План управления конфигурацией – зачем он нужен и как его создать?
16.07.2024
План управления конфигурацией – зачем он нужен и как его создать?
Программное обеспечение и ИТ-инфраструктура любого бизнеса становятся только сложнее, так же как и инструменты, которые применяются для их создания и дальнейшей эксплуатации. Чем больше процессов и действий – тем больше вероятность ошибок конфигураций и багов.
Подобные сбои приводят к нарушению работы критически важных сервисов и сохранению информации, а также к снижению показателей эффективности бизнеса в целом.
Чтобы избежать подобных ситуаций, важно проводить мероприятия по снижению рисков и улучшению состояния информационных систем и продуктов. Один из лучших способов – составлять план управления конфигурацией.
Что такое управление конфигурацией?
Комплекс действий, ориентированных установление и поддержание целостности информационно-технического арсенала, в том числе ПО, оборудования, сервисов, приложений, электронной документации, входит в процесс управления конфигурацией. Ключевая цель управления конфигурацией – контроль процессов инициализации и изменений, мониторинг решений и систем в течение всего их цикла жизни.
Что такое план управления конфигурацией?
Составление проекта управления конфигурациями включает описание функций, процессов, обязанностей, мероприятий, используемых при управлении конфигурацией.
План описывает, как продвигать изменения через их управление, обновлять настройки конфигурации и базовые линии, проводить инвентаризацию элементов, а также разрабатывать, устанавливать и обновлять ключевые документы. План содержит описание среды разработки, тестирования и эксплуатации.
Несмотря на уникальность каждого плана управления конфигурацией, при его создании, как правило, придерживаются следующего содержания:
-
Рекомендации по контролю конфигурационных единиц или релизов – устанавливается рабочая группа, отвечающая за контроль и согласование изменений на всех этапах разработки и использования систем и продуктов.
-
Идентификация конфигураций – установление способа выбора и наименования компонентов, которые будут помещены под управление.
-
Контроль изменений конфигураций – составление пошаговой схемы управления обновлениями, происходящими в конфигурациях.
-
Мониторинг конфигурации – данный этап включает оценку или тест-драйв степени соответствия инсталлированной базовой конфигурации отчетам о состоянии конфигурационных единицах, находящихся под управлением конфигурации.
Цель плана управления конфигурацией
Продукты и системы бизнеса постоянно меняются, чтобы идти в ногу с развивающимися угрозами или бизнес-функциями. Например, ваш продукт или система могут получить обновленное оборудование, новые программные возможности для исправления ошибки существующего компонента. Внедрение таких изменений приводит к некоторой корректировке конфигурации системы, что может повлиять на безопасность этой системы и всего бизнеса.
План управления конфигурацией, который четко определяет процессы и процедуры для разработки и поддержания безопасных конфигураций системы, а также центры ответственности за управление и контроль этих процессов и процедур, может помочь в управлении рисками, связанными с этими системами, повышая уровень безопасности этих систем и всего бизнеса.
Поскольку многие уязвимости можно отследить до ошибок программного обеспечения и неправильной конфигурации компонентов системы, план управления конфигурацией может помочь контролировать риски и раскрыть целый ряд преимуществ, включая:
-
упрощение управления активами
-
улучшение реагирования на инциденты, службы поддержки, аварийного восстановления и решения проблем
-
помощь в разработке программного обеспечения и управлении выпусками
-
поддержка соблюдения политик и подготовка к аудитам
Почему план управления конфигурацией важен для соответствия NIST 800-53?
Создание и поддержка плана управления конфигурацией поддерживает реализацию семейства элементов управления конфигурацией, определенных в NIST 800-53. CM-1 требует от организаций разрабатывать, документировать и распространять:
• Политику управления конфигурацией охватывает следующее: цель, область применения, роли, обязанности, обязательства руководства, координацию между организационными единицами и соответствие.
• Процедуры управления конфигурацией способствуют реализации политики управления конфигурацией и связанных с ней средств контроля управления конфигурацией.
План управления конфигурацией удовлетворяет требованиям политики управления конфигурацией и определяет процедуры и процессы использования управления конфигурацией для поддержки мероприятий жизненного цикла разработки системы.
CM-9 в частности требует от организаций сформировать, документировать и внедрить план управления конфигурацией для системы, который:
• Рассматривать роли, обязанности, а также процессы и процедуры управления конфигурацией.
• Установить процесс идентификации элементов конфигурации на протяжении всего жизненного цикла разработки системы и управления конфигурацией этих элементов.
• Определить элементы конфигурации для системы и поместить их под управление конфигурацией.
Этот план также должен быть рассмотрен и одобрен назначенным персоналом и защищен от несанкционированного доступа и поправок.
Как создать план управления конфигурацией
Чтобы создать весь процесс, необходимо раздробить план на семь ключевых шагов, которые представлены в виде примера и описаны ниже.
1. Установление ролей и обязанностей.
Определение функций и центров ответственности, которые имеют отношение к программе управления конфигурацией, а также их обязанности. К примеру, менеджер программы может отвечать за разработку политик и процедур управления конфигурацией и контроль за реализацией программы для всей организации или отдельной системы.
Какие еще роли могут устанавливаться:
• Руководитель информационной службы
• Сисадмин
• Разработчик ПО
• Системный пользователь
• Член CCB/уполномоченный персонал
2. Расставление приоритетов в отношении критически важных систем, которые потребуют управления изменениями и конфигурацией.
Следующим шагом является определение и расстановка приоритетов в отношении того, какие системы и продукты необходимы для выполнения миссии и бизнес-процессов и должны быть настроены определенным образом для этого.
3. Составление списка активов или системных компонентов, связанных с критическими системами.
Это могут быть серверы, рабочие станции, маршрутизаторы или приложения. Данный перечень станет инвентарем элементов системы и даст полное представление о единицах, которыми необходимо управлять и которые нуждаются в защите для поддержки должного уровня безопасности критически важных систем.
4. Описание элементов конфигурации систем, требующих управления конфигурацией.
Далее необходимо сгруппировать в элементы конфигурации системные компоненты и некомпонентные объекты, такие как документы, сетевые диаграммы, скрипты, пользовательский код и различные другие элементы, составляющие систему, которые требуют управления конфигурацией. Конфигурации этих элементов будут управляться как единое целое.
Например, все рабочие столы, работающие под управлением одного типа и версии операционной системы, могут быть сгруппированы в один конфигурационный блок.
5. Формирование базовой конфигурации для каждой системы.
На этом этапе разрабатывается безопасная базовая конфигурация для ИТ-системы и связанные с ней конфигурационные компоненты. Эта базовая конфигурация является наиболее безопасным состоянием, в котором может находиться система, при этом удовлетворяя эксплуатационным требованиям и ограничениям, таким как затраты. Она может охватывать параметры конфигурации, загрузку программ, уровни исправлений, физическое или логическое расположение информационной системы, реализацию различных элементов управления безопасностью и документацию.
6. Разработка процесса управления конфигурацией.
Этот процесс должен определять следующее:
• Как формально идентифицируются изменения
• Как они предлагаются
• Как они рассматриваются
• Как они анализируются на предмет влияния на безопасность и тестируются
• Как они утверждаются перед реализацией
• Кем они рассматриваются и утверждаются
• Кто внедряет эти изменения в производство
• Как реализуется разделение обязанностей между разработкой и развертыванием
7. Описание инструментария, который следует использовать для внедрения и мониторинга конфигураций.
Автоматизированные инструменты могут не только помочь бизнесу реализовать конфигурации, но и взять их под контроль, чтобы гарантировать безопасность системы (т. е. придерживаясь организационных политик, процедур и утвержденной безопасной базовой конфигурации). Такой функционал может автоматически определять, когда система не соответствует утвержденной базовой конфигурации из-за недокументированных системных компонентов, неправильных конфигураций, уязвимостей и несанкционированных изменений, и предупреждать вас о необходимости действий по исправлению.
Пример плана управления конфигурацией
План управления конфигурацией обычно разбивается на три части. Первая часть знакомит с управлением конфигурацией и его целью, дает обзор системы и описывает цель и область применения документа, а также применимые политики и процедуры.
Во втором разделе подробно описывается программа управления конфигурацией, включая роли и обязанности, политики и процедуры, а также порядок их администрирования и все используемые инструменты.
В третьем разделе подробно описываются действия по управлению конфигурацией, которые обычно включают идентификацию конфигурации, определение базовой конфигурации, контроль изменений конфигурации, мониторинг и составление отчетов.
Ниже приведен более подробный план разработки плана управления конфигурацией.
1. Общая информация
1.1 Предыстория
1.2 Обзор системы
1.3 Цель документа
2. Программа управления конфигурацией
2.1 Роли и обязанности
2.2 Администрирование программы
2.3 Инструменты
3. Действия по управлению конфигурацией
3.1 Идентификация конфигурации
3.2 Базовая конфигурация
3.3 Контроль изменения конфигурации
3.4 Мониторинг
3.5 Отчетность
Как управлять конфигурациями с помощью U-connect?
Продукт U-connect значительно упрощает процесс управления конфигурацией. U-connect предоставляет следующие возможности:
• быстрая настройка политик и процедур
• применение готовых тестов и элементов управления или создание своих загружаемых тестов и управленческих алгоритмов для уникальных процессов, политик, принятых в компании.
• автотестирование параметров управления посредством непрерывного сбора данных о конфигурации из более чем 150 интеграций
• информирование о любых изменениях
Узнайте подробнее о комплексном решении U-connect по ссылке https://u-connect.ru/capability/ и его возможностях для Вашего бизнеса.