Документирование инфраструктуры под ISO 27001 и 152-ФЗ: три дня инвентаризации и реестр сервисов
Клиент не мог ответить аудитору на вопрос про персданные. Три дня инвентаризации, Visio, Excel, реестр сервисов - теперь это наш стандартный аудит-пакет.
Документирование ИТ-инфраструктуры становится требованием ISO 27001 и 152-ФЗ в 2007 году
Аудитор задал клиенту вопрос, который казался простым: «Назовите, какие сервисы у вас обрабатывают персональные данные». Клиент - производственная компания, человек сто пятьдесят сотрудников, нормальный ИТ-отдел из двух людей - завис. Не потому что скрывал. Просто не знал. Сеть росла семь лет органически, сервера добавлялись по мере нужды, кто что установил - помнили частично.
Это была предварительная проверка под 152-ФЗ, и технически аудит ещё не начался. Но уже первый вопрос поставил всё на паузу.
Нас позвали разбираться.
Три дня, которых никто не планировал
Работа заняла три рабочих дня. Не потому что инфраструктура была монструозная - просто документации не было вообще. Ни схемы сети, ни IP-плана, ни списка сервисов. Был сисадмин с хорошей памятью, несколько старых записей в блокноте и конфиги на серверах.
День первый - сеть. Подключились к коммутаторам, прошлись по ARP-таблицам, задокументировали физическую топологию. Нарисовали схему в Visio: серверный сегмент, пользовательские VLAN, DMZ, периметровый маршрутизатор с Cisco. Параллельно составили IP-план в Excel: адрес, имя хоста, роль, физическое расположение, владелец. Нашли несколько «призраков» - адреса, которые пинговались, но никто не знал чьи. Один оказался принтером бухгалтерии, переехавшим в другой кабинет три года назад.
День второй - сервисы. Прошлись по каждому серверу: что запущено, что слушает порты, что имеет доступ к базам данных. Nmap по внутренней сети, ручная проверка служб на серверах. Составили реестр сервисов: название, хост, версия, бизнес-функция, данные, которые обрабатывает, ответственный со стороны бизнеса.
Последний пункт - «ответственный» - давался тяжелее всего. «Это база 1С» - понятно. «Кто владелец с точки зрения бизнеса?» - тишина. В итоге пришлось опрашивать руководителей подразделений. Главбух с удивлением узнала, что старая зарплатная база на SQL Server, которую «давно не используют», на самом деле до сих пор живёт на сервере и содержит данные за пять лет.
День третий - сводка и разбор с аудитором. Собрали пакет: схема сети в Visio (PDF для аудитора, исходник остался у клиента), IP-план, реестр сервисов с владельцами. На вопрос аудитора «какие сервисы обрабатывают персданные» клиент теперь мог ответить конкретно и показать документ.
Что нашли попутно
Инвентаризация - это всегда немного сюрпризов. Помимо зарплатной базы-зомби обнаружили:
- Веб-форма на корпоративном сайте собирала заявки с именем и телефоном и складывала их в таблицу на том же сервере, что и сам сайт. Отдельной ИСПДн никто не считал.
- FTP-сервер с анонимным доступом на чтение, о котором сисадмин знал, но «он только для внутренней сети» - оказался доступен снаружи.
- Несколько сервисов работали под учётными записями с правами локального администратора без какой-либо необходимости.
Ни одно из этих замечаний не было целью нашего визита. Но раз уж смотришь - записываешь.
Почему это теперь стандартный пакет
До этого года документирование инфраструктуры было задачей, которую откладывали до следующего квартала. Сейчас регуляторная логика изменила ситуацию: и ISO 27001, и 152-ФЗ прямо требуют понимания того, что есть в периметре. Не «в общих чертах», а конкретно - системы, данные, владельцы.
Мы включили инвентаризационный пакет в стандартную работу по аудиту: схема сети, IP-план, реестр сервисов с владельцами. Это занимает от одного до трёх дней в зависимости от масштаба и состояния документации. Результат - не просто бумага для аудитора, но и нормальная рабочая карта для ИТ-отдела, которой у большинства клиентов просто не было.
Клиент по итогу предварительной проверки получил не штраф и не предписание, а список замечаний с конкретными сроками. Это нормальный исход, если к аудитору пришли не с пустыми руками.
Сисадмин в процессе работы несколько раз сказал что-то вроде «надо было давно сделать». Да. Надо было.