CMDB - ключ к управлению IT активами компании
Вычислительные комплексы Вычислительные комплексы

Почему отсутствие базы ИТ-активов мешает развитию компании? Что нужно учесть перед построением CMDB? Чек-лист внедрения CMDB.

Главная>Вычислительные комплексы>CMDB — ключ к управлению активами
Вычислительные комплексы Тема номера

CMDB — ключ к управлению активами

Дата публикации:
31.07.2020
Посетителей:
1692
Просмотров:
1851
Время просмотра:
2.3

Авторы

Автор
Алексей Акопян Руководитель направления мониторинга «Инфосистемы Джет»

Почему отсутствие базы ИТ-активов мешает развитию компании?

 

Что нужно учесть перед построением CMDB?

 

Чек-лист внедрения CMDB.

 

 

Чтобы управлять ИТ-ландшафтом, необходимо создать единое информационное пространство, используя проверенные источники данных обо всех ИТ-сервисах, компонентах и их взаимосвязях. Для решения таких задач нужна CMDB (Configuration Management Database) — база данных управления конфигурациями. Это репозиторий, содержащий детальную информацию об активах компании.

Главные функции CMDB:

 

– Предоставление актуальной информации об ИТ-активах и конфигурациях

– Обеспечение сквозной видимости ИТ-инфраструктуры с точки зрения бизнес-процессов

Перед внедрением

 

Процесс управления сервисными активами и конфигурациями — один из самых сложных с точки зрения реализации. Зная это, компании зачастую откладывают его построение и внедрение CMDB. К тому же есть кадровая проблема: среди штатных сотрудников сложно найти специалистов, способных создать подобную базу активов и сопутствующих процессов. В большинстве случаев приходится обращаться к сторонним консультантам или консалтинговым компаниям, услуги которых стоят дорого.

 

Многие компании с головой бросаются в инвентаризацию всего подряд, месяцами собирают информацию об активах в единую базу, а в итоге всего лишь узнают, из чего состоит их ИТ-инфраструктура. Это самая распространенная ошибка: создание базы ради создания. Перед внедрением CMDB нужно обязательно задать себе два вопроса: 1) для решения каких задач нужна система; 2) кто будет потребителем полученной информации.

 

Другой важный фактор — наличие в компании четко регламентированного процесса управления данными. Без него внедрение CMDB не имеет смысла: инструмент не принесет пользы, но станет гигантской статьей расходов.

Отсутствие единой базы ИТ-активов мешает развитию компании.

 

Вы не можете быстро реагировать на ИБ-инциденты. Без CMDB вы не узнаете, какие системы затронул инцидент и как он повлияет на бизнес. В результате не сможете оперативно локализовать проблему, а это прямой путь к остановке бизнес-сервисов и финансовым потерям.

 

Если вы изменяете элементы ИТ-ландшафта, то можете негативно повлиять на зависящие от них сервисы. Нельзя эффективно управлять изменениями, не имея информационной основы для оценки рисков.

 

Вы не можете оптимизировать затраты и планировать развитие ИТ-инфраструктуры. Типичная ситуация: при введении в эксплуатацию нового сервиса инициируется закупка нового оборудования, хотя в компании есть необходимые ресурсы. Просто об этом никто не знает.

Не обладая знаниями об ИТ-среде, вы не сможете ее обслуживать, защищать и развивать.

Как правильно внедрять

 

Построение CMDB не должно быть самоцелью. Это средство для решения более глобальных, в том числе управленческих, задач. Сразу привлекайте к проекту сотрудников, которые будут потребителями информации, чтобы сформировать у них понимание ценности решения.

 

Правильно определите охват CMDB — выделите объекты и атрибуты, учет которых реально повысит эффективность использования информации. Не забывайте, что за актуальностью данных придется следить, поэтому лучше сразу решить вопрос автоматизации их сбора. Учитывайте, что в компании могут быть системы, содержащие инвентарную информацию о некоторых объектах ИТ-инфраструктуры. Их нужно использовать как источники данных, особенно если это доверенные системы — например, финансового учета. Соответственно, возникает необходимость в их интеграции с CMDB. Задача сложная, но ее нужно решить, чтобы унифицировать подход к управлению активами. При этом автоматизация не исключает ручной работы с информацией в CMDB. Во-первых, вы не всегда сможете автоматически получить все необходимые атрибуты объекта. Во-вторых, есть статичные объекты, которые не отображаются в сети, но тоже являются активами. Например, серверный шкаф или монитор.

 

Проектирование ресурсно-сервисных моделей — важный этап построения CMDB. Это схемы, отражающие зависимость объектов ИТ-инфраструктуры от ИТ- и бизнес-сервисов. Конфигурационные единицы не имеют ценности сами по себе, без определения связей между ними и с зависящими от них бизнес-сервисами.

Внедрение CMDB не ограничивается наполнением базы. Важно поддерживать актуальность собранной информации. На момент заполнения, CMDB отражает базовое состояние активов. Фактически это снимок ИТ-инфраструктуры. Для сохранения актуальности данных необходимо регламентировать контроль изменений и отслеживать действия по всем объектам. Кроме того, в процесс управления активами и конфигурациями нужно изначально заложить аудит и определить цикл пересмотра структуры CMDB с заданной периодичностью. Это необходимо для выявления расхождений и корректировки конфигурационных данных.

 

Подберите продукт, который позволит решить именно ваши задачи. Нужно ориентироваться на его гибкость, простоту настройки, внешний вид и тип интерфейса, интеграционные возможности, стоимость. Если в компании применяется процессный подход к управлению ИТ и часть процессов уже автоматизирована, вполне логично использовать имеющиеся инструменты (как правило, все решения для автоматизации включают в себя CMDB-инструменты).

 

При внедрении не пытайтесь описать сразу всю ИТ-инфраструктуру. Пока вы будете это делать, многие данные потеряют актуальность, а интерес к системе у потенциальных потребителей информации снизится. Нужно максимально быстро демонстрировать результаты, поэтому лучше разбить процесс на этапы. Начинайте с критичных бизнес-сервисов и активов и постепенно увеличивайте охват.

 

Помните, что CMDB — инструмент автоматизации. База не оправдает затраченных на ее создание усилий без правильно выстроенных процессов управления ИТ. Кроме того, вы должны гарантировать наличие в CMDB актуальной, достоверной и востребованной информации об активах и конфигурациях.

Мария Романычева

консультант Центра информационной безопасности компании «Инфосистемы Джет».

Комментарий

В настоящее время бизнес как никогда зависит от поддерживающих его ИТ-технологий и процесса управления активами. Последний является базой для построения других процессов, обеспечивает их взаимодействие и связность. К сожалению, статистика указывает на частую проблему в коммуникациях между ИТ- и ИБ-подразделениями. Как следствие, ИБ-служба часто не обладает надлежащими данными для корректной работы.

 

Необходимо понимать, что при выстраивании процессов ИБ-специалисты в первую очередь опираются на данные об активах. Актуальная база информационных активов и сведения об их взаимосвязях являются неотъемлемой частью многих процессов ИБ: контроль соответствия требованиям регуляторов, управление инцидентами, уязвимостями, рисками и т.д.

 

Таким образом, для эффективного обеспечения информационной безопасности необходимо рассмотреть бизнес-процессы компании, оценить и классифицировать все активы — как первого, так и второго рода.

 

Несоответствие требованиям регуляторов (compliance) грозит штрафами. Процесс управления активами (и использование его основного инструмента CMDB) позволяет маркировать информационные активы, подпадающие под требования стандартов PCI DSS и ISO/IEC 27001, федеральных законов «О персональных данных», «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных актов. Благодаря этому администратор безопасности может формировать выборку активов — контур — с целью проведения внутренних аудитов на соответствие требованиям и осуществлять контроль защищенности активов.

 

Также без ясного представления о существующих информационных активах совершенно невозможно реализовать качественное управление инцидентами ИБ. При наступлении нелегитимного события, службе ИБ прежде всего необходимо обладать информацией о критичности затронутого инцидентом актива, а также о его взаимосвязях с остальной инфраструктурой. Единая консолидация активов позволяет оперативно обнаружить затронутые инцидентом объекты и увидеть зону его воздействия.

 

Представление о расположении узлов сети и их взаимодействии помогает повысить качество контроля и анализа сетевого трафика в части выявления подозрительной сетевой активности, несанкционированного удаленного доступа и т.д. Как результат, формируется картина защищенности сети.

 

То же самое относится и к процессу управления уязвимостями: критичность актива напрямую влияет на результирующую критичность выявленной уязвимости и на приоритет ее устранения.

 

Данные о версиях или планируемых изменениях в конфигурациях полезны для процесса патч-менеджмента. Достаточно запросить текущую конфигурацию актива из CMDB — и можно не тратить дополнительные ресурсы на проведение сканирования (при условии актуальности и достоверности базы).

 

Активы — база для оценки и дальнейшей обработки рисков. Процесс включает определение ценности актива для бизнеса, выявление в нем уязвимостей и угроз, оценку вероятности их реализации и расчет возможного ущерба. Другими словами, на входе нужно получить максимально полную информацию об активе. Соответственно, прозрачность технической и программной архитектуры компании и агрегация сведений об активах повышают эффективность процесса управления рисками.

 

Еще одной общей проблемой для ИТ и ИБ являются теневые ресурсы. Подобные активы не контролируются с точки зрения выполнения корпоративных стандартов и требований надежности, а также не подчиняются правилам централизованной безопасности. Отсутствие обновлений, патч-менеджмента, изменения конфигураций порождает риски ИБ. Наличие CMDB в компании частично помогает снять эту головную боль, внося определенность в состояние инфраструктуры компании.

 

Кроме того, CMDB может служить инструментом оценки эффективности ИТ- и ИБ-процессов компании. Большое количество метрик так или иначе связаны с активами и действиями с ними (например, доля АРМ с установленными агентами антивирусного ПО в общем количестве АРМ). Актуальная база помогает осуществлять мониторинг «здоровья» инфраструктуры компании.

 

Сотрудники ИТ- и ИБ-подразделений должны знать, где что «лежит» и насколько это критично как для предоставления ИТ-услуг, так и для соблюдения требований безопасности. Согласованные действия повышают осведомленность о состоянии инфраструктуры компании, способствуя бесперебойной работе бизнеса.

Уведомления об обновлении тем – в вашей почте

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня