HANDREIKING PROCES CONFIGURATIEBEHEER Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
Colofon Naam document Handreiking proces configuratiebeheer Versienummer 1.0 Versiedatum Juni 2014 Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD). Copyright 2014 Kwaliteitsinstituut Nederlandse Gemeenten (KING). Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties. Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden: 1. KING wordt als bron vermeld; 2. het document en de inhoud mogen commercieel niet geëxploiteerd worden; 3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten, blijven onderworpen aan de beperkingen opgelegd door KING; 4. iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling. Rechten en vrijwaring KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan. Met dank aan De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product. In samenwerking met De producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) worden vervaardigd in samenwerking met: 2
Voorwoord De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en actief sinds 1 januari 2013. Aanleiding voor de oprichting van de IBD vormen enerzijds de leerpunten uit een aantal grote incidenten op informatiebeveiligingsvlak en anderzijds de visie Digitale Overheid 2017. De IBD is er voor alle gemeenten en richt zich op bewustwording en concrete ondersteuning om gemeenten te helpen hun informatiebeveiliging naar een hoger plan te tillen. De IBD heeft drie doelen: 1. Het preventief en structureel ondersteunen van gemeenten bij het opbouwen en onderhouden van bewustzijn als het gaat om informatiebeveiliging. 2. Het leveren van integrale coördinatie en concrete ondersteuning op gemeente specifieke aspecten in geval van incidenten en crisissituaties op het vlak van informatiebeveiliging. 3. Het bieden van gerichte projectmatige ondersteuning op deelgebieden om informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een voorbeeld van een dergelijk project. Hoe realiseert de IBD haar doelen? Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om te meten of de organisatie in control is op het gebied van informatiebeveiliging. Om de implementatie van de Strategische- en Tactische Baseline te ondersteunen, zijn door de IBD in samenwerking met de Taskforce Bestuur en Informatieveiligheid Dienstverlening producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd, genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is onderdeel van het productenportfolio. Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht op de website van de IBD. De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van de regels. Hierbij geldt: - Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: GBA, SUWI, BAG, PUN en WBP, maar ook de archiefwet. - Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). - De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat kader voor afweging en prioritering op basis van het pas toe of leg uit principe. 3
Leeswijzer Dit product maakt onderdeel uit van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Doel Dit product bevat aanwijzingen voor het omgaan van alle componenten die deel uitmaken van de ICTinfrastructuur, en aanwijzingen voor gebruik en inrichting van het proces configuratiebeheer. Doelgroep Dit document is van belang voor de systeemeigenaren, applicatiebeheerders en de ICT-afdeling. Relatie met overige producten Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) o Strategische variant van de Baseline Informatiebeveiliging voor Gemeenten o Tactische variant van de Baseline Informatiebeveiliging voor Gemeenten Informatiebeveiligingsbeleid van de gemeente Procedure wijzigingsbeheer Incident Management en responsebeleid Basis continuïteitsplannen in verband met stroomuitval / Disaster Recovery Plan (DRP) Business Continuity Management (BCM) Basis beveiligingsparagraaf Service Level Agreement (SLA) Uitbesteding ICT-diensten Patchmanagement Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Maatregel 7.1.1 Inventarisatie van bedrijfsmiddelen Maatregel 7.1.3 Aanvaardbaar gebruik van bedrijfsmiddelen Maatregel 12.4.1 Beheersing van operationele programmatuur 4
Inhoudsopgave Colofon 1 Voorwoord 3 Leeswijzer 4 Inhoudsopgave 5 1 Inleiding 6 1.1 De indeling van dit document is als volgt: 7 1.2 Aanwijzing voor gebruik 7 2 Handreiking proces 9 2.1 Invoeren/registeren nieuwe configuratie-items 10 2.2 Beheer configuratiebeheerdatabase 12 2.3 Statusbewaking van de configuratie-items 14 2.4 Verificatie configuratiebeheerdatabase 14 2.5 Rapportage 15 3 Prestatie-indicatoren 16 Bijlage: Definities 17 Bijlage: Literatuur/bronnen 20 5
