GLPI (Gestion Libre de Parc Informatique) — бесплатная open-source ITSM-платформа для управления ИТ-активами, заявками и конфигурациями. Система рассчитана на парк от нескольких десятков до нескольких тысяч машин и закрывает задачи ИТ-отдела: инвентаризация оборудования, учёт лицензий, helpdesk. Разработчик — Teclib (Франция), лицензия GPL-3.0, текущая версия — GLPI 10.
ИБ-специалисты в России всё чаще используют GLPI для учёта активов в контексте информационной безопасности — и сталкиваются с ограничениями. GLPI не ведёт учёт СКЗИ по ФАПСИ №152, не учитывает сертификаты ФСТЭК на СЗИ и не входит в реестр российского ПО. Ниже — разбор возможностей и ограничений GLPI для ИБ, сравнение с SGRC и сценарии интеграции.
GLPI: обзор системы и принцип работы
GLPI — система управления ИТ-инфраструктурой с открытым исходным кодом. Проект существует с 2003 года, текущая версия — GLPI 10. Разработчик — компания Teclib (Франция). Лицензия GPL-3.0: бесплатна для любых целей, включая коммерческое использование.
Архитектура системы GLPI
Система включает два основных компонента:
- Сервер GLPI — веб-приложение на PHP + MySQL/MariaDB. Устанавливается на Linux-сервер (LAMP/LEMP-стек). Через браузер даёт доступ к активам, заявкам, лицензиям и отчётам.
- GLPI Inventory Agent (ранее FusionInventory Agent) — агент для устройств. Собирает данные о конфигурации и отправляет XML/JSON-отчёт на сервер. Доступен для Windows, Linux, macOS. Агент опционален — GLPI работает и без него (ручной ввод, импорт, SNMP).
С версии GLPI 10 модуль инвентаризации встроен в ядро — плагин FusionInventory больше не нужен. Агент сканирует: процессор, RAM, диски, сетевые интерфейсы, серийные номера, установленное ПО с версиями, подключённые мониторы и принтеры, виртуальные машины.
Дополнительно GLPI поддерживает безагентное SNMP-сканирование сетевого оборудования — коммутаторов, маршрутизаторов, точек доступа Wi-Fi.
Ключевые модули GLPI
| Модуль | Назначение |
|---|---|
| Inventory | Автоматический сбор данных об оборудовании и ПО |
| CMDB | База конфигурационных единиц с зависимостями |
| Service Desk | Приём заявок, SLA, маршрутизация |
| License Management | Учёт лицензий, сопоставление с установленным ПО |
| Contract Management | Контракты, поставщики, сроки, бюджет |
| Financial Management | Стоимость активов, амортизация |
| Project | Задачи, календарь, Kanban-доска |
В каталоге GLPI Marketplace — несколько сотен плагинов: интеграция с Zabbix, LDAP/AD, Telegram, почтовые уведомления. На GitHub у проекта около 5 тысяч звёзд.
Возможности GLPI для задач информационной безопасности
ИБ-специалисты в России используют GLPI для нескольких ИБ-задач. Вот что система реально закрывает.
Инвентаризация ИТ-активов
Базовая задача ИБ — знать, что защищаешь. GLPI через агентный сбор формирует реестр всех устройств и ПО в сети:
- Периметр защиты. Полный список серверов, рабочих станций и сетевого оборудования. Каждый актив — потенциальная точка атаки.
- Установленное ПО. Список программ с версиями позволяет выявить устаревшее ПО с известными уязвимостями.
- Обнаружение новых устройств. GLPI фиксирует появление незарегистрированных устройств в сети — сигнал для расследования.
Если задача — только инвентаризация для ИБ-целей, GLPI справится. Но если нужен учёт СКЗИ, СЗИ и контроль мер ФСТЭК — потребуется специализированная SGRC-платформа. Запросите демо для сравнения.
CMDB — база конфигурационных единиц
CMDB в GLPI хранит не только перечень активов, но и связи между ними: сервер → ОС → ПО → сетевой интерфейс → VLAN. Для ИБ это даёт:
- Понимание зависимостей: какие сервисы затронет компрометация конкретного сервера.
- Карту сети для анализа векторов атак.
