Baulicher IT-Grundschutz im Rechenzentrum

Transkript

1 Baulicher IT-Grundschutz im Rechenzentrum IT- Grundschutz relevant? Die Fragestellung klingt nach einer einfachen Aufgabe. Es gibt einen IT-Grundschutz-Baustein Rechenzentrum (B 2.9), da sollten die entsprechenden Aufgaben zu finden sein. Bei einem Konjunktiv in der Einleitung ist dem geneigten Leser natürlich längst klar, dass dem nicht so ist. Als Rechenzentrum werden im Baustein 2.9 alle erforderlichen Einrichtungen (z.b. Klimatechnik) und Räumlichkeiten (z.b. Rechnersaal) zum Betrieb komplexer IT-Infrastrukturen in Abgrenzung zum Serverraum (für einfachere Infrastrukturen) definiert. Es handelt sich also strukturell um einen IT-Raum, selbst wenn er ein ganzes oder sogar mehrere Gebäude in Anspruch nimmt. Dies bedeutet für die Zertifizierung, dass zusätzlich die gebäudebezogenen Bausteine B 2.1 Gebäude, B 2.2 Elektrotechnische Verkabelung und B 2.12 IT-Verkabelung zu betrachten sind. Diese werden im Weiteren aber nicht berücksichtigt. Wie sieht eine Prüfung während eines Audits im Rahmen der Zertifizierung aus? Dazu orientieren wir uns am IT-Grundschutzbaustein B 2.9 Rechenzentrum, beginnend mit der Planung und dann über Umsetzung und Betrieb zur Notfallvorsorge. Als erstes ist danach zu prüfen, ob technische und organisatorische Vorgaben für das Rechenzentrum (M 1.49) beschrieben sind. Die Maßnahme listet einige typische Planungsvorgaben auf, die fast alle optional umzusetzen sind ( sollte, ist empfehlenswert ). Nach der Systematik des IT-Grundschutz kann daher auf die Umsetzung der Vorgaben verzichtet werden. Da die Maßnahme selbst aber verpflichtend ist, muss für die Zertifizierung zumindest geprüft und entschieden werden, ob die Berücksichtigung der Vorgaben sinnvoll wäre. Anders ausgedrückt: der Planer muss nicht alles machen, was in der Maßnahme vorgeschlagen wird, er muss aber begründen können, warum er darauf verzichtet und genau dies wird der Auditor prüfen. Der Planer kann das mündlich erläutern, zuverlässiger ist aber eine schriftliche Begründung. Außerdem sollte während der Planungsphase geprüft werden, wie das Rechenzentrum sinnvoll im Gebäude angeordnet wird (M 1.13 Anordnung schützenswerter Gebäudeteile, zusätzliche Maßnahme). Die weiteren Planungsvorgaben lassen sich auf die Bereiche Stromversorgung, Klimatisierung, Brandschutz, Schutz gegen Wasser und gegen unbefugten Zutritt aufteilen. Seite 1 von 3

2 Das umfangreichste Maßnahmenbündel ist für die Sicherstellung der Stromversorgung vorgesehen. Ein redundanter Netzaufbau (M 1.3 Angepasste Aufteilung der Stromkreise), Überspannungsschutzkonzept (M 1.25), eine Netzersatzanlage (M 1.56) und eine zentrale USV (M 1.70) sind zwingend vorzusehen. Die Räume für Netzersatzanlage und USV müssen vom Schutz gegen Einbruch, Brand und Wasser dem Kernbereich entsprechen. Der Auditor wird die Erfüllung der Anforderungen durch Sichtung von Plänen und eine Sichtkontrolle prüfen. Ebenfalls umfangreich ist das Maßnahmenpaket zum Brandschutz: Für das Rechenzentrum ist ein eigener Brandabschnitt (M 1.47) zu schaffen, sowie bei Bedarf weitere interne Brandabschnitte. Der Kernbereich (IT-Kerneinheiten und Datenträgerarchiv) müssen mindestens entsprechend F 90 geschützt werden, im Kernbereich