2. IT-Grundschutz-Tag 2018 des BSI. Einführungsvortrag: Die Entwicklung der Rechenzentren und KRITIS² Frank Neubauer, Managing Consultant, CARMAO GmbH

Transkript

1 2. IT-Grundschutz-Tag 2018 des BSI Einführungsvortrag: Die Entwicklung der Rechenzentren und KRITIS² Frank Neubauer, Managing Consultant, CARMAO GmbH

2 Quelle: IBM Historische Entwicklung der Rechenzentren Pionierarbeit Anfang der 60er Jahre

3 Quelle: BT eigene Quelle Historische Entwicklung der Rechenzentren Goldgräberstimmung New Economy

4 Quelle: Lampertz Historische Entwicklung der Rechenzentren Hochverfügbarkeit nach ECB-S und EN

5 Technologien für eine Mehr-Standort-Strategie Synchrone oder Asynchrone Datenspiegelung verteilt auf zwei, oder mehrere Standorte. Getrennte und redundante Datenverbindungen. Systeme können so gestaltet werden, dass kein einziger Point of Failure bestehen bleibt. Rechenzentrum 1 Rechenzentrum 2 Rechenzentrum 3

6 Quelle: EU Code of Conduct on Data Centres Energy Efficiency V 2.0 Nutzungsarten der Rechenzentren Operator Colocation Provider Colocation Customer Managed Service Provider Managed Service Provider (MSP) in Colocation Betreibt das Gesamtrechenzentrum und hat alle Aspekte (Gebäude, Stromversorgung, Klimatisierung und IT-Einrichtungen) unter seiner Kontrolle. Betreibt das Rechenzentrum primär zum Zweck des Verkaufs oder Vermietung der Fläche, des Stroms und der Klimatisierung an die Kunden, die die IT-Hardware installieren und verwalten. Besitzt und verwaltet die IT-Einrichtungen in einem Rechenzentrum. Ein Colocation Customer kauft oder mietet die Fläche, den Strom und die Klimatisierung eines Rechenzentrums von einem Colocation Provider Besitzt und verwaltet die Rechenzentrumsfläche, den Strom, die Klimatisierung, die IT- Einrichtungen und Anteile der Software, um den Kunden IT-Dienstleistungen zu liefern. Dies beinhaltet konventionelles IT-Outsourcing. Ein Managed Service Provider, der die Fläche, den Strom oder die Klimatisierung eines Rechenzentrums bei einem Colocation Provider mietet/kauft (und nicht selber verwaltet).

7 Quelle: CEBIT 2018, Stand Vodafone Vielfalt der Datenverarbeitung Einsatz den neuen G5- Mobilfunkstadards zur Fernsteuerung von weit entfernten Maschinen

8 Quelle: BSI Standards für Informationssicherheit BSI-Standards zu Informationssicherheit Informationssicherheit und IT-Grundschutz BSI-Standard Managementsysteme für Informationssicherheit BSI-Standard IT-Grundschutz-Methodik BSI-Standard Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard Notfallmanagement IT-Grundschutz-Kompendium Kapitel 1 Kapitel 2 Vorspann Schichtenmodell und Modellierung Elementare Gefährdungen Schichten Prozessbausteine ISMS (Sicherheitsmanagement) ORP (Organisation & Personal) CON (Konzepte & Vorgehensweise) OPS (Betrieb) DER (Detektion & Reaktion) Systembausteine IND (Industrielle IT) APP (Anwendungen) SYS (IT-Systeme) NET (Netze & Kommunikation) INF (Infrastruktur) (z.b. INF.1, INF.2 o. INF.5)

9 Norm: ISO native IS-Richtlinien (A.5) 14 Kontrollbereiche 34 Zielvorgaben 114 Kontrollpunkte Betriebssicherheit (A.12)

10 Norm: ISO native 4 Kontext 5 Führung Plan Do Check Act Planung Unterstützung Betrieb Bewertung Verbesserung Organisation verstehen Führung Risikoanalyse Ressourcen Operativ Planen u. Steuern Überwachen Messen Analysieren Auswerten Abweichungen & Korrekturen Erwartungen Politik Leitlinie Sicherheitsziele Kompetenzen Risikoanalyse aktualisieren Interne Audits Kontinuierliche Verbesserung Geltungsbereich Rollen Verantwortung Befugnisse Risikobehandlung umsetzen Management- Bewertung ISMS (PDCA)

