ITAM и CMDB — два понятия, которые часто путают, используют как синонимы или противопоставляют друг другу. На самом деле это разные инструменты для разных задач, которые дополняют друг друга. Для специалистов по информационной безопасности критично понимать оба подхода: ITAM отвечает на вопрос «чем мы владеем», CMDB — «как это связано». В этой статье — чёткие определения, сравнение, связь с ITSM/ITIL и практические рекомендации по выбору системы.
Что такое ITAM: управление ИТ-активами
Определение и цели ITAM
ITAM (IT Asset Management) — процесс управления полным жизненным циклом ИТ-активов организации: от планирования закупки до списания. Фокус ITAM — финансовый и контрактный аспект: сколько стоит актив, какие лицензии приобретены, когда истекают контракты, как начисляется амортизация.
Цели ITAM:
- Финансовый контроль — знать, сколько организация тратит на ИТ-активы и оптимизировать расходы
- Лицензионный комплаенс — предотвратить использование нелицензионного ПО и штрафы
- Учёт жизненного цикла — планировать замену оборудования до его отказа
- Инвентаризация — иметь актуальный перечень всех ИТ-ресурсов
- Управление контрактами — контролировать SLA, гарантии, подписки
ITAM отвечает на вопросы: «Чем мы владеем?», «Сколько это стоит?», «Когда нужно продлить или заменить?»
Жизненный цикл ИТ-актива
Каждый ИТ-актив проходит стандартные этапы:
- Планирование — определение потребности, выбор поставщика, бюджетирование
- Закупка — оформление заказа, получение, регистрация в реестре
- Развёртывание — установка, настройка, ввод в эксплуатацию
- Эксплуатация — использование, техобслуживание, обновления
- Обслуживание — ремонт, модернизация, перераспределение
- Списание — вывод из эксплуатации, утилизация, удаление данных
На каждом этапе ITAM фиксирует: состояние актива, ответственного, затраты, связанные документы. Для средств защиты информации добавляются: сертификат ФСТЭК/ФСБ, срок действия сертификата, класс защиты.
Ключевые процессы ITAM
Учёт оборудования (Hardware Asset Management) — реестр физических устройств с серийными номерами, местоположением, ответственными, гарантией.
Учёт ПО (Software Asset Management, SAM) — реестр установленного ПО, сопоставление с лицензиями, контроль соответствия. Стандарт ISO 19770-1 описывает фреймворк SAM.
Управление контрактами — отслеживание договоров с поставщиками, SLA, сроков продления, стоимости.
Управление лицензиями — контроль типов лицензий (бессрочные, подписки, конкурентные), количества, сроков действия.
Амортизация и бюджетирование — расчёт остаточной стоимости, планирование замены, формирование бюджета на ИТ.
Что такое CMDB: база данных конфигураций
Определение и назначение CMDB
CMDB (Configuration Management Database) — база данных, содержащая информацию обо всех конфигурационных единицах (CI) ИТ-инфраструктуры и связях между ними. Фокус CMDB — технический: как устроена инфраструктура, как компоненты зависят друг от друга, что произойдёт при изменении или отказе одного элемента.
CMDB отвечает на вопросы: «Как это работает?», «Что от чего зависит?», «Что затронет это изменение?»