integrierte Büros noch einmal nach F 30. Der erforderliche Rauchschutz (M 1.50) ist zu gewährleisten. Es sind entsprechende Sicherheitstüren und fenster vorzusehen (M 1.10). Ein besonderer Brandschutz ist für Patchfelder (M 1.62) erforderlich: entweder eine Trennung von den aktiven IT-Komponenten (eigener Raum) oder eine Schottung des Patchfeldes mit Funktionserhalt (E 30, wenn eine Löschanlage vorhanden ist, ansonsten E 90). Weiterhin sind eine Brandmeldeanlage (M 1.48) und geeignete Feuerlöscher (M 1.7) erforderlich. Es muss geprüft werden, ob die Verwendung von Brandfrühesterkennung und Löschtechnik (M 1.54, zusätzliche Maßnahme) sinnvoll ist. Auch hier wird der Auditor mindestens eine Sichtprüfung durchführen und bei Bedarf Unterlagen von Fachplanern auswerten. Die Maßnahmen zu Klimatisierung (M 1.27) und Schutz gegen Wasser (M 1.24 Vermeidung von wasserführenden Leitungen) sind ebenfalls für Rechenzentren obligatorisch, auch hier erfolgt die Prüfung durch eine Kombination aus Nachvollziehen der Planung und Sichtkontrolle der Umsetzung. Komplexer ist die Betrachtung des Schutzes gegen Einbruch. Die entsprechende Maßnahme (M 1.19 Einbruchschutz) ist für Rechenzentren nicht vorgesehen (wohl aber für das zu betrachtende Gebäude). Sie ist aber trotzdem relevant, da sowohl aus M 1.10 Verwendung von Sicherheitstüren und fenstern als auch aus M 1.49 Technische und organisatorische Vorgaben für das Rechenzentrum auf sie verwiesen wird. Im Gegensatz zum Brandschutz werden in der Maßnahme M 1.19 keine klaren Vorgaben definiert. Es soll lediglich eine sinnvolle, durchgehend gleichwertige Hülle um den zu schützenden Bereich gebildet werden, mit dem Ziel, die Erfolgsaussichten von Einbrechern zu minimieren. Gefordert wird also ein Schutzkonzept basierend auf einer individuellen Risikobetrachtung und genau das muss während der Zertifizierung abgeprüft werden. Ist das erläuterte (besser: beschriebene) Konzept schlüssig, muss die Maßnahme als erfüllt gelten. Es ist außerdem zu prüfen, ob zusätzlich die Überwachung des Geländes (M 1.55 Perimeterschutz, zusätzliche Maßnahme) oder eine Videoüberwachung (M 1.53, zusätzliche Maßnahme) sinnvoll sind. Obligatorisch ist hingegen die Vermeidung von Lagehinweisen (M 1.12). Dies lässt sich durch Sichtprüfung feststellen. Seite 2 von 3

3 Abschließend ist für die Planungsphase zu prüfen, ob eine Fernanzeige von Störungen (M 1.31, zusätzliche Maßnahme) für die eingesetzte Technik erforderlich ist. Wie bei allen zusätzlichen Maßnahmen ist auch hier zu prüfen, ob diese Betrachtung durchgeführt wurde und das Ergebnis schlüssig ist. In der Umsetzungs- und Betriebsphase treten organisatorische Maßnahmen in den Vordergrund. Der Zutrittsschutz ist der Haupt-Aspekt, definiert durch die Maßnahmen M 1.73 Schutz eines Rechenzentrums gegen unbefugten Zutritt, M 1.15 Geschlossene Fenster und Türen, M 1.23 Abgeschlossene Türen und M Organisatorische Vorgaben für die Gebäudereinigung. Der zweite Schwerpunkt ist die Instandhaltung der Infrastruktur, es gelten die Maßnahmen M 1.71 Funktionstests der technischen Infrastruktur und M Inspektion und Wartung der technischen Infrastruktur, sowie Vorgaben für Baumaßnahmen im laufenden Betrieb (M 1.72, zusätzliche Maßnahme), soweit diese