В любой компании, независимо от ее размеров или специфики деятельности, регулярно проводится инвентаризация материально-технических ценностей. Специалисты бухгалтерии, а также материально ответственные лица по спискам проверяют наличие различных предметов — от корпоративных мобильных телефонов до шкафов, стульев и даже зданий. Однако если говорить об ИТ-активах бизнеса, то в большинстве компаний творится полная неразбериха.

О том, зачем необходима инвентаризация ИТ-активов бизнеса и как она проходит, рассказывает архитектор решений информационной безопасности Noventiq Belarus Егор Москалёв.

Что такое инвентаризация ИТ-активов и зачем она нужна

Инвентаризация ИТ-активов подразумевает сбор и каталогизацию информации об ИТ-инфраструктуре бизнеса — аппаратном и программном обеспечении, с которым работает компания.

Частично классическая инвентаризация затрагивает ИТ-активы бизнеса — каждый компьютер и сервер имеет свой инвентарный номер, и у сотрудников, проводящих инвентаризацию, имеются его технические характеристики: процессор, оперативная память, видеокарта и т. д. Но на деле никто не проверяет соответствие аппаратной части, а просто сверяют правильность написания инвентарного номера на системном блоке. То есть любой сотрудник может поменять в своем рабочем компьютере видеокарту или унести домой планку оперативной памяти, и этого никто не заметит.

К тому же классическая инвентаризация не способна оценить, какое на компьютере установлено программное обеспечение и хватает ли текущих мощностей для комфортной работы сотрудника.

Все ИТ-активы можно разделить на материальные (аппаратная часть) и нематериальные (установленное ПО, техническая документация и пр.) В идеальном состоянии бизнес должен знать о каждом из этих элементов: сколько в компании принтеров, компьютеров, серверов, кто за них отвечает, кто занимается администрированием, какое программное обеспечение на них установлено. А если говорить о более глубокой инвентаризации — какие в компьютерах процессоры, оперативная память, жесткие диски, насколько сильно они загружены и т. д.

Если говорить о необходимости проведения инвентаризации ИТ-активов, то здесь можно подойти с двух позиций. ИТ-подразделение бизнеса, которое отвечает за аппаратное и програм- мное обеспечение, должно четко понимать, какими ресурсами владеет, а также кто занимается их администрированием. Это необходимо, чтобы представлять, сколько средств компания тратит на содержание этих активов, какие из них уже израсходовали свой ресурс и требуют модернизации либо замены.

Вторая позиция — информационная безопасность. Практически любой ИТ-актив компании может стать входной точкой для злоумышленников. И специалисты, которые занимаются безопасностью, должны знать, что именно нужно защищать. Вот почему поверхностная инвентаризация проводится во время аудита системы информационной защиты бизнеса.

Для кого будет актуальна инвентаризация ИТ-активов

Для любой компании, в которой от 10 и больше рабочих станций. То есть в той ситуации, когда руководитель организации или ИТ-отдела не в состоянии лично их контролировать. Вне зависимости от сферы деятельности компании.

Проблема инвентаризации ИТ-активов актуальна не только для Беларуси, но и для других стран. Чем крупнее бизнес, тем чаще случаются ситуации, что компании не знает о своих ИТ-активах либо не могут определить их местонахождение, не знают ответственных.

Зачастую возникают ситуации, что специалист держит основную часть информации у себя в голове, а автоматизированной системы контроля нет. В итоге сотрудник понимает структурную, логическую и функциональную схему ИТ-инфраструктуры и при увольнении забирает эти знания с собой. На его место приходит новый человек, которому приходится заново все это собирать воедино. Чтобы таких ситуаций не возникало, инвентаризация ИТ-активов должна стать системным процессом в компании наравне с классической инвентаризацией материальных ценностей.

Как провести инвентаризацию ИТ-активов

Универсальной схемы такой инвентаризации нет. Если компания небольшая, до 50 рабочих станций, самый простой способ для сисадмина — вручную провести данную процедуру и сделать каталогизацию аппаратной и программной части. Это займет довольно много времени, но в итоге бизнес получит четкое представление о своих аппаратных и программных активах.

Если компания относится к среднему или крупному бизнесу, то лучше автоматизировать данный процесс. Для этого существует специализированный софт. Его можно легко настроить, в том числе на получение уведомлений о новых активах в системе. То есть если пользователь решил заменить какую-либо аппаратную часть своего компьютера или установить на него новый софт без уведомления системного администратора, ИТ-отдел сразу получит об этом уведомление и сможет предпринять необходимые меры.

Сканирование уязвимостей

Важная часть инвентаризации — сканирование системы на наличие уязвимостей. Для этого используется специализированный софт, который в автоматическом режиме может проанализировать ИТ-инфраструктуру и найти в ней уязвимые места. Например, он найдет «дыры» в системе информационной безопасности, укажет на отсутствие критически важных обновлений.

Можно сказать, что уязвимости — это в каком-то смысле тоже ИТ-актив компании, пусть и с негативной точки зрения. И получение информации о них позволяет принять своевременные меры по предотвращению атаки на корпоративную инфраструктуру.

Что получает бизнес после инвентаризации ИТ-активов:

• Количество и качество аппаратного обеспечения.
• Технические характеристики аппаратного обеспечения.
• Информацию о нагрузке на аппаратную часть.
• Данные об установленном ПО и его версии — операционная система, офисные приложения, специализированные решения.
• Данные об уязвимостях — старые версии ПО, наличие «дыр» и отсутствие решений по информационной безопасности.