CM-08 - Inventaire des composants de système (-F-) (Obligatoire)
Énoncés :
a. Élaborer et documenter un inventaire des composants de systèmes qui :
1. illustre exactement le système
2. comprend tous les composants dans le système
3. ne comprend aucune comptabilisation en double des composants ou des composants attribués à un autre système
4. est au niveau de granularité jugé nécessaire aux fins de suivi et de production de rapports
5. comprend l’information suivante pour assurer la comptabilisation des composants de systèmes : [Affectation : information définie par l’organisation et jugée nécessaire à la comptabilisation efficace des composants de système]
b. Passer en revue et mettre à jour l’inventaire des composants du système tous les [Affectation : fréquence définie par l’organisation]
a.
5. :
• identifiant unique et/ou numéro de série
• système dont le composant fait partie
• profil de sécurité du système dont le composant fait partie
• type de composant (par exemple, serveur, hyperviseur, bureau, application)
• informations sur le fabricant/modèle
• type de système d’exploitation et niveau de version/Service Pack (de préférence en utilisant le nom d’énumération de plate-forme commune)
• informations sur la version/licence du logiciel d'application (de préférence en utilisant le nom d'énumération de plate-forme commune)
• informations sur les protocoles de chiffrement utilisés (informations attendues : Actif, Code/Nom, Description, Type de clé, Taille de clé (en bits), Usage (HTTPS, Tunnel VPN, etc.), Suite de chiffrement, Si applicable (date d'arrêt du service/production), Classification/Catégorisation si connue de la donnée traitée, Date de dernière modification)
• emplacement physique lorsqu'applicable (par exemple, numéro de bâtiment/de pièce)
• emplacement logique lorsqu'applicable (par exemple, adresse IP)
• adresse de contrôle d’accès au support (MAC)
• état opérationnel (opérationnel, en réserve, décommissionné, etc.)
• détenteur
• administrateurs primaires et secondaires
• utilisateur principal
• relations/dépendances avec d’autres systèmes/composants (recommandé)
• identification des accords de niveau de service (SLA) qui s’appliquent au composant (recommandé)
• élément de configuration (CI) dont il fait partie (recommandé)
• Criticité du composant
b. en continu
Les composants des systèmes sont des biens de TI discrets et identifiables qui comprennent le matériel, les logiciels et les micrologiciels. Les organisations peuvent choisir de mettre en place des inventaires de composants des systèmes centralisés qui contiennent les composants de tous les systèmes organisationnels. Dans de telles situations, les organisations doivent s’assurer que les inventaires comportent de l’information propre au système requise pour la comptabilisation des composants. L’information nécessaire pour une comptabilisation efficace des composants du système comprend le nom du système, les propriétaires des logiciels, les numéros de version des logiciels, les spécifications de l’inventaire du matériel, l’information sur les licences de logiciels, les composants réseau, les noms des machines et les adresses réseau pour tous les protocoles mis en oeuvre (par exemple, IPv4 et IPv6). Les spécifications de l’inventaire comprennent la date de réception, le coût, le modèle, le numéro de série, le fabricant, les données sur le fournisseur, le type de composant et l’emplacement physique. Prévenir la comptabilisation en double des composants d’un système permet de remédier au manque de comptabilisation qui se produit lorsque la propriété des composants et l’association au système ne sont pas connues, plus particulièrement dans des vastes ou complexes systèmes connectés. Une prévention efficace de la comptabilisation en double des composants d’un système nécessite le recours à un identifiant unique pour chaque composant. Pour l’inventaire des logiciels, les logiciels gérés de manière centralisée et dont l’accès se fait par d’autres systèmes sont traités comme un composant du système sur lequel il est installé et géré. Les logiciels installés sur plusieurs systèmes organisationnels et gérés au niveau du système sont traités pour chaque système individuel et ils peuvent apparaître plus d’une fois dans un inventaire centralisé de composants, ce qui nécessite une association au système pour chaque instance logicielle dans l’inventaire centralisé pour éviter une comptabilisation en double des composants. Analyser des systèmes qui mettent en oeuvre plusieurs protocoles réseau (par exemple, IPv4 et IPv6) peut faire en sorte que des composants en double peuvent être répertoriés dans différents espaces d’adresses. La mise en oeuvre du contrôle CM-08(07) peut aider à éliminer la comptabilisation en double de composants.