- Базу для моделирования угроз — хотя саму модель угроз GLPI не строит.
Тикет-система для инцидентов ИБ
Service Desk GLPI можно адаптировать для обработки инцидентов ИБ: создание тикета при обнаружении инцидента, маршрутизация на ответственного, SLA на время реакции и устранения, история обработки. Это не полноценная IRP-система, но для организаций без выделенного SOC покрывает базовые сценарии.
Учёт лицензий
GLPI сопоставляет установленное ПО с закупленными лицензиями и показывает расхождения. Для ИБ это важно: нелицензионное ПО — риск отсутствия обновлений безопасности и юридические последствия при проверке.
Интеграции через плагины
Полезные для ИБ плагины GLPI:
- GLPI + Zabbix — синхронизация активов с данными мониторинга.
- GLPI + LDAP/AD — автоматический импорт пользователей и организационной структуры.
- GLPI + OCS Inventory — дополнительный агентный сбор для расширения покрытия.
- GLPI + Grafana — визуализация данных об инфраструктуре.
Ограничения GLPI для информационной безопасности
GLPI создавалась для ИТ-операций. Для задач ИБ в России у системы есть конкретные ограничения, которые не закрываются плагинами.
Нет учёта СКЗИ по требованиям ФСБ
Приказ ФАПСИ от 13.06.2001 №152 (требования актуализированы в Приказе ФСБ от 10.07.2014 №378) обязывает вести поэкземплярный учёт средств криптографической защиты информации. Что нужно учитывать:
- Журнал поэкземплярного учёта СКЗИ — номера экземпляров, даты получения и выдачи, ФИО получателя
- Технический (аппаратный) журнал
- Акты приёма-передачи, установки, уничтожения СКЗИ
- Ключевые документы и ключевые носители — токены, ключевые дискеты, контейнеры ЭП
- Формуляры и эксплуатационная документация
GLPI не различает обычное ПО и СКЗИ. Система покажет, что на компьютере установлен «КриптоПро CSP 5.0». Но не зафиксирует:
- Серийный номер экземпляра СКЗИ
- Номер сертификата ФСБ и срок его действия
- Кому выдан экземпляр
- Дату установки и уничтожения
- Учёт ключевых документов и носителей
Вести учёт СКЗИ в GLPI невозможно без глубокой кастомизации — добавление полей, валидаций, генерации журналов. На практике такая доработка занимает месяцы и ломается при каждом обновлении системы.
Нет учёта СЗИ с сертификатами ФСТЭК
Средства защиты информации, сертифицированные ФСТЭК, требуют учёта: номер сертификата, срок действия, класс защиты, привязка к конкретной информационной системе. Организация обязана контролировать, что используемая версия СЗИ соответствует сертифицированной. GLPI не имеет полей для этих данных и не отслеживает окончание срока действия сертификатов.
Антивирус, межсетевой экран, средство обнаружения вторжений — для GLPI это просто «установленное ПО». Для ИБ-специалиста — это СЗИ с конкретными реквизитами, без которых невозможно пройти проверку ФСТЭК.
Нет связи активов с рисками и угрозами
GLPI хранит что есть в инфраструктуре, но не отвечает на вопрос: какие угрозы актуальны для этого актива и каков уровень риска. Нет связки: актив → информационная система → обрабатываемые данные → актуальные угрозы (БДУ ФСТЭК) → применённые меры защиты → остаточный риск.
Приказы ФСТЭК №117, №21 и №239 требуют привязывать каждый актив к контуру защиты и определять актуальные угрозы. Также нужно контролировать, внедрены ли меры защиты. GLPI этого не делает.
Нет контроля мер защиты по приказам ФСТЭК
Приказы ФСТЭК определяют обязательные меры защиты для каждого класса и уровня защищённости. ИБ-специалисту нужно: знать, какие меры применены к каждой ИС; фиксировать статус внедрения; формировать отчёт для проверки ФСТЭК.
GLPI не содержит каталога мер защиты и не позволяет отслеживать, какие из них внедрены. Эта задача решается в SGRC-платформах, где каталог мер — встроенная функция.
Нет в реестре российского ПО
GLPI — французский open-source проект, отсутствует в реестре отечественного ПО Минцифры. Для государственных органов, органов местного самоуправления и государственных компаний, обязанных использовать ПО из реестра (ПП-1236), это ограничение критично. Для субъектов КИИ действуют отдельные требования по импортозамещению (ПП-1478), которые также осложняют использование GLPI.
Нет сертификации ФСТЭК/ФСБ
GLPI не проходила сертификацию по требованиям безопасности ФСТЭК или ФСБ. Для организаций, где все компоненты информационной системы должны быть сертифицированы, использование GLPI в контуре защиты недопустимо.
Ограниченный аудит-лог
Для регуляторных целей важно журналирование: кто, когда и что изменил в системе учёта. GLPI ведёт базовые логи действий, но для целей ИБ-аудита их детализации часто недостаточно — нет гранулярного контроля по ролям и объектам в контексте ИБ-процессов.
Ограничения GLPI — не баг, а следствие другого назначения. Если ваша задача — учёт СКЗИ, контроль мер защиты ФСТЭК или подготовка к проверке — посмотрите, как это устроено в КиберОснова.
GLPI vs SGRC: сравнительная таблица
| Критерий | GLPI | SGRC (КиберОснова) |
|---|---|---|
| Инвентаризация оборудования и ПО | Да — агентный + SNMP (безагентный) | Да — агентный + безагентный (WMI, SSH, SNMP) + AD |
| Учёт лицензий | Да — полноценный модуль | Частично — фокус на СЗИ/СКЗИ |
| Service Desk / Helpdesk | Да — встроенный | Нет — не задача SGRC |
| CMDB | Да — связи между CI | Да — с привязкой к ИС и контурам защиты |
| Учёт СКЗИ по ФАПСИ №152 | Нет | Да — журналы, поэкземплярный учёт, акты |
| Учёт СЗИ с сертификатами ФСТЭК | Нет | Да — реквизиты, сроки, классы защиты |
| Связь актива с угрозами БДУ ФСТЭК | Нет | Да — модель угроз, оценка рисков |
| Контроль мер защиты (117/21/239) | Нет | Да — каталог мер, статус внедрения |
| Управление уязвимостями | Нет (только через плагины) | Да — привязка CVE/БДУ к активам |
| Подготовка к проверке ФСТЭК/ФСБ | Нет | Да — готовые отчёты и выгрузки |
| Реестр российского ПО | Нет | Да |
| Сертификация ФСТЭК | Нет | В процессе |
| Стоимость | Бесплатно (open-source) | от 500 тыс. руб./год |
| Поддержка | Community (англ./фр.) | Вендорская (рус.) |
Вывод: GLPI сильнее в ИТ-операциях — helpdesk, лицензии, контракты, финансовый учёт. SGRC сильнее в ИБ — учёт СКЗИ/СЗИ, связь с рисками, соответствие приказам ФСТЭК. Это не конкуренты, а инструменты для разных задач.
Хотите увидеть разницу на практике? Запросите демо КиберОснова — покажем учёт СКЗИ, контроль мер защиты и инвентаризацию на данных вашей организации.
Аналоги GLPI для ИБ-инвентаризации
Помимо GLPI, ИБ-специалисты рассматривают другие инструменты для учёта активов.
OCS Inventory NG
Open-source система инвентаризации с агентами для Windows, Linux, macOS и Android. Поддерживает SNMP. В отличие от GLPI, OCS Inventory — чистый инструмент сбора данных без ITSM-функций. Часто используется в связке с GLPI: OCS собирает, GLPI управляет.
Для ИБ: те же ограничения, что у GLPI — нет учёта СКЗИ, СЗИ, связи с рисками. Нет в реестре российского ПО.
Naumen ITAM
Российская коммерческая платформа для управления ИТ-активами. Входит в реестр отечественного ПО. Включает CMDB, управление лицензиями, финансовый учёт.
Для ИБ: закрывает требование по реестру ПО, но остаётся ITAM-системой без специализированных ИБ-функций. Учёт СКЗИ и контроль мер защиты ФСТЭК — вне скоупа.
SGRC-платформы (КиберОснова, R-Vision, Security Vision)
Ограничения GLPI для ИБ закрывают системы другого класса — SGRC (Security Governance, Risk, Compliance). КиберОснова включает модуль инвентаризации с агентным и безагентным сбором, интеграцией с Active Directory. Каждый актив связывается с информационной системой, мерами защиты, СКЗИ и рисками. Платформа закрывает полный ИБ-цикл: учёт СКЗИ по ФАПСИ №152, контроль мер защиты по приказам 117/21/239, управление рисками. Входит в реестр российского ПО.
Сводная таблица аналогов
| Решение | Тип | Инвентаризация | Учёт СКЗИ | Меры ФСТЭК | Реестр ПО | Цена |
|---|---|---|---|---|---|---|
| GLPI | Open-source ITSM | Да | Нет | Нет | Нет | Бесплатно |
| OCS Inventory | Open-source | Да | Нет | Нет | Нет | Бесплатно |
| Naumen ITAM | Коммерч. ITAM | Да | Нет | Нет | Да | По запросу |
| КиберОснова | SGRC | Да | Да | Да | Да | от 500 тыс./год |
Выбираете между GLPI и SGRC? Необязательно выбирать — они работают вместе. Запросите демо КиберОснова и оцените сценарий интеграции на данных вашей организации.
GLPI и SGRC вместе: сценарий для крупных организаций
В организациях с развитой ИТ-инфраструктурой и выделенным подразделением ИБ эффективнее связать две системы. ИТ-отдел работает в GLPI: принимает заявки, ведёт учёт лицензий, управляет контрактами. ИБ-подразделение работает в SGRC: ведёт учёт СКЗИ, контролирует меры защиты, готовится к проверкам.
Как это работает на практике
Типичная ситуация: в организации 300 серверов и рабочих станций, на 40 из них установлены СКЗИ (КриптоПро, VipNet). GLPI видит все 300 устройств и всё установленное ПО, но КриптоПро CSP для GLPI — такая же программа, как Microsoft Office. SGRC забирает реестр из GLPI и добавляет ИБ-контекст: серийные номера экземпляров СКЗИ, привязку к информационным системам, журналы учёта, сроки сертификатов.
- GLPI собирает данные. Агенты на рабочих станциях передают информацию об оборудовании и ПО.
- SGRC импортирует реестр активов. КиберОснова забирает данные из GLPI через REST API или CSV-экспорт.
- ИБ-специалист обогащает данные. В SGRC каждый актив привязывается к информационной системе, определяются угрозы и меры защиты.
- Две системы — два процесса. ИТ-заявки — в GLPI. ИБ-задачи — в SGRC. Реестр актуален в обеих.
GLPI REST API: что доступно для интеграции
GLPI предоставляет полноценный REST API для автоматического обмена данными. Это основной способ связать GLPI с внешними системами — включая SGRC.
Аутентификация. GLPI поддерживает два варианта: User Token (персональный токен из профиля пользователя) и App-Token (токен приложения с фильтрацией по IP). Для автоматической синхронизации с SGRC достаточно создать сервисную учётную запись с правами на чтение и сгенерировать User Token. Пароль в запросах не передаётся.
Что можно забрать через API:
| Endpoint | Данные |
|---|---|
GET /Computer | Все ПК: CPU, RAM, диски, серийные номера, hostname |
GET /Computer/{id}?with_softwares=1 | Конкретный ПК + всё установленное ПО с версиями |
GET /Software | Реестр ПО по всей организации |
GET /NetworkEquipment | Коммутаторы, маршрутизаторы, точки доступа |
GET /Monitor | Мониторы с серийными номерами |
GET /Peripheral | Принтеры, сканеры, USB-устройства |
Все данные, собранные GLPI Inventory Agent на рабочих станциях, доступны через эти эндпоинты. API возвращает JSON, поддерживает пагинацию (range=0-49), фильтрацию и сортировку.
Как выглядит интеграция на практике. SGRC-платформа по расписанию (раз в сутки или по триггеру) отправляет запрос к GLPI API, забирает реестр компьютеров и ПО, сопоставляет с существующими записями и обновляет реестр активов. ИБ-специалист видит актуальные данные без ручного экспорта в CSV.
КиберОснова поддерживает импорт из GLPI как через прямое подключение к REST API, так и через промежуточный CSV-файл — для организаций, где GLPI развёрнут в изолированном сегменте сети без прямого доступа из SGRC.
Уже используете GLPI? Не нужно от него отказываться. Запросите демо КиберОснова — покажем, как подключить GLPI по API и получить ИБ-контекст поверх вашего реестра активов.
Когда связка оправдана
- В организации уже развёрнут GLPI, и ИТ-отдел не готов от него отказываться.
- Нужно параллельно вести ИТ-учёт (лицензии, контракты, helpdesk) и ИБ-учёт (СКЗИ, СЗИ, меры защиты).
- Бюджет позволяет поддерживать две системы.
Когда лучше одна система
Если организация только начинает автоматизацию и основная задача — ИБ (учёт СКЗИ, подготовка к проверке ФСТЭК), разворачивать GLPI для последующей интеграции с SGRC избыточно. КиберОснова включает модуль инвентаризации, достаточный для ИБ-задач, без необходимости поддерживать отдельный LAMP-стек.
Как перейти с GLPI на специализированное ИБ-решение
Если организация использует GLPI для ИБ-задач и столкнулась с ограничениями, переходите на SGRC поэтапно.
Этап 1. Аудит текущего состояния (1-2 недели)
Определите, какие данные из GLPI используются для ИБ: реестр оборудования, реестр ПО, привязка к подразделениям, кастомные поля. Выгрузите в CSV.
Этап 2. Пилот SGRC (2-4 недели)
Разверните SGRC-платформу в тестовом режиме. Импортируйте реестр активов из GLPI. Настройте привязку к информационным системам, учёт СКЗИ, каталог мер защиты. Запросите демо для оценки на реальных данных.
Этап 3. Параллельная эксплуатация (1-2 месяца)
Ведите ИБ-учёт в SGRC, ИТ-учёт в GLPI. Убедитесь: журналы СКЗИ формируются, меры защиты отслеживаются, отчёты для проверки генерируются.
Этап 4. Решение о консолидации
По результатам пилота решите: оставить связку GLPI + SGRC или консолидировать. Если ИТ-отделу не нужен отдельный helpdesk и развитое управление лицензиями — одна SGRC-система снижает стоимость поддержки.
Типичные ошибки при использовании GLPI для ИБ
1. Учёт СКЗИ в пользовательских полях GLPI. Кастомные поля не обеспечивают: автоматическую генерацию журналов в соответствии с требованиями Приказа ФАПСИ №152, контроль сроков действия сертификатов ФСБ, формирование актов установки и уничтожения. При обновлении GLPI кастомизация ломается.
2. GLPI как единственный источник для проверки ФСТЭК. GLPI покажет список оборудования и ПО. Проверяющий ФСТЭК запросит: перечень СЗИ с реквизитами сертификатов, привязку мер защиты к информационным системам, модель угроз, оценку рисков. Этих данных в GLPI нет.
3. Развёртывание GLPI в госоргане без проверки требований импортозамещения. GLPI не входит в реестр российского ПО. Использование в госоргане может быть оспорено при аудите. Перед внедрением проверяйте нормативные требования к ПО для вашего типа организации.
4. Отказ от SGRC из-за наличия GLPI. «У нас уже есть GLPI, зачем ещё одна система» — частый аргумент. GLPI решает задачи ИТ, SGRC — задачи ИБ. Экономия на SGRC оборачивается ручным ведением журналов СКЗИ в Excel и неготовностью к проверке.
Используете GLPI для ИБ и сталкиваетесь с ограничениями? Запросите демо КиберОснова — покажем, как закрыть пробелы без отказа от GLPI.
FAQ
Что такое GLPI и для чего она используется? GLPI (Gestion Libre de Parc Informatique) — бесплатная open-source платформа для управления ИТ-инфраструктурой. Включает инвентаризацию оборудования и ПО через агенты, CMDB, Service Desk для обработки заявок, управление лицензиями и контрактами, финансовый учёт активов. Система развивается с 2003 года, текущая версия — GLPI 10 с встроенным модулем инвентаризации. Подходит для ИТ-отделов организаций любого масштаба. Лицензия GPL-3.0 — бесплатна для коммерческого использования без ограничений по числу пользователей.
Можно ли использовать GLPI для учёта СКЗИ? Нет, GLPI не предназначена для учёта СКЗИ по Приказу ФАПСИ №152 и Приказу ФСБ №378. Система не различает обычное ПО и криптосредства, не хранит серийные номера экземпляров СКЗИ, номера сертификатов ФСБ, сроки действия сертификатов. Невозможно сформировать журнал поэкземплярного учёта, технический журнал, акты установки и уничтожения. Не ведётся учёт ключевых документов и ключевых носителей. Для полноценного учёта СКЗИ нужна специализированная SGRC-платформа.
Входит ли GLPI в реестр российского ПО? Нет, GLPI — французский open-source проект компании Teclib. Система не включена в единый реестр отечественного ПО Минцифры России. Для государственных органов и органов местного самоуправления, обязанных использовать ПО из реестра по ПП-1236, это ограничение критично. Для субъектов КИИ действуют отдельные требования по импортозамещению (ПП-1478). Перед внедрением GLPI проверьте нормативные требования к ПО для вашего типа организации. На российском рынке есть отечественные ITAM и SGRC-альтернативы, включённые в реестр.
Чем GLPI отличается от SGRC-системы? GLPI — ITSM-платформа для ИТ-операций: helpdesk, инвентаризация, лицензии, контракты, финансовый учёт. SGRC (Security Governance, Risk, Compliance) — платформа для управления информационной безопасностью: учёт СКЗИ и СЗИ, контроль мер защиты по приказам ФСТЭК, моделирование угроз, оценка рисков, подготовка к проверкам регуляторов. GLPI отвечает на вопрос «что есть в инфраструктуре», SGRC — «насколько инфраструктура защищена и соответствует требованиям». Это разные классы систем, которые дополняют друг друга.
Какие аналоги GLPI подходят для задач ИБ в России? Для ИТ-инвентаризации есть аналоги: OCS Inventory (open-source, агентный сбор), Naumen ITAM (реестр РФ ПО, CMDB), 10-Strike (российская, для малого и среднего бизнеса). Но для задач информационной безопасности аналогов GLPI нет — потому что GLPI не ИБ-инструмент. Задачи ИБ решают SGRC-платформы: КиберОснова, R-Vision, Security Vision. Они включают инвентаризацию как модуль и дополняют её учётом СКЗИ, контролем мер защиты и управлением рисками.
Можно ли интегрировать GLPI с SGRC-платформой через API? Да, GLPI предоставляет полноценный REST API (эндпоинт /apirest.php) для автоматической выгрузки данных. Через API доступны: реестр компьютеров с аппаратной конфигурацией, установленное ПО с версиями, сетевое оборудование, периферия. Аутентификация — через User Token без передачи пароля. SGRC-платформа подключается к GLPI по расписанию, забирает актуальный реестр и обогащает его ИБ-контекстом: привязка к информационным системам, угрозам, СКЗИ. КиберОснова поддерживает прямое подключение к GLPI REST API и промежуточный CSV-экспорт для изолированных сегментов сети.
Сколько стоит GLPI и какие расходы на внедрение? GLPI бесплатна. Лицензия GPL-3.0 разрешает коммерческое использование без ограничений. Расходы на внедрение: сервер (виртуальная машина Linux, 2 CPU, 4 GB RAM, 50 GB диска для 500 узлов), время администратора на установку и настройку (1-3 рабочих дня), развёртывание агентов на рабочие станции (через GPO — 1 день). Поддержка: community-форумы бесплатно, коммерческая от Teclib (Франция) — по запросу, на английском и французском.
Как ИБ-специалисту оценить, достаточно ли GLPI? Задайте три вопроса: нужно ли вести учёт СКЗИ по требованиям ФСБ? Нужно ли контролировать меры защиты по приказам ФСТЭК? Предстоит ли проверка ФСТЭК или ФСБ? Если хотя бы один ответ «да» — GLPI недостаточно, нужна SGRC-платформа. Если задача только инвентаризация оборудования и ПО для внутренних целей — GLPI закроет её бесплатно и качественно. Запросите демо КиберОснова для сравнения на данных вашей организации.
