Österreich
Secure Your Business
 

RZ-Infrastruktur nach ANSI/TIA 942:
Energie AG nutzt Stage Review als Wegbereiter
zur Zertifizierung

 

Über den Bedarf einer RZ-Zertifizierung am Markt, Synergien mit ISO 27001 und Vorteile des Stage Reviews als Statusbestimmung.

  

(CIS-Newsletter März 2014)  Die Energie AG Oberösterreich Data GmbH gehört mit seinem 5.000 km-umfassenden Glasfasernetz und leistungsstarken Rechenzentrum zu den führenden IKT-Service-Providern in Oberösterreich. Als ehemalige Telekommunikationsabteilung des Konzerns betreut die Data GmbH Business-Kunden und Provider-Kunden in ihren vier Geschäftsfeldern: Server-Housing, Carrier-Dienste, Provider-Dienste und FTTH (Fibre To The Home). Seit dem Jahr 2008 ist die Data GmbH bereits für Informationssicherheit nach ISO 27001 zertifiziert. Nun ist die Zertifizierung des Rechenzentrums nach ANSI/TIA 942-A-2012 bzw. EN 50600 geplant. Über den Bedarf einer RZ-Zertifizierung am Markt, Synergien mit ISO 27001 und einen wirksamen System-Check berichten Dr. Manfred Litzlbauer, Geschäftsführer der Energie AG OÖ Data GmbH sowie DI (FH) Matthias Tischlinger, Abteilungsleiter Communciation Services.

 

Ist der Bedarf einer Data Center Zertifizierung am Markt bereits spürbar?

Litzbauer bearbeitetManfred Litzlbauer: Derzeit wird eine Zertifizierung nach ANSI/TIA 942 oder künftig nach EN 50600 zwar noch nicht dezidiert gefordert, aber die Entwicklung geht in diese Richtung. Ähnlich war es mit der ISO 27001: Im Jahr 2008 waren wir einer der ersten Anbieter mit einem Zertifikat. Mittlerweile wird ISO 27001 in vielen Ausschreibungen gefordert. Als Provider von IKT-Diensten wollen wir unseren Kunden eine hohe Qualität und Sicherheit des lokalen Rechenzentrums bieten. Das die gehosteten Daten in Oberösterreich und nicht im Ausland liegen, ist für unsere Business-Kunden ein wichtiges Entscheidungskriterium. Daher werden wir das Rechenzentrums-Zertifikat künftig auch aktiv im Marketing verwenden.

Matthias Tischlinger:  Die Zertifizierung nach ISO 27001 hat bereits gezeigt, dass es um mehr geht, als um eine Urkunde an der Wand. Durch den selbst auferlegten Druck werden Sicherheitslücken so systematisch und tiefgehend bearbeitet, wie man es im ausgefüllten Berufsalltag ohne den Druck eines Zertifizierungsaudits nicht umsetzen würde. Die durch knappe Ressourcen bedingte „Bequemlichkeit“ in der IT wird somit ausgehebelt und es entsteht eine Motivation, messbare Verbesserungen nachhaltig umzusetzen.

 

Welche Synergien ergeben sich bei einer RZ-Zertifizierung mit ISO 27001?

Litzlbauer: Die ANSI/TIA 942 umfasst vier Infrastrukturbereiche: Telecommunications, Electrical, Architectural, Mechanical. Nahezu 80 Prozent der Anforderungen im Bereich Telecommunications sind durch das ISO-27001-Zertifikat bereits abgedeckt. In den anderen Bereichen gibt es zwar aus Sicht der Informationssicherheit Überschneidungen, die detaillierten Anforderungen an ein Rechenzentrum werden aber in der ANSI/TIA 942 bis auf die Ebene technischer Parameter spezifiziert. Die Mindestleistung der Klimaanlage, die Qualität von Feuchtigkeitssensoren oder die erlaubte Dachneigung gehören ebenso dazu wie die Entfernungen zur nächsten Bahnlinie und zum nächsten Gewässer.

TiFoto Tischlinger Bearbeitetschlinger: Die Anforderungen aus Sicht eines sicheren Rechenzentrums sind teilweise strenger als in der Informationssicherheit. So muss etwa ein Parkplatz vor dem Data Center in unterschiedliche Zonen eingeteilt werden, damit nicht ein LKW durch die Mauer fahren und IT-Infrastruktur beschädigen könnte. Ein anderes Beispiel ist die Zugangsüberwachung: Der RZ-Standard fordert nach TIA-Level 3 spezielle Schleusen, die nur jeweils eine Person mittels Kameraauthentifizierung passieren lässt. Gemäß ISO 27001 könnte die Zutrittskontrolle hingegen auch organisatorisch gelöst werden, etwa durch schriftliche Bestätigung gemäß dem 4-Augen-Prinzip.

 

Welchen Nutzen und Aufwand bringt ein CIS-Stage-Review für eine RZ-Zertifizierung?

Litzlbauer: In einem zweitägigen Delta-Audit, dem sogenannten CIS-Stage-Review, haben wir unseren gesamten Scope überprüfen lassen, der das ganze Rechenzentrum mit insgesamt 16 Server Schränken und einer Kapazität von 500 Terabyte umfasst. Für uns war das Stage Review inzweierlei Hinsicht eine hilfreiche Vorbereitung auf die anvisierte Zertifizierung. Zum Einen haben wir bereits jetzt alle Verantwortlichen für die Auditoren-Befragungen definiert sowie alle erforderlichen Dokumente und201210 PowerCube Rechenzentm 1714 bearbeitet Nachweise zusammentragen – dazu gehören Architekturpläne, Statik, Schaltpläne,Verkabelungs-struktur, Stromversorgung, Dämmwerte, Tragkraft von Zwischendecken, Brandresistenz von Türen und ähnliches. Diesen Aufwand ersparen wir uns somit beim Zertifizierungsaudit. Zum Anderen haben wir eine detailgenaue Statusbestimmung unseres Data Centers gemäß den TIA-Sicherheitsstufen erhalten. Wir wissen nun genau, welche Maßnahmen noch erforderlich sind, was diese kosten und wie lang die Umsetzung dauern wird. Aus dem Stage Review heraus konnten wir einen genauen Projekt- und Budgetplan erstellen. Aus unserer Sicht ist ein solches freiwilliges Delta-Audit eine optimale Vorbereitung auf die Zertifizierung.

 

Vielen Dank für das Gespräch!

 

________________________________

 

DIE VIER STUFEN DER ANSI/TIA 942

Die Sicherheitsstufen gemäß ANSI/TIA 942-A-2012: Unternehmen legen vor einer Zertifizierung fest, welchen Level sie erreichen möchten. Demgemäß kommt die entsprechende Audit-Checkliste mit den spezifischen Anforderungen für diese Stufe zum Einsatz.  weiter                                                   

 

______________________

Für den Inhalt verantwortlich:

CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB