Для того чтобы поддерживать данные по инвентаризации в актуальном состоянии, необходимо выполнение ряда требований, а именно:
□ служба информационной безопасности в обязательном порядке должна быть вовлечена в процесс проектирования или приобретения новых систем, реконфигурации существующих, перемещений систем в информационном пространстве, как физически, так и логически, и во все другие процессы, которые производят изменения в существующем информационном пространстве, причем на самой ранней стадии; (далее...)

Данный раздел будет интересен трем категориям специалистов:
□ аудиторам, проводящим проверку качества работы службы информационной безопасности предприятия, например, для вынесения решения об общем уровне надежности организации;                                                                                                             □ руководителю предприятия, проверяющему качество работы своей или, особенно, нанятой со стороны команды по созданию или совершенствованию информационной защиты; (далее...)

Наряду с проведением общей инвентаризации, имеющей целью определить объекты защиты, из подобного обследования можно получить и другие данные, являющиеся для самбй инвентаризации вспомогательными, но имеющие самостоятельную ценность. Это, например, список программного обеспечения (системного и прикладного), используемого на предприятии. Имея подобный список, при условии поддержания его в актуальном состоянии, можно отслеживать автоматизированными или иными способами появление в информационном пространстве предприятия постороннего программного обеспечения, установленного без санкции уполномоченных служб. (далее...)

Ниже приведены несколько выдержек из подобного документа, которые могут помочь соответствующему специалисту в создании своего варианта.
Принципы проведения инвентаризации.
□ Принцип единообразного подхода подразумевает рассмотрение любого объекта/системы с точки зрения технологии создания, обработки, хранения, отправки или приема информации. (далее...)

Если вы специалист по информационной безопасности, который серьезно берется за проведение инвентаризации информационных активов предприятия, то и подготовка к данному мероприятию должна быть соответственно серьезной.
При чересчур сильной ориентации только на себя и свое подразделение специалист по безопасности рискует получить качественный и легко используемый в работе отчет, который тем не менее может не содержать очевидных для пользователей систем уязвимостей и угроз и быть, таким образом, неполным. (далее...)

Инвентаризация — в данном случае это составление списка систем, т. е. объектов, которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы. При этом необходимо не просто составить список, а указать ряд особенностей той или иной системы, т. е. кратко описать ее с точки зрения информационной безопасности. Чем подробнее сделать это на начальном этапе, тем легче будет дальше производить уточнения и строить окончательную модель защиты. (далее...)