1 Inleiding De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft maatregelen beschreven die te maken hebben met configuratiebeheer, zie hiervoor ook het voorbeeld gemeentelijk informatiebeveiligingsbeleid. Doelstelling procedure configuratiebeheer Configuratiebeheer draagt er zorg voor dat de gegevens over de ICT-infrastructuur (ICT-middelen en -diensten) betrouwbaar worden vastgelegd en dat actuele en relevante gegevens aan andere ICT-beheerprocessen worden geleverd over de ICT-middelen, hun onderlinge samenhang (relaties) en de relaties met de ICT-diensten. Configuratie-items De gegevens over de ICT-infrastructuur (ICT-middelen en -diensten) worden aangeduid als configuratie-item (CI) en hebben betrekking op hard- en software, netwerkverbindingen en documentatie en worden bij voorkeur in een geautomatiseerde database, de Configuratiebeheer database (CBDB), vastgelegd. Tevens wordt de onderlinge samenhang tussen deze componenten vastgelegd. De informatiebehoeften van afhankelijke ICT-beheerprocessen bepalen de aard en diepgang van de vastleggingen over configuratie-items. Beheerdoelstellingen van configuratiebeheer De volgende beheerdoelstelling van configuratiebeheer dient met een redelijke mate van zekerheid te worden gewaarborgd: Configuratie-items, hun kenmerken en onderlinge samenhang dienen juist, volledig en tijdig te worden geïdentificeerd en vastgelegd. Indien configuratie-items niet juist, volledig en tijdig worden geïdentificeerd en vastgelegd, bestaat het risico dat de hiervan afhankelijke ICT-beheerprocessen niet van juiste en volledige informatie 1 worden voorzien over de configuratie-items, waardoor zowel de beschikbaarheid, integriteit, vertrouwelijkheid als controleerbaarheid van de ICT-diensten kan worden aangetast. De procedures waarborgen dat alle wijzigingen in de configuraties juist, volledig en tijdig worden vastgelegd in de registratie. Het is daarom van belang, dat periodiek door controle wordt vastgesteld, dat de geregistreerde gegevens van de configuratie-items overeenkomen met de werkelijkheid, en dat bij verschillen de registratie weer in overeenstemming gebracht wordt met de werkelijkheid. Belang van configuratiebeheer voor informatiebeveiliging Het belang van configuratiebeheer voor informatiebeveiliging omvat: Configuratiebeheer heeft een beveiligingsbelang in het kader van de integriteitshandhaving, doordat het kan borgen dat updates van configuratie-items overal worden aangebracht waar ze worden gebruikt. Configuratiebeheer kan de beveiligingsclassificatie van de ICT-middelen vastleggen. Deze classificatie kan worden gebruikt om beveiligingsmaatregelen beter toe te snijden op de risico s van het hebben of gebruiken van configuratie-items, al dan niet afhankelijk van de soort omgeving of bedrijfsproces. 2 1 Het gaat hierbij om zowel actuele als historische informatie. 2 De te nemen maatregelen moeten worden afgestemd op de risico s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen. 6
Configuratiebeheer is voorwaardenscheppend voor bijna alle andere ICT-beheerprocessen, voorbeelden hiervan zijn: o Door juiste, volledige en tijdige informatieverstrekking aan wijzigingsbeheer 3 wordt voorkomen dat er verschillende (en dus verouderde) versies van hetzelfde configuratieitem in exploitatie komen of zijn. o Door het beschikbaar stellen van documentatie van ICT-middelen en hun onderlinge (netwerk-)verbindingen, is het mogelijk om fysieke en logische toegangsbeveiliging 4 te beoordelen. Activiteiten configuratiebeheerder. De configuratiebeheerder voert onder andere onderstaande activiteiten uit. Hij/zij: Stelt naamgevingstandaards op, bewaakt de naleving en breidt deze eventueel uit. Registreert en identificeert (nieuwe) configuratie-items. Bewaakt en geeft inzicht in de actuele status van configuratie-items. Verstrekt informatie tijdens de impactanalyse over welke ICT-middelen waar gebruikt worden. Verstrekt informatie over de gebruikte softwareversies. Stelt rapportages op over aanwezige ICT-middelen, geconstateerde afwijking tussen de in de configuratiebeheerdatabase geregistreerde gegevens en de werkelijkheid, evaluatie van het proces configuratiebeheer et cetera. 1.1 De indeling van dit document is als volgt: Hoofdstuk 2: Handreiking proces Hoofdstuk 3: Prestatie-indicatoren 1.2 Aanwijzing voor gebruik Deze handleiding is geschreven om informatiebeveiligingsmaatregelen met betrekking tot configuratiebeheer uit te werken en daarbij handreikingen te geven voor het proces rondom configuratiebeheer en aanverwante procedures. Deze handleiding is geen volledige procesbeschrijving. Het proces configuratiebeheer wordt vaak uitgevoerd binnen de ICT-afdeling. De gemeentelijke beleidsregels met betrekking tot configuratiebeheer zijn: 5 a) Alle bedrijfsmiddelen moeten geïdentificeerd zijn, er moet een inventaris van worden bijgehouden. b) Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen, aan een 'eigenaar' (een deel van de organisatie) toewijzen. c) Regels vaststellen, het documenteren en implementeren voor aanvaardbaar gebruik van informatie en bedrijfsmiddelen, die verband houden met ICT-voorzieningen. d) Apparatuur, informatie en programmatuur van de organisatie, mogen niet zonder toestemming vooraf, van de locatie worden meegenomen. 3 Zie hiervoor ook het operationele product Handreiking proces wijzigingsbeheer van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 4 Zie hiervoor ook het operationele product Toegangsbeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 5 Zie ook het voorbeeld Algemene informatiebeveiligingsbeleid van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 7
