Omówione sposoby i rodzaje zabezpieczeń zostaną przedstawione jedynie w sposób ogólny, jako zarys problematyki. Tworząc system bezpieczeństwa serwerowni niezmiernie istotnym jest kompleksowe podejście i uwzględnienie wszystkich rodzajów zabezpieczeń. System bezpieczeństwa jest na tyle skuteczny na ile skuteczny jest jego najsłabszy element.
Zabezpieczenia można podzielić na:
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
- Fizyczne (drzwi, ściany, stropy itp.).
- Techniczne (elektroniczne systemy zabezpieczeń).
- Środowiskowe (zapewnienie optymalnej pracy urządzeń i ochrona przeciwpożarowa).
- Personalne (pracownicy ochrony, świadomy personel przedsiębiorstwa).
- Organizacyjne (obowiązujące w przedsiębiorstwie regulaminy, polityki itp.).
ZABEZPIECZENIE FIZYCZNE
Pomieszczenie i drzwi
Jest to podstawowy element systemu bezpieczeństwa. W tym obszarze istotne jest zapewnienie odpowiedniej lokalizacji pomieszczenia serwerowni w budynku. Serwerownia nie powinna być dostępna z pomieszczeń ogólnodostępnych i umożliwiających łatwą jej lokalizację dla osób postronnych. Pomieszczenie serwerowni nie powinno być zlokalizowane w miejscu gdzie istnieje duże ryzyko zalania np. piwnica, poddasze, bezpośrednie sąsiedztwo z pomieszczeniami sanitarnymi i kuchenkami. Zaleca się, aby ściany serwerowni były ścianami murowanymi. Drzwi do serwerowni powinny być drzwiami antywłamaniowymi o podwyższonej odporności ogniowej. W pomieszczeniu serwerowni nie powinno być okien – zmniejsza to ryzyko włamania oraz ogranicza nagrzewanie się pomieszczenia przez wpadające promienie słoneczne. Zabezpieczenia fizyczne powinny być na tyle wytrzymałe, aby czas ich przełamania był dłuższy niż czas wykrycia próby ich przełamania i odpowiednią reakcję pracowników ochrony.
Szafy i rozdzielnie
Wszystkie punkty rozdzielcze sieci zasilających, skrzynki z bezpiecznikami oraz serwery powinny znajdować się w zamykanych skrzynkach lub szafach teleinformatycznych, a dostęp do kluczy powinny posiadać jedynie osoby do tego upoważnione.
Zanim przejdziesz dalej, kliknij w poniższy link. Przekieruje Cię do kalendarza, który pozwoli Ci umówić się na bezpłatną konsultację z Cezarym Lutyńskim – naszym doradcą ds. ochrony danych.
ZABEZPIECZENIA TECHNICZNE
System kontroli dostępu
Jest to system, który zapewnia wejście do centrum przetwarzania danych tylko osobom do tego upoważnionym. Umożliwia on otwarcie drzwi po prawidłowej autoryzacji osoby, której dane wcześniej zostały do niego wprowadzone. Warto jednak, dla zwiększenia bezpieczeństwa, połączyć co najmniej dwa elementy umożliwiające dostęp do pomieszczenia, np. połączenie funkcji otwierania zamka drzwi kartą zbliżeniową oraz autoryzację kodem PIN. W przypadku wykorzystywania takiego systemu zabezpieczeń należy pamiętać, aby ograniczyć uprawnienia karty dostępu innym pracownikom organizacji, w taki sposób, aby mieli dostęp tylko do pomieszczeń niezbędnych do pełnienia ich obowiązków. System kontroli dostępu powinien być nadzorowany przez upoważnione osoby w taki sposób, aby każde anomalie w prawidłowym jego działaniu np. błędy w autoryzacji, próby forsowania drzwi, drzwi niedomknięte, były weryfikowane. Dodatkowo każdorazowe wejście do pomieszczenia serwerowni powinno być odnotowywane w stosownym rejestrze, zwierającym takie informacje jak: imię, nazwisko, cel pobytu oraz godzinę wejścia i wyjścia.
System monitoringu wizyjnego
To system, który umożliwia stały podgląd pomieszczenia oraz pełni rolę archiwizacji obrazu w celu odtworzenia zaistniałych zdarzeń. Dzięki jego instalacji możemy monitorować czynności osób tam przebywających oraz wykryć obecność ewentualnych intruzów. Zaleca się aby czas archiwizacji nagrań wynosił minimum 30 dni, a dostęp do nich był ściśle ograniczony. Urządzenia nagrywające powinny być zabezpieczone przed dostępem osób nieuprawionych.
System sygnalizacji włamania i napadu
Zadaniem systemu sygnalizacji włamania i napadu jest wykrycie i zaalarmowanie o próbie nieuprawionego dostępu do strefy chronionej. Dobrą praktyką jest, aby serwerownia była objęta odrębną strefą alarmową, tak aby była możliwość włączania i wyłączania systemu w serwerowni niezależnie od innych pomieszczeń w budynku. System powinien być zintegrowany z systemem kontroli dostępu i powiadomić odpowiednie osoby o każdorazowym otwarciu drzwi bez prawidłowej autoryzacji. Nowoczesne systemy sygnalizacji włamania i napadu umożliwiają podłączenie wielu różnych rodzajów czujek, np. czujki zalania i temperatury.
ZABEZPIECZENIE ŚRODOWISKOWE
Monitoring parametrów środowiskowych
Kiedy ostatnio
robiłeś analizę ryzyka?
W celu zapewnienia optymalnych warunków środowiskowych należy pamiętać o wyposażeniu serwerowni w czujniki temperatury, wilgotności oraz zalania (ta ostatnia powinna znaleźć się w najniższym punkcie pomieszczenia). Warto przy tym wspomnieć o systemie BMS (Building Managment System), który ma na celu kontrolę pracy wszystkich urządzeń pomiarowych. System integruje wiele sygnałów z różnych urządzeń i na bieżąco kontroluje ich stan. Każde odstępstwo od normy jest zgłaszane odpowiednim osobom, np. poprzez szybką wiadomość tekstową (SMS) lub, w przypadku awarii mniej krytycznej, za pomocą e-mail. Ponadto, takie rozwiązanie zapewnia możliwość stałego podglądu stanu pracy instalacji oraz warunków środowiskowych przez Internet. Podnosi to poziom bezpieczeństwa przetwarzania i przechowywania informacji i jest niezbędnym systemem serwerowni czy całego centrum danych.
Odpowiednia temperatura
Duże nagromadzenie urządzeń teleinformatycznych w centrum danych powoduje emitowanie znacznych ilości ciepła. Przy zapewnianiu właściwych parametrów pracy urządzeń teleinformatycznych przyjmuje się, że optymalna temperatura serwerowni (w zależności od producentów urządzeń) to około 20°C, a wilgotność 45%. Te parametry muszą być automatycznie kontrolowane, dlatego system klimatyzacji wymaga uprzedniego sporządzenia prawidłowej ekspertyzy pomieszczenia, która ma na celu określenie jego kształtu i wielkości. Rekomenduje się, aby tego typu pomieszczenie było wyposażone w przynajmniej dwa klimatyzatory, aby w razie awarii jednego z nich za odpowiednią temperaturę odpowiadał drugi. Instalacja klimatyzatorów powinna być wykonana tak, aby klimatyzatory przełączały się automatycznie.
Filtry zanieczyszczeń
Kolejnym poważnym problemem, do którego jednak często nie jest przykładana właściwa waga, są różnego rodzaju zanieczyszczenia. Stanowią one duże zagrożenie dla czułych podzespołów elektronicznych, optycznych oraz elektromechanicznych. Ponadto, zanieczyszczenia powietrza często są powodem fałszywych alarmów w systemach sygnalizacji pożarowej oraz systemach wczesnego wykrywania dymu. W celu ograniczenia występowania takich zdarzeń zaleca się stosowanie dodatkowych filtrów, usuwających cząstki kurzu i zanieczyszczeń z systemów klimatyzacyjnych i wentylacyjnych.
Zapasowe źródło energii
Zanik zasilania stanowi jedno z podstawowych zagrożeń dla centrów przetwarzania danych, dlatego zastosowane zabezpieczenia zasilania energetycznego powinny gwarantować nieprzerwaną pracę serwerowni, nawet w przypadku nieprzewidzianych zakłóceń w dostawach energii. Najczęściej stosowanym zapasowych źródłem energii są UPS-y (Uninterruptible Power Supply – nieprzerywalne zasilanie energią), które dzięki wbudowanym stabilizatorom pozwalają zabezpieczyć przed skokami napięcia oraz umożliwiają pracę serwerowni w trakcie krótkotrwałego (przeciętnie od 15 do 30 minut) zaniku zasilania. Przedsiębiorstwa, które nie mogą sobie pozwolić na przerwę w działaniu ich kluczowych systemów powinny zapewnić, aby w przypadku zaniku zasilania nastąpiło automatyczne przełączenie zasilania na agregat prądotwórczy. Rekomenduje się okresowe testowanie poprawności działania takiego systemu oraz rzeczywistej sprawności UPS-ów.
