Upload
dokhanh
View
216
Download
2
Embed Size (px)
Citation preview
Datacenter Zertifizierung nach EN 50600: Mehrwert für bestehende
ISMS – in der Praxis
12. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2016
DI Markus Hefler, BSc, CISA, CISM, CISSP
Agenda
1. Vorstellung der RRZ GmbH
2. Sinn der Zertifizierung der RZ-Infrastruktur
3. Vergleich der Data Center Design Standards
4. EN 50600 – Wohin geht die Reise?
5. Zusammenfassung
Raiffeisen Rechenzentrum GmbH
Inbetriebnahme Rechenzentrum
Steir. Raiffeisenbanken und 170 Gemeinden als RZ-Kunden
3.000 steirische Online-Endplätze
Einführung Help Desk und Welcome Center
HYPO Steiermark als Rechenzentrumskunde
TIA-942 Zertifizierung – T4A3E3M4
Neupositionierung als RRZ GmbH
1975
2002 2015
2000 2003
2008 ISO 27001 Zertifizierung
2011
ISO 20000 Zertifizierung
1977
2010
Serviceportfolio
HOSTING
TIERED STORAGE
BACKUP
DISASTER RECOVERY
IAAS DATA
REPLICATION
DATA SECURITY
HOUSING
WAN SERVICES ISP / SPLA
DATA
CENTER NETWORK
MGMT
ERP HOSTING
MESSAGING
ARCHIV
UC
PAAS ECM
SER
VIC
E M
ANAG
EMEN
T (IT
IL)
SYST
EM M
ANAG
EMEN
T &
SU
PPO
RT
SER
VIC
E D
ESK
CO
NSU
LTIN
G S
ERVI
CES
„Warum kann ich meine E-Mails nicht abrufen?“
„Sollte ich meine RZ-Infrastruktur zertifizieren lassen?“
„Unsere Prozesse sind dokumentiert…“
„…aber ich kann auf die Unterlagen leider nicht zugreifen!“
Ziele eines ISMS
• Minderung der operationellen Risiken durch Schutz vor
– Menschlichem Versagen – Kriminellen Handlungen – Katastrophen (Feuer, Wasser, Erdbeben etc.)
• Verfügbarkeit -> Das Unternehmen muss arbeitsfähig bleiben!
– Schutz der Daten gegen Verlust und Verfälschung – Vermeidung von Datenmissbrauch
PLAN
DO
CHECK
ACT
Gelebte Managementsysteme
Brückenschlag zwischen ISMS und RZ-Infrastruktur
Tier Level gemäß Level 1: „Basis“ Anfällig für Betriebsunterbrechungen (BU) durch un-/geplante Aktivitäten wie Instandhaltungsarbeiten, Störungen etc.. „single points of failure“
Level 2: „Redundante Komponenten“ Weniger anfällig für BU. USV- und Netzersatzeinrichtung sind vorhanden (N+1). Instandhaltungsarbeiten erfordern aber Betriebsunterbrechung.
Level 3: „Konkurrierende Instandhaltung“ Geplante Instandhaltungsarbeiten können ohne BU durchgeführt werden. Dennoch führen spontan auftretende Infrastrukturstörungen noch zu BU.
Level 4: „Fehlertolerant“ Simultan aktive Versorgungspfade ermöglichen störungsfreien IT-Betrieb im Falle mindestens einer ungeplanten worst-case-Störung.
Quelle: http://www.commscope.com/Docs/Data-Center-Cabling-Design-Fundamentals-WP-321067-EU.pdf?utm_source=blog&utm_medium=socialmedia&utm_campaign=blogging
Data Center Design Standards
• EN 50600-x (Design of “Data Centre Facilities and Infrastructures”) stellt einen neuen Data Center Design Standard aus Europa dar
• Verwandte Standards: TIA-942, ANSI/BICSI 002 sowie Uptime Institute
• Anders als die vergleichbaren Standards bilden die sieben Teile der 50600-Serie einen holistischen Ansatz für das Design, die Konstruktion sowie für den Betrieb eines Data Centers
• Die Entwicklung erfolgt durch die europäische non-profit Organisation CENELEC
EN 50600? Was ist das?
Quelle: http://www.commscope.com/uploadedImages/CommScopecom/Blog/Blog_Resources/Hans_2_chart_small.jpg
EN 50600-x Standards
Entwicklungsbeginn: 2011 Veröffentlichte Standards 2013: EN 50600-1 2014: EN 50600-2-1, EN 50600-2-2 2015: EN 50600-2-3, EN 50600-2-4 Drafts: Q1 2016: EN 50600-2-5, EN 50600-3-1 Weiterentwicklung EN 50600-3-x: Weitere Normteile betreffend RZ-Betrieb EN 50600-4-x: Key Performance Indicators (KPI) zur
Beurteilung der Energieeffizienz und der Prozessqualität des Betriebs von Rechenzentren
Entwicklung der EN 50600-Serie
Quelle: http://www.future-thinking.de/die-neue-europaeische-rechenzentrumsnorm-en-50600/
EN 50600-1 Verfügbarkeitsklassen
ISO 27001, Anhang A – Auszug
Zusammenfassung • Der Einsatz normierter Management Systeme (ITSM,
ISMS) erhöht die Qualität der Serviceerbringung • SIP als Werkzeug zur Weiterentwicklung und
Effizienzsteigerung nutzen • Adäquate Maßnahmenumsetzung unter Berücksichtigung
von Kosten- und Nutzenaspekten • Die Vorgaben zur physischen Sicherheit überschneiden
sich. Diese sind in der TIA-942/EN 50600 wesentlich detaillierter auf die Anforderungen von Rechenzentren hin definiert
http://www.dashboardinsight.com/news/news-posts/governance-risk-management-and-compliance.aspx
Vielen Dank für Ihre Aufmerksamkeit!