erforderlich sind. Weiterhin sind aktuelle Infrastruktur- und Baupläne (M 1.57) vorzuhalten, hierbei sind auch M 1.11 Lagepläne der Versorgungsleitungen und M 5.4 Dokumentation und Kennzeichnung der Verkabelung zu berücksichtigen. Und schließlich ist ein Rauchverbot (M 2.21) auszusprechen, sofern dieses nicht durch die allgemeinen Regelungen zum Nichtraucherschutz ohnehin besteht. Im Zertifizierungsverfahren ist zu prüfen, ob diese Regelungen getroffen wurden (zum Beispiel durch entsprechende Anweisungen) und eingehalten werden (durch geeignete Stichprobenprüfungen). In gleicher Weise kann auch die Maßnahme M 6.17 Alarmierungsplan und Brandschutzübungen zur Notfallvorsorge geprüft werden. Eine letzte Anforderung ist die Prüfung, ob ein Notfallarchiv (M 6.74) erforderlich ist. Als zusätzliche Maßnahme muss diese Anforderung nicht zwingend umgesetzt sein. Es muss aber plausibel begründet werden, warum dies eventuell nicht der Fall ist. Wenn ein Notfallarchiv für erforderlich gehalten wird, ist dieses geeignet zu schützen. Diese Zusammenstellung zeigt bereits auf Grund der Vielzahl der zu betrachtenden Aspekte, die alle eine entsprechende technische Expertise erfordern, dass die Prüfung wie auch die Planung eines Rechenzentrums komplex sind. Umso mehr, als sich die einzelnen Bereiche gegenseitig beeinflussen. So stellen zum Beispiel für die Klimatisierung erforderliche Wanddurchbrüche zusätzliche Herausforderungen an Brand- und den Einbruchschutz. Daher empfiehlt das BSI nachdrücklich, für die Planung eines Rechenzentrums auf geeignete Fachplaner zurückzugreifen. Das Gleiche sollte für die Vorbereitung einer Zertifizierung gelten, sofern die Planung nicht bereits unter den dargestellten Aspekten erfolgt ist. Autor: Stefan Stumm, Rochusstrasse 16, Bergheim, stefan.stumm@stumm-it-sicherheit.de BSI-lizenzierter ISO lizenzierter Auditor auf Basis von IT-Grundschutz BSI-lizenzierter Revisor für IT-Grundschutz Seite 3 von 3

4 IT. SecurityCircles BasicCircle (Know) how to bau So planen Sie den baulichen Schutz für Ihre IT Schwerpunktthemen: Konzeptioneller Ansatz Typische bauliche Schwachstellen kennen Einbruchschutz vs. Brandschutz Klima: damit Ihre Server zuverlässig bleiben Zu viel Spannung: wann die IT abschaltet Ihr Referent: Stefan Stumm ist seit 2002 BSIlizenzierter IT-Grundschutz-Auditor, BSI-lizenzierter ISO Lead-Auditor, lizenzierter IS-Revisor. Er ist als IT-Sicherheitsberater bei Groß-Unternehmen, sowie bei mittelständischen Unternehmen aus allen Bereichen tätig. Er ist Herausgeber des Handbuchs IT-Sicherheit und Datenschutz von A-Z Ihr Nutzen: Sie lernen in diesem Seminar die bestehenden Fallen und Risiken im baulichen Bereich zu erkennen, geeignete Lösungen zu finden und dabei kostenintensive Scheinlösungen zu vermeiden. Der BasicCircle für: IT-Sicherheitsverantwortliche, IT-Verantwortliche, Bauverantwortliche, Datenschutzverantwortliche, Management Die Termine: in Köln in Frankfurt Jeweils Uhr