Odseparowana sieć
Serwerownia i cała sieć komputerowa powinny być zasilane wydzielonym systemem (oddzielna gałąź transformatora). Wybrane typy gniazdek wtykowych występujących w tej sieci powinny uniemożliwiać włączenie do nich standardowych urządzeń, takich jak np. grzałki, czajniki, itp. W pomieszczeniu serwerowni należy zapewnić odpowiednią liczbę gniazdek o obciążeniu min. 2500 W oraz 500 W.
Przewody zasilające i komunikacyjne
Tam, gdzie jest to możliwe, przewody zasilające oraz telekomunikacyjne urządzeń w serwerowni powinny być poprowadzone pod ziemią lub zabezpieczone w inny sposób, np. za pomocą korytek zabezpieczających. Na tym etapie budowy zabezpieczeń należy pamiętać, aby w celu uniknięcia interferencji* przewody zasilające odseparować od okablowania komunikacyjnego (internetowego).
Uziemienie
Praca dobrymi narzędziami RODO to nie praca!
W celu zapewnienia w serwerowni bezpiecznej i prawidłowej pracy urządzeń elektrycznych należy pamiętać o ich uziemieniu, w wyniku czego połączone ciało naelektryzowane oddaje lub przyjmuje odpowiednią liczbę ładunków ulegając zobojętnieniu. Ponadto budynek powinien być wyposażony w instalację odgromową, a linie zasilające i komunikacyjne – w filtry odgromowe.
Podłoga serwerowni
Pomieszczenie serwerowni powinno być przygotowane w sposób minimalizujący zagrożenie pożarowe – podłoga powinna być antystatyczna i niepalna, najlepiej uniesiona(podłoga techniczna), co ograniczy ryzyko zalania.
System sygnalizacji pożaru
Niezwykle ważnym elementem jest wczesne wykrycie pożaru, co pozwala zminimalizować straty oraz zwiększa szanse na udaną akcję gaśniczą. W tym celu w pomieszczeniach serwerowni stosuje się czujki, które dzięki połączeniu z systemem sygnalizacji pożaru zaalarmują odpowiednie osoby o możliwym pożarze i pozwolą na szybką reakcję. Coraz częściej serwerownie wyposaża się w systemy wczesnej detekcji dymu, które stale analizują skład powietrza dzięki czemu reakcja jest szybsza niż w przypadku standardowych czujek stosowanych w systemach sygnalizacji pożaru. W serwerowni nie powinno się składować materiałów łatwopalnych, a jeśli istnieje taka konieczność powinny być przechowywane w metalowych szafach.
Urządzenia gaśnicze
Do urządzeń gaśniczych stosowanych w serwerowniach można zaliczyć:
- stałe urządzenia gaśnicze (systemy zapewniające automatyczne gaszenie gazem) niezwykle wydajne i skuteczne. Zastosowany środek gaśniczy nie niszczy urządzeń znajdujących się w chronionym pomieszczeniu, nie przewodzi prądu, nie powoduje korozji ani nie pozostawia nalotu czy zanieczyszczeń. Nie jest toksyczny, nie zagraża w żaden sposób personelowi i jest przyjazny dla środowiska. W przypadku akcji gaśniczej, pomieszczenie wystarczy dokładnie przewietrzyć. Rozwiązanie to nie należy do najtańszych, jednak jest bardzo skuteczne. Przy jego wyborze należy pamiętać, aby zapewnić pomieszczeniu odpowiednią szczelność;
- gaśnice śniegowe, dedykowane do gaszenia urządzeń elektronicznych do 1000V. Zastosowanym środkiem gaśniczym jest ciekły gaz – dwutlenek węgla (CO2). Po uruchomieniu gaśnicy następuje jego rozprężenie, a ponieważ gaz ten jest cięższy od powietrza, skutecznie odcina dostęp tlenu do ognia. Przy użyciu następuje oziębienie dwutlenku węgla do –78 ºC. Dawniej istniało duże ryzyko uszkodzenia czułego na szybką zmianę temperatury sprzętu informatycznego, dziś ryzyko to zostało ograniczone poprzez modyfikację dyszy w gaśnicach śniegowych popularnie nazywanych „komputerowymi”. Przy gaszeniu gaśnicami śniegowymi należy zwrócić szczególną uwagę na odkryte części ciała, gdyż mogą one ulec odmrożeniu. Z tego samego powodu nie należy gasić nimi ludzi. Po zużyciu zawartości gaśnice można ponownie napełnić. Dużą zaletą gaśnic śniegowych jest brak jakichkolwiek zanieczyszczeń gaszonych przedmiotów i pomieszczeń. Gaśnice te mają jednak mniejszą skuteczność gaszenia w porównaniu z innymi o podobnej masie.