Назначение CMDB:
- Управление изменениями — перед изменением понять, какие сервисы затронуты
- Управление инцидентами — при сбое быстро определить корневую причину и зону влияния
- Управление проблемами — анализ повторяющихся инцидентов через связи между CI
- Планирование мощностей — понять, какие ресурсы загружены, где есть резерв
Конфигурационные единицы (CI) и связи
Конфигурационная единица (CI, Configuration Item) — любой компонент, который нужно контролировать для предоставления ИТ-услуг:
| Тип CI | Примеры | Типичные атрибуты |
|---|---|---|
| Оборудование | Сервер, коммутатор, СХД | Модель, серийный номер, расположение, конфигурация |
| ПО | ОС, СУБД, приложение | Версия, тип лицензии, конфигурация |
| Сервис | Email, ERP, интернет-сайт | SLA, владелец, пользователи, критичность |
| Документ | Политика ИБ, инструкция | Версия, автор, дата утверждения |
| Сеть | VLAN, VPN-туннель, подсеть | Адресация, маска, маршрутизация |
Ключевая ценность CMDB — не сами CI, а связи между ними:
- «Установлен на» — приложение 1С установлено на сервере SRV-01
- «Зависит от» — сервис ERP зависит от СУБД PostgreSQL
- «Обслуживает» — коммутатор SW-03 обслуживает VLAN 100
- «Содержит» — стойка Rack-05 содержит серверы SRV-01, SRV-02, SRV-03
Эти связи формируют карту зависимостей (dependency map) — визуальное представление инфраструктуры.
CMDB в контексте ITIL и ITSM
CMDB — ключевой компонент практики ITIL «Управление конфигурацией сервисов» (Service Configuration Management). В ITIL 4 CMDB обеспечивает данными практически все практики:
- Управление инцидентами — какие CI затронуты, на какие сервисы влияет инцидент
- Управление изменениями — анализ влияния предлагаемого изменения
- Управление релизами — какие CI обновляются при развёртывании релиза
- Управление доступностью — зависимости, определяющие доступность сервиса
- Управление информационной безопасностью — какие CI обрабатывают конфиденциальные данные
ITAM vs CMDB: ключевые отличия
Сравнительная таблица
| Критерий | ITAM | CMDB |
|---|---|---|
| Фокус | Финансы, контракты, жизненный цикл | Конфигурация, связи, зависимости |
| Главный вопрос | Чем владеем и сколько стоит? | Как связано и что сломается? |
| Объекты учёта | Активы (с финансовой ценностью) | Конфигурационные единицы (любые компоненты) |
| Атрибуты | Стоимость, лицензия, гарантия, амортизация | Версия, конфигурация, связи, зависимости |
| Процессы | SAM, закупки, списание | Управление изменениями, инцидентами |
| Стандарты | ISO 19770 (SAM), ISO 55000 (Asset Mgmt) | ITIL (Service Configuration Mgmt) |
| Пользователи | ИТ-менеджеры, финансисты, закупки | ИТ-инженеры, Service Desk, DevOps |
| Обновление данных | При событиях (закупка, списание) | Непрерывно (автообнаружение) |
Фокус: финансы vs конфигурация
ITAM смотрит на актив как на финансовый объект: закупочная стоимость, остаточная стоимость, TCO, контракт с поставщиком, SLA. Для ITAM важно, что сервер стоит 500 000 руб., куплен 01.03.2024, гарантия до 01.03.2027, амортизация 33% в год.
CMDB смотрит на тот же сервер как на технический компонент: на нём установлена ОС Ubuntu 22.04, СУБД PostgreSQL 15, приложение ERP, он подключён к коммутатору SW-03 в стойке Rack-05, от него зависят 3 ИТ-сервиса и 150 пользователей.
Когда нужен ITAM, когда CMDB, когда оба
Нужен только ITAM — если основная задача: контроль лицензий, управление закупками, бюджетирование ИТ, бухгалтерский учёт оборудования. Типично для малых организаций с простой инфраструктурой.
Нужна только CMDB — если основная задача: управление ИТ-сервисами, контроль изменений, анализ влияния инцидентов. Типично для сервисных компаний и ИТ-подразделений с зрелым ITSM.
Нужны оба — если организация хочет: знать и стоимость, и технические связи; планировать и бюджет, и изменения; обеспечивать и лицензионный комплаенс, и доступность сервисов. Типично для средних и крупных организаций.
Для задач информационной безопасности нужны элементы обоих подходов: из ITAM — реестр активов с лицензиями и сертификатами, из CMDB — связи между активами, сервисами и данными.
