Transcription
Baulicher IT-Grundschutz im RechenzentrumWelche baulichen Aspekte sind für einen zertifizierbarenIT-Grundschutz relevant?Baulicher IT-Grundschutz im RechenzentrumWelche baulichen Aspekte sind für einen zertifizierbaren ITGrundschutz relevant?Die Fragestellung klingt nach einer einfachen Aufgabe. Es gibteinen IT-Grundschutz-Baustein Rechenzentrum (B 2.9), dasollten die entsprechenden Aufgaben zu finden sein. Bei einem Konjunktiv in der Einleitung ist demgeneigten Leser natürlich längst klar, dass dem nicht so ist.Als Rechenzentrum werden im Baustein 2.9 alle erforderlichen Einrichtungen (z.B. Klimatechnik)und Räumlichkeiten (z.B. Rechnersaal) zum Betrieb komplexer IT-Infrastrukturen in Abgrenzungzum Serverraum (für einfachere Infrastrukturen) definiert. Es handelt sich also strukturell umeinen „IT-Raum“, selbst wenn er ein ganzes oder sogar mehrere Gebäude in Anspruch nimmt. Diesbedeutet für die Zertifizierung, dass zusätzlich die gebäudebezogenen Bausteine B 2.1 Gebäude, B2.2 Elektrotechnische Verkabelung und B 2.12 IT-Verkabelung zu betrachten sind. Diese werden imWeiteren aber nicht berücksichtigt.Wie sieht eine Prüfung während eines Audits im Rahmen der Zertifizierung aus? Dazu orientierenwir uns am IT-Grundschutzbaustein B 2.9 Rechenzentrum, beginnend mit der Planung und dannüber Umsetzung und Betrieb zur Notfallvorsorge.Als erstes ist danach zu prüfen, ob technische und organisatorische Vorgaben für dasRechenzentrum (M 1.49) beschrieben sind. Die Maßnahme listet einige typische Planungsvorgabenauf, die fast alle optional umzusetzen sind („sollte“, „ist empfehlenswert“). Nach der Systematikdes IT-Grundschutz kann daher auf die Umsetzung der Vorgaben verzichtet werden. Da dieMaßnahme selbst aber verpflichtend ist, muss für die Zertifizierung zumindest geprüft undentschieden werden, ob die Berücksichtigung der Vorgaben sinnvoll wäre. Anders ausgedrückt: derPlaner muss nicht alles machen, was in der Maßnahme vorgeschlagen wird, er muss aberbegründen können, warum er darauf verzichtet– und genau dies wird der Auditor prüfen. DerPlaner kann das mündlich erläutern, zuverlässiger ist aber eine schriftliche Begründung. Außerdemsollte während der Planungsphase geprüft werden, wie das Rechenzentrum sinnvoll im Gebäudeangeordnet wird (M 1.13 Anordnung schützenswerter Gebäudeteile, zusätzliche Maßnahme).Die weiteren Planungsvorgaben lassen sich auf die Bereiche Stromversorgung, Klimatisierung,Brandschutz, Schutz gegen Wasser und gegen unbefugten Zutritt aufteilen.Seite 1 von 3
Baulicher IT-Grundschutz im RechenzentrumWelche baulichen Aspekte sind für einen zertifizierbarenIT-Grundschutz relevant?Das umfangreichste Maßnahmenbündel ist für die Sicherstellung der Stromversorgung ept (M 1.25), eine Netzersatzanlage (M 1.56) und eine zentrale USV (M1.70) sind zwingend vorzusehen. Die Räume für Netzersatzanlage und USV müssen vom Schutzgegen Einbruch, Brand und Wasser dem Kernbereich entsprechen. Der Auditor wird die Erfüllungder Anforderungen durch Sichtung von Plänen und eine Sichtkontrolle prüfen.Ebenfalls umfangreich ist das Maßnahmenpaket zum Brandschutz: Für das Rechenzentrum ist eineigener Brandabschnitt (M 1.47) zu schaffen, sowie bei Bedarf weitere interne Brandabschnitte.Der Kernbereich (IT-Kerneinheiten und Datenträgerarchiv) müssen mindestens entsprechend F 90geschützt werden, im Kernbereich