Инвентаризация ИТ-активов для КИИ: как ничего не упустить и избежать штрафа

Невыявление объекта КИИ — самостоятельное правонарушение со штрафом до 500 000 рублей. При этом до 60% информационных систем в организациях остаются «невидимыми» для ИТ-отдела. Данная статья — практическое руководство для CIO и ИТ-инженеров: как провести полную инвентаризацию активов ИБ, обнаружить теневые системы, выбрать инструменты сканирования и выстроить непрерывный процесс учёта объектов КИИ.

Инструменты сканирования сетей: практический обзор

Для ИТ-инженеров, непосредственно выполняющих инвентаризацию, критически важен выбор правильных инструментов. Ниже — обзор решений, применимых для выявления объектов КИИ.

Важное ограничение для АСУ ТП: активное сканирование промышленных сегментов сети может привести к сбоям оборудования. Промышленные контроллеры (ПЛК), датчики и SCADA-системы часто используют устаревшие протоколы, не рассчитанные на обработку нестандартных сетевых запросов. Известны случаи, когда Nmap-сканирование вызывало перезагрузку контроллеров на производственной линии. Для сетей АСУ ТП рекомендуется использовать пассивные методы — анализ зеркалированного трафика (SPAN-порт), а активные сканирования проводить только в технологические окна с согласия владельцев процессов.

Оптимальная стратегия — комбинированный подход: активное сканирование корпоративного сегмента + пассивный мониторинг технологического сегмента + CASB для облачных сервисов. Результаты всех сканирований сводятся в единый реестр, который становится основой для категорирования объектов КИИ. При этом каждый выявленный актив должен быть классифицирован: является ли он самостоятельным объектом КИИ, компонентом существующего объекта или не относится к КИИ. Это решение принимает комиссия по категорированию и фиксирует его протоколом.

Пошаговый алгоритм аудита инфраструктуры перед категорированием

Ниже — алгоритм из 7 шагов, который позволяет системно провести инвентаризацию и гарантированно выявить все объекты КИИ.

Контрольная точка: после шага 5 рекомендуем провести перекрёстную верификацию — сравнить количество серверов в результатах сканирования с данными бухгалтерского учёта и CMDB. Расхождение более чем на 10% указывает на наличие неучтённых активов и требует дополнительного расследования.

Для организаций, проходящих вторую волну категорирования в 2026 году, алгоритм остаётся тем же, но с дополнительным этапом: анализ изменений инфраструктуры с момента первого категорирования. Все новые системы, введённые в эксплуатацию после первоначального категорирования, должны быть включены в обновлённый перечень.

Матрица зрелости: оценка полноты инвентаризации

Как определить, достаточно ли полно проведена инвентаризация? Ниже — матрица зрелости процесса, разработанная на основе практики аудитов более 7 000 проектов. Определите ваш текущий уровень и двигайтесь к целевому.

Для субъектов КИИ с значимыми объектами 1–2 категории целевой уровень — не ниже 4 (Оптимизированный). Для организаций с объектами 3 категории допустим уровень 3 при условии регулярности сканирований (не реже одного раза в квартал).

Практика показывает, что большинство субъектов КИИ в России находятся на уровнях 1–2: учёт ведётся в разрозненных таблицах или в памяти отдельных сотрудников. Переход с уровня 2 на уровень 3 (регулярное сканирование + регламент) можно осуществить за 1–2 месяца силами штатного ИТ-отдела. Переход на уровень 4 (CMDB с автоматическим обнаружением) требует внедрения специализированных инструментов и занимает 3–6 месяцев. Инвестиция в автоматизацию окупается снижением трудозатрат на поддержание реестра и минимизацией рисков при проверках ФСТЭК.

Автоматизация учёта: CMDB, ITAM и SGRC-платформы

Ручная инвентаризация — это проект с конечным сроком. Но инфраструктура меняется непрерывно: новые серверы, обновления ПО, миграции в облако. Чтобы реестр объектов КИИ оставался актуальным, необходима автоматизация.

Три класса решений

CMDB (Configuration Management Database) — база данных конфигурационных единиц. Хранит информацию обо всех ИТ-активах и связях между ними. Популярные решения: NetBox (open-source IPAM/DCIM), iTop, GLPI. Подходит как технический фундамент для инвентаризации, но не содержит нормативной логики КИИ.

ITAM (IT Asset Management) — управление жизненным циклом ИТ-активов от закупки до списания. Отслеживает лицензии, гарантии, финансовые показатели. Хорошо интегрируется с бухгалтерскими системами, но не знает о требованиях 187-ФЗ.

