Cine nu știe ce este ”asset inventory”? Cine nu are așa ceva?….dar cît de corect se lucrează de fapt? Cum se pregătește o organizație să dovedească ”maturitatea” care va fi cerută în curînd?

ISO 27001:2022

”5.9 Inventory of information and other associated assets

Control

An inventory of information and other associated assets, including owners, should be developed and maintained.

Purpose

To identify the organization’s information and other associated assets in order to preserve their information security and assign appropriate ownership. ”

Arhicunoscutul standard face referire la un ”inventar al informațiilor” și al ”altor active asociate”. În definiții standardul clarifică ce sînt activele în ”contextul securității informațiilor”:

• active primare/principale: informații și procese economice
• active suport: resurse umane și tehnologie

În Ghidul acestui control sînt oferite cîteva explicații:

”Considering that the inventory should be maintained by the relevant functions, it can be seen as a set of dynamic inventories, such as inventories for information assets, hardware, software, virtual machines (VMs), facilities, personnel, competence, capabilities and records.

Each asset should be classified in accordance with the classification of the information (see 5.12) associated to that asset.”

Cyfun 2025

Cadrul de securitate ce va fi aplicabil la noi, descrie puțin diferit acest control (avînd la bază NIST CSF 2.0) și la prima lectură cine nu este familiarizat ar putea crede că este nevoie de mai multe documente/dovezi:

• ID.AM-01.1 – Un inventar al activelor fizice și virtuale ale infrastructurii – cum ar fi hardware, dispozitive de rețea și medii găzduite în cloud – care susțin procesarea informațiilor trebuie documentat, revizuit și actualizat pe măsură ce apar modificări.
• ID.AM-02.1 – Un inventar al software-ului, serviciilor digitale și sistemelor de lucru utilizate în cadrul organizației trebuie documentat, revizuit și actualizat pe măsură ce apar modificări.
• ID.AM-04 – Se păstrează inventarele serviciilor furnizate de furnizori.
• ID.AM-07 Inventarele datelor și metadatelor corespunzătoare pentru tipurile de date desemnate sun actualizate.

”Lumina” apare însă la controlul ID.AM-05.1: ”Activele organizației trebuie prioritizate în funcție de clasificare, criticitate și valoare comercială”. Aici ghidul vine cu explicații asemănătoare cu cele din ISO 27002:

”Pentru a realiza acest lucru, ar trebui luate în considerare următoarele etape:

• Identificarea activelor.

Toate activele RELEVANTE, inclusiv dispozitive, sisteme, software, servicii cloud, date, angajați și procese operaționale, ar trebui identificate și înregistrate într-un inventar centralizat.

• Clasificarea activelor.

Fiecare activ ar trebui clasificat în funcție de rolul său:

• Activele primare ar trebui definite ca fiind cele care susțin în mod direct funcțiile de bază ale organizației.
• Activele secundare ar trebui definite ca fiind cele care susțin, protejează sau permit funcționarea activelor primare.”

Cum facem să muncim eficient, cu folos, fără să transformăm cerințe de bun simț în pură birocrație? Facem BIA și așa obținem și inventarul activelor RELEVANTE: date, documente, procese, echipamente, furnizori, responsabili (owners)….