integrierte Büros noch einmal nach F 30. Der erforderlicheRauchschutz (M 1.50) ist zu gewährleisten. Es sind entsprechende Sicherheitstüren und –fenstervorzusehen (M 1.10). Ein besonderer Brandschutz ist für Patchfelder (M 1.62) erforderlich:entweder eine Trennung von den aktiven IT-Komponenten (eigener Raum) oder eine Schottungdes Patchfeldes mit Funktionserhalt (E 30, wenn eine Löschanlage vorhanden ist, ansonsten E 90).Weiterhin sind eine Brandmeldeanlage (M 1.48) und geeignete Feuerlöscher (M 1.7) erforderlich.Es muss geprüft werden, ob die Verwendung von Brandfrühesterkennung und Löschtechnik (M1.54, zusätzliche Maßnahme) sinnvoll ist. Auch hier wird der Auditor mindestens eine Sichtprüfungdurchführen und bei Bedarf Unterlagen von Fachplanern auswerten.Die Maßnahmen zu Klimatisierung (M 1.27) und Schutz gegen Wasser (M 1.24 Vermeidung vonwasserführenden Leitungen) sind ebenfalls für Rechenzentren obligatorisch, auch hier erfolgt diePrüfung durch eine Kombination aus Nachvollziehen der Planung und Sichtkontrolle der Umsetzung.Komplexer ist die Betrachtung des Schutzes gegen Einbruch. Die entsprechende Maßnahme (M1.19 Einbruchschutz) ist für Rechenzentren nicht vorgesehen (wohl aber für das zu betrachtendeGebäude). Sie ist aber trotzdem relevant, da sowohl aus M 1.10 Verwendung von Sicherheitstürenund –fenstern als auch aus M 1.49 Technische und organisatorische Vorgaben für dasRechenzentrum auf sie verwiesen wird. Im Gegensatz zum Brandschutz werden in der MaßnahmeM 1.19 keine klaren Vorgaben definiert. Es soll lediglich eine sinnvolle, durchgehend gleichwertigeHülle um den zu schützenden Bereich gebildet werden, mit dem Ziel, die Erfolgsaussichten vonEinbrechern zu minimieren. Gefordert wird also ein Schutzkonzept basierend auf einer individuellenRisikobetrachtung – und genau das muss während der Zertifizierung abgeprüft werden. Ist daserläuterte (besser: beschriebene) Konzept schlüssig, muss die Maßnahme als erfüllt gelten. Es istaußerdem zu prüfen, ob zusätzlich die Überwachung des Geländes (M 1.55 Perimeterschutz,zusätzliche Maßnahme) oder eine Videoüberwachung (M 1.53, zusätzliche Maßnahme) sinnvollsind. Obligatorisch ist hingegen die Vermeidung von Lagehinweisen (M 1.12). Dies lässt sich durchSichtprüfung feststellen.Seite 2 von 3
Baulicher IT-Grundschutz im RechenzentrumWelche baulichen Aspekte sind für einen zertifizierbarenIT-Grundschutz relevant?Abschließend ist für die Planungsphase zu prüfen, ob eine Fernanzeige von Störungen (M 1.31,zusätzliche Maßnahme) für die eingesetzte Technik erforderlich ist. Wie bei allen zusätzlichenMaßnahmen ist auch hier zu prüfen, ob diese Betrachtung durchgeführt wurde und das Ergebnisschlüssig ist.In der Umsetzungs- und Betriebsphase treten organisatorische Maßnahmen in den Vordergrund.Der Zutrittsschutz ist der Haupt-Aspekt, definiert durch die Maßnahmen M 1.73 Schutz einesRechenzentrums gegen unbefugten Zutritt, M 1.15 Geschlossene Fenster und Türen, M 1.23Abgeschlossene Türen und M 2.212 Organisatorische Vorgaben für die Gebäudereinigung. Derzweite Schwerpunkt ist die Instandhaltung der Infrastruktur, es gelten die Maßnahmen M 1.71Funktionstests der technischen Infrastruktur und M 2.213 Inspektion und Wartung der technischenInfrastruktur, sowie Vorgaben für Baumaßnahmen im laufenden Betrieb (M 1.72, zusätzlicheMaßnahme), soweit diese erforderlich sind. Weiterhin sind aktuelle Infrastruktur- und Baupläne (M1.57) vorzuhalten, hierbei sind auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4Dokumentation und Kennzeichnung der Verkabelung zu berücksichtigen. Und schließlich ist einRauchverbot (M 2.21) auszusprechen, sofern dieses nicht durch die allgemeinen Regelungen ngsverfahrenistzuprüfen,obdieseRegelungen getroffen wurden (zum Beispiel durch entsprechende Anweisungen) und eingehaltenwerden (durch geeignete Stichprobenprüfungen). In gleicher Weise kann auch die Maßnahme M6.17 Alarmierungsplan und Brandschutzübungen zur Notfallvorsorge geprüft werden.Eine letzte Anforderung ist die Prüfung, ob ein Notfallarchiv (M 6.74) erforderlich ist. Als zusätzlicheMaßnahme muss diese Anforderung nicht zwingend umgesetzt sein. Es muss aber plausibelbegründet werden, warum dies eventuell nicht der Fall ist. Wenn ein Notfallarchiv für erforderlichgehalten wird, ist dieses geeignet zu schützen.Diese Zusammenstellung zeigt bereits auf Grund der Vielzahl der zu betrachtenden Aspekte, diealle eine entsprechende technische Expertise erfordern, dass die Prüfung wie auch die Planungeines Rechenzentrums komplex sind. Umso mehr, als sich die einzelnen Bereiche gegenseitigbeeinflussen. So stellen zum Beispiel für die Klimatisierung erforderliche Wanddurchbrüchezusätzliche Herausforderungen an Brand- und den Einbruchschutz. Daher empfiehlt das BSInachdrücklich, für die Planung eines Rechenzentrums auf geeignete Fachplaner zurückzugreifen.Das Gleiche sollte für die Vorbereitung einer Zertifizierung gelten, sofern die Planung nicht bereitsunter den dargestellten Aspekten erfolgt ist.Autor:Stefan Stumm, Rochusstrasse 16, 50129 Bergheim, r ISO 27001 lizenzierter Auditor auf Basis von IT-GrundschutzBSI-lizenzierter Revisor für IT-GrundschutzSeite 3 von 3
IT.SecurityCirclesBasicCircle(Know) how to bau So planen Sie den baulichen Schutz für Ihre ITSchwerpunktthemen:Ihr Referent: Zu viel Spannung: wann die IT abschaltetStefan Stumm ist seit 2002 BSIlizenzierter IT-Grundschutz-Auditor, BSI-lizenzierter ISO 27001 Lead-Auditor, lizenzierterIS-Revisor. Er ist als IT-Sicherheitsberater beiGroß-Unternehmen, sowie bei mittelständischen Unternehmen aus allen Bereichen tätig. Er ist Herausgeber desHandbuchs „IT-Sicherheit und Datenschutz von A-Z“Ihr Nutzen:Der BasicCircle für:Sie lernen in diesem Seminar die bestehenden Fallen und Risiken imbaulichen Bereich zu erkennen, geeignete Lösungen zu finden und dabeikostenintensive Scheinlösungen zu vermeiden.IT-Sicherheitsverantwortliche, IT-Verantwortliche, Bauverantwortliche,Datenschutzverantwortliche, Management Konzeptioneller Ansatz Typische bauliche Schwachstellen kennen Einbruchschutz vs. Brandschutz Klima: damit Ihre Server zuverlässig bleibenDie Termine: 21.02.2017 in Köln 22.05.2017 in FrankfurtJeweils 10.00 - 17.00 Uhr
Sichere IT-Räume planenEin Grundbaustein für den sicheren Betrieb der IT ist diephysische Absicherung der Daten. Server-Räume undandere IT-Räume müssen im Schutzkonzept berücksichtigtwerden. Oft fehlt aber in der IT-Abteilung das Wissen, umrichtige bauliche Sicherungsmaßnahmen anzustoßen. Inden Bauabteilungen mangelt es häufig an der Kenntnis zuspezifischen IT-Anforderungen. Beides zusammen führtdazu, dass IT-Räume eher ein Sicherheitsrisiko als einenIhr BasicCircle im Überblick: VoraussetzungenWer alles ein Wort mitzureden hat: Dieverschiedenen Anforderungen von BSI, VdS,TÜV, Feuerwehr u.a.Schwachstellen und AbhängigkeitenTypische bauliche Schwachstellen – Was manalles falsch machen kannKonzeptioneller Ansatz – Zusammenfügenwas Zusammengehört Schutz für die IT darstellen; Und das häufig trotz hoherInvestitionen -aber leider in falsche Lösungen. BaulicheSchwachstellen sind für Angreifer zum Teil leicht zu findenund auszunutzen. Mit Blick auf das IT-Sicherheitsgesetzund die neue europäische Datenschutzgrundverordnung,sollte der physische Schutz Ihrer Informationen besondereAufmerksamkeit erhalten.Grundsätzliche Anforderungen erfüllenEinbruchschutz vs. Brandschutz – Rein oder Raus?Prima Klima – Geeignete Umweltbedingungenfür die ITStromversorgung planen – bei zu viel Spannungschalten auch Server abNachweiseDokumentationspflichten – Wer schreibt, der bleibtIhr Extra:Senden Sie Ihre wichtigste Frageoder Problemstellung vorab ein.So können Sie sicher sein, dass imKurs genau auf Ihre Frage eingegangen wird und Sie den höchsten Nutzen aus Ihrer Teilnahmemitnehmen.Betrieb in der PraxisFunktionalität erhalten – Wer die Infrastrukturnicht wartet, wartet auf die InfrastrukturDie IT-SecurityCircleswerden fachlichunterstützt von: Hier anmelden: Per Fax 02234/98949-44 oder unter www.datakontext.com 21.02.2017 in Köln 22.05.2017 in FrankfurtTeilnahmegebühr:890,00 EuroIch möchte am BasicCircle teilnehmen: Sichere IT-Räume Z/Ort:Telefon (geschäftlich):Unterschrift:Fax (freiwillige Angabe):Datum:zzgl. gesetzl. MwSt.Im Preis enthalten sind: Tagungsunterlagen, Pausengetränke, Mittagessen. Das Tagungshotel teilen wirIhnen in derAnmeldebestätigung mit. Stornierungenab 14 Tage vor Veranstaltungsbeginn werden mit 50%der Gebühren, Absagen am Veranstaltungstag mit dervollen Gebühr belastet. Stornierungen werden nurschriftlich akzeptiert. Der Veranstalter behält sich vor,das Seminar bis 14 Tage vor Beginn zu stornieren. DieVeranstaltungsgebühr ist 14 Tage nach Rechnungserhaltohne Abzug fällig.Datenschutzhinweis: Ihre Angaben werden von der DATAKONTEXT GmbH ausschließlich für die Bearbeitung Ihrer Bestellung, die Durchführung der Veranstaltung sowie für eigene Direktmarketingzwecke verwendet. Dies erfolgt evtl. unterEinbeziehung von Dienstleistern. Eine Weitergabe an Dritte erfolgt nur zur Vertragserfüllung oder wenn wir gesetzlich dazu verpflichtet sind. Falls Sie keine weiteren Informationen von DATAKONTEXT mehr erhalten wollen, können Sie uns diesjederzeit mit Wirkung in die Zukunft an folgende Adresse mitteilen: DATAKONTEXT GmbH, Augustinusstr. 9d, 50226 Frechen, Fax: 02234/98949-44, E-Mail: [email protected]. *Gerne lassen wir Ihnen über die E-Mail-AdresseInformationen zu eigenen ähnlichen Produkten zukommen. Sie können diese werbliche Nutzung jederzeit untersagen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.DATAKONTEXT GmbH · Augustinusstr. 9d · 50226 Frechen · Telefon 02234/98949-40 · Telefax 02234/98949-44 · www.datakontext.com · [email protected] Kooperation mit me – malchus-eventmanagement, Nina Malchus, [email protected]
Baulicher IT-Grundschutz im Rechenzentrum . Brandschutz, Schutz gegen Wasser und gegen unbefugten Zutritt aufteilen. Baulicher IT-Grundschutz im Rechenzentrum . Sie lernen in diesem Seminar die bestehenden Fallen und Risiken im baulichen Bereich zu erkennen, geeignete Lösungen zu finden und dabei .
