So gestalten Sie Ihr Rechenzentrum KRITIS-konform Von der Analyse über die Planung zum Um-/Neubau PITS 2016 – Public IT-Security Berlin, den 13.09.2016
Ihre Ansprechpartner Robert HELLWIG
Stevo BILBIJA
SECUrisk
RZingcon
[email protected]
[email protected]
+49-27 41-93 21-2 02 +49-1 52-09 39 39 32
+49-89-1 89 35 65-11 +49-1 60-99 60 92 60
Gerhard GEBHARDT
[email protected] DATA CENTER GROUP
+49-27 41-93 21-0 +49-1 70-6 07 69 11 © 2016 – SECUrisk/RZingcon
Agenda • KRITIS und Rechenzentren • Analyse • Planung • Um- oder Neubau
© 2016 – SECUrisk/RZingcon
KRITIS und Rechenzentren
Das IT-Sicherheitsgesetz • IT-SiG betrifft die Informationssicherheit bei Betreibern sog. „Kritischer Infrastrukturen“ (KRITIS) • Bundesregierung hat mit den relevanten Behörden eine Einteilung in KRITISSektoren und -Branchen vorgenommen • „Relevante Betreiber“ sind Unternehmen, die Kritische Infrastrukturen betreiben
© 2016 – SECUrisk/RZingcon
Die Branchen Staat und Verwaltung
Nicht im IT-SiG geregelt UP Bund
• Bundes-, Landes- und Kommunalverwaltung Ministerien, Sicherheitsbehörden
Energie • Strom, Gas, Öl und Wärme Stadtwerke, Kraftwerken, Stromnetzen, Gasförderung, Gasnetze
Gesundheit • Krankenhäuser, Krankentransport, Arztpraxen, Apotheken
Informationstechnik & Telekommunikation • IT, Telekommunikation und Internet, Telekommunikationsunternehmen, Internetprovider, Kabelprovider, Mobilfunk, IT-Hoster, Netzbetreiber
Transport und Verkehr • Flughäfen, Fluglinien, Logistikunternehmen, Häfen und Wasserstrassen, Bahnbetreiber, Bahnnetze, ÖPNV Nicht im IT-SiG geregelt Ländergesetze
Medien und Kultur • Zeitungen, Rundfunk, Fernsehen, Medien
Wasser • Wasserversorgung, Wasserwerke, Wassernetze
Finanz- und Versicherungswesen • Banken, Versicherungen, Finanzdienstleister, Börsen
Ernährung • Nahrungsmittelherstellung, Lager, Verteilung
© 2016 – SECUrisk/RZingcon
Auswirkungen des IT-SiG • Betreiber Kritischer Infrastrukturen (KRITIS) müssen künftig Sicherheitsvorfälle melden, Mindeststandards der IT-Sicherheit umsetzen und diese Umsetzung regelmäßig nachweisen • Der erste Nachweis der Umsetzung muss innerhalb von 2 Jahren nach Rechtskräftigkeit des Gesetzes erfolgen • Danach ist alle 2 Jahre ein Nachweis (Audit) erforderlich • Bei Nichteinhaltung können Sanktionen in Form von Geldstrafen bis zu 100.000 EUR (!) verhängt werden
© 2016 – SECUrisk/RZingcon
Weitere Auswirkungen des IT-SiG • Um die Versorgung der BRD sicherzustellen, sollten KRITIS-Betreiber möglichst unabhängig ihre kritischen Unternehmensprozesse betreiben können • Dienstleister und Unterlieferanten eines KRITIS-Unternehmens müssen ebenfalls IT-SiG-Anforderungen erfüllen • Logische Konsequenz: • KRITIS-Unternehmen sollten mindestens ein eigenes RZ haben, um möglichst unabhängig zu sein
© 2016 – SECUrisk/RZingcon
Was ist ein „KRITIS-konformes“ RZ? • Aktueller Stand der Technik RZ-Infrastruktur • EN 50600 • Möglichst unabhängig von äußeren Einflüssen • KRITIS-Unternehmen sollten mindestens ein eigenes RZ haben • Prozesse und Organisation müssen passen • ISMS nach ISO/IEC 27001 oder BSI IT-Grundschutz • Aktueller Stand der Technik IT-Infrastruktur und IT-Sicherheit • Viele Angebote auf der PITS 2016
© 2016 – SECUrisk/RZingcon
Überblick EN 50600 – was bedeutet das?
