Rechenzentrumssicherheit. Wie mit Normen und Richtlinien eine Planung entsteht

Transkript

1 1 Rechenzentrumssicherheit Wie mit Normen und Richtlinien eine Planung entsteht

2 2

3 Knowhow Aufbau Keine Geldschäfte möglich Stromausfall: Sparkassen lahmgelegt Ein Stromausfall in einem Rechenzentrum in Hannover hat am 2. Oktober für Stunden die Sparkassen in Hamburg und Schleswig-Holstein lahmgelegt. 3

4 4 Knowhow Aufbau Zertifizierte Rechenzentren: TÜV IT TÜV Süd TÜV Saarlane

5 5 Verfügbarkeitsanforderung Kostensteigerung Knowhow Aufbau: Rechenzentren werden spezieller High Security DC Level 4 Collocation (Banks, IC, Industrie) Level 3 Private Rechenzentren ASP s Telco ISP s Level 2 Public Cloud Gaming HPC Level W/qm 1000 W/qm 1500 W/qm 2000 W/qm 3000 W/qm 5000 W/qm Kostensteigerung Leistungsanforderung [Watt/qm]

6 6 Knowhow Aufbau Kosten und Budgets (ohne Grundstück, Netzwerk, IT und Datenschränke)

7 7 Knowhowaufbau Kosten und Budgets (ohne Netzwerk, IT und Datenschränke)

8 8 Budgetermittlung x? = Idee fertiges RZ Kostentreiber: Flächenbedarf (Whitespace) Leistungsbedarf (Leistungsdichte) Verfügbarkeitsbedarf Sicherheitsbedarf Energieeffizienz RZ

9 9 Normen, Richtlinien, Zertifizierungen IT-Grundschutz, Bundesamt für Sicherheit in der Informationstechnik (BSI) EN Teil 1 4 (Allgemeines Konzept, Design, Betrieb, Kenngrößen) VDS (Verband Deutscher Sachversicherer) Richtlinien, Zertifizierungen, Empfehlungen Uptime Institute (Tier 1 Tier 4) ISO DIN 27001/27002 DKE (VDE)/Celenec Standards und Normen (Deutsche Kommission Elektrotechnik Elektronik Informationstechnik e.v.) Basel (I-IV)/BaFin (IT-Sicherheit und Bankengeschäfte) Zertifizierungen/Prüfungen durch TÜV / Bitkom / eco-verband /Wirtschaftsprüfer EnEV 2007/ 2009 / 2012 etc.

10 10 Das Problem mit Normen, Richtlinien, Zertifizierungen Starke Verallgemeinerung werden der Komplexität der Rechenzentren nicht gerecht Lassen einen hohen Interpretationsspielraum Hinken oft den technischen Entwicklung hinterher sind untereinander nicht abgestimmt Bsp 1: BSI M Technische und organisatorische Vorgaben für das Rechenzentrum (Auszug) Sofern die baulichen Gegebenheiten es zulassen, ist die Installation eines Doppelbodens empfehlenswert. Seine Höhe ist abhängig von der technischen Ausstattung und Nutzung des Rechenzentrums. Wenn der Doppelboden zur Klimatisierung genutzt wird, sollte er mindestens 50 cm lichte Höhe haben. Bei hohen Wärmelasten von mehr als 1000 Watt pro Quadratmeter ist eine lichte Höhe von cm empfehlenswert. Bsp 2: Richtlinie VDI 2054 "Raumlufttechnische Anlagen für Datenverarbeitung" Aktuelle Richtlinie von 1994; Beginn der Überarbeitung 2012; Veröffentlichung Entwurf 5/2018

11 11 Das Problem mit Normen, Richtlinien, Zertifizierungen Nationales und internationales Sicherheitsverständnis oft unterschiedlich Interpretationsprobleme wegen international unterschiedlichen Einheiten Interpretationsprobleme bei Zeitversetzung zwischen Streitfall und Planung sind untereinander nicht abgestimmt Bsp. 1: Entspricht eine Ringleitung einem Level 4 Standard? Bsp. 2: USA ist Wasserlöschland Deutschland ist Gaslöschland Bsp. 3: USA hat Zoll, Feeds, Yards, BTU, etc. Europa hat Zentimeter, Meter, Watt Bsp. 4: Was war Stand der Technik vor xx Jahren und wie wird es belegt?

12 12

13 13 Die vier Schritte zum Rechenzentrum

14 14 Aktionen KONZIPIEREN Die Basis für ein gutes Rechenzentrum

15 15 Festlegung der Rahmenbedingungen Eine Chefaufgabe RZ in der Geschäftsstrategie IT Bedarfsstrategie Wachstumsstrategie Standortstrategie Datenwichtigkeit eigene IT RZ in 3, 5 und 10 Jahren Nähe notwendig RZ Affinität Philosophie extern zukaufbare IT-Dienste planbar, nicht planbar Best-Case-, Worst- Case Betrachtung Sicherheit des Standortes Betriebsstrategie Technologiestrategie eigener Betrieb Hoch effizient Facility Unternehmen ROI Vorgaben Wachdienst maximal flexibel Kernteam Chef FM`ler Experten/Berater

16 16 Aktionen KONZIPIEREN Die Basis für ein gutes Rechenzentrum

17 17 Bewertungskriterien für die Verfügbarkeit und Sicheheit eines RZ s

18 18 Aufbau einer umfassenden Sicherheits- und Verfügbarkeitsbetrachtung Beschreibung der Randbedingungen Sicherheits- und Verfügbarkeitsziel Risikoanalyse Standort/Lage Ausfallsicherheit Defekte, Ausfälle Zielfestschreibung Geschäft Schutz gegen Angriffe Angriffe, Sabotage Sicherheitskonzept IT-Wichtigkeit Wartungsfenster Umgebungseinflüsse Allg. Beschreibung Unternehmen Umsetzbarkeit Organis. Mängel Festschreiben des Restrisikos Definition Sicherheitsanforderungen Maßnahmenkatalog Dokumentation Restrisiken beschreiben Restrisiken bewerten Restrisiken festschr. Orga. Maßnahmen Techn. Maßnahmen Baul. Maßnahmen Sicherheitskonzept Betriebskonzept Notfallplanung Changemanagement

19 19 Sicherheitsmanagement in einer Organisation Externe Einflüsse Interne Einflüsse Gesetze, Normen, Standards Prozesse Techn. Entwicklungen, Fortschritt, Trends Personal Int./ext. Störfälle Infrastruktur Wertebestimmung Risikoeinschätzung Geschäft (Markt, Kunde, Wettbewerb) EDV Technik Information (Daten, Know-how) Ablauf Organe Vorstand RZ Policy Pflichtenheft Umsetzung IT Management Facility Management Organisation Budget Sicherheitskultur

20 20 Zielvorgaben Zielvorgaben Flächenbedarf Leistungsbedarf Verfügbarkeit/Sicherheit Effizienz Whitespace Watt/qm Sicherheitskonzept PUE- Ziele Racks IT- Räume, Nebenräume Watt/Rack Gesamtleistung Nach Vorgaben (Normen) Zertifizierungen Energiekosten Umweltgedanken Erst-,Endausbau,Wachstum Betrieb Modularität Wachstumsstrategien Prozessabbildung Aufbauorganisation Ablauforganisation Chef IT`ler FM`ler Experten/Berater RZ Policy Sicherheitskonzept, Lastenheft, Betriebskonzept

21 21 Planung unter Berücksichtigung von Normen, Richtlinien und Zertifizierung 1. IT-/RZ- Strategie festlegen und festschreiben 2. Abgleich zwischen Leistungs-, Effizienz-, Verfügbarkeits-, Sicherheitsziele und Budget 3. Verfügbarkeits- und Sicherheitskonzept festlegen und dokumentieren 4. Verfügbarkeits- und Sicherheitsziele müssen mit Personal- und Betriebskonzept im Einklang stehen 5. Berücksichtigte Normen und Richtlinien (Stand/Bearbeitungsstand) dokumentieren 6. Abweichungen von diesen (z.b. neuerer Stand der Technik) festschreiben 7. Bei Zertifizierung Partner festlegen und Planungsstufen absichern