5 Sichere IT-Räume planen Ein Grundbaustein für den sicheren Betrieb der IT ist die physische Absicherung der Daten. Server-Räume und andere IT-Räume müssen im Schutzkonzept berücksichtigt werden. Oft fehlt aber in der IT-Abteilung das Wissen, um richtige bauliche Sicherungsmaßnahmen anzustoßen. In den Bauabteilungen mangelt es häufig an der Kenntnis zu spezifischen IT-Anforderungen. Beides zusammen führt dazu, dass IT-Räume eher ein Sicherheitsrisiko als einen Schutz für die IT darstellen; Und das häufig trotz hoher Investitionen -aber leider in falsche Lösungen. Bauliche Schwachstellen sind für Angreifer zum Teil leicht zu finden und auszunutzen. Mit Blick auf das IT-Sicherheitsgesetz und die neue europäische Datenschutzgrundverordnung, sollte der physische Schutz Ihrer Informationen besondere Aufmerksamkeit erhalten. Ihr BasicCircle im Überblick: Voraussetzungen Wer alles ein Wort mitzureden hat: Die verschiedenen Anforderungen von BSI, VdS, TÜV, Feuerwehr u.a. Schwachstellen und Abhängigkeiten Typische bauliche Schwachstellen Was man alles falsch machen kann Konzeptioneller Ansatz Zusammenfügen was Zusammengehört Grundsätzliche Anforderungen erfüllen Einbruchschutz vs. Brandschutz Rein oder Raus? Prima Klima Geeignete Umweltbedingungen für die IT Stromversorgung planen bei zu viel Spannung schalten auch Server ab Nachweise Dokumentationspflichten Wer schreibt, der bleibt Betrieb in der Praxis Funktionalität erhalten Wer die Infrastruktur nicht wartet, wartet auf die Infrastruktur Ihr Extra: Senden Sie Ihre wichtigste Frage oder Problemstellung vorab ein. So können Sie sicher sein, dass im Kurs genau auf Ihre Frage eingegangen wird und Sie den höchsten Nutzen aus Ihrer Teilnahme mitnehmen. Die IT-SecurityCircles werden fachlich unterstützt von: Hier anmelden: Per Fax 02234/ oder unter Ich möchte am BasicCircle teilnehmen: Sichere IT-Räume planen in Köln in Frankfurt Teilnahmegebühr: 890,00 Euro zzgl. gesetzl. MwSt. Im Preis enthalten sind: Tagungsunterlagen, Pausengetränke, Mittagessen. Das Tagungshotel teilen wir Ihnen in deranmeldebestätigung mit. Stornierungen ab 14 Tage vor Veranstaltungsbeginn werden mit 50% der Gebühren, Absagen am Veranstaltungstag mit der vollen Gebühr belastet. Stornierungen werden nur schriftlich akzeptiert. Der Veranstalter behält sich vor, das Seminar bis 14 Tage vor Beginn zu stornieren. Die Veranstaltungsgebühr ist 14 Tage nach Rechnungserhalt ohne Abzug fällig. Teilnehmer Vorname: Name: Funktion: Abteilung: *: Telefon (geschäftlich): Rechnungsanschrift Firma: Abt.: Name: Straße: PLZ/Ort: Unterschrift: Fax (freiwillige Angabe): Datum: Datenschutzhinweis: Ihre Angaben werden von der DATAKONTEXT GmbH ausschließlich für die Bearbeitung Ihrer Bestellung, die Durchführung der Veranstaltung sowie für eigene Direktmarketingzwecke verwendet. Dies erfolgt evtl. unter Einbeziehung von Dienstleistern. Eine Weitergabe an Dritte erfolgt nur zur Vertragserfüllung oder wenn wir gesetzlich dazu verpflichtet sind. Falls Sie keine weiteren Informationen von DATAKONTEXT mehr erhalten wollen, können Sie uns dies jederzeit mit Wirkung in die Zukunft an folgende Adresse mitteilen: DATAKONTEXT GmbH, Augustinusstr. 9d, Frechen, Fax: 02234/ , *Gerne lassen wir Ihnen über die -Adresse Informationen zu eigenen ähnlichen Produkten zukommen. Sie können diese werbliche Nutzung jederzeit untersagen, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen. DATAKONTEXT GmbH Augustinusstr. 9d Frechen Telefon 02234/ Telefax 02234/ in Kooperation mit me malchus-eventmanagement, Nina Malchus,