e) De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd, maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. f) Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de Chief Information Security Officer (CISO) en dienen jaarlijks gecontroleerd te worden door de eigenaren. 8
2 Handreiking proces Binnen configuratiebeheer worden de volgende activiteiten onderkend: Registratie: Invoeren/registreren van nieuwe configuratie-items Beheer: Beheer van de configuratiebeheerdatabase Statusbewaking: Statusbewaking van de configuratie-items Verificatie: Verificatie van configuratiebeheerdatabase Voordat begonnen kan worden met de implementatie van het proces configuratiebeheer dient door de gemeente overeenstemming te zijn bereikt over onderstaande punten: Het doel van het proces dient eenduidig te zijn vastgelegd. Wat is de reikwijdte (bereik) van het proces? Welke configuratie-items worden wel en welke worden niet geregistreerd? Wordt de hele levenscyclus van een configuratie-item vastgelegd of slechts een deel? Tot op welk detailniveau worden ICT-middelen geregistreerd? Het laagste niveau waarop nog uniek identificeerbare componenten onderscheiden kunnen worden, bijvoorbeeld: werkstation, monitor, netwerkkaart, CD/DVD. Bedenk dat ICT-middelen een waarde vertegenwoordigen en dat verantwoording mogelijk moet zijn over bestede gelden (terugkijken) en geschatte onderhoudskosten (planning). Welke attributen (eigenschappen en kenmerken) van een configuratie-item worden geregistreerd? Voor het inrichten van een configuratiebeheerdatabase moet bepaald worden welke attributen worden vastgelegd. Identificatiecode, serienummer, categorie (hard-, software, netwerk of documentatie), status, versienummer, merk, model en type, locatie, aanschafwaarde, verantwoordelijke functionaris/eigenaar, beveiligingsclassificatie, bron of leverancier, aanschafdatum, leveringsdatum, licentienummer of referentie naar een licentiecontract, verloopdatum licentie, kritiek configuratie-item (ja/nee), IP-adressen en URL s, relaties met ander configuratie-items, identificatienummers met incidenten, problemen, onderkende fouten, wijziging voorstellen en wijzigingsrecords en commentaar, huidige status, acceptatiedatum, et cetera. Welke relaties tussen configuratie-items worden in de configuratiebeheerdatabase geregistreerd? Bijvoorbeeld: is hiërarchisch ondergeschikt aan, is verbonden met, maakt gebruik van, is onderdeel van, is een kopie van en heeft betrekking op. De verantwoordelijkheden en bevoegdheden in het proces dienen duidelijk te zijn vastgelegd. Er dient te zijn bepaald welke functies of processen direct te maken hebben met het proces. Er dient voldoende inzicht en kennis aanwezig te zijn bij de gerelateerde functies of processen met betrekking tot het doel, verantwoordelijkheden en werkwijze van het proces. Zijn er relaties met andere ICT-beheerprocessen, zoals incidentbeheer en wijzigingsbeheer? Zijn er nog andere processen binnen de gemeente die deze informatie gebruiken? Welke rapportagemogelijkheden zijn noodzakelijk? Tenslotte dient de configuratiebeheerdatabase ook als middel bij het identificeren van beveiligingsupdates en patches of IP-nummers gerelateerd aan IBD-meldingen. In het aansluitproces van de gemeente bij de IBD 6 is deze informatie ook nodig, om te borgen dat de juiste meldingen door de gemeente kunnen worden ontvangen. Het is raadzaam om in de 6 Zie hiervoor ook het stappenplan 'Aansluiten bij de IBD'. 9
configuratiebeheerdatabase de volgende configuratie-items mede vast te leggen: externe IPnummers en software pakketten met hun versienummer. Beoordelen kwaliteit configuratiebeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om configuratiebeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiebeheer te maken. Is het doel van configuratiebeheer eenduidig vastgelegd? Zijn verantwoordelijkheid en bevoegdheden voor het opvoeren en wijzigen van configuratieitems, en daarmee voor de inhoudelijke juistheid van de configuratiebeheerdatabase eenduidig in de gemeente belegd? Is bepaald welke functies of processen direct te maken hebben met het proces? Zijn procedurebeschrijvingen beschikbaar waarin de activiteiten van de verschillende betrokkenen zijn vastgelegd? Is bij de gerelateerde processen voldoende inzicht en kennis aanwezig met betrekking tot het doel, de verantwoordelijkheden en de werkwijze van het proces? Is een rapportagestructuur vastgelegd ten aanzien van het functioneren van het proces? Worden de rapportages gebruikt voor sturing van het proces? Worden de rapportages op regelmatige basis opgesteld? En aangevuld met ad hoc rapportages? 