Data Center Risk & Compliance Management

Transkript

1 Quelle: fotolia Dipl.-Ing. Lukas Memelauer, BSc Data Center Risk & Compliance Management 1

2 Agenda Herausforderungen für moderne Rechenzentren Ausführungen und Klassifizierungsmöglichkeiten Risiko- und Gefährdungslandschaft Compliance zu Normen und Standards CRISAM Data Center Knowledge Pack Live-Demo 2

3 Herausforderungen für moderne Rechenzentren Rechenzentren müssen modulare, skalierbare und flexible Einrichtungen und Infrastrukturen bereitstellen, um die sich sehr schnell ändernden Anforderungen des Marktes zu bedienen. Des Weiteren ist der Energieverbrauch von Rechenzentren sowohl im Hinblick auf die Umwelt (Verringerung des CO2-Ausstoßes) als auch unter ökonomischen Gesichtspunkten (Energiekosten) für den Betreiber eines Rechenzentrums ein kritischer Faktor geworden. [Quelle: EN :2013] 3

4 Herausforderungen für moderne Rechenzentren Ausführungen und Klassifizierungsmöglichkeiten Quelle: EN50600 Die Ausführung von Rechenzentren unterscheidet sich im Hinblick auf: Zweck (Unternehmens-Rechenzentrum, Ko- Lokations-Rechenzentrum, Hosting- Rechenzentrum oder Rechenzentrum eines Netzbetreibers) Sicherheitsniveau Physische Größe Unterbringung (mobile, zeitweilige und dauerhafte Konstruktionen) Rechenzentren können bspw. wie folgt klassifiziert werden: a) Verfügbarkeitsklassen b) Schutzklassen c) Granularitätsniveaus für die Befähigung zur Energieeffizienz 4

5 Risiko- und Gefährdungslandschaft Quelle: bsi.bund.de,

6 Risiko- und Gefährdungslandschaft Maßnahmen? By failing to prepare, you are preparing to fail. - Benjamin Franklin Jetzt Maßnahmen für ein betriebssicheres Rechenzentrum setzen! Verhindern Sie, dass potentielle Angreifer Zugang zu Ihrem Rechenzentrum erlangen und infolgedessen Informationen stehlen können. Sichern Sie Ihr Rechenzentrum strategisch, elektronisch und materiell ab! Schutzbedarfsbewertung anhand von Kriterien: Verfügbarkeit Vertraulichkeit Integrität Rechtskonformität 6

7 Vergleich der bestehenden Normenlandschaft RZ Gesamt RZ Verkabelung 7

8 Vergleich der bestehenden Normenlandschaft ISO/IEC / EN / TIA-942 / ANSI/BICSI 002 / EN Kriterien ISO/IEC EN TIA-942 ANSI/BICSI 002 EN Struktur und Topologie x x x x x Übertragungsqualität der IT-Verkabelung x x x x x Redundanz der Verkabelung x x x x x Erdung/Potenzialausgleich Querverweis Querverweis x x x RZ-Klassifikation - - x x x Kabelführung Querverweis Querverweis x x x Decken und Doppelboden Querverweis Querverweis x x x Architektonisches (Raumhöhe/Türbreite/etc.) Querverweis Querverweis x x x Stromversorgung - - x x x Brandschutz/Sicherheit - Querverweis x x x Beleuchtung - - x x x Administration Querverweis Querverweis x x x Temperatur/Luftfeuchtigkeit - - x x x 8

9 TIA-942-A / EN Nutzen und Ziele TIA-942-A ist ein amerikanischer Standard und umfassendes Normenwerk über die Anforderungen an die Planung und den Aufbau von Rechenzentren. EN behandelt als erste einheitliche europäische Normenreihe die Qualität von Rechenzentren und deren Infrastruktur. Für die geplante Lebensdauer eines Rechenzentrums werden die 3 Kriterien Verfügbarkeit, Sicherheit und Energieeffizienz betrachtet. Beide Standards bieten zahlreiche Anforderungen und Empfehlungen für die Planung, die Umsetzung und die Instandhaltung von sämtlichen Bestandteilen eines Rechenzentrums. Beide Standards setzen die Einordnung eines Rechenzentrums in ein Klassifikationssystem voraus. 9

10 EN Überblick Gliederung und Status (Norm) (Norm) (Normentwurf) (Normentwurf) (Norm) (Normentwurf) (Normentwurf) 10

11 Konformität zur EN :2013 Die EN :2013 hat sowohl den Status von ÖSTERREICHISCHEN BESTIMMUNGEN FÜR DIE ELEKTROTECHNIK gemäß ETG 1992 als auch den einer ÖNORM gemäß NG Damit eine Rechenzentrumsauslegung dieser Europäischen Norm entspricht: muss eine Geschäftsrisikoanalyse durchgeführt werden. muss aufbauend auf der Geschäftsrisikoanalyse eine geeignete Verfügbarkeitsklasse ausgewählt werden. muss aufbauend auf der Geschäftsrisikoanalyse eine geeignete Schutzklasse ausgewählt werden. muss ein geeignetes Niveau für die Befähigung zur Energieeffizienz ausgewählt werden. müssen die allgemeinen Auslegungsgrundsätze nach Anhang A angewandt werden. 11

12 Bsp: EN Telecommunications Cabling Infrastructure EN legt Anforderungen an die Telekommunikationsverkabelung-Infrastruktur zur Unterstützung der gewünschten Schutzklasse fest und nennt Empfehlungen dafür. Planung und Umsetzungsanforderungen als Basis Wege-und Wegesysteme für die für die Gestaltung von: Telekommunikations-Verkabelung die Telekommunikationsverkabelung selbst; Trennung der Kabel, Schränke die Telekommunikationsarchitektur; zugeordneten Kabelbahnen und Zwischenräumen. Design-Prinzipien für Telekommunikationsverkabelungs-Infrastruktur Dokumentation und Qualitätsplan Verwaltung und Betrieb der Telekommunikationsverkabelungs-Infrastruktur Beispiele für Verkabelungskonzepte Redundanz Wartbarkeit Skalierbarkeit / Zukunftssicherheit und Einfachheit Verfügbarkeitseinstufung für Telekommunikationsverkabelungs-Infrastruktur 12

13 TIA-942-A: Überblick Gliederung und Status Vier Infrastrukturteilbereiche werden für die Einstufung untersucht: T Telecommunications (Phys. IT Netz - passive Komponenten) E Electrical (Energieversorgung und verteilung) A Architectural (Architektonik und physische Sicherheit) M Mechanical (Klimatisierung, HKLS, Gebäudeleittechnik) Übergeordnete Definition der vier Stufen, je Infrastrukturteilbereich: Stufe 1 Basis Stufe 2 Redundante Komponenten Stufe 3 Konkurrierende Instandhaltung Stufe 4 Fehlertolerant Darstellung der eingestuften Infrastrukturteilbereiche - Beispiel: T 2 E 3 A 1 M 2 (angelehnt an Annex F der TIA-942-A-2014) 13

14 Überprüfung / Zertifizierung von Rechenzentren Die Verfügbarkeit aller Teile der EN Normenreihe ist für Ende 2014 in Aussicht gestellt. Die EN soll den steigenden Bedarf für die Zertifizierung eines Rechenzentren in seiner Gesamtheit abdecken. Aktuell kann die EN nicht für Zertifizierungen herangezogen werden. Bei Bedarf eines externen Qualitätsnachweises für Rechenzentren ist eine Überprüfung nach ANSI/TIA-942-A:2014 möglich. Im Scope der Einstufung befindet sich immer ein einzelnes Rechenzentrum für das alle Prüfpunkte zur Anwendung kommen. 14

