So gestalten Sie Ihr Rechenzentrum KRITIS-konform Von der Analyse über die Planung zum Um-/Neubau PITS 2016 – Public IT-Security Berlin, den 13.09.2016

Ihre Ansprechpartner Robert HELLWIG

Stevo BILBIJA

SECUrisk

RZingcon

[email protected]

[email protected]

+49-27 41-93 21-2 02 +49-1 52-09 39 39 32

+49-89-1 89 35 65-11 +49-1 60-99 60 92 60

Gerhard GEBHARDT [email protected] DATA CENTER GROUP

+49-27 41-93 21-0 +49-1 70-6 07 69 11 © 2016 – SECUrisk/RZingcon

Agenda • KRITIS und Rechenzentren • Analyse • Planung • Um- oder Neubau

© 2016 – SECUrisk/RZingcon

KRITIS und Rechenzentren

Das IT-Sicherheitsgesetz • IT-SiG betrifft die Informationssicherheit bei Betreibern sog. „Kritischer Infrastrukturen“ (KRITIS) • Bundesregierung hat mit den relevanten Behörden eine Einteilung in KRITISSektoren und -Branchen vorgenommen • „Relevante Betreiber“ sind Unternehmen, die Kritische Infrastrukturen betreiben

© 2016 – SECUrisk/RZingcon

Die Branchen Staat und Verwaltung

Nicht im IT-SiG geregelt  UP Bund

• Bundes-, Landes- und Kommunalverwaltung Ministerien, Sicherheitsbehörden

Energie • Strom, Gas, Öl und Wärme Stadtwerke, Kraftwerken, Stromnetzen, Gasförderung, Gasnetze

Gesundheit • Krankenhäuser, Krankentransport, Arztpraxen, Apotheken

Informationstechnik & Telekommunikation • IT, Telekommunikation und Internet, Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber

Transport und Verkehr • Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstrassen, Bahnbetreiber, Bahnnetze, ÖPNV Nicht im IT-SiG geregelt  Ländergesetze

Medien und Kultur • Zeitungen, Rundfunk, Fernsehen, Medien

Wasser • Wasserversorgung, Wasserwerke, Wassernetze

Finanz- und Versicherungswesen • Banken, Versicherungen, Finanzdienstleister, Börsen

Ernährung • Nahrungsmittelherstellung, Lager, Verteilung

© 2016 – SECUrisk/RZingcon

Auswirkungen des IT-SiG • Betreiber Kritischer Infrastrukturen (KRITIS) müssen künftig Sicherheitsvorfälle melden, Mindeststandards der IT-Sicherheit umsetzen und diese Umsetzung regelmäßig nachweisen • Der erste Nachweis der Umsetzung muss innerhalb von 2 Jahren nach Rechtskräftigkeit des Gesetzes erfolgen • Danach ist alle 2 Jahre ein Nachweis (Audit) erforderlich • Bei Nichteinhaltung können Sanktionen in Form von Geldstrafen bis zu 100.000 EUR (!) verhängt werden

© 2016 – SECUrisk/RZingcon

Weitere Auswirkungen des IT-SiG • Um die Versorgung der BRD sicherzustellen, sollten KRITIS-Betreiber möglichst unabhängig ihre kritischen Unternehmensprozesse betreiben können • Dienstleister und Unterlieferanten eines KRITIS-Unternehmens müssen ebenfalls IT-SiG-Anforderungen erfüllen • Logische Konsequenz: • KRITIS-Unternehmen sollten mindestens ein eigenes RZ haben, um möglichst unabhängig zu sein

© 2016 – SECUrisk/RZingcon

Was ist ein „KRITIS-konformes“ RZ? • Aktueller Stand der Technik RZ-Infrastruktur • EN 50600 • Möglichst unabhängig von äußeren Einflüssen • KRITIS-Unternehmen sollten mindestens ein eigenes RZ haben • Prozesse und Organisation müssen passen • ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz • Aktueller Stand der Technik IT-Infrastruktur und IT-Sicherheit • Viele Angebote auf der PITS 2016

© 2016 – SECUrisk/RZingcon

Überblick EN 50600 – was bedeutet das?

Überblick nach EN 50600 

Risikoanalyse

• •









Geschäftsrisiko, Sicherheit, Standzeitkosten, externe Bedrohungen etc. Empfohlen in Anlehnung an EN 31010

Muss Kann

= RZ-Klassifizierung

Verfügbarkeit

•

Vier Verfügbarkeitsklassen nach techn. Definitionen (Redundanzen)

Schutzklasse

•

Vier Schutzklassen jeweils für Zutritt und externe Einflüsse Muss

Energieeffizienz

• • •

Messungen! Drei „Granularitätsniveaus“- vor Beginn der Planung! Empfehlung: EU CoC und ETSI/TS 105 174-2-2

•

EMV-Konzept (Blitzschutz EN 62305, Potenzialausgleich EN 50310, Verkabelung EN 50174-2)

Planungsgrundsätze

Muss

Muss Kann

Muss

© 2016 – SECUrisk/RZingcon

11 12.11.

Robert HELLWIG / EN

Analyse Der erste Schritt

Analyse • Risikoanalyse der physikalischen Bedrohungen • Risikoanalyse der geschäftlichen Bedrohungen • Risikobewertung und Maßnahmen • Entscheidung über weiteres Vorgehen • Standortwahl • RZ-Klassifizierung (Architektur/Infrastruktur) • Energieeffizienz • Um- oder Neubau • … © 2016 – SECUrisk/RZingcon

Planung Mehr als nur „einen Plan machen“

Überblick Planung nach EN 50600  Planungsgrundsätze

Planungsprozess

Consulting

Consulting/Planung

Planung

Phase 1 Eigentümer

Phase 2 Eigentümer

Phase 3 Eigentümer

Phase 4 Planer

Strategie

Zielvorgabe

Systemspezifikation

Auslegungsvorschlag

Phase 5 Eigentümer

Phase 6 Planer

Phase 7 Eigentümer/Planer

Phase 8 Planer

Entscheidung

Funktionelle Auslegung

Genehmigung

Projektplanung

Phase 9 Eigentümer/Planer

Phase 10 Eigentümer/Planer

Phase 11 Eigentümer

Vertrag

Bauausführung

Inbetriebnahme © 2016 – SECUrisk/RZingcon

Um- oder Neubau Phase 5 – Die Entscheidung

Umbauen oder neu bauen? • Abhängig von den Gegebenheiten • Ergebnisse der Analyse(n) • Ergebnisse der ersten Planungsschritte • Entscheidung auf wirtschaftlicher und risikoorientierter Basis

© 2016 – SECUrisk/RZingcon

SECUrisk & RZingcon – Teil einer starken Gruppe

© 2016 – SECUrisk/RZingcon

Von A wie Analyse bis Z wie Zertifizierung realisieren und optimieren wir auch Ihr Rechenzentrum. Ralf Siefen, Geschäftsführer der DC-Datacenter-Group GmbH

© 2016 – SECUrisk/RZingcon

Ende – The End – La Fin

© 2016 – SECUrisk/RZingcon

Anhang

© 2016 – SECUrisk/RZingcon

Wir wissen, dass jedes Unternehmen eine eigene DNA hat. Sie auch?

Markus Schäfer, Geschäftsführer SECUrisk

© 2016 – SECUrisk/RZingcon

Informationssicherheit für Ihr Unternehmen

Beratung

© 2016 – SECUrisk/RZingcon

© 2016 – SECUrisk/RZingcon

Professionell und sicher

Analyse und Reparatur Ihrer Unternehmens-DNA

Strategie Effizienz Sicherheit

© 2016 – SECUrisk/RZingcon

Wir sind darauf spezialisiert, Gefährdungen und Risiken zu erkennen und zu bewerten. Hans-Jürgen Grabe, Kompetenzzentrum Informationssicherheit

© 2016 – SECUrisk/RZingcon

Unser Ziel… … ist es, Ihre Informationen zu sichern, Ihre Informationssysteme effizienter zu betreiben und strategisch so auszurichten, dass durch die kontrollierte Bereitstellung der Informationen Ihre Geschäftsprozesse bestmöglich unterstützt werden.

SECUrisk unterstützt Sie bei Strategie Sicherheit Effizienz © 2016 – SECUrisk/RZingcon

Die 8 Kompetenzfelder von SECUrisk

© 2016 – SECUrisk/RZingcon

Einige unserer Dienstleistungen für Sie

Interim Management

Cloud-Analyse

IT-Servicemanagement (ITIL) Pflichtenhefterstellung © 2016 – SECUrisk/RZingcon