Produkte und Informationssysteme werden immer komplexer, ebenso wie die Prozesse, die zu ihrer Entwicklung und ihrem Betrieb verwendet werden. Infolgedessen steigt die Wahrscheinlichkeit von Konfigurationsfehlern und/oder Bugs.

Diese Fehler und Bugs können kritische Dienste und Daten gefährden, was zu unsicheren Produkten, Geschäftsverlusten, Reputationsschäden oder Betriebsstörungen führen kann.

Ein Konfigurationsmanagementplan kann diese Risiken verringern und die allgemeine Sicherheitslage der Organisation verbessern. Lesen Sie weiter, um eine Definition, ein Beispiel und eine Vorlage für einen Konfigurationsmanagementplan zu erhalten.

Was ist Konfigurationsmanagement?

Konfigurationsmanagement ist die Gesamtheit der Aktivitäten, die darauf abzielen, die Integrität von Produkten und Systemen, einschließlich Hardware, Software, Anwendungen, Infrastruktur und Dokumentation, zu gewährleisten und aufrechtzuerhalten. Diese Aktivitäten steuern die Prozesse zur Initialisierung, Änderung und Überwachung der Konfigurationen von Produkten und Systemen während des gesamten Entwicklungszyklus.

Eine dieser Aktivitäten ist die Erstellung eines Konfigurationsmanagementplans. Lassen Sie uns unten einen genaueren Blick darauf werfen.

Was ist ein Konfigurationsmanagementplan?

Ein Konfigurationsmanagementplan ist eine umfassende Beschreibung der Rollen, Verantwortlichkeiten, Prozesse und Verfahren, die bei der Verwaltung der Konfiguration von Produkten und Systemen gelten.

Er beschreibt, wie Änderungen durch Änderungsmanagementprozesse vorangetrieben, Konfigurationseinstellungen und Baselines aktualisiert, Komponenteninventare gepflegt und wichtige Dokumente entwickelt, veröffentlicht und aktualisiert werden. Er beschreibt auch die Entwicklung, Prüfung und den Betrieb von Kontrollumgebungen.

Obwohl jeder Konfigurationsmanagementplan einzigartig ist, sollte er Folgendes spezifizieren:

• Konfigurations- oder Änderungskontrollausschuss (CCB): Eine Gruppe von qualifiziertem Personal, die für das Genehmigen und Kontrollieren von Änderungen während des gesamten Entwicklungs- und Lebenszyklus von Produkten und Systemen verantwortlich ist.
• Konfigurationselement-Identifikation: Eine Methodik zur Auswahl und Benennung von Konfigurationselementen, die unter das Konfigurationsmanagement gestellt werden müssen.
• Konfigurationsänderungskontrolle: Ein Prozess zur Verwaltung von Updates der Basiskonfigurationen für die Konfigurationselemente.
• Konfigurationsüberwachung: Ein Prozess zur Bewertung oder Prüfung der Einhaltung der festgelegten Basiskonfiguration und Mechanismen zur Berichterstellung über den Konfigurationsstatus von Elementen, die unter das Konfigurationsmanagement gestellt wurden.

Was ist der Zweck eines Konfigurationsmanagementplans?

Die Produkte und Systeme Ihrer Organisation ändern sich ständig, um mit den sich entwickelnden Bedrohungen oder Geschäftsfunktionen Schritt zu halten. Beispielsweise kann Ihr Produkt oder System neue Hardware, neue Softwarefunktionen oder Patches zum Beheben eines Fehlers in einer vorhandenen Komponente erhalten. Die Implementierung solcher Änderungen führt zu einer Anpassung der Systemkonfiguration, die sich auf die Sicherheit dieses Systems und Ihrer gesamten Organisation auswirken kann.

Ein Konfigurationsmanagementplan, der die Prozesse und Verfahren zur Einrichtung und Aufrechterhaltung sicherer Systemkonfigurationen klar definiert und festlegt, wer für das Management und die Kontrolle dieser Prozesse und Verfahren verantwortlich ist, kann dazu beitragen, das mit diesen Systemen verbundene Risiko zu managen und die Sicherheitslage dieser Systeme und Ihrer gesamten Organisation zu verbessern.

Da viele Schwachstellen auf Softwarefehler und Fehlkonfigurationen von Systemkomponenten zurückgeführt werden können, kann ein Konfigurationsmanagementplan dazu beitragen, Schwachstellen zu kontrollieren und eine ganze Reihe von Vorteilen freizuschalten, einschließlich:

• Erleichterung des Asset-Managements
• Verbesserung der Reaktionsfähigkeit bei Vorfällen, des Helpdesks, der Notfallwiederherstellung und der Problemlösung
• Unterstützung der Softwareentwicklung und des Release-Managements
• Unterstützung der Einhaltung von Richtlinien und der Vorbereitung auf Audits

Warum ist ein Konfigurationsmanagementplan wichtig für die NIST 800-53-Compliance?