2.1 Invoeren/registeren nieuwe configuratie-items Binnen deze activiteit wordt het proces ingericht om alle componenten van de ICT-infrastructuur onder controle te brengen en de configuratiebeheerdatabase up-to-date te houden. Om dit te verwezenlijken moeten alle configuratie-items bij de gemeente worden geïdentificeerd en geregistreerd. Hiervoor moeten alle nieuwe of bestaande nog niet geregistreerde configuratie-items worden voorzien van een label met een unieke identificatiecode. Deze procedure is van toepassing op de gehele ICT-infrastructuur en is geldig vanaf het moment van levering van goederen, tot het moment dat de configuratie-items in productie kunnen worden genomen. Activiteiten omvatten onder andere, het opstellen van een datamodel voor het registreren van alle componenten in de ICT-infrastructuur, het bepalen en onderhouden van naamgeving en versienummering van fysieke componenten in de ICT-infrastructuur, hun onderlinge samenhang, informatie over eigenaar/verantwoordelijke, status, beschikbare documentatie en de relevante eigenschappen en kenmerken (attributen). Met behulp van deze attributen wordt informatie opgeslagen die relevant is voor het betrokken configuratie-item en die aansluit op de informatiebehoefte van andere processen. Enkele belangrijke attributen zijn: Technische aspecten (bijvoorbeeld: unieke identificatiecode, merk, model en type, versienummer, categorie (hard-, software, netwerk of documentatie), aanschafdatum, aanschafwaarde, huidige status, beveiligingsclassificatie, relatie met dienst en andere configuratie-items, belang component (consequenties uitval), kritiek configuratie-item (ja/nee), IP-adressen en URL s. Registratie-aspecten (bijvoorbeeld: wanneer, door wie en op basis waarvan een wijziging in registratie heeft plaatsgevonden, acceptatiedatum, identificatienummers met incidenten, problemen, onderkende fouten, wijziging voorstellen en wijzigingsrecords en commentaar). 10
Onderhoudsaspecten (bijvoorbeeld: leveringsdatum, licentienummer of referentie naar een licentiecontract, verloopdatum licentie, onderhoudscontracten, verrichting onderhoud, leverancier, serviceverlener). Organisatorische aspecten (bijvoorbeeld: locatie, verantwoordelijke functionaris/eigenaar, beheerder, functioneel houder, technisch houder, budgethouder). Hieronder wordt een overzicht gegeven van de activiteiten, die binnen invoeren/registreren kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Melding nieuw configuratie-item Er kunnen van verschillende kanten meldingen binnenkomen voor nieuwe configuratie-items, zoals: Levering van ICT-goederen die na controle op juistheid en Configuratiebeheer (U) volledigheid geregistreerd worden. Tijdens dagelijkse werkzaamheden wordt geconstateerd dat een Expertiseteams (U) ICT-component nog niet als configuratie-item in de configuratiebeheerdatabase is geregistreerd. Configuratie-item invoeren in configuratiebeheerdatabase en voorzien van identificatiecode De (fysieke) ICT-component wordt voorzien van een label waarop een unieke identificatiecode staat. 7 Configuratiebeheer (U) Het configuratie-item wordt in de configuratiebeheerdatabase ingevoerd, inclusief het bijbehorende type en de samenhang met andere configuratie-items. Configuratiebeheer (U) IBD-dienstverlening De IBD waarschuwt gemeenten zo snel als mogelijk en proactief over aankomende of acute ICT gerelateerde beveiligingsrisico s, zoals kwetsbaarheden in soft- en/of hardware. 8 Hierbij stemt de IBD de waarschuwingen specifiek af op de ICT-omgeving van de gemeenten, die aangesloten zijn bij de IBD en de daar gebruikte ICT-producten. Om deze dienst zo efficiënt en effectief mogelijk te kunnen uitvoeren, heeft de IBD een lijst met IP-adressen en URL s nodig en informatie over de bij de gemeente in gebruik zijnde hard- en software. De configuratiebeheerdatabase kan hierbij als hulpmiddel dienen en het is dan ook raadzaam om in de configuratiebeheerdatabase de volgende configuratie-items vast te leggen: externe IP-adressen en URL s, en hard- en software met hun versienummer. Beoordelen kwaliteit configuratiebeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen configuratiebeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiebeheer te maken. 7 Configuratie items worden gelabeld in overeenstemming met de afgesproken naamgevingconventies bij de gemeente. Deze naamgevingconventies moeten vooraf door de gemeente zijn opgesteld. 8 Zie hiervoor ook het IBD Dienstenportfolio en de factsheets Incidentpreventie en Incidentpreventie; Kwetsbaarheidswaarschuwingen. 11
Is er een indeling naar typen configuratie-items? Bijvoorbeeld: hardware, systeem software, applicatie software van leveranciers, applicatie software ontwikkeld in eigen beheer, documentatie, procedures, apparatuur ten behoeve van stroomvoorziening, klimaatbeheersing en dergelijke, bekabeling, netwerk apparatuur, communicatiemiddelen et cetera. Is voor de verschillende typen configuratie-items: 1. Een gewenst detailleringsniveau vastgesteld? 2. Vastgelegd welke attributen gebruikt worden? 3. Vastgesteld welke status categorieën geldig zijn? Wordt bij de inventarisatie van de ICT-middelen onderscheid gemaakt naar bijvoorbeeld harden software, netwerkverbindingen en documentatie? Zijn de ICT-middelen duidelijk geïdentificeerd? Is voor alle ICT-middelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie verantwoordelijk is voor mogelijke beveiligingsmaatregelen? Zijn de ICT- /bedrijfsmiddelen geclassificeerd conform de informatie die ermee wordt verwerkt of opgeslagen? 9 Is de beveiligingsclassificatie van de ICT-middelen vastgelegd? Zijn relaties tussen de configuratie-items vastgelegd? Wordt bij de registratie van configuratie-items gebruik gemaakt van een tool? Is vastgelegd welke configuratie-items expliciet niet onder verantwoordelijkheid van het proces vallen? Is de registratie centraal en geïntegreerd met andere ICT-beheerprocessen? Bestaat er een systematiek voor de codering van ICT-middelen? Geldt de systematiek voor alle ICT-middelen? Wordt labeling toegepast voor alle ICT-middelen? Zijn ICT-middelen zodanig gekenmerkt dat duidelijk is hoe deze, conform de beveiligingsclassificatie, verwerkt moeten worden? Wordt bij het aanbrengen van het kenmerk op een fysieke configuratie-item, gebruik gemaakt van een methode waarbij dat identificatiekenmerk niet ongeschonden verwijderd of veranderd kan worden? 2.2 Beheer configuratiebeheerdatabase Beheer zorgt ervoor dat de inhoud van de configuratiebeheerdatabase actueel blijft door alleen geautoriseerde en geïdentificeerde configuratie-items toe te laten, te registeren en te bewaken. Bij alle activiteiten waarbij opgenomen kenmerken van of relaties tussen configuratie-items wijzigen, dient deze wijziging te worden geregistreerd in de configuratiebeheerdatabase. Tevens zorgt beheer ervoor dat geen configuratie-item wordt toegevoegd, aangepast, vervangen of verwijderd, zonder dat daarvan passende documentatie aanwezig is, zoals een goedgekeurd wijzigingsverzoek of een aangepaste specificatie. Het is de verantwoordelijkheid van configuratiebeheer om alleen wijzigingen op de ICT-infrastructuur toe te staan, die via wijzigingsbeheer zijn geautoriseerd. Bij de gemeente dienen procedures en werkinstructies aanwezig te zijn, voor het afhandelen van nieuwe configuratie-items en wijzigingen aan configuratie-items. 9 Zie hiervoor ook het operationele product Handreiking dataclassificatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). 12
Hieronder wordt een overzicht gegeven van de activiteiten die binnen beheer kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Melding wijziging op de ICT-infrastructuur Wijzigingen 10 op configuratie-items kunnen door verschillende gemeente functionarissen en als gevolg van verschillende oorzaken aan configuratiebeheer gemeld worden, bijvoorbeeld: Bij het oplossen van een incident wordt een fout in de Servicedesk (U) configuratiebeheerdatabase geconstateerd. Er wordt een wijziging om een incident of bekend probleem op Expertiseteam (U) te lossen doorgevoerd. Er wordt een nieuwe release van een applicatie doorgevoerd. Expertiseteam (U) Invoeren nieuw type configuratie-item in de configuratiebeheerdatabase Er wordt een nieuw type configuratie-item in de Configuratiebeheer (U) configuratiebeheerdatabase aangemaakt. Vragen die hierbij van belang zijn: Is dit nieuwe type geautoriseerd volgens afspraak (informatie van dienstenniveaubeheer) Mogen configuratie-items van dit type volgens de vastgestelde lijst standaard worden ingezet? Wijzigen configuratie-item in de configuratiebeheerdatabase 11 De configuratie-items worden in de configuratiebeheerdatabase Configuratiebeheer (U) gewijzigd aan de hand van de ontvangen gegevens, zodat de configuratiebeheerdatabase weer overeenkomt met de fysieke situatie van de configuratie-items. 12 Als gevolg van de wijziging kan het mogelijk zijn dat de status van een configuratie-item moet worden veranderd. Bij wijzigingen in de configuratiebeheerdatabase is geborgd dat de relaties consistent blijven. Wijzigen relaties en gerelateerde configuratie-items in de configuratiebeheerdatabase Er moet worden vastgesteld of een wijziging op een configuratieitem gevolgen heeft op de gegevens van, of de relatie met andere Configuratiebeheer (U) configuratie-items. De mogelijke wijzigingen worden in de configuratiebeheerdatabase doorgevoerd. 13 10 De wijziging moet goedgekeurd zijn door wijzigingsbeheer. De uitvoerder van een wijziging controleert of er mogelijk ook andere configuratie-items wijzigen als gevolg van een door hem gemaakte aanpassing in de ICTinfrastructuur. In het geval van standaardwijzigingen kan van goedkeuring worden uitgegaan. 11 Er wordt aan de melder teruggekoppeld dat de wijziging is doorgevoerd. 12 Configuratiebeheer verifieert bij wijzigingsbeheer of de wijziging is goedgekeurd. 13 Er wordt aan de melder teruggekoppeld op het moment dat andere configuratie-items of relaties zijn aangepast. 13
Beoordelen kwaliteit configuratiebeheer Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen configuratiebeheer te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiebeheer te maken: Is de registratie van ICT-middelen up-to-date en volledig? Is er een procedure (werkwijze) voor het invoeren van nieuwe configuratie-items en wijzigingen? Zijn er formele afspraken omtrent onderhoud van configuratie-items? Worden afwijkingen van de procedures en onjuist geregistreerde configuratie-items gelogd? Wordt hierover ook gerapporteerd? 2.3 Statusbewaking van de configuratie-items Deze activiteit zorgt voor de registratie van actuele en historische gegevens over de status van een configuratie-item gedurende de gehele levenscyclus. Hiervoor dienen de historische gegevens met betrekking tot de ICT-middelen en de daaraan gerelateerde gegevens beschikbaar te blijven. De levenscyclus van een component kan in verschillende stadia worden ingedeeld. Statusbewaking maakt het mogelijk om wijzigingen in status te traceren, zoals besteld, ontvangen, op voorraad, in ontwikkeling, wordt getest, is geaccepteerd, in productie, in onderhoud en uitgefaseerd. Door de datum van elke statusverandering te registreren, kan een goed beeld ontstaan van de levenscyclus van een product: de besteltijden, de installatietijden en de hoeveelheid onderhoud en ondersteuning die eraan besteed is en het aantal beveiligingsincidenten dat eraan kan worden gerelateerd. 2.4 Verificatie configuratiebeheerdatabase Deze activiteit bestaat uit het zorgdragen dat de actuele situatie nog overeenkomt met de gegevens in de configuratiebeheerdatabase. Het kan voorkomen dat de ICT-infrastructuur is gewijzigd zonder dat configuratiebeheer daarvan op de hoogte is gebracht. Om de actualiteit van de gegevens in de configuratiebeheerdatabase te garanderen is het noodzakelijk de gegevens te verifiëren met de werkelijkheid. Verificatie van de gegevens in de configuratiebeheerdatabase gaat door middel van audits op de ICT-infrastructuur. De gemeente kan hiervoor gebruik maken van audittools. Deze audittools kunnen bijvoorbeeld door de gemeente worden ingezet om automatisch de werkstations te controleren of deze nog conform het vastgelegd beleid zijn geconfigureerd. Deze gegevens kunnen worden gebruikt om de actuele situatie te controleren en te actualiseren. De verificatie vindt op continue basis en op geplande basis plaats: Op continue basis. Tijdens de dagelijkse werkzaamheden kunnen door de expertiseteams afwijkingen worden geconstateerd. De ICT-servicedesk van de gemeente kan bijvoorbeeld tijdens het oplossen van een incident constateren dat de configuratiebeheerdatabase afwijkt van de werkelijkheid. Op geplande basis. Als uit het aantal opgemerkte en gerapporteerde afwijkingen blijkt dat de betrouwbaarheid en volledigheid van de configuratiebeheerdatabase tekortschiet, kan de gemeente besluiten om op een bepaalde datum een audit uit te voeren op (een deel van) de ICT-infrastructuur. Audits kunnen ook op onderstaande tijdstippen worden uitgevoerd: o Aansluitend op de implementatie van de nieuwe configuratiebeheerdatabase. o Voor en na belangrijke wijzigingen. 14
o o o o Na een uitwijksituatie. Dagelijks/wekelijks als gebruik wordt gemaakt van audittools. Op willekeurige momenten (steekproef). Periodiek volgens een opgestelde planning. Na afloop van een audit dient de gemeente zich de volgende vraag te stellen: Komt de actuele situatie nog overeen met de configuratiebeheerdatabase, zo nee waarom niet, en wat zijn de gevolgen voor wijzigingsbeheer (accurate impactanalyses van geplande wijzigingen)? Hieronder wordt een overzicht gegeven van de activiteiten die binnen verificatie kunnen worden onderkend. Hierbij wordt tevens aangegeven wie verantwoordelijk is voor de uitvoering en wie een coördinerende taak heeft. Activiteit Uitvoering (U) / Coördinatie (C) Uitvoeren continue of geplande verificatie De in de configuratiebeheerdatabase geregistreerde gegevens Expertiseteam (U) worden vergeleken met de werkelijkheid. Configuratiebeheer (C) Tijdens de dagelijkse werkzaamheden kunnen afwijkingen worden geconstateerd. In een afgebakende periode vindt een geplande verificatieslag plaats, waarin een groot aantal configuratie-items worden gecontroleerd. Rapporteer afwijking Er vindt rapportage plaats over de geconstateerde afwijking. Expertiseteam (U) Configuratiebeheer (C) Analyseer afwijking Er vindt een analyse plaats van de geconstateerde afwijkingen om Configuratiebeheer (U) de oorzaak te achterhalen. Als de oorzaak bekend is kunnen maatregelen worden genomen om herhaling van een afwijking te voorkomen. Rapporteer resultaten geplande verificatie Er wordt over de afwijkingen die de geplande verificatie heeft Configuratiebeheer (U) opgeleverd gerapporteerd. 2.5 Rapportage Rapportage dient om de andere processen van informatie te voorzien en te rapporteren over trends en ontwikkelingen rond het gebruik van configuratie-items. Hierbij kunnen de volgende (interne) managementrapportages worden opgeleverd: Overzichten van configuratie-items waarop meer dan een minimumaantal wijzigingen of incidenten zijn gelogd. Gegevens over de opbouw en samenstelling van de ICT-infrastructuur. 15
3 Prestatie-indicatoren Prestatie-indicatoren dienen aan te geven in welke mate het proces configuratiebeheer slaagt in haar doelstelling: het betrouwbaar vastleggen en het leveren van actuele en relevante gegevens aan andere ICT-beheerprocessen over de ICT-middelen, hun onderlinge relaties en de relaties met de ICT-diensten. Prestatie-indicatoren die door de dienstenorganisatie kunnen worden gemeten, zijn onder andere: 1. Periodiciteit van de evaluatie van de structuur van de configuratiebeheerdatabase. 2. Periodiciteit van controle op de juistheid en volledigheid van de configuratiebeheerdatabase. 3. Aantal incidenten per impactcategorie, per evaluatieperiode toe te schrijven aan afwijkingen in de configuratiebeheerdatabase. 4. Het aantal configuratie-items waarvan de omschrijving is aangepast. 5. Het aantal vastgestelde verschillen tussen de geregistreerde configuratie-items en de bij een audit aangetroffen situatie (delta s), desgewenst uitgesplitst naar oorzaak: 1. Het aantal keren dat aangetroffen configuratie-items niet zijn geautoriseerd. 2. Het aantal keren dat geregistreerde configuratie-items niet zijn aangetroffen. 3. Het aantal keren dat geregistreerde configuratie-items onjuist zijn geregistreerd: afwijking op het niveau van attributen, die zijn ontdekt tijdens audits. 6. Het aantal audits dat is uitgevoerd. 7. Het aantal rapportages dat is gepubliceerd. 8. Het aantal raadplegingen van de configuratiebeheerdatabase. 9. De snelheid waarmee verzoeken om registratie zijn afgehandeld. 16
Bijlage: Definities Bron: http://www.exin-library.com/player/eknowledge/itildutchglossary.pdf Back-out (terugvalscenario): Een activiteit die een dienst of een ander configuratie-item terugzet op een eerder uitgangspunt. Back-out wordt gebruikt als een vorm van herstel wanneer een wijziging of uitgifte niet lukt. Bekende fout: Een probleem dat een gedocumenteerde onderliggende oorzaak en een workaround heeft. Bekende fouten worden tijdens hun levenscyclus gecreëerd en beheerd door probleembeheer. Bekende fouten kunnen ook worden geïdentificeerd door ontwikkeling en leveranciers. Categorie: Een bepaalde groep van zaken die iets gemeen hebben. Categorieën worden gebruikt om gelijke zaken te groeperen. Bijvoorbeeld: kostentypen worden gebruikt om gelijke typen kosten te groeperen, incidentcategorieën worden gebruikt om gelijke typen incidenten te groeperen, CItypen worden gebruikt om gelijke typen configuratie-items te groeperen. Configuratiebeheer: Het proces dat verantwoordelijk is om te garanderen dat de bedrijfsmiddelen, die nodig zijn om diensten te leveren op een adequate wijze worden beheerd, en dat accurate en betrouwbare informatie over die bedrijfsmiddelen beschikbaar is, wanneer en waar dat nodig is. Die informatie omvat details over hoe de bedrijfsmiddelen zijn samengesteld en details over relaties tussen bedrijfsmiddelen. Configuratiebeheerdatabase (CBDB): Een gegevensbestand dat wordt gebruikt om de configuratieregistraties op te slaan tijdens hun levenscyclus. Het configuratiebeheersysteem onderhoudt een of meer CBDB's, en elke CBDB slaat attributen van configuratie-items op. Evenals relaties met andere configuratie-items. Configuratie-item (CI): Elk component of ander dienstenbedrijfsmiddel dat beheert moet worden voor de levering van een ICT-dienst. Informatie over elk configuratie-item is geregistreerd in een configuratieregistratie binnen het configuratiebeheersysteem, en wordt onderhouden tijdens zijn levenscyclus door dienstenbedrijfsmiddelen- en configuratiebeheer. Wijzigingsbeheer is verantwoordelijk voor wijzigingen aan configuratie-items. Kenmerkende configuratie-items zijn bijvoorbeeld: ICT-diensten, hardware, software, gebouwen, mensen, en formele documentatie, zoals procesdocumentatie en diensten niveau overeenkomsten. Dienstenniveaubeheer: Het proces dat verantwoordelijk is om realiseerbare diensten niveau overeenkomsten af te spreken en garandeert dat daaraan wordt voldaan. Dienstenniveaubeheer is verantwoordelijk voor de garantie dat alle ICT-dienstenbeheerprocessen, operationele overeenkomsten en onderliggende contracten zijn afgestemd op de overeengekomen dienstenniveaudoelen. Dienstenniveaubeheer bewaakt dienstenniveaus, rapporteert erover, evalueert de dienstverlening regelmatig met de klant en identificeert vereiste verbeteringen. De Diensten Niveau Overeenkomst (DNO): Een overeenkomst tussen een ICTdienstenaanbieder en een klant. De DNO beschrijft de ICT-dienst, legt dienstenniveaudoelen vast en definieert de verantwoordelijkheid van de ICT-dienstenaanbieder en de klant. Een afzonderlijke overeenkomst kan verschillende ICT-diensten of verscheidene klanten bevatten. 17
Expertiseteam: zie oplosgroep. Impact: De mate waarin een incident, probleem of wijziging effect heeft op bedrijfsprocessen. Impact is vaak gebaseerd op het effect op dienstenniveaus. Impact en urgentie worden gebruikt op prioriteit aan te geven. Urgente wijziging / noodwijziging / emergency change: Een wijziging die zo snel mogelijk moet worden geïntroduceerd. Bijvoorbeeld: om een ernstig incident op te lossen of een beveiligingspatch te implementeren. Het wijzigingsbeheerproces heeft gewoonlijk specifieke procedures voor het omgaan met noodwijzigingen. Noodwijzigingenadviescommissie / Emergency Change Advisory Board (ECAB): Een subgroep van de wijzigingenadviescommissie die besluiten neemt over noodwijzigingen. Tot lidmaatschap kan worden besloten op het moment dat een vergadering plaatsvindt en is afhankelijk van de aard van de noodwijziging. Normale wijziging / normal change: Een wijziging die geen noodwijziging of standaardwijziging is. Normale wijzigingen volgen de gedefinieerde stappen van het wijzigingsbeheerproces. Oplosgroep: Een groep mensen met technische vaardigheden. Oplosgroepen leveren technische ondersteuning die nodig is voor alle ICT-dienstenbeheerprocessen. Prioriteit: Een categorie die wordt gebruikt om het relatieve belang te bepalen van een incident, probleem of wijziging. Prioriteit is gebaseerd op impact en urgentie, en wordt gebruikt om te bepalen hoeveel tijd nodig is voor de acties die moeten worden ondernomen. Bijvoorbeeld: de Diensten Niveau Overeenkomst (DNO) kan aangeven dat incidenten met prioriteit 2, binnen 12 uur moeten zijn opgelost. Standaardwijziging / standaardchange: Een vooraf geautoriseerde wijziging met een laag risico, die relatief veel voorkomt en een procedure of werkinstructie volgt, zoals het resetten van een wachtwoord of een nieuwe medewerker voorzien van standaardapparatuur. Voor het implementeren van een standaardwijziging zijn wijzigingsverzoeken niet vereist. Standaard wijzigingen worden geregistreerd en gevolgd met een ander mechanisme zoals een dienstverleningsverzoek. Terugval/terugrol: Ondernomen acties voor herstel na een mislukte wijziging of uitgifte. Terugval kan back-out, activering van dienstcontinuïteitsplannen bevatten of andere acties om het bedrijfsproces te continueren. Uitgifte / release: Een of meer wijzigingen aan een ICT-dienst die samen worden gebouwd, getest en uitgerold. Een enkele uitgifte kan wijzigingen omvatten aan hardware, software, documentatie, processen en andere componenten. Releasebeheer / uitgiftemanagement: Uitgifte- en uitrolbeheer / release- en deploymentmanagement: Het proces dat verantwoordelijk is voor planning en controle van de samenstelling, het testen en de uitrol van uitgiftes, en voor het leveren van de nieuwe functionaliteit die vereist is door de bedrijfsvoering, terwijl het de integriteit van de bestaande diensten beschermt. 18
Urgentie: Een maatstaf die aangeeft hoe lang het duurt tot een incident, probleem of wijziging een significante impact op de bedrijfsvoering heeft. Zo kan een incident met een hoge impact een lage urgentie hebben, als de impact de bedrijfsvoering pas schaadt aan het eind van het financiële jaar. Impact en urgentie worden gebruikt om een prioriteit toe te kennen. Veerkracht / resilience: Het vermogen van een ICT-dienst of configuratie-item om weerstand te bieden tegen storingen of snel te herstellen na een storing. Bijvoorbeeld: een beschermde kabel biedt weerstand op het moment dat er druk op wordt uitgeoefend. Wijziging: De toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. De scope is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items. Wijzigingenadviescommissie / Change Advisory Board (CAB): Een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een wijzigingenadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toeleveranciers). Wijzigingsbeheer: Het proces dat verantwoordelijk is voor het beheersen van de levenscyclus van alle wijzigingen, om verbeteringen met minimale verstoring van de ICT-diensten uit te voeren. Wijzigingsplan / changeplan: Een document dat alle geautoriseerde wijzigingen en geplande implementatiegegevens met de geschatte datums van wijzigingen op langere termijn beschrijft. Een wijzigingsschema wordt soms een voorlopig wijzigingsschema (forward schedule of change) genoemd, terwijl het ook informatie over reeds geïmplementeerde wijzigingen bevat. Wijzigingsregistratie: Een registratie van de details van een wijziging. Elke wijzigingsregistratie documenteert de levenscyclus van een afzonderlijke wijziging. Een wijzigingsregistratie wordt gecreëerd voor elk wijzigingsverzoek dat binnenkomt, ook voor die verzoeken die later afgewezen worden. Wijzigingsregistraties verwijzen naar de configuratie-items die door de wijziging worden beïnvloed. Wijzigingsregistraties worden opgeslagen in het configuratiebeheersysteem of ergens anders in het diensten kennisbeheersysteem. Wijzigingsverzoek / Verzoek tot Wijziging (VTW): Formeel verzoek voor een wijziging. Een wijzigingsverzoek bevat details van de voorgestelde wijziging, en kan op papier worden geregistreerd of elektronisch. De term wijzigingsverzoek wordt vaak verkeerd gebruikt als wijzigingsregistratie of de wijziging zelf. 19
Bijlage: Literatuur/bronnen Voor deze publicatie is gebruik gemaakt van onderstaande bronnen: Titel: Basisnormen Beveiliging en Beheer ICT-infrastructuur Wie: Platform Informatiebeveiliging (opgegaan in Platform voor Informatiebeveiliging (PvIB)) Uitgeverij: LEMMA BV Datum: 2003 ISBN-10: 90-5931-228-7 (niet meer leverbaar) Link: https://www.pvib.nl/links&collectionid=6254637 Titel: Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen Wie: gezamenlijk initiatief van de NOREA en het Platform voor Informatiebeveiliging (PvIB) Datum: 12 december 2007 Link: http://www.norea.nl/readfile.aspx?contentid=36811&objectid=345039&type=1&file=000002166 1_NoreaPvIBhandreiking.pdf Titel: Foundations of IT Service Management, op basis van ITIL Datum: september 2009 Uitgever: van Haren Publishing ISBN-13: 978-9077212714 Titel: Security Management Datum: 2004 Uitgever: TSO (The Stationery Office) ISBN-10: 0-11-330014-X ISBN-13: 978-0113300143 20
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD) NASSAULAAN 12 2514 JS DEN HAAG POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82 INFO@IBDGEMEENTEN.NL WWW.IBDGEMEENTEN.NL 21