Handreiking

Configuratiemanagement

Een operationeel kennisproduct ter ondersteuning van de implementatie van de Baseline Informatiebeveiliging Overheid (BIO)

ColofonNaam document Handreiking configuratiemanagement

Versienummer 2.1

Versiedatum Februari 2020

Versiebeheer Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).

Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten (IBD) (2018)

Tenzij anders vermeld, is dit werk verstrekt onder een Creative Commons Naamsvermelding-Niet Commercieel-Gelijk Delen 4.0 Internationaal licentie. Dit houdt in dat het materiaal gebruikt en gedeeld mag worden onder de volgende voorwaarden: Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en overheidsorganisaties.

Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:1. De IBD wordt als bron vermeld;2. Het document en de inhoud mogen commercieel niet geëxploiteerd worden;3. Publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker berusten,

blijven onderworpen aan de beperkingen opgelegd door de IBD en / of de Vereniging van Nederlandse Gemeenten;

4. Iedere kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze paragraaf vermelde mededeling.

Wanneer dit werk wordt gebruikt, hanteer dan de volgende methode van naamsvermelding: “Vereniging van Nederlandse Gemeenten / Informatiebeveiligingsdienst voor gemeenten”, licentie onder: CC BY-NC-SA 4.0.

Bezoek http://creativecommons.org/licenses/by-nc-sa/4.0 voor meer informatie over de licentie.

Rechten en vrijwaringDe IBD is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kan de IBD geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave voorkomende onjuistheden, onvolledigheden of nalatigheden. De IBD aanvaardt ook geen aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud van de uitgave of door de toepassing ervan.

3

Met dank aanDe expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit product.

Wijzigingshistorie

Versie Datum Wijziging / Actie1.0 Juni 2014 Eerste versie1.0.1 Augustus 2016 Taskforce BID verwijderd, WBP vervangen door Wbp, GBA

vervangen door BRP2.0 Januari 2019 BIO update2.1 Februari 2020 Update van configuratiebeheer naar de meer internationale

term configuratiemanagement. Ook is een stakeholderanalyse toegevoegd aan het document.

Over de IBDDe IBD is een gezamenlijk initiatief van alle Nederlandse Gemeenten. De IBD is de sectorale CERT / CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD ondersteunt gemeenten bij hun inspanningen op het gebied van informatiebeveiliging en privacy / gegevensbescherming en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers. Alle Nederlandse gemeenten kunnen gebruikmaken van de producten en de generieke dienstverlening van de IBD.

De IBD is ondergebracht bij VNG Realisatie.

LeeswijzerDit product is een nadere uitwerking voor gemeenten van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is eind 2018 bestuurlijk vastgesteld als gezamenlijke norm voor informatiebeveiliging voor alle Nederlandse overheden.

DoelHet doel van dit document is om handvatten te geven voor het omgaan van alle componenten die deel uitmaken van de ICT omgeving en een proces hiervoor in te richten.

DoelgroepDit document is van belang voor applicatiebeheerders en de ICT-afdeling.

Relatie met overige producten Baseline Informatiebeveiliging Overheid (BIO) Informatiebeveiligingsbeleid van de gemeente Handreiking Patchmanagement voor gemeenten Voorbeeld incidentmanagement en response beleid Handreiking proces wijzigingsbeheer

Verwijzingen naar de Baseline Informatiebeveiliging voor de Overheid (BIO)5.1 - Informatiebeveilingsbeleid7.3 - Gevolgen wijzigingen in dienstverband8.1 - Bedrijfsmiddelen identificeren en passend beveiligen12.1 - Bedieningsprocedures en verantwordelijkheden12.5 - Beheersing van operationele software12.6 – Beheer van technische kwetsbaarheden

5

ManagementsamenvattingGemeenten voeren processen uit en die gebruiken ICT. Een goed configuratiemanagement proces geeft een overzicht van welke systemen/programma’s er zijn en welke versie die hebben. Op het moment dat er dan een kwetsbaarheid wordt gevonden kan snel worden gezocht waar die kwetsbaarheid zich overal voordoet. Het configuratiemanagement proces en de resultaten daarvan worden gebruikt om de overige processen van input te voorzien en succesvol te laten verlopen. Kortom de ICT moet worden geregistreerd.

De volgende stappen worden in het proces gebruikt:

Registratie: Invoeren/registreren van nieuwe configuratie-items Beheer: Beheer van de configuratiemanagement database (CMDB) Statusbewaking: Statusbewaking van de configuratie-items Verificatie: Verificatie van configuratiemanagement database (CMDB)

Het is erg belangrijk dat de juiste gegevens worden geregistreerd en dat het beheer van de Configuratie Items volledig en up to date is. Vervolgens dient er een verificatie te zijn van de Configuration Management Data Base om te controleren of alles wat in het netwerk zit ook daadwerkelijk is geregistereerd in de CMDB. Als dit niet het geval is, dan moet er een onderzoek gedaan worden. Dit kan resulteren in twee oplossingen, of het is juist en dient zodoende toegevoegd te worden aan de CMDB of het dient van het netwerk te worden gehaald.

InhoudsopgaveManagementsamenvatting............................................................................................................................ 5

1. Inleiding................................................................................................................................................ 71.1. Doelstelling configuratiemanagement...........................................................................................................71.2. De indeling van dit document is als volgt:......................................................................................................71.3. Aanwijzing voor gebruik en relevante stakeholders......................................................................................7

2. Configuratiemanagement proces........................................................................................................... 82.1. Opzetten configuratiemanagement...............................................................................................................92.2. Registratie......................................................................................................................................................92.3. Beheer.........................................................................................................................................................102.4. Statusbewaking van de configuratie-items..................................................................................................102.5. Verificatie.....................................................................................................................................................10

3. Prestatie-indicatoren........................................................................................................................... 12

Bijlage 1: Stakeholderanalyse configuratiemanagement...............................................................................13

Bijlage 2: Checklist en kwaliteitscriteria....................................................................................................... 14

Bijlage 3: Procesbeschrijving........................................................................................................................ 16

Bijlage 4: Definities...................................................................................................................................... 18

Bijlage 5: Literatuur/bronnen....................................................................................................................... 21

7

1. InleidingConfiguratiemanagement draagt er zorg voor dat de gegevens over de ICT-infrastructuur (ICT-middelen en -diensten) betrouwbaar worden vastgelegd en dat actuele en relevante gegevens aan andere ICT-beheerprocessen worden geleverd over de ICT-middelen, hun onderlinge samenhang (relaties) en de relaties met de ICT-diensten. Met een goed configuratiemanagement proces kunnen de overige processen effectiever en efficienter werken en is duidelijk wat zich in het netwerk bevindt.