Überblick nach EN 50600
Risikoanalyse
• •
Geschäftsrisiko, Sicherheit, Standzeitkosten, externe Bedrohungen etc. Empfohlen in Anlehnung an EN 31010
Muss Kann
= RZ-Klassifizierung
Verfügbarkeit
•
Vier Verfügbarkeitsklassen nach techn. Definitionen (Redundanzen)
Schutzklasse
•
Vier Schutzklassen jeweils für Zutritt und externe Einflüsse Muss
Energieeffizienz
• • •
Messungen! Drei „Granularitätsniveaus“- vor Beginn der Planung! Empfehlung: EU CoC und ETSI/TS 105 174-2-2
•
EMV-Konzept (Blitzschutz EN 62305, Potenzialausgleich EN 50310, Verkabelung EN 50174-2)
Planungsgrundsätze
Muss
Muss Kann
Muss
© 2016 – SECUrisk/RZingcon
11 12.11.
Robert HELLWIG / EN
Analyse Der erste Schritt
Analyse • Risikoanalyse der physikalischen Bedrohungen • Risikoanalyse der geschäftlichen Bedrohungen • Risikobewertung und Maßnahmen • Entscheidung über weiteres Vorgehen • Standortwahl • RZ-Klassifizierung (Architektur/Infrastruktur) • Energieeffizienz • Um- oder Neubau • … © 2016 – SECUrisk/RZingcon
Planung Mehr als nur „einen Plan machen“
Überblick Planung nach EN 50600 Planungsgrundsätze
Planungsprozess
Consulting
Consulting/Planung
Planung
Phase 1 Eigentümer
Phase 2 Eigentümer
Phase 3 Eigentümer
Phase 4 Planer
Strategie
Zielvorgabe
Systemspezifikation
Auslegungsvorschlag
Phase 5 Eigentümer
Phase 6 Planer
Phase 7 Eigentümer/Planer
Phase 8 Planer
Entscheidung
Funktionelle Auslegung
Genehmigung
Projektplanung
Phase 9 Eigentümer/Planer
Phase 10 Eigentümer/Planer
Phase 11 Eigentümer
Vertrag
Bauausführung
Inbetriebnahme © 2016 – SECUrisk/RZingcon
Um- oder Neubau Phase 5 – Die Entscheidung
Umbauen oder neu bauen? • Abhängig von den Gegebenheiten • Ergebnisse der Analyse(n) • Ergebnisse der ersten Planungsschritte • Entscheidung auf wirtschaftlicher und risikoorientierter Basis
© 2016 – SECUrisk/RZingcon
SECUrisk & RZingcon – Teil einer starken Gruppe
© 2016 – SECUrisk/RZingcon
Von A wie Analyse bis Z wie Zertifizierung realisieren und optimieren wir auch Ihr Rechenzentrum. Ralf Siefen, Geschäftsführer der DC-Datacenter-Group GmbH
© 2016 – SECUrisk/RZingcon
Ende – The End – La Fin
© 2016 – SECUrisk/RZingcon
Anhang
© 2016 – SECUrisk/RZingcon
Wir wissen, dass jedes Unternehmen eine eigene DNA hat. Sie auch?
Markus Schäfer, Geschäftsführer SECUrisk
© 2016 – SECUrisk/RZingcon
Informationssicherheit für Ihr Unternehmen
Beratung
© 2016 – SECUrisk/RZingcon
© 2016 – SECUrisk/RZingcon
Professionell und sicher
Analyse und Reparatur Ihrer Unternehmens-DNA
Strategie Effizienz Sicherheit
© 2016 – SECUrisk/RZingcon
Wir sind darauf spezialisiert, Gefährdungen und Risiken zu erkennen und zu bewerten. Hans-Jürgen Grabe, Kompetenzzentrum Informationssicherheit
© 2016 – SECUrisk/RZingcon
Unser Ziel… … ist es, Ihre Informationen zu sichern, Ihre Informationssysteme effizienter zu betreiben und strategisch so auszurichten, dass durch die kontrollierte Bereitstellung der Informationen Ihre Geschäftsprozesse bestmöglich unterstützt werden.
SECUrisk unterstützt Sie bei Strategie Sicherheit Effizienz © 2016 – SECUrisk/RZingcon
Die 8 Kompetenzfelder von SECUrisk
© 2016 – SECUrisk/RZingcon
Einige unserer Dienstleistungen für Sie
Interim Management
Cloud-Analyse
IT-Servicemanagement (ITIL) Pflichtenhefterstellung © 2016 – SECUrisk/RZingcon