So gestalten Sie Ihr Rechenzentrum KRITIS-konform

Transkript

1 So gestalten Sie Ihr Rechenzentrum KRITIS-konform Von der Analyse über die Planung zum Um-/Neubau PITS 2016 Public IT-Security Berlin, den

2 Ihre Ansprechpartner Robert HELLWIG SECUrisk Stevo BILBIJA RZingcon Gerhard GEBHARDT DATA CENTER GROUP

3 Agenda KRITIS und Rechenzentren Analyse Planung Um- oder Neubau

4 KRITIS und Rechenzentren

5 Das IT-Sicherheitsgesetz IT-SiG betrifft die Informationssicherheit bei Betreibern sog. Kritischer Infrastrukturen (KRITIS) Bundesregierung hat mit den relevanten Behörden eine Einteilung in KRITIS- Sektoren und -Branchen vorgenommen Relevante Betreiber sind Unternehmen, die Kritische Infrastrukturen betreiben

6 Die Branchen Staat und Verwaltung Energie Bundes-, Landes- und Kommunalverwaltung Ministerien, Sicherheitsbehörden Strom, Gas, Öl und Wärme Stadtwerke, Kraftwerken, Stromnetzen, Gasförderung, Gasnetze Gesundheit Krankenhäuser, Krankentransport, Arztpraxen, Apotheken Informationstechnik & Telekommunikation IT, Telekommunikation und Internet, Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber Transport und Verkehr Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstrassen, Bahnbetreiber, Bahnnetze, ÖPNV Medien und Kultur Wasser Zeitungen, Rundfunk, Fernsehen, Medien Wasserversorgung, Wasserwerke, Wassernetze Finanz- und Versicherungswesen Banken, Versicherungen, Finanzdienstleister, Börsen Ernährung Nahrungsmittelherstellung, Lager, Verteilung Nicht im IT-SiG geregelt UP Bund Nicht im IT-SiG geregelt Ländergesetze

7 Auswirkungen des IT-SiG Betreiber Kritischer Infrastrukturen (KRITIS) müssen künftig Sicherheitsvorfälle melden, Mindeststandards der IT-Sicherheit umsetzen und diese Umsetzung regelmäßig nachweisen Der erste Nachweis der Umsetzung muss innerhalb von 2 Jahren nach Rechtskräftigkeit des Gesetzes erfolgen Danach ist alle 2 Jahre ein Nachweis (Audit) erforderlich Bei Nichteinhaltung können Sanktionen in Form von Geldstrafen bis zu EUR (!) verhängt werden

8 Weitere Auswirkungen des IT-SiG Um die Versorgung der BRD sicherzustellen, sollten KRITIS-Betreiber möglichst unabhängig ihre kritischen Unternehmensprozesse betreiben können Dienstleister und Unterlieferanten eines KRITIS-Unternehmens müssen ebenfalls IT-SiG-Anforderungen erfüllen Logische Konsequenz: KRITIS-Unternehmen sollten mindestens ein eigenes RZ haben, um möglichst unabhängig zu sein

9 Was ist ein KRITIS-konformes RZ? Aktueller Stand der Technik RZ-Infrastruktur EN Möglichst unabhängig von äußeren Einflüssen KRITIS-Unternehmen sollten mindestens ein eigenes RZ haben Prozesse und Organisation müssen passen ISMS nach ISO/IEC oder BSI IT-Grundschutz Aktueller Stand der Technik IT-Infrastruktur und IT-Sicherheit Viele Angebote auf der PITS 2016

10 Überblick EN was bedeutet das?

11 Überblick nach EN Risikoanalyse Verfügbarkeit Geschäftsrisiko, Sicherheit, Standzeitkosten, externe Bedrohungen etc. Empfohlen in Anlehnung an EN = RZ-Klassifizierung Vier Verfügbarkeitsklassen nach techn. Definitionen (Redundanzen) Muss Kann Muss Schutzklasse Vier Schutzklassen jeweils für Zutritt und externe Einflüsse Muss Energieeffizienz Planungsgrundsätze Messungen! Drei Granularitätsniveaus - vor Beginn der Planung! Empfehlung: EU CoC und ETSI/TS EMV-Konzept (Blitzschutz EN 62305, Potenzialausgleich EN 50310, Verkabelung EN ) Muss Kann Muss Robert HELLWIG / EN

12 Analyse Der erste Schritt

13 Analyse Risikoanalyse der physikalischen Bedrohungen Risikoanalyse der geschäftlichen Bedrohungen Risikobewertung und Maßnahmen Entscheidung über weiteres Vorgehen Standortwahl RZ-Klassifizierung (Architektur/Infrastruktur) Energieeffizienz Um- oder Neubau

14 Planung Mehr als nur einen Plan machen

15 Überblick Planung nach EN Planungsgrundsätze Planungsprozess Consulting Consulting/Planung Planung Phase 1 Eigentümer Phase 2 Eigentümer Phase 3 Eigentümer Phase 4 Planer Strategie Zielvorgabe Systemspezifikation Auslegungsvorschlag Phase 5 Eigentümer Phase 6 Planer Phase 7 Eigentümer/Planer Phase 8 Planer Entscheidung Funktionelle Auslegung Genehmigung Projektplanung Phase 9 Eigentümer/Planer Phase 10 Eigentümer/Planer Phase 11 Eigentümer Vertrag Bauausführung Inbetriebnahme

16 Um- oder Neubau Phase 5 Die Entscheidung

17 Umbauen oder neu bauen? Abhängig von den Gegebenheiten Ergebnisse der Analyse(n) Ergebnisse der ersten Planungsschritte Entscheidung auf wirtschaftlicher und risikoorientierter Basis

18 SECUrisk & RZingcon Teil einer starken Gruppe

19 Von A wie Analyse bis Z wie Zertifizierung realisieren und optimieren wir auch Ihr Rechenzentrum. Ralf Siefen, Geschäftsführer der DC-Datacenter-Group GmbH

20 Ende The End La Fin

21 Anhang

22

23 Wir wissen, dass jedes Unternehmen eine eigene DNA hat. Sie auch? Markus Schäfer, Geschäftsführer SECUrisk

24 Informationssicherheit für Ihr Unternehmen Beratung

25

26 Professionell und sicher Analyse und Reparatur Ihrer Unternehmens-DNA Strategie Effizienz Sicherheit

27 Wir sind darauf spezialisiert, Gefährdungen und Risiken zu erkennen und zu bewerten. Hans-Jürgen Grabe, Kompetenzzentrum Informationssicherheit

28 Unser Ziel ist es, Ihre Informationen zu sichern, Ihre Informationssysteme effizienter zu betreiben und strategisch so auszurichten, dass durch die kontrollierte Bereitstellung der Informationen Ihre Geschäftsprozesse bestmöglich unterstützt werden. SECUrisk unterstützt Sie bei Strategie Sicherheit Effizienz

29 Die 8 Kompetenzfelder von SECUrisk

30 Einige unserer Dienstleistungen für Sie Interim Management Cloud-Analyse IT-Servicemanagement (ITIL) Pflichtenhefterstellung