SGRC-платформы — специализированные системы для управления информационной безопасностью и compliance. Именно этот класс решений объединяет инвентаризацию активов с процессами категорирования КИИ, расчётом КЗИ, формированием формы сведений и разработкой ОРД.

Как работает связка на практике

Оптимальная архитектура: Zabbix обнаруживает устройства в сети и передаёт данные в NetBox (IPAM). NetBox хранит карту IP-адресов и подсетей. SGRC-платформа импортирует активы из обоих источников, привязывает их к объектам КИИ и отслеживает соответствие нормативным требованиям. При появлении нового устройства в подсети, относящейся к объекту КИИ, система автоматически создаёт задачу для ответственного: «Проверить, не требуется ли пересмотр категории».

При выборе класса решения ориентируйтесь на масштаб инфраструктуры. Если у организации до 50 объектов КИИ — достаточно связки Zabbix + NetBox + Excel-реестр с регламентированным обновлением. При 50–200 объектах рекомендуется внедрение специализированного модуля КИИ в составе SGRC. Для холдингов с сотнями объектов по множеству юридических лиц полноценная SGRC-платформа — единственный способ сохранить контроль. Стоимость категорирования в целом и экономику процесса мы подробно разбираем в статье «Сколько стоит категорирование КИИ в 2026 году».

Подробный обзор российских SGRC-решений (SECURITM, Security Vision, R-Vision, UDV ePlat4m, АльфаДок) и сравнительную матрицу функциональности читайте в нашей статье «Автоматизация учёта объектов КИИ: SGRC».

Типичные ошибки при инвентаризации и как их избежать

Анализ результатов аудитов ИБ и проверок ФСТЭК позволяет выделить наиболее частые ошибки, которые допускают субъекты КИИ при инвентаризации.

Особого внимания заслуживает ошибка № 4 — разовая инвентаризация. Многие организации проводят аудит инфраструктуры перед проверкой ФСТЭК, получают «чистый» результат и считают задачу выполненной. Но ИТ-среда живёт своей жизнью: через месяц после аудита появляется новый сервер, через два — тестовая среда разработки, через три — подразделение подключает облачный сервис. Без непрерывного процесса обнаружения все эти изменения останутся незамеченными до следующей проверки.

Избежать этих типичных ошибок поможет системный подход: сочетание документарного анализа, инструментального сканирования, интервью с бизнес-подразделениями и автоматизации через SGRC/CMDB.

Итоги и рекомендации

Инвентаризация ИТ-активов — фундамент, на котором строится вся система безопасности критической информационной инфраструктуры. Неполный перечень объектов КИИ автоматически делает бессмысленными все последующие этапы: категорирование, моделирование угроз, проектирование системы защиты, расчёт коэффициента защищённости. И, что ещё важнее, невыявленный объект — это самостоятельное правонарушение с серьёзными штрафами.

Ключевые выводы

• Невыявление = нарушение. Закон обязывает субъекта КИИ выявить все объекты. Незнание о существовании системы не освобождает от ответственности.
• Shadow IT — главный враг полноты. До 60% систем в организации могут быть неизвестны ИТ-отделу. Теневые системы необходимо искать целенаправленно.
• Одного метода недостаточно. Комбинируйте документарный анализ, интервью, активное/пассивное сканирование и анализ облачных подписок.
• Инвентаризация — непрерывный процесс. Разовый аудит устаревает за недели. Внедряйте автоматическое обнаружение через CMDB и SGRC-платформы.
• Сверяйте с типовыми перечнями. Отраслевые перечни — обязательный чек-лист, пропуск которого приводит к системным упущениям.

План действий для CIO

1. Оцените текущий уровень зрелости по матрице из главы 7.
2. Проведите полную инвентаризацию по алгоритму из главы 6.
3. Внедрите инструменты автоматического обнаружения (Zabbix + NetBox + SGRC).
4. Регламентируйте процесс — пропишите порядок обновления реестра в организационно-распорядительных документах.
5. Проведите внутренний аудит ИБ и убедитесь, что все объекты прошли категорирование.

Нужна помощь с инвентаризацией ИТ-активов и выявлением объектов КИИ? Специалисты sertifikat.bz проведут комплексный аудит вашей инфраструктуры, выявят теневые системы, сформируют полный реестр объектов и подготовят документацию для ФСТЭК. Мы работаем как аккредитованный лицензиат ФСТЭК и ФСБ с опытом более 7 000 проектов. Оставьте заявку — первая консультация бесплатно. Звоните: 8(800) 70-70-144.