Das Erstellen und Pflegen eines Konfigurationsmanagementplans unterstützt die Implementierung der in NIST 800-53 definierten Kontrollen der Familie „Konfigurationsmanagement“. Im Folgenden werden wir uns zwei genauer ansehen.

CM-1 erfordert, dass Organisationen Folgendes entwickeln, dokumentieren und verbreiten:

• Eine Konfigurationsmanagement-Richtlinie: Diese Richtlinie sollte Folgendes abdecken: Zweck, Umfang, Rollen, Verantwortlichkeiten, Management-Engagement, Koordination zwischen Organisationseinheiten und Compliance.
• Konfigurationsmanagement-Verfahren: Diese Verfahren sollten die Implementierung der Konfigurationsmanagement-Richtlinie und der zugehörigen Konfigurationsmanagement-Kontrollen erleichtern.

Ein Konfigurationsmanagementplan erfüllt die Anforderungen einer Konfigurationsmanagement-Richtlinie und definiert die Verfahren und Prozesse, wie das Konfigurationsmanagement zur Unterstützung von Aktivitäten im Lebenszyklus der Systementwicklung verwendet wird.

CM-9 erfordert ausdrücklich, dass Organisationen einen Konfigurationsmanagementplan für das System entwickeln, dokumentieren und implementieren, der:

• Rollen, Verantwortlichkeiten sowie Konfigurationsmanagementprozesse und -verfahren behandelt
• Einen Prozess zur Identifizierung von Konfigurationselementen während des gesamten Systementwicklungslebenszyklus und zur Verwaltung der Konfiguration dieser Elemente etabliert
• Die Konfigurationselemente für das System definiert und sie unter Konfigurationsmanagement stellt

Dieser Plan sollte auch von den zugewiesenen Mitarbeitern überprüft und genehmigt sowie vor unbefugter Offenlegung und Änderung geschützt werden.

Wie man einen Konfigurationsmanagementplan erstellt

Nun ist es an der Zeit, Ihren Konfigurationsmanagementplan zu formulieren und zu erstellen. Um Sie durch den Prozess zu führen, haben wir den Prozess in sieben wichtige Schritte unterteilt. Weiter unten haben wir auch ein Beispiel und eine Vorlage bereitgestellt, um Ihnen den Einstieg zu erleichtern.

1. Rollen und Verantwortlichkeiten definieren.

Zu Beginn definieren Sie die Rollen, die für das Konfigurationsmanagementprogramm relevant sind, zusammen mit deren Verantwortlichkeiten. Ein Programmmanager könnte beispielsweise für die Entwicklung von Konfigurationsmanagementrichtlinien und -verfahren verantwortlich sein und die Implementierung des Programms für die gesamte Organisation oder ein einzelnes System überwachen.

Andere wichtige Rollen können umfassen:

• Chief Information Officer
• Systemadministrator
• System- oder Softwareentwickler
• Systembenutzer
• CCB-Mitglied/autorisiertes Personal

2. Kritische Systeme identifizieren und priorisieren, die Änderungen und Konfigurationsmanagement erfordern.

Der nächste Schritt besteht darin, zu identifizieren und zu priorisieren, welche Systeme und Produkte erforderlich sind, um Missions- und Geschäftsprozesse durchzuführen und die auf eine bestimmte Weise konfiguriert werden müssen.

3. Vermögenswerte im Zusammenhang mit kritischen Systemen identifizieren.

Als nächstes identifizieren Sie die einzelnen Vermögenswerte, aus denen jedes kritische System besteht, wie Server, Workstations, Router oder Anwendungen. Diese Vermögenswerte sind als Systemkomponenten bekannt.

Diese Liste wird zu Ihrem Systemkomponenten-Inventar und bietet einen umfassenden Überblick über die zu verwaltenden und zu sichernden Komponenten, um die Sicherheit Ihrer kritischen Systeme zu gewährleisten.

4. Konfigurationselemente der Systeme identifizieren, die ein Konfigurationsmanagement erfordern.

Nun gruppieren Sie Systemkomponenten und Nicht-Komponenten-Objekte, wie Dokumente, Netzdiagramme, Skripte, benutzerdefinierte Codes und verschiedene andere Elemente, die das System zusammensetzen, die ein Konfigurationsmanagement erfordern, zu Konfigurationselementen. Die Konfigurationen dieser Elemente werden als eine Einheit verwaltet.

Zum Beispiel können alle Desktops, die denselben Typ und dieselbe Version eines Betriebssystems ausführen, zu einem Konfigurationselement gruppiert werden.

5. Eine Konfigurationsbasislinie für jedes System bestimmen.

Als nächstes entwickeln Sie eine sichere Basiskonfiguration für das System und seine zugehörigen Konfigurationselemente und -komponenten. Diese Basislinie ist der sicherste Zustand, in dem sich ein System befinden kann, während es betriebliche Anforderungen und Einschränkungen wie Kosten erfüllt.  Sie kann Konfigurationseinstellungen, Software-Loads, Patch-Stände, die physische oder logische Anordnung des Informationssystems, die Implementierung verschiedener Sicherheitskontrollen und Dokumentation umfassen.

Nach Überprüfung und Genehmigung implementieren Sie die Konfigurationsbasislinie.

6. Einen Konfigurationsmanagementprozess entwickeln.

Entwickeln Sie als nächstes einen Prozess, wie Systemänderungen verwaltet werden, um die oben genehmigte Basislinie des Systems aufrechtzuerhalten.

Dieser Prozess sollte Folgendes definieren:

• Wie Änderungen formell identifiziert werden
• Wie sie vorgeschlagen werden
• Wie sie überprüft werden
• Wie sie auf Sicherheitsauswirkungen analysiert und getestet werden
• Wie sie vor der Implementierung genehmigt werden
• Von wem sie überprüft und genehmigt werden
• Wer diese Änderungen in die Produktion überträgt
• Wie die Trennung der Aufgaben zwischen Entwicklung und Bereitstellung umgesetzt wird

7. Werkzeuge zur Implementierung und Überwachung von Konfigurationen identifizieren.

Automatisierte Werkzeuge können Ihrer Organisation nicht nur dabei helfen, Konfigurationen zu implementieren, sondern sie auch zu überwachen, um sicherzustellen, dass ein System sicher bleibt (d.h. den organisatorischen Richtlinien, Verfahren und der genehmigten sicheren Basislinie entspricht). Diese Werkzeuge können automatisch erkennen, wenn das System aufgrund nicht dokumentierter Systemkomponenten, Fehlkonfigurationen, Schwachstellen und unbefugter Änderungen nicht mit der genehmigten Basislinie übereinstimmt, und Sie darauf hinweisen, dass Korrekturmaßnahmen erforderlich sind.

Nun, da Sie den schrittweisen Prozess zur Entwicklung eines Konfigurationsmanagementplans verstanden haben, sehen wir uns ein Beispiel an.

Beispiel eines Konfigurationsmanagementplans

Ein Konfigurationsmanagementplan ist typischerweise in drei Teile gegliedert. Der erste Teil führt in das Konfigurationsmanagement und seinen Zweck ein, gibt einen Überblick über das System und beschreibt den Zweck und den Umfang des Dokuments sowie die geltenden Richtlinien und Verfahren.

Der zweite Teil beschreibt das Konfigurationsmanagementprogramm, einschließlich Rollen und Verantwortlichkeiten, Richtlinien und Verfahren und deren Verwaltung sowie alle verwendeten Werkzeuge.

Der dritte Teil beschreibt die Aktivitäten des Konfigurationsmanagements, die typischerweise die Identifizierung der Konfiguration, die Basislinierung der Konfiguration, die Konfigurationsänderungskontrolle, die Überwachung und das Reporting umfassen.

NASA, Zentren für Krankheitskontrolle und Prävention und US-Wohnungsbau- und Stadtentwicklungsministerium haben alle Beispiele für Konfigurationsmanagementpläne veröffentlicht, die diesem Standardaufbau und -format folgen.

Nachfolgend finden Sie eine detailliertere Gliederung zur Entwicklung eines Konfigurationsmanagementplans.

1. General information
	1.1 Background
	1.2 Overview of system
	1.3 Purpose of document

2. Configuration management program
	2.1 Roles and responsibilities 
	2.2 Program administration
	2.3 Tools

3. Configuration management activities
	3.1 Configuration identification
	3.2 Configuration baselining
	3.3 Configuration change control
	3.4 Monitoring
	3.5 Reporting

Konfigurationsmanagementplan-Vorlage

NIST 800-53 empfiehlt die Verwendung von Vorlagen, um die konsistente und zeitgerechte Entwicklung und Implementierung von Konfigurationsmanagementplänen zu gewährleisten. Laden Sie die untenstehende kostenlose Vorlage herunter, passen Sie sie an Ihre Organisation an und veröffentlichen Sie sie schnell und einfach zur Überprüfung durch Ihr Personal.

Wie Secureframe bei sicherheitsorientiertem Konfigurationsmanagement helfen kann

Secureframe kann den Prozess des Konfigurationsmanagements und die Einhaltung von NIST 800-53 insgesamt vereinfachen. Mit Secureframe können Sie:

• Richten Sie NIST 800-53 Richtlinien und Verfahren schnell unter Verwendung unserer Bibliothek von Richtlinien und Verfahren ein
• Nutzen Sie unsere vorgefertigten Tests und Kontrollen oder erstellen Sie benutzerdefinierte Upload-Tests und benutzerdefinierte Kontrollen für die einzigartigen Prozesse, Richtlinien und Verfahren Ihrer Organisation, um die NIST 800-53 einzuhalten.
• Testen Sie Kontrollen automatisch über die kontinuierliche Konfigurationsdatenerfassung von über 150 Integrationen
• Bleiben Sie über Änderungen an den Anforderungen von NIST 800-53 auf dem Laufenden.

Vereinbaren Sie eine Demo, um zu erfahren, wie Secureframe Ihnen helfen kann, die NIST 800-53 Konformität in Ihrem Unternehmen zu erreichen und aufrechtzuerhalten.