Подписаться
Читать в телеграм
Почему отсутствие базы ИТ-активов мешает развитию компании?
Что нужно учесть перед построением CMDB?
Чек-лист внедрения CMDB.
Чтобы управлять ИТ-ландшафтом, необходимо создать единое информационное пространство, используя проверенные источники данных обо всех ИТ-сервисах, компонентах и их взаимосвязях. Для решения таких задач нужна CMDB (Configuration Management Database) — база данных управления конфигурациями. Это репозиторий, содержащий детальную информацию об активах компании.
Главные функции CMDB:
– Предоставление актуальной информации об ИТ-активах и конфигурациях
– Обеспечение сквозной видимости ИТ-инфраструктуры с точки зрения бизнес-процессов
Перед внедрением
Процесс управления сервисными активами и конфигурациями — один из самых сложных с точки зрения реализации. Зная это, компании зачастую откладывают его построение и внедрение CMDB. К тому же есть кадровая проблема: среди штатных сотрудников сложно найти специалистов, способных создать подобную базу активов и сопутствующих процессов. В большинстве случаев приходится обращаться к сторонним консультантам или консалтинговым компаниям, услуги которых стоят дорого.
Многие компании с головой бросаются в инвентаризацию всего подряд, месяцами собирают информацию об активах в единую базу, а в итоге всего лишь узнают, из чего состоит их ИТ-инфраструктура. Это самая распространенная ошибка: создание базы ради создания. Перед внедрением CMDB нужно обязательно задать себе два вопроса: 1) для решения каких задач нужна система; 2) кто будет потребителем полученной информации.
Другой важный фактор — наличие в компании четко регламентированного процесса управления данными. Без него внедрение CMDB не имеет смысла: инструмент не принесет пользы, но станет гигантской статьей расходов.
Отсутствие единой базы ИТ-активов мешает развитию компании.
Вы не можете быстро реагировать на ИБ-инциденты. Без CMDB вы не узнаете, какие системы затронул инцидент и как он повлияет на бизнес. В результате не сможете оперативно локализовать проблему, а это прямой путь к остановке бизнес-сервисов и финансовым потерям.
Если вы изменяете элементы ИТ-ландшафта, то можете негативно повлиять на зависящие от них сервисы. Нельзя эффективно управлять изменениями, не имея информационной основы для оценки рисков.
Вы не можете оптимизировать затраты и планировать развитие ИТ-инфраструктуры. Типичная ситуация: при введении в эксплуатацию нового сервиса инициируется закупка нового оборудования, хотя в компании есть необходимые ресурсы. Просто об этом никто не знает.
Не обладая знаниями об ИТ-среде, вы не сможете ее обслуживать, защищать и развивать.
Как правильно внедрять
Построение CMDB не должно быть самоцелью. Это средство для решения более глобальных, в том числе управленческих, задач. Сразу привлекайте к проекту сотрудников, которые будут потребителями информации, чтобы сформировать у них понимание ценности решения.
Правильно определите охват CMDB — выделите объекты и атрибуты, учет которых реально повысит эффективность использования информации. Не забывайте, что за актуальностью данных придется следить, поэтому лучше сразу решить вопрос автоматизации их сбора. Учитывайте, что в компании могут быть системы, содержащие инвентарную информацию о некоторых объектах ИТ-инфраструктуры. Их нужно использовать как источники данных, особенно если это доверенные системы — например, финансового учета. Соответственно, возникает необходимость в их интеграции с CMDB. Задача сложная, но ее нужно решить, чтобы унифицировать подход к управлению активами. При этом автоматизация не исключает ручной работы с информацией в CMDB. Во-первых, вы не всегда сможете автоматически получить все необходимые атрибуты объекта. Во-вторых, есть статичные объекты, которые не отображаются в сети, но тоже являются активами. Например, серверный шкаф или монитор.
Проектирование ресурсно-сервисных моделей — важный этап построения CMDB. Это схемы, отражающие зависимость объектов ИТ-инфраструктуры от ИТ- и бизнес-сервисов. Конфигурационные единицы не имеют ценности сами по себе, без определения связей между ними и с зависящими от них бизнес-сервисами.
Внедрение CMDB не ограничивается наполнением базы. Важно поддерживать актуальность собранной информации. На момент заполнения, CMDB отражает базовое состояние активов. Фактически это снимок ИТ-инфраструктуры. Для сохранения актуальности данных необходимо регламентировать контроль изменений и отслеживать действия по всем объектам. Кроме того, в процесс управления активами и конфигурациями нужно изначально заложить аудит и определить цикл пересмотра структуры CMDB с заданной периодичностью. Это необходимо для выявления расхождений и корректировки конфигурационных данных.
Подберите продукт, который позволит решить именно ваши задачи. Нужно ориентироваться на его гибкость, простоту настройки, внешний вид и тип интерфейса, интеграционные возможности, стоимость. Если в компании применяется процессный подход к управлению ИТ и часть процессов уже автоматизирована, вполне логично использовать имеющиеся инструменты (как правило, все решения для автоматизации включают в себя CMDB-инструменты).
При внедрении не пытайтесь описать сразу всю ИТ-инфраструктуру. Пока вы будете это делать, многие данные потеряют актуальность, а интерес к системе у потенциальных потребителей информации снизится. Нужно максимально быстро демонстрировать результаты, поэтому лучше разбить процесс на этапы. Начинайте с критичных бизнес-сервисов и активов и постепенно увеличивайте охват.
Помните, что CMDB — инструмент автоматизации. База не оправдает затраченных на ее создание усилий без правильно выстроенных процессов управления ИТ. Кроме того, вы должны гарантировать наличие в CMDB актуальной, достоверной и востребованной информации об активах и конфигурациях.
Мария Романычева
консультант Центра информационной безопасности компании «Инфосистемы Джет».
Комментарий
В настоящее время бизнес как никогда зависит от поддерживающих его ИТ-технологий и процесса управления активами. Последний является базой для построения других процессов, обеспечивает их взаимодействие и связность. К сожалению, статистика указывает на частую проблему в коммуникациях между ИТ- и ИБ-подразделениями. Как следствие, ИБ-служба часто не обладает надлежащими данными для корректной работы.
Необходимо понимать, что при выстраивании процессов ИБ-специалисты в первую очередь опираются на данные об активах. Актуальная база информационных активов и сведения об их взаимосвязях являются неотъемлемой частью многих процессов ИБ: контроль соответствия требованиям регуляторов, управление инцидентами, уязвимостями, рисками и т.д.
Таким образом, для эффективного обеспечения информационной безопасности необходимо рассмотреть бизнес-процессы компании, оценить и классифицировать все активы — как первого, так и второго рода.
Несоответствие требованиям регуляторов (compliance) грозит штрафами. Процесс управления активами (и использование его основного инструмента CMDB) позволяет маркировать информационные активы, подпадающие под требования стандартов PCI DSS и ISO/IEC 27001, федеральных законов «О персональных данных», «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных актов. Благодаря этому администратор безопасности может формировать выборку активов — контур — с целью проведения внутренних аудитов на соответствие требованиям и осуществлять контроль защищенности активов.
Также без ясного представления о существующих информационных активах совершенно невозможно реализовать качественное управление инцидентами ИБ. При наступлении нелегитимного события, службе ИБ прежде всего необходимо обладать информацией о критичности затронутого инцидентом актива, а также о его взаимосвязях с остальной инфраструктурой. Единая консолидация активов позволяет оперативно обнаружить затронутые инцидентом объекты и увидеть зону его воздействия.
Представление о расположении узлов сети и их взаимодействии помогает повысить качество контроля и анализа сетевого трафика в части выявления подозрительной сетевой активности, несанкционированного удаленного доступа и т.д. Как результат, формируется картина защищенности сети.
То же самое относится и к процессу управления уязвимостями: критичность актива напрямую влияет на результирующую критичность выявленной уязвимости и на приоритет ее устранения.
Данные о версиях или планируемых изменениях в конфигурациях полезны для процесса патч-менеджмента. Достаточно запросить текущую конфигурацию актива из CMDB — и можно не тратить дополнительные ресурсы на проведение сканирования (при условии актуальности и достоверности базы).
Активы — база для оценки и дальнейшей обработки рисков. Процесс включает определение ценности актива для бизнеса, выявление в нем уязвимостей и угроз, оценку вероятности их реализации и расчет возможного ущерба. Другими словами, на входе нужно получить максимально полную информацию об активе. Соответственно, прозрачность технической и программной архитектуры компании и агрегация сведений об активах повышают эффективность процесса управления рисками.
Еще одной общей проблемой для ИТ и ИБ являются теневые ресурсы. Подобные активы не контролируются с точки зрения выполнения корпоративных стандартов и требований надежности, а также не подчиняются правилам централизованной безопасности. Отсутствие обновлений, патч-менеджмента, изменения конфигураций порождает риски ИБ. Наличие CMDB в компании частично помогает снять эту головную боль, внося определенность в состояние инфраструктуры компании.
Кроме того, CMDB может служить инструментом оценки эффективности ИТ- и ИБ-процессов компании. Большое количество метрик так или иначе связаны с активами и действиями с ними (например, доля АРМ с установленными агентами антивирусного ПО в общем количестве АРМ). Актуальная база помогает осуществлять мониторинг «здоровья» инфраструктуры компании.
Сотрудники ИТ- и ИБ-подразделений должны знать, где что «лежит» и насколько это критично как для предоставления ИТ-услуг, так и для соблюдения требований безопасности. Согласованные действия повышают осведомленность о состоянии инфраструктуры компании, способствуя бесперебойной работе бизнеса.