Связь ITAM, CMDB, ITSM и ITIL
Как четыре понятия работают вместе
Четыре аббревиатуры описывают разные уровни управления ИТ:
- ITIL (IT Infrastructure Library) — фреймворк, набор лучших практик. Описывает «как надо». Текущая версия — ITIL 4
- ITSM (IT Service Management) — практика управления ИТ-услугами по принципам ITIL. Процессы: управление инцидентами, проблемами, изменениями, релизами
- CMDB — хранилище данных, обеспечивающее процессы ITSM информацией о конфигурации
- ITAM — управление ИТ-активами, дополняющее ITSM финансовым и контрактным контекстом
Аналогия: ITIL — правила дорожного движения, ITSM — процесс вождения, CMDB — карта дорог и развязок, ITAM — документы на автомобиль и страховка.
Практические примеры взаимодействия
Сценарий 1: Обновление сервера.
- ITAM: гарантия на сервер истекает через 3 месяца, нужна замена. Бюджет — 600 000 руб.
- CMDB: на сервере работает СУБД, от которой зависят 5 сервисов. Миграция затронет 300 пользователей.
- ITSM: оформлен запрос на изменение (RFC), проведён анализ влияния через CMDB, запланирован даунтайм.
Сценарий 2: Инцидент безопасности.
- CMDB: обнаружена уязвимость в Apache Tomcat — система показывает все серверы с Tomcat и зависимые сервисы.
- ITAM: серверы находятся на поддержке вендора, можно запросить патч. Лицензия актуальна.
- ITSM: зарегистрирован инцидент, назначен ответственный, установлен приоритет по критичности зависимых сервисов.
Сценарий 3: Проверка регулятора.
- ITAM: перечень всех ИТ-активов с лицензиями и сертификатами ФСТЭК.
- CMDB: какие активы входят в ИСПДн, какие обрабатывают ПДн, какие средства защиты их покрывают.
- ITSM: история изменений в инфраструктуре ИСПДн.
Зачем ITAM и CMDB нужны для информационной безопасности
Инвентаризация как фундамент ИБ
Базовый принцип информационной безопасности: нельзя защитить то, о чём не знаешь. Без полного реестра ИТ-активов невозможно:
- Определить периметр защиты
- Выявить необновлённые системы
- Назначить ответственных за безопасность активов
- Определить, какие данные обрабатываются на каких системах
- Составить модель угроз
Инвентаризация ИТ-активов — первый шаг любого ИБ-проекта, от аудита до категорирования объектов КИИ.
Управление уязвимостями через CMDB
Связи CMDB критичны для управления уязвимостями:
- Обнаружена уязвимость CVE-2025-XXXX в библиотеке OpenSSL 3.0
- CMDB показывает: OpenSSL 3.0 установлен на 15 серверах
- Связи CMDB показывают: эти серверы обслуживают 8 сервисов, включая ИСПДн «Кадры»
- Приоритизация: сначала патчить серверы ИСПДн (критичные данные), затем остальные
- Модуль БДУ ФСТЭК автоматически сопоставляет уязвимости из базы данных угроз с активами в реестре
Без CMDB этот процесс занимает часы ручного анализа. С CMDB — секунды.
Оценка рисков на базе реестра активов
Управление рисками ИБ требует привязки рисков к конкретным активам:
- Актив: сервер базы данных «Кадры»
- Угроза: несанкционированный доступ к ПДн
- Уязвимость: устаревшая версия СУБД
- Вероятность: средняя
- Ущерб: высокий (штраф по 152-ФЗ + репутационный)
- Мера защиты: обновление СУБД, настройка межсетевого экрана
Без реестра активов (ITAM) и карты связей (CMDB) этот анализ невозможен.
Категорирование КИИ и требования регуляторов
Для субъектов КИИ реестр активов — обязательное требование:
| Требование | Что нужно из ITAM/CMDB |
|---|---|
| 187-ФЗ — перечень объектов КИИ | Полный реестр ИС, АСУ, ИТКС |
| Приказ ФСТЭК №239 — категорирование | Связи между ИС и обрабатываемой информацией |
| Приказ ФСТЭК №239 — меры защиты | Перечень СЗИ на каждом объекте КИИ |
| 152-ФЗ — перечень ИСПДн | Состав ИСПДн: серверы, РМ, каналы связи |
| Приказ ФСТЭК №21 — меры защиты ИСПДн | Средства защиты с актуальными сертификатами |
| Приказ ФАПСИ №152 — учёт СКЗИ | Поэкземплярный учёт криптографических средств |
Категорирование объектов КИИ без полной инвентаризации невозможно — именно поэтому процесс категорирования часто затягивается на месяцы.
Обзор ITAM/CMDB-систем для российского рынка
Российские ITSM-платформы с CMDB
Naumen Service Desk — зрелая ITSM-платформа с модулями CMDB и ITAM. Сильные стороны: ITIL-совместимость, гибкая настройка модели данных. В реестре российского ПО.
SimpleOne — современная ITSM-платформа с CMDB, визуализацией связей и автообнаружением. Активно развивается, ориентирована на замену ServiceNow.
ITSM 365 — облачная ITSM-платформа с CMDB-модулем. Подходит для организаций, предпочитающих SaaS-модель.
InfraManager — специализированная система управления ИТ-инфраструктурой с функциями ITAM и CMDB.
Open-source решения (GLPI, iTop)
GLPI — open-source ITAM/ITSM с модулем CMDB. Бесплатный, гибкий, но требует экспертизы для настройки и поддержки. Активное сообщество, множество плагинов.
iTop — open-source CMDB/ITSM от Combodo. Хорошая модель данных CMDB, визуализация связей. Сложнее в настройке, чем GLPI.
Преимущества open-source: бесплатность, гибкость, отсутствие санкционных рисков. Недостатки: необходимость собственной экспертизы, ограниченная поддержка, затраты на администрирование.
SGRC-платформы с ITAM-функциональностью
Отдельная категория — SGRC-системы, которые включают ITAM-функциональность и дополняют её процессами информационной безопасности:
- Инвентаризация ИТ-активов (агентный и безагентный сбор)
- Учёт лицензий и сертификатов (включая сертификаты ФСТЭК и ФСБ)
- Учёт СКЗИ по требованиям ФАПСИ
- Связь активов с рисками, уязвимостями и требованиями регуляторов
- Формирование документов ИБ на основе данных реестра
Сравнительная таблица систем
| Система | Тип | ITAM | CMDB | ИБ-функции | Реестр РФ ПО | Модель |
|---|---|---|---|---|---|---|
| Naumen Service Desk | ITSM | Да | Да | Ограничены | Да | On-premise / Cloud |
| SimpleOne | ITSM | Да | Да | Ограничены | Да | On-premise / Cloud |
| ITSM 365 | ITSM | Да | Базовая | Нет | Да | Cloud |
| InfraManager | ITAM | Да | Да | Ограничены | Да | On-premise |
| GLPI | ITAM/ITSM | Да | Базовая | Нет | Open-source | On-premise |
| iTop | CMDB/ITSM | Базовый | Да | Нет | Open-source | On-premise |
| КиберОснова | SGRC | Да | Да | Полные | Да | On-premise / Cloud |
ITAM + ИБ: почему стандартного ITAM недостаточно
Учёт СЗИ и СКЗИ
Стандартный ITAM учитывает оборудование и ПО как ИТ-активы. Но для информационной безопасности критичны специфические категории, которых нет в типовых ITAM-решениях:
- Средства защиты информации (СЗИ) — межсетевые экраны, антивирусы, DLP, IDS/IPS с привязкой к сертификатам ФСТЭК
- Средства криптографической защиты (СКЗИ) — КриптоПро CSP, VipNet, токены с поэкземплярным учётом по требованиям ФАПСИ
- Ключевые документы — ключи ЭП, ключи шифрования с контролем сроков действия и уничтожения
- Сертификаты соответствия — номер, дата выдачи, срок действия, схема сертификации
Ни одна из перечисленных ITSM-платформ не поддерживает эти категории «из коробки».