ZABEZPIECZENIA PERSONALNE
E-learning RODO to już standard!
Do zabezpieczeń personalnych zaliczamy pracowników ochrony budynku przedsiębiorstwa, w którym zlokalizowana jest serwerownia oraz świadomość personelu. Istotnym jest aby zarówno jedni jak i drudzy byli świadomi wagi przetwarzanych w serwerowni danych i przykładali do tego szczególną uwagę. Na takie działania wpływa np. zwracanie uwagi na osoby postronne przebywające w okolicy serwerowni oraz szybkie reakcje na wykryte przez elektroniczne systemy zabezpieczeń anomalie.
ZABEZPIECZENIA ORGANIZACYJNE
Instrukcja obsługi serwerowni
Instrukcja obsługi serwerowni, to podstawowy dokument, z którym powinna zapoznać się każda osoba upoważniona do nadzoru nad centrum danych. Potwierdzeniem powinno być podpisanie odpowiedniego protokołu. Instrukcja opisuje rodzaje zastosowanych instalacji, urządzeń i systemów wewnątrz serwerowni oraz dostarcza niezbędnej wiedzy o ustalonych regułach postępowania w przypadku zagrożenia (np. akcja gaśnicza, zanik zasilania, przypadkowe wciśnięcie jakiegokolwiek przycisku).
Instrukcja zarządzania systemem informatycznym
Ten dokument dotyczy dostępu do systemów informatycznych i sposobu udostępniania informacji, a także definiuje, które informacje, w jaki sposób mają być chronione. Każde przedsiębiorstwo opracowuje instrukcję indywidualnie, zgodnie ze swoimi wymaganiami. Każdy pracownik, w zależności od stopnia dostępu do danych, musi zapoznać się z jej treścią i ściśle do niej stosować. Polityka bezpieczeństwa informacji definiuje również zasady i poziomy dostępu zarówno do pomieszczenia serwerowni, jak i systemów informatycznych.
Kopia zapasowa
Mimo całej gamy zabezpieczeń oraz odpowiednich procedur niezbędna jest konieczność stałego dostępu do aktualnej kopii zapasowej danych. Tematyka backupu jest bardzo szeroka i istnieje wiele metod oraz technik jego wykonywania – ważne, żeby miejsca przechowywania kopii zapasowych były dokładnie przemyślane. Rekomenduje się, aby kopie przechowywane były co najmniej w innej strefie pożarowej, w zamkniętym sejfie, do którego dostęp mają tylko osoby upoważnione. Najbezpieczniejszym jednak rozwiązaniem jest przechowywanie ich w zupełnie innej lokalizacji.
ZAKOŃCZENIE
Podczas projektowania jak i późniejszej eksploatacji serwerowni najważniejsze jest zapewnienie ciągłości działania oraz bezpieczeństwa infrastruktury i przetwarzanych danych. W związku z tym kluczowe jest, aby tworząc system bezpieczeństwa serwerowni stosować podejście kompleksowe, efektywne i adekwatne kosztowo. Takie podejście pozwoli wykazać rzeczywiste zagrożenia na jakie narażona jest serwerownia w konkretnym przedsiębiorstwie oraz zastosować odpowiednie rodzaje zabezpieczeń z uwzględnieniem ich wzajemnej interakcji.
* Interferencja - to zakłócenia w transmisji danych, które mogą ograniczyć jej przepływowość, spowodować jej opóźnienie lub też zagrozić integralności danych tj. pakiet zostanie uszkodzony lub nie dotrze w całości.