким образом, в системе могут оказаться автоматизированные рабочие места, закрепленные за давно уволенными сотрудниками. При этом системный администратор тоже может не
раз смениться за отчетный период. Следовательно, вполне возможна ситуация, когда в документах будут зафиксированы компьютеры с именами, которые ничего не скажут новому администратору, а отсюда вывод: нужно их вовремя переименовывать. Если в организации закрепилась традиция называть компьютеры по должностям, то и в этом случае необходимо
постоянно обновлять информацию.Часто бывает, что сотрудник продвигается по карьерной лестнице, а компьютер у него остается прежним. Таким образом, компьютер «бухгалтер» уже будет трудно ассоциировать с оборудованием на рабочем месте главного бухгалтера.
По результатам проведения инвентаризации формируется сводный файл-таблица со следующими столбцами:
Название программы.
Пользователь.
Платное/бесплатное.
Необходимость.
Предложения.
Удобно делать сводные отчеты по структурным подразделениям, календарным
годам, пользователям. Работа эта достаточно кропотливая и занимает
большое количество времени.
Софт для инветаризации
Существуют специализированные программы для проведения инвентаризации.
Но можно осуществлять ее и собственными силами, а отчеты формировать в офисных приложениях. Инвентаризацию выполняют программисты и системные администраторы, а полученные ими данные могут представлять большой интерес для специалистов по безопасности.
При инвентаризации программ необходимо выявить нелицензионное программное обеспечение, устаревшее, неиспользуемое,необновляемое. Что касается самого программного обеспечения, то здесь особое внимание следует уделить его лицензированию. Важно не просто устанавливать лицензионное программное обеспечение, но и хранить информацию о том, какая именно
лицензия к какому рабочему месту относится. В случае проверки придется доказывать, что на этом компьютере стоит именно та операционная система, которая была куплена. Важно помнить про даунгрейд. Ведь на вопрос, каким образом новая версия системы соотносится с лицензией, опять придется давать ответ ИТ-специалистам компании. Очень важно учитывать и другие объекты авторского права: видео-, аудио-и фотофайлы, которые могут нарушить чужие авторские права. В последнее время в Российской Федерации очень распространены судебные дела в области гражданского права, связанные именно с этой проблемой. Отдельно стоит сказать об инвентаризации документов и носителей информации: конфиденциальные документы обязательно нужно строго учитывать.
Инвентаризация программного обеспечения нужна в первую очередь для борьбы
с нелицензионным по.
Что можно сделать самостоятельно в процессе инветаризации?
Программы для инвентаризации весьма дороги, однако из этого положения есть выход – можно собрать нужную информацию вручную с помощью разнообразных утилит. Пусть оформление отчетов займет больше времени и нельзя будет обеспечить их автоматическое обновление, однако если проводить проверки достаточно регулярно, можно получить достаточно актуальную картину информационных ресурсов. Здесь возникает вопрос: с какой периодичностью следует организовывать проверки? Можно сказать с уверенностью, что очень часто лицензия на постоянно обновляемую программу (например, антивирус) действует в течение года. Значит, не менее чем раз в год необходимо осуществлять инвентаризационные мероприятия. Занимается инвентаризацией компьютеров обычно отдел информационных
технологий, однако не стоит забывать о том, что эта сфера напрямую связано с безопасностью. Для оптимизации работы с программным обеспечением необходимо сформировать рабочую группу из состава работников отдела безопасности и отдела информационных технологий, назначить ее руководителя.
|