Связь активов с рисками и требованиями
Стандартный ITAM: сервер SRV-01 — HP DL380, стоимость 500 000 руб., гарантия до 2027.
ITAM + ИБ (в SGRC): сервер SRV-01 — HP DL380, входит в ИСПДн «Кадры» (152-ФЗ), является значимым объектом КИИ (187-ФЗ), защищён СЗИ: Kaspersky Endpoint Security (сертификат ФСТЭК №ХХХХ до 01.09.2027), межсетевой экран Continent (сертификат №ХХХХ). Риски: 3 высоких, 5 средних. Уязвимости: 2 критические (не закрыты), 8 средних (в работе).
Эта связь позволяет:
- Мгновенно ответить на вопрос аудитора: «Какими СЗИ защищён этот объект КИИ?»
- Приоритизировать устранение уязвимостей по критичности актива
- Автоматически формировать документы: паспорт ИСПДн, акт категорирования КИИ
КиберОснова как ITAM + CMDB + ИБ
КиберОснова объединяет ITAM и CMDB с процессами информационной безопасности в единой платформе:
ITAM-функции:
- Реестр ИТ-активов (оборудование, ПО, лицензии)
- Учёт жизненного цикла (закупка, эксплуатация, списание)
- Контроль лицензий и сертификатов
- Уведомления об истечении
CMDB-функции:
- Связи между активами (сервер — ПО — сервис)
- Принадлежность к информационным системам (ИСПДн, ГИС, объекты КИИ)
- Визуализация зависимостей
- Автоматическое обнаружение (агентное и безагентное)
ИБ-функции (уникальное преимущество):
- Учёт СЗИ и СКЗИ с сертификатами
- Управление рисками — привязка рисков к активам
- Управление уязвимостями — сопоставление с БДУ ФСТЭК
- Комплаенс — покрытие требований регуляторов
- Автоматическое формирование документов ИБ
Стандартный ITAM не знает про СКЗИ, СЗИ и требования ФСТЭК. КиберОснова — SGRC с полноценной инвентаризацией, где каждый актив связан с рисками, уязвимостями и нормативными требованиями.
Как выбрать систему: рекомендации
Приоритет — ИТ-управление: ITSM-платформа
Если основная задача — управление ИТ-услугами (Service Desk, управление инцидентами, изменениями, SLA), выбирайте ITSM-платформу с CMDB:
- Naumen Service Desk или SimpleOne для крупных организаций
- ITSM 365 для быстрого старта в облаке
- GLPI для ограниченного бюджета
Учтите: задачи ИБ (учёт СКЗИ, комплаенс, управление рисками) придётся решать отдельным инструментом.
Приоритет — ИБ: SGRC-платформа
Если основная задача — информационная безопасность (учёт активов для ИБ, комплаенс, управление рисками, подготовка к аудитам), выбирайте SGRC-платформу с ITAM-модулем:
- КиберОснова — ITAM + CMDB + полный набор ИБ-процессов
- Получаете инвентаризацию, которая сразу интегрирована с рисками, уязвимостями и требованиями
Приоритет — оба: интеграция или единая платформа
Для организаций, которым нужны и зрелый ITSM, и полноценные ИБ-процессы, два варианта:
Вариант 1: Два продукта с интеграцией. ITSM-платформа (Naumen, SimpleOne) + SGRC (КиберОснова) с обменом данными об активах через API. Преимущество: лучшие в своём классе решения. Недостаток: затраты на интеграцию, два реестра активов.
Вариант 2: Единая платформа. Если один из процессов (ITSM или ИБ) менее критичен, выбрать платформу, покрывающую приоритетный процесс, а второй — на базовом уровне.
Для большинства организаций, где ИБ — приоритет (субъекты КИИ, операторы ПДн, финансовые организации), оптимален выбор SGRC-платформы с ITAM-функциональностью. Это закрывает и инвентаризацию, и все задачи ИБ в одном решении.
Запросите демо и посмотрите, как КиберОснова объединяет управление активами и информационную безопасность в единой платформе.
Часто задаваемые вопросы
Чем ITAM отличается от CMDB?
ITAM (IT Asset Management) — управление жизненным циклом ИТ-активов с фокусом на финансовый и контрактный аспект: закупка, лицензии, амортизация, списание. CMDB (Configuration Management Database) — база данных конфигурационных единиц с фокусом на технические связи: зависимости между сервисами, конфигурации, влияние изменений. ITAM отвечает на вопрос «чем мы владеем и сколько это стоит», CMDB — «как это связано и что сломается при изменении». На практике они дополняют друг друга: ITAM хранит финансовые данные, CMDB — технические связи.
Зачем ITAM и CMDB нужны для информационной безопасности?
Для ИБ ITAM и CMDB критически важны: инвентаризация — невозможно защитить активы, о которых вы не знаете; оценка рисков — связь актива с угрозами и уязвимостями; управление уязвимостями — какие активы затронуты уязвимостью из БДУ/NVD; реагирование на инциденты — CMDB показывает, на какие сервисы влияет скомпрометированный актив; комплаенс — перечень активов для требований ФСТЭК, 152-ФЗ, 187-ФЗ; категорирование КИИ — для определения значимых объектов нужен полный реестр.
Что такое конфигурационная единица (CI) в CMDB?
Конфигурационная единица (CI, Configuration Item) — любой компонент ИТ-инфраструктуры, который нужно контролировать: физический сервер, виртуальная машина, сетевое устройство, приложение, база данных, ИТ-сервис, документ. Каждая CI имеет набор атрибутов (имя, тип, владелец, статус, версия) и связи с другими CI (зависит от, установлен на, обслуживается). Совокупность CI и их связей формирует модель ИТ-инфраструктуры организации, необходимую для управления изменениями и реагирования на инциденты.
Какие ITAM-системы существуют на российском рынке?
Российские ITAM/CMDB-решения: Naumen ITAM — модуль управления активами в составе Naumen Service Desk; ITSM 365 — облачная ITSM-платформа с CMDB; InfraManager — управление ИТ-инфраструктурой; SimpleOne — ITSM-платформа с CMDB-модулем; КиберОснова — SGRC-платформа с модулем инвентаризации, ориентированная на задачи ИБ. Из зарубежных (ограничены санкциями): ServiceNow CMDB, Ivanti ITAM, GLPI (open-source). Выбор зависит от приоритета: ИТ-управление (ITSM-платформы) или информационная безопасность (SGRC).
Можно ли обойтись без ITAM и CMDB?
Для малых организаций (до 50 ИТ-активов) можно вести учёт в Excel или простой базе данных. Однако при масштабе 100+ активов возникают неизбежные проблемы: нет единого источника правды — данные разбросаны по Excel, AD, мониторингу; связи между активами отсутствуют; дубликаты и устаревшие записи накапливаются; нет автоматических уведомлений об истечении лицензий и гарантий; невозможно быстро ответить на вопросы аудитора. Для организаций — субъектов КИИ реестр активов обязателен по 187-ФЗ.
Как связаны ITAM, CMDB, ITSM и ITIL?
ITIL — библиотека лучших практик управления ИТ-услугами (фреймворк). ITSM — практика управления ИТ-услугами по принципам ITIL (процессы: управление инцидентами, изменениями, проблемами). CMDB — база данных, обеспечивающая процессы ITSM информацией о конфигурации ИТ-инфраструктуры. ITAM — управление ИТ-активами, включая финансовый и лицензионный учёт. Все четыре понятия работают вместе: ITIL определяет правила, ITSM — процессы, CMDB — данные о конфигурации, ITAM — данные об активах.