11 Quelle: BSI Rechenzentrum: BSI-Definition Definition aus den Anfangsjahren des IT-Grundschutzes (Mitte der 1990er Jahre) nicht mehr zeitgemäß Die neue RZ-Norm EN steht mit der alten Definition nicht mehr im Einklang Eine wesentliche Eigenschaft der EN ist, den Begriff RZ bewusst an Funktionalitäten statt an der Ausführung oder Größe auszurichten. Weitere Motivation war die Veröffentlichung der Anwendung HV-Benchmark Entfall der Unterscheidung zwischen RZ und SR über getroffene Maßnahmen, Organisationsformen oder Betriebsgrößen Neue Orientierung ausschließlich an der Bedeutung der IT-Strukturen für die Aufgabenerfüllung der nutzenden Organisation Die neue Definition steht damit im methodischen Einklang mit der EN 50600

12 EN 50600: Informationstechnik Einrichtungen von RZ EN : Verkabelung in Rechenzentren EN : Brandschutz EN 1634: Feuerwiderstand und Rauchschutz ISO 50001: Energiemanagementsystem EN : Zutrittskontrolle EN / EN 50518: Alarme EN 50131: Videoüberwachung EN 1627:2011: Widerstandsklassen (Türen, Fenster) EN : Energieaudits ISO 30134: Information Technology Data Centres KPI

13 EN 50600: Detailübersicht EN Allg. Konzepte EN Gebäudekonstruktion EN Stromversorgung EN Umgebungsbeding. EN Telek.verkabelung EN Sicherungssysteme EN (1-3) Management u. Betrieb EN [NEU] Kennzahlen

14 EN : Allgemeine Konzepte Risikoanalyse Verfügbarkeit Schutzklasse Energieeffizienz Planungsgrundsätze Geschäftsrisiko, Sicherheit, Standkosten ext. Bedrohungen etc. Empfohlen in Anlehnung an EN = RZ-Klassifizierung Vier Verfügbarkeitsklassen (techn. Redundanzen) Vier Schutzklassen für Zutritt u. externe Einflüsse Messungen Drei Granularitätsniveaus vor Beginn der Planung! EMV-Konzept (Blitzschutz EN 62305, Potenzialausgleich EN 50310, Verkabelung EN ) Muss Soll Muss Muss Muss Muss

15 EN : Risikoanalyse Risikoanalyse EN Ereignis-RA Risikomatrix Maßnahmen Geschäfts-RA Standzeiten Image Kosten RZ-Kategorie Kosten Verfügbarkeitsklasse Schutzklasse Energieeffizienz

16 EN : Übersicht In Vorbereitung - Nicht öffentlich -3-1 Organisation -3-2 Betrieb -3-3 Mgmt-Prozesse Betriebsstrategie Infos für den Betrieb RZ-Strategie Organisation Betriebs-Mgmt. Verfügbarkeits-Mgmt. Dokumentation Bestands-Mgmt. Sicherheits-Mgmt. Status: unabgestimmter Vorschlag aus DE für die künftige Weiterentwicklung des Teil 3 (ab 2021) Kontrollcenter Störfall-Mgmt. Ressourcen-Mgmt. 24x7 Betrieb Prozessstrategie Abnahmeprüfung Change-Mgmt. Problem-Mgmt. Kapazitäts-Mgmt. Risiko-Mgmt. Energie-Mgmt. Lifecycle-Mgmt. Kosten-Mgmt. Dienstleistungs-Mgmt. Kunden-Mgmt. 16 RZ-Management-Prozesse 10 Handbücher 20 KPIs 7 Maßnahmen zu Wartg./Service 18 Schnittstellen IT-FM 4 Reifegrade Qualitäts-Mgmt.

17 EN 50600: Kennzahlen Forschungsvorhaben: Kennzahlen und Indikatoren für die Beurteilung der Ressourceneffizienz von Rechenzentren (KPI4DCE) Ziel der Forschung ist es, Kennzahlen zur ganzheitlichen Beurteilung der Umweltwirkungen von Rechenzentren zu entwickeln, die alle Teilbereiche eines Rechenzentrums umfassen und die erbrachte IT-Leistung einbezieht. Aufgaben des Vorhabens: Die vorhandenen Kennzahlen, Indikatoren und Methoden erfassen und bewerten. Ein Kennzahlensystem im Sinne der Zielstellung entwickeln. Das Kennzahlensystem anhand einiger praktischer Beispiele evaluieren. Die Ergebnisse in Harmonisierungs- und Normungsaktivitäten einbringen. Den Blauen Engel für Rechenzentren (RAL UZ 161) mit Hilfe der Kennzahlen weiterentwickeln. Laufzeit des Vorhabens: Oktober 2015 bis September 2017

18 EN 50600: Kennzahlen KPI4DCE: Forschungsfragen Welchen Nutzen erbringt ein Rechenzentrum? Welche Leistungsindikatoren sind geeignet, um den Nutzen zu ermittelt? Wie hoch ist der Aufwand an Umweltwirkungen eines Rechenzentrums? Welche Umweltindikatoren stehen zu Verfügung? Wie kann die Verknüpfung von Leistungs- und Umweltindikatoren erfolgen? Hauptaufgabe Welchen Nutzen erbringt ein Rechenzentrum? Energie- und Ressourceneffizienz Rechenzentrum Nutzen Rechenzentrum Aufwand Rechenzentrum

19 Abschlussbericht KPI4DCE erhältlich unter: EN 50600: Kennzahlen KPI4DCE: Beitrag zur Normung EN ADP KEA THG A.1 Direct Material Input of a DC (DC-DMI) A.2 DC Cumulative Energy Demand (DC-CED) A.3 DC Carbon Footprint (DC-CF)

20 Normen und Standards für Rechenzentren Neu: EN ISO/IEC ISO/IEC ISO/IEC 27000er-Reihe BSI IT-Grundschutz neu ISO/IEC ISO/IEC TR IDW PS 330 COBIT ISO/IEC (Common Criteria) ITIL ISO/IEC British Standards (BS)

21 Quelle: BSI IT-Sicherheitsgesetz: Sektoren

22 IT-Sicherheitsgesetz: Mindeststandards Informationssicherheit Auswirkungen Technische RZ-Sicherheitsstandards müssen umgesetzt werden. ( aktueller Stand der Technik, RZ-Kategorie) Steuerungsorganisation notwendig (für alle) Der Einsatz von IT im Betrieb muss gesichert werden. -> ISMS nach BSI IT-Grundschutz oder ISO EN BSI-IT GS u.a.

23 IT-Sicherheitsgesetz: Auswirkungen Um die Versorgung der Bundesrepublik zu garantieren, müssen KRITIS-Betreiber ihre kritischen Unternehmensprozesse mit hoher Verfügbarkeit sicherstellen. Bei den RZ für den Betrieb kritischer Infrastrukturen müssen erhöhte Anforderungen an die Schutzziele (Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit) beachtet werden. Wenn IT-Infrastruktur, wie ein RZ, ausgelagert wird, diese jedoch trotzdem zur Erbringung der kritischen Dienstleistung notwendig ist, muss sie den gleichen Kriterien (Schutzziele, Verfügbarkeit) wie die kritische Dienstleistung selbst entsprechen. Besondere Aspekte von Kritis: Allgefahrenansatz: es müssen alle Bedrohungskategorien (alle sollen betrachtet werden) und Schwachstellenkategorien betrachtet werden. Risiken können nicht akzeptiert oder versichert werden, sondern müssen tatsächlich abgestellt oder soweit wie möglich reduziert werden.

24 IT-Sicherheitsgesetz: Auswirkungen Dienstleister und Unterlieferanten eines KRITIS-Unternehmens müssen ebenfalls die IT-SiG-Anforderungen erfüllen Logische Konsequenzen Wird der IT-Betrieb ausgelagert, muss sichergestellt werden, dass die Verfügbarkeit und eine Wiederherstellung des RZ und der Verbindungsinfrastruktur gegeben ist und damit die kritische Dienstleistung weiter erbracht werden kann. IT-Prozesse und RZ-Infrastruktur-Prozesse müssen im methodischen Einklang stehen (KRITIS²)! Auch wenn es manchmal schwer fällt. IT-Prozesse RZ-Infrastruktur- Prozesse

25 Vielen Dank für Ihre Aufmerksamkeit Sie haben noch Fragen? Wir stehen Ihnen gerne zur Verfügung. Frank NEUBAUER Managing Consultant Tel.: