Skip to main content

8.9 Zarządzanie konfiguracją

Rodzaj kontroli: Informacja
Właściwości bezpieczeństwa: Prewencyjne, Poufność, Integralność, Dostępność
Koncepcje cyberbezpieczeństwa: Ochrona, Bezpieczna konfiguracja
Obszary operacyjne: Ochrona

Kontrola

Konfiguracje, w tym konfiguracje bezpieczeństwa, sprzętu, oprogramowania, usług i sieci powinny być ustalane, dokumentowane, wdrażane, monitorowane i poddawane przeglądom.

Cel

Zapewnienie prawidłowego funkcjonowania sprzętu, oprogramowania, usług i sieci z wymaganymi ustawieniami bezpieczeństwa oraz ochrona przed nieautoryzowanymi lub błędnymi zmianami konfiguracji.

Wytyczne

Ogólne zasady

Organizacja powinna określić i wdrożyć procesy oraz narzędzia egzekwujące określone konfiguracje (w tym konfiguracje bezpieczeństwa) dla sprzętu, oprogramowania, usług (np. chmurowych) i sieci. Dotyczy to zarówno nowo instalowanych systemów, jak i systemów operacyjnych w trakcie ich użytkowania.

Powinny zostać określone role, odpowiedzialności oraz procedury zapewniające odpowiednią kontrolę wszystkich zmian konfiguracyjnych.

Standardowe szablony

Należy zdefiniować standardowe szablony dla bezpiecznej konfiguracji sprzętu, oprogramowania, usług i sieci, uwzględniając:

  • a) korzystanie z publicznie dostępnych wytycznych (np. predefiniowane szablony dostawców i niezależnych organizacji ds. bezpieczeństwa);
  • b) określenie wymaganego poziomu ochrony w celu zapewnienia wystarczającego poziomu bezpieczeństwa;
  • c) zgodność z polityką bezpieczeństwa informacji organizacji, politykami szczegółowymi, standardami oraz innymi wymaganiami bezpieczeństwa;
  • d) możliwość i zasadność wdrożenia określonych konfiguracji w kontekście organizacyjnym.

Szablony powinny być okresowo przeglądane i aktualizowane w przypadku pojawienia się nowych zagrożeń lub podatności albo wprowadzenia nowych wersji sprzętu i oprogramowania.

Podczas definiowania standardowych szablonów bezpiecznej konfiguracji sprzętu, oprogramowania, usług i sieci należy rozważyć:

  • a) minimalizację liczby tożsamości z uprzywilejowanym dostępem administracyjnym;
  • b) wyłączanie niepotrzebnych, nieużywanych lub niebezpiecznych kont użytkowników;
  • c) wyłączanie lub ograniczanie zbędnych funkcji i usług;
  • d) ograniczanie dostępu do narzędzi administracyjnych i parametrów systemowych;
  • e) synchronizację zegarów systemowych;
  • f) zmianę domyślnych informacji uwierzytelniających dostarczanych przez producentów (np. domyślnych haseł) natychmiast po instalacji oraz przegląd innych domyślnych ustawień związanych z bezpieczeństwem;
  • g) wdrażanie mechanizmów automatycznego wylogowania użytkowników po określonym czasie bezczynności;
  • h) zapewnienie zgodności konfiguracji z wymaganiami licencyjnymi (zob. 5.32).

Zarządzanie konfiguracjami

Zdefiniowane konfiguracje sprzętu, oprogramowania, usług i sieci powinny być rejestrowane, a wszystkie zmiany konfiguracyjne powinny być logowane. Rejestry powinny być przechowywane w sposób zabezpieczony. Można to osiągnąć poprzez bazy konfiguracji lub szablony konfiguracji.

Zmiany w konfiguracjach powinny podlegać procesowi zarządzania zmianami (zob. 8.32).

Rekordy konfiguracji mogą zawierać, w zależności od potrzeb:

  • a) aktualne informacje o właścicielu lub punkcie kontaktowym dla danego zasobu;
  • b) datę ostatniej zmiany konfiguracji;
  • c) wersję zastosowanego szablonu konfiguracji;
  • d) powiązania konfiguracji z innymi zasobami.

Monitorowanie konfiguracji

Konfiguracje powinny być monitorowane za pomocą zestawu narzędzi do zarządzania systemami (np. narzędzi administracyjnych, wsparcia zdalnego, systemów zarządzania przedsiębiorstwem, oprogramowania do tworzenia kopii zapasowych i odzyskiwania danych) i regularnie przeglądane w celu:

  • weryfikacji ustawień konfiguracyjnych,
  • oceny siły haseł,
  • analizy aktywności użytkowników i systemów.

Rzeczywiste konfiguracje powinny być porównywane z docelowymi szablonami konfiguracyjnymi. Wszelkie odchylenia powinny być korygowane poprzez automatyczne egzekwowanie konfiguracji docelowej lub manualną analizę i podjęcie odpowiednich działań korygujących.

Inne informacje

  • Dokumentacja systemowa często zawiera szczegóły dotyczące konfiguracji sprzętu i oprogramowania.
  • Twarda konfiguracja systemów (hardening) jest standardową praktyką zarządzania konfiguracją.
  • Zarządzanie konfiguracją może być zintegrowane z procesami zarządzania aktywami oraz odpowiednimi narzędziami.
  • Automatyzacja jest często bardziej skuteczna w zarządzaniu konfiguracjami bezpieczeństwa (np. poprzez wykorzystanie infrastruktury jako kodu – IaC).
  • Szablony konfiguracji oraz docelowe ustawienia mogą stanowić poufne informacje i powinny być odpowiednio chronione przed nieautoryzowanym dostępem.