15 Überprüfung von Rechenzentren Vorgehensweise Definition der Rahmenbedingungen Definition des Geltungsbereiches / Scopes Festlegung der Ansprechpartner und Koordination der Audittermine Durchführung der Interviews und Vor-Ort-Audits mit den Verantwortlichen vor Ort Compliance-Prüfung (mithilfe des CRISAM Data Center Knowledge Packs) Erstellung des Auditberichts (TEAM-Ist-Rating + GAP-Liste zum gewünschten TIER-Level) 15

16 Warum lohnt sich eine Überprüfung / Zertifizierung? Unabhängige Prüfung und Bewertung um einen internen Qualitätsnachweis führen zu können Als Qualitätsnachweis gegenüber Dritter (z.b. für Versicherung oder Kunden) Der Nachweis einer vertragsgerechten Umsetzung (beispielsweise bei Neuinstallationen) Reduktion des Aufwands für den Nachweis der Qualitätsfähigkeit Zum Aufdecken von Schwachstellen (Qualitätskontrollen) Zertifizierung und Wiederholungsprüfungen (Qualitätssicherung) Aufzeigen von Optimierungsmöglichkeiten (Qualitätsverbesserung) Bessere Positionierung gegenüber anderen Unternehmen und die damit verbundene Steigerung der Wettbewerbsfähigkeit Internationale Anerkennung und Akzeptanz 16

17 CRISAM Prozessmodell Inputs Outputs 1 Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement 2 Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope 3 Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf 4 5 Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich 6 Maßnahmenplan, Budget, Ressourcen, Termine IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung (CRISAM... Corporate Risk Application Method) 17

18 Prozessmodell des Unternehmens Verfügbarkeit Integrität Vertraulichkeit Wie funktioniert CRISAM bzw. was sind Kataloge? Kataloge sind gebündeltes Fachwissen Kataloge enthalten Bausteine Fragen Gewichtungen Bewertungsleitfäden Mapping zu Kriterien Mapping zu Quellen 18

19 CRISAM Data Center Knowledge Pack Ziele und Nutzen Ziele Nutzen Mängel im Vorhinein unterbinden Schwachstellen des Betriebs aufzeigen Hilfestellung für die Planung und Implementierung eines neuen Rechenzentrums. Verfügbarkeit von Infrastruktur und Services verbessern Notfallvorsorge Vorbereitung bzw. Durchführung von Überprüfungen von bestehenden Rechenzentren. Liefert Antworten auf diverse Fragen, wie z.b.: Wie ist der aktuelle Stand der Technik? Welchem Sicherheitsniveau bzw. welcher Verfügbarkeitsklasse/Schutzklasse/etc. soll bzw. muss das Rechenzentrum entsprechen? In welchen Bereichen gibt es Risiken/Chancen? Welche Abweichungen bestehen zwischen Soll/Ist-Stand? 19

20 CRISAM Data Center Knowledge Pack Quellen, Inhalt und Status Inhalt 4 Bausteine 176 Kontrollziele Compliance Report Telecommunications Mechanical Electrical Quellen TIA-942-A:2014 EN Architectural Status Entwicklung gemeinsam mit einem Partner aus dem Bereich Energieversorgung Veröffentlichung Anfang

21 Live Demo CRISAM Data Center Knowledge Pack CRISAM Data Center Knowledge Pack 21

22 Key Findings 1. Die EN 50600:2013 behandelt als erste einheitliche europäische Normenreihe die Qualität von Rechenzentren und deren Infrastruktur. Sie beinhaltet zahlreiche Anlehnungen an das amerikanische Pendant, die TIA-942-A: Beide Normenreihen bieten zahlreiche detaillierte Anforderungen und Empfehlungen für die Planung, die Umsetzung und die Instandhaltung von sämtlichen Bestandteilen eines Rechenzentrums. 3. Das Rechenzentrum wird dabei jeweils in ein Klassifikationssystem eingebunden und kann anhand des Erfüllungsgrades unterschiedlicher Kriterien entsprechenden TIER-Levels bzw. Verfügbarkeitsklassen zugeordnet werden. Vielen Dank für Ihre Aufmerksamkeit! einfach präzise wertorientiert nachvollziehbar calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) Copyright