1.1. Doelstelling configuratiemanagementConfiguratiemanagement is nodig om een volledig en actueel overzicht te hebben en zo de overige ICT beheerprocessen van de juiste informatie te voorzien. Configuratie-items (CI’s), hun kenmerken en onderlinge samenhang dienen juist, volledig en tijdig te worden geïdentificeerd en vastgelegd. Indien configuratie-items niet juist, volledig en/of tijdig worden geïdentificeerd en vastgelegd, bestaat het risico dat de hiervan afhankelijke ICT-beheerprocessen niet van juiste en volledige informatieworden voorzien over de configuratie-items. Hierdoor kunnen zowel de beschikbaarheid, integriteit, vertrouwelijkheid als controleerbaarheid van de ICT-diensten worden aangetast. Periodiek dienen de configuratie-items vergeleken te worden met de werkelijkheid en eventuele verschillen dienen geupdate te worden in de CMDB.

1.2. De indeling van dit document is als volgt:In hoofdstuk 2 is het configuratiemanagement proces beschreven met daarbij de doelstelling, het belang en welke activiteiten uitgevoerd moeten worden. Nadat het configuratiemanagement proces is opgezet bestaat het uit vier verschillende stappen: regristratie, beheer, statusbewaking en verificatie. Hoofdstuk 3 beschrijft de presentatieindicatoren die gebruikt kunnen worden om te kunnen verifieren of de doelstellingen gehaald worden.

1.3. Aanwijzing voor gebruik en relevante stakeholdersDeze handleiding is geschreven om informatiebeveiligingsmaatregelen met betrekking tot configuratiemanagement uit te werken en daarbij handreikingen te geven voor het proces rondom configuratiemanagement en aanverwante procedures. Deze handleiding is geen volledige procesbeschrijving. Het proces configuratiemanagement wordt vaak uitgevoerd binnen de ICT-afdeling, maar ook andere stakeholders binnen de organisatie hebben belang bij configuratiemangement. Door iedere stakeholder bij ontwikkelingen en besluitvorming te betrekken is daarmee de kans groter dat configuratiemanagement effectief wordt geïmplementeerd. Ter ondersteuning hiervoor is in bijlage 1 een overzicht opgesteld van de verschillende stakeholders bij de gemeente die betrokken dienen te worden bij de verbeteringen van processen rond configuratiemanagement.

2. Configuratiemanagement procesConfiguratiemanagement heeft als doel om van alle assets in de organisatie een overzicht te hebben. Dit overzicht is cruciaal voor andere processen zoals incidentmanagement, patchmanagement, changemanagement, etc. Zie hiervoor ook de andere handreikingen en ondersteningsproducten van de Informatiebeveiligingsdienst van Verhogen Digitale Weerbaarheid (VDW) Module 1. In dit hoofdstuk worden de verschillende aspecten binnen het configuratiemanagement proces toegelicht.

Configuratie-items (CI’s)De gegevens over de ICT-infrastructuur (ICT-middelen en -diensten) worden aangeduid als configuratie-item (CI) en hebben betrekking op hard- en software, netwerkverbindingen en documentatie en worden bij voorkeur in een geautomatiseerde database, de configuratiemanagement database (CMDB), vastgelegd. Tevens wordt de onderlinge samenhang tussen deze componenten vastgelegd. De informatiebehoeften van afhankelijke ICT-beheerprocessen bepalen de aard en diepgang van de vastleggingen over configuratie-items. ICS/SCADA systemen zijn soms ondergebracht bij afdeling facilitair management en geen onderdeel van de ICT organisatie, maar zitten ze wel op het netwerk. Hier moeten goede afspraken over gemaakt worden.

Belang van configuratiemanagement voor informatiebeveiligingHet belang van configuratiemanagement voor informatiebeveiliging omvat: Configuratiemanagement is voorwaardenscheppend voor bijna alle andere ICT-beheerprocessen,

voorbeelden hiervan zijn:o Door juiste, volledige en tijdige informatieverstrekking aan wijzigingsbeheer1 wordt voorkomen dat er

verschillende (en dus verouderde) versies van hetzelfde configuratie-item in exploitatie komen of zijn.o In geval van kwetsbaarheidsmeldingen is gemakkelijk te zien of de kwetsbaarheden zich ook voordoen in

de organisatie door te zoeken in de CMDB naar versienummers.o Door het beschikbaar stellen van documentatie van ICT-middelen en hun onderlinge

(netwerk-)verbindingen, is het mogelijk om fysieke en logische toegangsbeveiliging2 te beoordelen. Door een overzicht van alle toegestane apparaten in het netwerk is het makkelijker om ongeautoriseerde

apparaten te vinden. Configuratiemanagement kan de beveiligingsclassificatie van de ICT-middelen vastleggen. Deze

classificatie kan worden gebruikt om beveiligingsmaatregelen beter toe te snijden op de risico’s van het hebben of gebruiken van configuratie-items, al dan niet afhankelijk van de soort omgeving of bedrijfsproces.3

Activiteiten configuratie beheerderDe configuratie beheerder voert onder andere onderstaande activiteiten uit. Hij/zij: Stelt naamgevingstandaards op van CI’s bewaakt de naleving en breidt deze eventueel uit. Registreert en identificeert (nieuwe) configuratie-items. Bewaakt en geeft inzicht in de actuele status van configuratie-items. Verstrekt informatie tijdens de impactanalyse over welke ICT-middelen waar gebruikt worden. Verstrekt informatie over de gebruikte softwareversies. Stelt rapportages op over aanwezige ICT-middelen, geconstateerde afwijking tussen de in de

configuratiemanagement database (CMDB) geregistreerde gegevens en de werkelijkheid, evaluatie van het proces configuratiemanagement et cetera.

1 Zie hiervoor ook het operationele product ‘Handreiking proces wijzigingsbeheer’ 2 Zie hiervoor ook het operationele product ‘Toegangsbeleid’.3 De te nemen maatregelen moeten worden afgestemd op de risico’s, waarbij rekening dient te worden gehouden met technische mogelijkheden en de kosten van maatregelen.

9

2.1. Opzetten configuratiemanagement Voordat begonnen kan worden met de implementatie van het proces configuratiemanagement dienen stakeholders (zie bijlage 1) binnen de ICT organisatie een invulling te geven aan onderstaande punten:

Het doel van het proces dient eenduidig te zijn vastgelegd. Wat is de reikwijdte (bereik) van het proces? Wat is de definitie van een configuratie-item? Welke configuratie-items worden wel en welke worden niet geregistreerd? Wordt de hele levenscyclus van een configuratie-item vastgelegd of slechts een deel? Tot op welk detailniveau worden ICT-middelen geregistreerd?

Welke attributen (eigenschappen en kenmerken) van een configuratie-item worden geregistreerd? Welke relaties tussen configuratie-items worden in de configuratiemanagement database (CMDB)

geregistreerd? De verantwoordelijkheden en bevoegdheden in het proces dienen duidelijk te zijn vastgelegd. Er dient te zijn bepaald welke functies of processen direct te maken hebben met het proces. Welke rapportagemogelijkheden zijn noodzakelijk?

De IBD heeft tevens Verhoging Digitale Weerbaarheid module 1 uitgebracht waarin aandacht wordt gegeven aan het configuratiemanagement proces. Hier worden criteria benoemd die minimaal geregeld moeten zijn om de basis op orde te krijgen/houden.

De gemeentelijke beleidsregels met betrekking tot configuratiemanagement zijn4:a) Alle bedrijfsmiddelen moeten geïdentificeerd zijn, er moet een inventaris van worden bijgehouden.b) Alle informatie en bedrijfsmiddelen die verband houden met ICT-voorzieningen, aan een 'eigenaar' (een

deel van de organisatie) toewijzen.c) Regels vaststellen, het documenteren en implementeren voor aanvaardbaar gebruik van informatie en

bedrijfsmiddelen, die verband houden met ICT-voorzieningen.d) Apparatuur, informatie en programmatuur van de organisatie, mogen niet zonder toestemming vooraf,

van de locatie worden meegenomen.e) De verantwoordelijkheid voor specifieke beheersmaatregelen mag door de eigenaar worden gedelegeerd,

maar de eigenaar blijft verantwoordelijk voor een goede bescherming van de bedrijfsmiddelen. Het object van classificatie is informatie. We classificeren op het niveau van informatiesystemen (of informatieservices). Alle classificaties van alle bedrijfskritische systemen zijn centraal vastgelegd door de Chief Information Security Officer (CISO) en dienen jaarlijks gecontroleerd te worden door de eigenaren.

Processtappen:

Registratie: Invoeren/registreren van nieuwe configuratie-items Beheer: Beheer van de configuratiemanagement database (CMDB) Statusbewaking: Statusbewaking van de configuratie-items Verificatie: Verificatie van configuratiemanagement database (CMDB)

2.2. RegistratieBinnen deze activiteit wordt het proces ingericht om alle componenten van de ICT-infrastructuur onder controle te brengen en het CMDB up-to-date te houden. Om dit te verwezenlijken moeten alle configuratie-items bij de gemeente worden geïdentificeerd en geregistreerd. Hiervoor moeten alle nieuwe of bestaande nog niet geregistreerde configuratie-items worden voorzien van een label met een unieke identificatiecode. Deze procedure is van toepassing op de gehele ICT-infrastructuur en is geldig vanaf het moment van levering van goederen, tot het moment dat de configuratie-items in productie kunnen worden genomen.

4 Zie ook Voorbeeld informatiebeveiligingsbeleid gemeenten

Activiteiten omvatten onder andere, het opstellen van een datamodel voor het registreren van alle componenten in de ICT-infrastructuur, het bepalen en onderhouden van naamgeving en versienummering van fysieke componenten in de ICT-infrastructuur, hun onderlinge samenhang, informatie over eigenaar/verantwoordelijke, status, beschikbare documentatie en de relevante eigenschappen en kenmerken (attributen). Met behulp van deze attributen wordt informatie opgeslagen die relevant is voor het betrokken configuratie-item en die aansluit op de informatiebehoefte van andere processen. Voor meer informatie zie bijlage 2.

IBD-dienstverleningDe IBD waarschuwt gemeenten zo snel als mogelijk en proactief over aankomende of acute ICT gerelateerde beveiligingsrisico’s, zoals kwetsbaarheden in soft- en/of hardware.5 Hierbij stemt de IBD de waarschuwingen specifiek af op de ICT-omgeving van de gemeenten, die aangesloten zijn bij de IBD en de daar gebruikte ICT-producten.. Om gemeenten zo efficient en effectief mogelijk te ondersteunen heeft de IBD een lijst met IP-adressen en URL’s nodig van de organisatie en een actuele ICT foto. De configuratiemanagement database (CMDB) kan hierbij als hulpmiddel dienen en het is dan ook raadzaam om in de CMDB in ieder geval de volgende configuratie-items (CI’s) vast te leggen: externe IP-adressen en URL’s, en hard- en software met hun versienummer.

2.3. Beheer Beheer zorgt ervoor dat de inhoud van de configuratiemanagement database (CMDB) actueel blijft door alleen geautoriseerde en geïdentificeerde configuratie-items toe te laten, te registeren en te bewaken. Bij alle activiteiten waarbij opgenomen kenmerken van – of relaties tussen – configuratie-items wijzigen, dient deze wijziging te worden geregistreerd in de configuratiemanagement database (CMDB). Een configuratie item updaten is het resultaat van een ander proces zoals changemanagement, patchmanagement, etc.

Tevens zorgt beheer ervoor dat geen configuratie-item wordt toegevoegd, aangepast, vervangen of verwijderd, zonder dat daarvan passende documentatie aanwezig is, zoals een goedgekeurd wijzigingsverzoek of een aangepaste specificatie. Het is de verantwoordelijkheid van configuratiemanagement om alleen wijzigingen op de ICT-infrastructuur toe te staan, die via wijzigingsbeheer zijn geautoriseerd.Bij de gemeente dienen procedures en werkinstructies aanwezig te zijn, voor het afhandelen van nieuwe configuratie-items en wijzigingen aan configuratie-items.

2.4. Statusbewaking van de configuratie-itemsDeze activiteit zorgt voor de registratie van actuele en historische gegevens over de status van een configuratie-item gedurende de gehele levenscyclus. Hiervoor dienen de historische gegevens met betrekking tot de ICT-middelen en de daaraan gerelateerde gegevens beschikbaar te blijven. De levenscyclus van een component kan in verschillende stadia worden ingedeeld. Statusbewaking maakt het mogelijk om wijzigingen in status te traceren, zoals besteld, ontvangen, op voorraad, in ontwikkeling, wordt getest, is geaccepteerd, in productie, in onderhoud en uitgefaseerd.Door de datum van elke statusverandering te registreren, kan een goed beeld ontstaan van de levenscyclus van een product: de besteltijden, de installatietijden en de hoeveelheid onderhoud en ondersteuning die eraan besteed is en het aantal beveiligingsincidenten dat eraan kan worden gerelateerd.

2.5. Verificatie Deze activiteit bestaat uit het zorgdragen dat de actuele situatie nog overeenkomt met de gegevens in de configuratiemanagement database (CMDB). Het kan voorkomen dat de ICT-infrastructuur is gewijzigd zonder dat configuratiemanagement daarvan op de hoogte is gebracht. Om de actualiteit van de gegevens in de configuratiemanagement database (CMDB) te garanderen is het noodzakelijk de gegevens te verifiëren met de werkelijkheid. Verificatie van de gegevens in de CMDB gaat door middel van audits op de ICT-infrastructuur. De gemeente kan hiervoor gebruik maken van audittools. Deze audittools kunnen bijvoorbeeld door de gemeente worden ingezet om automatisch de werkstations te controleren of deze nog conform het vastgelegd beleid zijn

5 Zie hiervoor ook het IBD Dienstenportfolio en de factsheets ‘Incidentpreventie’ en ‘Incidentpreventie; Kwetsbaarheidswaarschuwingen’.

11

geconfigureerd. Deze gegevens kunnen worden gebruikt om de actuele situatie te controleren en te actualiseren.

De verificatie vindt op continue basis en op geplande basis plaats: Op continue basis. Tijdens de dagelijkse werkzaamheden kunnen door de expertiseteams afwijkingen

worden geconstateerd. De ICT-servicedesk van de gemeente kan bijvoorbeeld tijdens het oplossen van een incident constateren dat de configuratiemanagement database (CMDB) afwijkt van de werkelijkheid.

Op geplande basis. Als uit het aantal opgemerkte en gerapporteerde afwijkingen blijkt dat de betrouwbaarheid en volledigheid van de configuratiemanagement database (CMDB) tekortschiet, kan de gemeente besluiten om op een bepaalde datum een audit uit te voeren op (een deel van) de ICT-infrastructuur.

3. Prestatie-indicatorenPrestatie-indicatoren dienen aan te geven in welke mate het proces configuratiemanagement slaagt in haar doelstelling: het betrouwbaar vastleggen en het leveren van actuele en relevante gegevens aan andere ICT-beheerprocessen over de ICT-middelen, hun onderlinge relaties en de relaties met de ICT-diensten. Prestatie-indicatoren die door de dienstenorganisatie kunnen worden gemeten, zijn onder andere:

1. Periodiciteit van de evaluatie van de structuur van de CMDB.2. Periodiciteit van controle op de juistheid en volledigheid van de CMDB.3. Aantal incidenten per impactcategorie, per evaluatieperiode toe te schrijven aan afwijkingen in de CMDB.4. Het aantal configuratie-items (CI’s) waarvan de omschrijving is aangepast.5. Het aantal vastgestelde verschillen tussen de geregistreerde configuratie-items (CI’s) en de bij een audit

aangetroffen situatie (delta’s), desgewenst uitgesplitst naar oorzaak:i. Het aantal keren dat aangetroffen configuratie-items (CI’s) niet zijn geautoriseerd.

ii. Het aantal keren dat geregistreerde configuratie-items (CI’s) niet zijn aangetroffen.iii. Het aantal keren dat geregistreerde configuratie-items (CI’s) onjuist zijn geregistreerd: afwijking

op het niveau van attributen, die zijn ontdekt tijdens audits.6. Het aantal audits dat is uitgevoerd.7. Het aantal rapportages dat is gepubliceerd.8. Het aantal raadplegingen van de configuratiemanagement database (CMDB).9. De snelheid waarmee verzoeken om registratie zijn afgehandeld.

13

Bijlage 1: Stakeholderanalyse configuratiemanagementVerschillende stakeholders hebben belang bij configuratiemanagement. Elke gemeenten kan in omvang en organisatie verschillen. Toch hebben de onderstaande stakeholders ieder zo hun eigen belang bij het opzetten en onderhouden van een proces voor configuratiemanagement. Door iedere stakeholder bij ontwikkelingen en besluitvorming te betrekken is daarmee de kans groter dat effectieve implementatie wordt bereikt.

CISO / ISOStrategische rol; ervoor zorgen dat configuratiemanagement binnen de organisatie is belegd, wordt uitgevoerd en voldoende is geborgd. Om zo te kunnen bepalen wat er beveiligd dient te worden en om vervolgens passende maatregelen te kunnen nemen.

ICT / CIO / ITIL Servicedesk / Systeembeheer / Applicatiebeheer / NetwerkbeheerderConfiguratiemanagement met als voornamelijk doel het beheer van de ICT-organisatie en het zo snel als mogelijk binnen de SLA oplossen van ICT-gerelateerde incidenten.

Externe ICT-beheerder / Cloud leverancierWaar nodig al dan niet contractueel vastleggen in hoeverre hardware en software geregistreerd dienen te worden. Uit het oogpunt van onder andere overzicht, beheer en informatiebeveiliging.

LijnmanagerWil aan de hand van configuratiemanagement weten voor welke hardware en software de manager verantwoordelijkheid draagt. Wat hebben we al? Wat hebben we nog nodig?

Finance / ControlControle houden over kosten en mogelijke afschrijvingen van alle aanwezige hardware en software binnen de organisatie. Voor onder andere de verzekeringen.

Inkoop / contractmanagerInzicht in exact welke hardware en software wordt gebruikt binnen de organisatie, om zo te weten wat moet worden aangeschaft aan hardware, software en licenties indien nodig.

CERT Informatiebeveiligingsdienst (IBD)Actieve configuratiemanagement bij gemeenten moet ervoor zorgen dat de ICT-foto actueel is en dat bekend is welke hardware en software wordt gebruikt binnen de gemeente. Zo kan de IBD de dienstverlening hierop afstemmen en gericht kwetsbaarheidsmelding versturen naar gemeenten.

Bijlage 2: Checklist en kwaliteitscriteria

Checklist beoordelen kwaliteit configuratiemanagement / VDW Module 1Aan de hand van de onderstaande checklist kan worden getoetst in hoeverre configuratiemanagement binnen de organisatie succesvol is geïmplementeerd. De checklist is ook te vinden in de mindmap van processen Verhogen Digitale Weerbaarheid Module 1, te raadplegen op de website van de Informatiebeveiligingsdienst. Hier zijn naast kwaliteitscriteria voor configuratiemanagement ook kwaliteitscriteria te vinden voor andere vitale processen voor informatiebeveiliging; change management, incident management en patch management. De onderstaande checklist is opgesteld voor configuratiemanagement. Is dit binnen uw gemeente geregegeld?

Er is een formeel, beschreven en geaccepteerd configuratiemanagement proces. Er is een actueel, volledig overzicht van alle Configuratie Items (CI). Er wordt periodiek gerapporteerd, passend bij de P&C cyclus, over de aanwezige hardware & software en

geconstateerde afwijkingen in het configuratiemanagement proces. Alle configuratie wijzigingen worden gelogd. Alle CI’s hebben een eigenaar. Er wordt in het netwerk gescand naar nieuwe hardware en software. De classificatie van de CI wordt duidelijk opgeschreven. Eens per jaar wordt de classificatie van bedrijfskritische systemen opnieuw getoetst door de eigenaar en

indien nodig bijgesteld. Indien er wijzigingen in de ICT infrastructuur plaatsvinden (via change management) dienen de gegevens in

de Configuratie Management database (CMDB) geüpdatet te worden.

Enkele belangrijke attributen zijn:

Technische aspecten (bijvoorbeeld: unieke identificatiecode, merk, model en type, versienummer, categorie (hard-, software, netwerk of documentatie), aanschafdatum, aanschafwaarde, huidige status, beveiligingsclassificatie, relatie met dienst en andere configuratie-items, belang component (consequenties uitval), kritiek configuratie-item (ja/nee), IP-adressen en URL’s.

Identificatiecode, serienummer, categorie (hard-, software, netwerk of documentatie), status, versienummer, merk, model en type, locatie, aanschafwaarde, verantwoordelijke functionaris/eigenaar, beveiligingsclassificatie, bron of leverancier, aanschafdatum, leveringsdatum, licentienummer of referentie naar een licentiecontract, verloopdatum licentie, kritiek configuratie-item (ja/nee), IP-adressen en URL’s, relaties met ander configuratie-items, identificatienummers met incidenten, problemen, onderkende fouten, wijziging voorstellen en wijzigingsrecords en commentaar, huidige status, acceptatiedatum, et cetera.

Registratie-aspecten (bijvoorbeeld: wanneer, door wie en op basis waarvan een wijziging in registratie heeft plaatsgevonden, acceptatiedatum, identificatienummers met incidenten, problemen, onderkende fouten, wijziging voorstellen en wijzigingsrecords en commentaar).

Onderhoudsaspecten (bijvoorbeeld: leveringsdatum, licentienummer of referentie naar een licentiecontract, verloopdatum licentie, onderhoudscontracten, verrichting onderhoud, leverancier, serviceverlener).

Organisatorische aspecten (bijvoorbeeld: locatie, verantwoordelijke functionaris/eigenaar, beheerder, functioneel houder, technisch houder, budgethouder).

15

Beoordelen kwaliteit registreren nieuwe CI’s Onderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen configuratiemanagement te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiemanagement te maken. Is er een indeling naar typen configuratie-items? Bijvoorbeeld: hardware, systeem software, applicatie

software van leveranciers, applicatie software ontwikkeld in eigen beheer, documentatie, procedures, apparatuur ten behoeve van stroomvoorziening, klimaatbeheersing en dergelijke, bekabeling, netwerk apparatuur, communicatiemiddelen et cetera.

Is voor de verschillende typen configuratie-items:1. Een gewenst detailleringsniveau vastgesteld?2. Vastgelegd welke attributen gebruikt worden?3. Vastgesteld welke status categorieën geldig zijn?

Wordt bij de inventarisatie van de ICT-middelen onderscheid gemaakt naar bijvoorbeeld hard- en software, netwerkverbindingen en documentatie?

Zijn de ICT-middelen duidelijk geïdentificeerd? Is voor alle ICT-middelen vastgelegd wie de eigenaar of de houder is, zodat duidelijk is wie

verantwoordelijk is voor mogelijke beveiligingsmaatregelen? Zijn de ICT- /bedrijfsmiddelen geclassificeerd conform de informatie die ermee wordt verwerkt of

opgeslagen?6 Is de beveiligingsclassificatie van de ICT-middelen vastgelegd? Zijn relaties tussen de configuratie-items vastgelegd? Wordt bij de registratie van configuratie-items gebruik gemaakt van een tool? Is vastgelegd welke configuratie-items expliciet niet onder verantwoordelijkheid van het proces vallen? Is de registratie centraal en geïntegreerd met andere ICT-beheerprocessen? Bestaat er een systematiek voor de codering van ICT-middelen? Geldt de systematiek voor alle ICT-middelen? Wordt labeling toegepast voor alle ICT-middelen? Zijn ICT-middelen zodanig gekenmerkt dat duidelijk is hoe deze, conform de beveiligingsclassificatie,

verwerkt moeten worden? Wordt bij het aanbrengen van het kenmerk op een fysieke configuratie-item, gebruik gemaakt van een

methode waarbij dat identificatiekenmerk niet ongeschonden verwijderd of veranderd kan worden?

Beoordelen kwaliteit beheer CMDBOnderstaande vragenlijst kan door de gemeente worden gebruikt om deze activiteit binnen configuratiemanagement te beoordelen. Deze vragenlijst is zeker niet volledig, maar geeft voldoende handvatten om een eerste inschatting van de status met betrekking tot configuratiemanagement te maken: Is de registratie van ICT-middelen up-to-date en volledig? Is er een procedure (werkwijze) voor het invoeren van nieuwe configuratie-items en wijzigingen? Zijn er formele afspraken omtrent onderhoud van configuratie-items? Worden afwijkingen van de procedures en onjuist geregistreerde configuratie-items gelogd? Wordt hierover ook gerapporteerd?

6 Zie hiervoor ook het operationele product ‘Handreiking dataclassificatie’

Bijlage 3: Procesbeschrijving Activiteit Uitvoering (U) /

Coördinatie (C)Melding nieuw configuratie-itemEr kunnen van verschillende kanten meldingen binnenkomen voor nieuwe configuratie-items, zoals: Levering van ICT-goederen die na controle op juistheid en volledigheid geregistreerd worden.Tijdens dagelijkse werkzaamheden wordt geconstateerd dat een ICT-component nog niet als configuratie-item in de configuratiemanagement database (CMDB) is geregistreerd.

Configuratiemanagement (U)

Expertiseteams (U)

Configuratie-item invoeren in configuratiemanagement database (CMDB) en voorzien van identificatiecodeDe (fysieke) ICT-component wordt voorzien van een label waarop een unieke identificatiecode staat.7

Het configuratie-item wordt in de configuratiemanagement database (CMDB) ingevoerd, inclusief het bijbehorende type en de samenhang met andere configuratie-items (CI’s).

Configuratiemanagement (U)

Configuratiemanagement (U)

Tabel 1: Registreren van CI's

Activiteit Uitvoering (U) / Coördinatie (C)

Melding wijziging op de ICT-infrastructuurWijzigingen8 op configuratie-items (CI’s) kunnen door verschillende gemeente functionarissen en als gevolg van verschillende oorzaken aan configuratiemanagement gemeld worden, bijvoorbeeld:Bij het oplossen van een incident wordt een fout in de configuratiemanagement database (CMDB) geconstateerd.Er wordt een wijziging om een incident of bekend probleem op te lossen doorgevoerd.Er wordt een nieuwe release van een applicatie doorgevoerd.

Servicedesk (U)

Expertiseteam (U)

Expertiseteam (U)

Invoeren nieuw type configuratie-item in de CMDBEr wordt een nieuw type configuratie-item in de configuratiemanagement database (CMDB) aangemaakt. Vragen die hierbij van belang zijn:Is dit nieuwe type geautoriseerd volgens afspraak (informatie van dienstenniveaubeheer)Mogen configuratie-items (CI’s) van dit type volgens de vastgestelde lijst standaard worden ingezet?

Configuratiemanagement (U)

Wijzigen configuratie-item in de CMDB9

De configuratie-items (CI’s) worden in de CMDB gewijzigd aan de hand van de ontvangen gegevens, zodat de CMDB weer overeenkomt met de fysieke situatie van de configuratie-items (CI’s).10

Als gevolg van de wijziging kan het mogelijk zijn dat de status van een configuratie-item (CI) moet worden veranderd. Bij wijzigingen in de configuratiemanagementdatabase is geborgd dat de relaties

Configuratiemanagement (U)

7 Configuratie items worden gelabeld in overeenstemming met de afgesproken naamgevingconventies bij de gemeente. Deze naamgevingconventies moeten vooraf door de gemeente zijn opgesteld.8 De wijziging moet goedgekeurd zijn door wijzigingsbeheer. De uitvoerder van een wijziging controleert of er mogelijk ook andere configuratie-items wijzigen als gevolg van een door hem gemaakte aanpassing in de ICT-infrastructuur. In het geval van standaardwijzigingen kan van goedkeuring worden uitgegaan.9 Er wordt aan de melder teruggekoppeld dat de wijziging is doorgevoerd.10 Configuratiemanagement verifieert bij wijzigingsbeheer of de wijziging is goedgekeurd.

17

consistent blijven.Wijzigen relaties en gerelateerde configuratie-items in de CMDBEr moet worden vastgesteld of een wijziging op een configuratie-item gevolgen heeft op de gegevens van, of de relatie met andere configuratie-items. De mogelijke wijzigingen worden in de CMDB doorgevoerd.11

Configuratiemanagement (U)

Activiteit Uitvoering (U) / Coördinatie (C)

Uitvoeren continue of geplande verificatieDe in de configuratiemanagement database (CMDB) geregistreerde gegevens worden vergeleken met de werkelijkheid.Tijdens de dagelijkse werkzaamheden kunnen afwijkingen worden geconstateerd.In een afgebakende periode vindt een geplande verificatieslag plaats, waarin een groot aantal configuratie-items (CI’s) worden gecontroleerd.

Expertiseteam (U)Configuratiemanagement (C)

Rapporteer afwijkingEr vindt rapportage plaats over de geconstateerde afwijking. Expertiseteam (U)

Configuratiemanagement (C)Analyseer afwijkingEr vindt een analyse plaats van de geconstateerde afwijkingen om de oorzaak te achterhalen. Als de oorzaak bekend is kunnen maatregelen worden genomen om herhaling van een afwijking te voorkomen.

Configuratiemanagement (U)

Rapporteer resultaten geplande verificatie Er wordt over de afwijkingen die de geplande verificatie heeft opgeleverd gerapporteerd.

Configuratiemanagement (U)

Tabel 3: Verificatie configuratiemanagement proces

11 Er wordt aan de melder teruggekoppeld op het moment dat andere configuratie-items of relaties zijn aangepast.

Tabel 2: Beheer CMDB

Bijlage 4: Definities

Bron: http://www.exin-library.com/Player/eKnowledge/itildutchglossary.pdf

Roll back (terugvalscenario): Een activiteit die een dienst of een ander configuratie-item terugzet op een eerder uitgangspunt. Roll back wordt gebruikt als een vorm van herstel wanneer een wijziging of uitgifte niet lukt.

Bekende fout: Een probleem dat een gedocumenteerde onderliggende oorzaak en een workaround heeft. Bekende fouten worden tijdens hun levenscyclus gecreëerd en beheerd door probleembeheer. Bekende fouten kunnen ook worden geïdentificeerd door ontwikkeling en leveranciers.

Categorie: Een bepaalde groep van zaken die iets gemeen hebben. Categorieën worden gebruikt om gelijke zaken te groeperen. Bijvoorbeeld: kostentypen worden gebruikt om gelijke typen kosten te groeperen, incidentcategorieën worden gebruikt om gelijke typen incidenten te groeperen, CI-typen worden gebruikt om gelijke typen configuratie-items te groeperen.

Configuratiemanagement: Het proces dat verantwoordelijk is om te garanderen dat de bedrijfsmiddelen, die nodig zijn om diensten te leveren op een adequate wijze worden beheerd, en dat accurate en betrouwbare informatie over die bedrijfsmiddelen beschikbaar is, wanneer en waar dat nodig is. Die informatie omvat details over hoe de bedrijfsmiddelen zijn samengesteld en details over relaties tussen bedrijfsmiddelen.

Configuratiemanagement database (CMDB): Een gegevensbestand dat wordt gebruikt om de configuratieregistraties op te slaan tijdens hun levenscyclus. Het configuratiemanagementsysteem onderhoudt een of meer CMDB's, en elke CMDB slaat attributen van configuratie-items op. Evenals relaties met andere configuratie-items.

Configuratie-item (CI): Elk component of ander dienstenbedrijfsmiddel dat beheert moet worden voor de levering van een ICT-dienst. Informatie over elk configuratie-item is geregistreerd in een configuratieregistratie binnen het configuratiemanagementsysteem, en wordt onderhouden tijdens zijn levenscyclus door dienstenbedrijfsmiddelen- en configuratiemanagement. Wijzigingsbeheer is verantwoordelijk voor wijzigingen aan configuratie-items. Kenmerkende configuratie-items zijn bijvoorbeeld: ICT-diensten, hardware, software, gebouwen, mensen, en formele documentatie, zoals procesdocumentatie en diensten niveau overeenkomsten.

Dienstenniveaubeheer/Service level management: Het proces dat verantwoordelijk is om realiseerbare diensten niveau overeenkomsten af te spreken en garandeert dat daaraan wordt voldaan. Dienstenniveaubeheer is verantwoordelijk voor de garantie dat alle ICT-dienstenbeheerprocessen, operationele overeenkomsten en onderliggende contracten zijn afgestemd op de overeengekomen dienstenniveaudoelen. Dienstenniveaubeheer bewaakt dienstenniveaus, rapporteert erover, evalueert de dienstverlening regelmatig met de klant en identificeert vereiste verbeteringen.

De Diensten Niveau Overeenkomst (DNO)/Service Level Agreement (SLA): Een overeenkomst tussen een ICT-dienstenaanbieder en een klant. De DNO beschrijft de ICT-dienst, legt dienstenniveaudoelen vast en definieert de verantwoordelijkheid van de ICT-dienstenaanbieder en de klant. Een afzonderlijke overeenkomst kan verschillende ICT-diensten of verscheidene klanten bevatten.

Expertiseteam: zie oplosgroep.

19

Impact: De mate waarin een incident, probleem of wijziging effect heeft op bedrijfsprocessen. Impact is vaak gebaseerd op het effect op dienstenniveaus. Impact en urgentie worden gebruikt op prioriteit aan te geven.

Urgente wijziging / noodwijziging / emergency change: Een wijziging die zo snel mogelijk moet worden geïntroduceerd. Bijvoorbeeld: om een ernstig incident op te lossen of een beveiligingspatch te implementeren. Het wijzigingsbeheerproces heeft gewoonlijk specifieke procedures voor het omgaan met noodwijzigingen.

Noodwijzigingenadviescommissie / Emergency Change Advisory Board (ECAB): Een subgroep van de wijzigingenadviescommissie die besluiten neemt over noodwijzigingen. Tot lidmaatschap kan worden besloten op het moment dat een vergadering plaatsvindt en is afhankelijk van de aard van de noodwijziging.

Normale wijziging / normal change: Een wijziging die geen noodwijziging of standaardwijziging is. Normale wijzigingen volgen de gedefinieerde stappen van het wijzigingsbeheerproces.

Oplosgroep: Een groep mensen met technische vaardigheden. Oplosgroepen leveren technische ondersteuning die nodig is voor alle ICT-dienstenbeheerprocessen.

Prioriteit: Een categorie die wordt gebruikt om het relatieve belang te bepalen van een incident, probleem of wijziging. Prioriteit is gebaseerd op impact en urgentie, en wordt gebruikt om te bepalen hoeveel tijd nodig is voor de acties die moeten worden ondernomen. Bijvoorbeeld: de Diensten Niveau Overeenkomst (DNO) kan aangeven dat incidenten met prioriteit 2, binnen 12 uur moeten zijn opgelost.

Standaardwijziging / standaardchange:Een vooraf geautoriseerde wijziging met een laag risico, die relatief veel voorkomt en een procedure of werkinstructie volgt, zoals het resetten van een wachtwoord of een nieuwe medewerker voorzien van standaardapparatuur. Voor het implementeren van een standaardwijziging zijn wijzigingsverzoeken niet vereist. Standaard wijzigingen worden geregistreerd en gevolgd met een ander mechanisme zoals een dienstverleningsverzoek.

Terugval/terugrol: Ondernomen acties voor herstel na een mislukte wijziging of uitgifte. Terugval kan back-out, activering van dienstcontinuïteitsplannen bevatten of andere acties om het bedrijfsproces te continueren.

Uitgifte / release: Een of meer wijzigingen aan een ICT-dienst die samen worden gebouwd, getest en uitgerold. Een enkele uitgifte kan wijzigingen omvatten aan hardware, software, documentatie, processen en andere componenten.

Releasebeheer / uitgiftemanagement: Uitgifte- en uitrolbeheer / release- en deploymentmanagement: Het proces dat verantwoordelijk is voor planning en controle van de samenstelling, het testen en de uitrol van uitgiftes, en voor het leveren van de nieuwe functionaliteit die vereist is door de bedrijfsvoering, terwijl het de integriteit van de bestaande diensten beschermt.

Urgentie: Een maatstaf die aangeeft hoe lang het duurt tot een incident, probleem of wijziging een significante impact op de bedrijfsvoering heeft. Zo kan een incident met een hoge impact een lage urgentie hebben, als de impact de bedrijfsvoering pas schaadt aan het eind van het financiële jaar. Impact en urgentie worden gebruikt om een prioriteit toe te kennen.

Veerkracht / resilience: Het vermogen van een ICT-dienst of configuratie-item om weerstand te bieden tegen storingen of snel te herstellen na een storing. Bijvoorbeeld: een beschermde kabel biedt weerstand op het moment dat er druk op wordt uitgeoefend.

Wijziging: De toevoeging, verandering of verwijdering van alles dat een effect kan hebben op ICT-diensten. De scope is gericht op alle wijzigingen van alle architecturen, processen, instrumenten, meetwaarden en documentatie, en op wijzigingen van ICT-diensten en andere configuratie-items.

Wijzigingenadviescommissie / Change Advisory Board (CAB): Een groep mensen die de beoordeling, de prioriteitsstelling, de autorisatie en de planning van wijzigingen ondersteunt. Een wijzigingenadviescommissie bestaat veelal uit vertegenwoordigers van alle afdelingen binnen de ICT-dienstenaanbieder, het bedrijf en derden (zoals toeleveranciers).

Wijzigingsbeheer: Het proces dat verantwoordelijk is voor het beheersen van de levenscyclus van alle wijzigingen, om verbeteringen met minimale verstoring van de ICT-diensten uit te voeren.

Wijzigingsplan / changeplan: Een document dat alle geautoriseerde wijzigingen en geplande implementatiegegevens met de geschatte datums van wijzigingen op langere termijn beschrijft. Een wijzigingsschema wordt soms een voorlopig wijzigingsschema (forward schedule of change) genoemd, terwijl het ook informatie over reeds geïmplementeerde wijzigingen bevat.

Wijzigingsregistratie: Een registratie van de details van een wijziging. Elke wijzigingsregistratie documenteert de levenscyclus van een afzonderlijke wijziging. Een wijzigingsregistratie wordt gecreëerd voor elk wijzigingsverzoek dat binnenkomt, ook voor die verzoeken die later afgewezen worden. Wijzigingsregistraties verwijzen naar de configuratie-items die door de wijziging worden beïnvloed. Wijzigingsregistraties worden opgeslagen in het configuratiemanagementsysteem of ergens anders in het diensten kennisbeheersysteem.

Wijzigingsverzoek / Verzoek tot Wijziging (VTW):Formeel verzoek voor een wijziging. Een wijzigingsverzoek bevat details van de voorgestelde wijziging, en kan op papier worden geregistreerd of elektronisch. De term wijzigingsverzoek wordt vaak verkeerd gebruikt als wijzigingsregistratie of de wijziging zelf.

21

Bijlage 5: Literatuur/bronnen

Voor deze publicatie is gebruik gemaakt van onderstaande bronnen:

Titel: Basisnormen Beveiliging en Beheer ICT-infrastructuurWie: Platform Informatiebeveiliging (opgegaan in Platform voor Informatiebeveiliging (PvIB))Uitgeverij: LEMMA BVDatum: 2003ISBN-10: 90-5931-228-7 (niet meer leverbaar)

Titel: Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessenWie: gezamenlijk initiatief van de NOREA en het Platform voor Informatiebeveiliging (PvIB)Datum: 12 december 2007

Titel: Foundations of IT Service Management, op basis van ITILDatum: september 2009Uitgever: van Haren PublishingISBN-13: 978-9077212714

Titel: Security ManagementDatum: 2004Uitgever: TSO (The Stationery Office)ISBN-10: 0-11-330014-XISBN-13: 978-0113300143

Kijk voor meer informatie op:www.informatiebeveiligingsdienst.nl

Nassaulaan 122514 JS Den HaagCERT: 070 373 80 11 (9:00 – 17:00 ma – vr)CERT 24x7: Piketnummer (instructies via voicemail)info@IBDGemeenten.nl / incident@IBDGemeenten.nl