Serveriruum (0)

B 2.4 Serveriruum
Kirjeldus
Serveriruum on mõeldud eelkõige serverite hoiustamiseks, näiteks LAN- server , Unixi server või
kodukeskjaama PBX.
Seal võib hoida ka serverit puudutavaid dokumente, väikeses koguses andmekandjaid või teisi riistvara
komponente (jaotur, logi printer, konditsioneer ).
Serveriruum ei ole sisustatud alalise töökohana. Sinna minnakse harva ja lühiajalisteks töödeks. Silmas on
vaja pidada seda, et serveriruumis võib tekkida suurem kahju kui tavalises bürooruumis, sest seal on palju ITseadmeid
ja suur andmete hulk.
Ohud
Serveriruumi IT-turvameetmete puhul arvestatakse järgmiste tüüpiliste ohtudega:
Vääramatu jõud:
- G 1.4 Kahjutuli
- G 1.5 Vesi
- G 1.7 Lubamatu temperatuur ja niiskus
- G 1.16 Kaablijaotusseadmete väljalangemine põlengu tõttu
Organisatsioonilised puudused:
- G 2.1 Reeglite puudumine või puudulikkus
- G 2.6 Volitamata pääs ruumidesse
Tehnilised rikked :
- G 4.1 Toitevõrgu katkestus
- G 4.2 Sisevõrkude katkestus
- G 4.6 Pinge kõikumine, ülepinge, alapinge
Ründed:
- G 5.1 IT-seadmete või tarvikutega manipuleerimine või nende hävitamine
- G 5.2 Andmete või tarkvara manipuleerimine
- G 5.3 Volitamatu sisenemine hoonesse
- G 5.4 Vargus
- G 5.5 Vandalism
Soovitatavad meetmed
Et turvata teatud IT- varasid , tuleb lisaks sellele moodulile kasutusele võtta veel täiendavad moodulid
vastavalt IT-turvameetmete modelleerimise tulemustele.
Et serveriruumi välja valida ja sisustada, tuleb rakendada terve rida infrastruktuurseid ja organisatoorseid
meetmeid, mida kirjeldatakse moodulis M 1.58 Tehnilised ja organisatoorsed nõuded serveriruumidele.
Teatud meetmete juures on vaja järgida erinevaid lähenemisviise, sõltuvalt sellest, kas serveriruum
sisustatakse uude ehitatud hoonesse või see kas üüritakse või kasutatakse olemasolevat hoonet. Teisel juhul
on adekvaatse IT- ohutuse realiseerimisvõimalused sageli palju rohkem piiratud. Etapid, mis on vajalikud
serveriruumi kujundamisel kui ka meetmed, mida on vaja sealjuures jälgida, on järgnevalt üles loetletud.
Planeerimine ja kontseptsioon
Serveriruumide planeerimisel on terve rea meetmete abil vaja hoolt kanda piisava füüsilise turvalisuse eest,
nagu elektrivarustuse installeerimine, õhukonditsioneeri paigaldamine ja tuleohutus . Serveriruumis ei tohiks
võimaluse korral olla veetorusid, sest lekked võivad tekitada suuri kahjusid, mis võivad viia kuni kõigi ITseadmete
väljalangemiseni. Kui käideldavusele esitatakse suuremaid nõudmisi, peab serveriruum tagama
piisava varu, mis planeeritakse juba tehnilise infrastruktuuri käigus, et võimaldada ületada üksikuid rikkeid.
________________________________________________________________________________________
ISKE rakendusjuhendi kataloog : november 2011 81
B: Tüüpmoodulid
________________________________________________________________________________________
Rakendamine
Ainult need inimesed, kes vajavad oma ülesannete täitmiseks otsest ühendust serveriga ja muid
serveriruumis installeeritud seadmeid, nagu sidejaotus, tulemüür jne, peaksid omama sissepääsu sellesse
ruumi ja suitsetamiskeeld peaks olema seal iseenesestmõistetav.
Kasutamine
Kui seal ei viibi isikuid, peaksid serveriruumid põhimõtteliselt olema alati lukustatud.
Järgmisena tutvustatakse meetmete kogumit „Serveriruumi“ kohta:
Planeerimine ja kontseptsioon
- M 1.3 (L) Juhtmestuse kohandamine
M 1.3 Juhtmestuse kohandamine
Vastutav algatuse eest: tehnikaosakonna juhataja
Vastutav elluviimise eest: tehnikaosakond
Ruumi kasutus ja elektriinstallatsiooni ühendusväärtused ei vasta kogemuste kohaselt
mõne aja pärast enam tegelikele vajadustele. Muutuste korral ruumi kasutuse ning
muutuste ja täienduste korral tehnilise sisseseade osas (IT, kliimaseade, valgustus jne) on
oluline elektriinstallatsiooni kontrollida ja vastavalt vajadustele kohandada . See võib
toimuda vaid koos juhtmestiku ümberpaigutamisega. Vastasel korral võib osutuda
vajalikuks toite, juhtmestiku, jaotuskilpide jne uuesti installeerimine.
Täiendavad kontrollküsimused:
- Kas kontrollitakse juhtmestiku kaitse ja paigalduse vastavust tegelikele vajadustele?
- Millal toimus viimane kontroll?
- M 1.7 (L) Tulekustutid
M 1.7 Tulekustutid
Vastutav algatuse eest: tehnikaosakonna juhataja, tuleohutuse eest vastutav töötaja
Vastutav elluviimise eest: tuleohutuse eest vastutav töötaja, tehnikaosakond
Enamik põlengutest saab alguse väikestest, algul veel hästi kontrolli all hoitavatest
tulekolletest. Eriti büroodes leiab tuli rikkalikult toitu ning võib kiiresti levida .
Põlengute kohesel kustutamisel on seega väga suur tähtsus.
Tulekollete kohene kustutamine on võimalik vaid juhul, kui hoones on käepärast piisaval
hulgal ja piisava suurusega (vastavalt kohapealse tuletõrje soovitusele) sobiva tuleklassi
tulekustuteid. Seejuures tuleb püüelda selle poole, et need asuksid kaitset vajavate
tsoonide ja selliste ruumide nagu serveriruumi, tehnilise infrastruktuuri ruumi või
dokumentide arhiivi läheduses.
Veekustutid, mis vastavad tuleklassile A kuni 1000 V, sobivad vaid elektriseadmete
kustutamiseks.
Elektrooniliste seadmete, nt arvutite põlengute jaoks peaks eelistatult käsutuses olema
süsinikdioksiid-tulekustutid (tuleklass B). Tulekustuti toime saavutatakse hapniku
väljatõrjumise teel, seepärast tuleb nende kasutamisel kitsastes, halvasti õhutatud
ruumides olla ettevaatlik.
Pulberkustuteid, mis vastavad tuleklassidele A ( tahked ained), B (põlevad vedelikud) ja
C (gaasid), ei tohiks kasutada elektriliste ja elektrooniliste seadmete kustutamiseks,
kuna kustutuse tagajärjel tekkinud kahjud on reeglina ülemäära suured. Seetõttu on
soovitatav serveriruumide, andmekandjate arhiivide, tehnilise infrastruktuuri ruumide ja
arvutuskeskuste vahetusse lähedusse mitte paigutada pulberkustuteid, vaid eranditult
selleks sobivaid gaasikustuteid. Ainult nii on võimalik ära hoida seda, et põlengu tõttu
tekkinud ärevushoos ei kasutataks ekslikult pulberkustutit.
Tulekustuteid tuleb regulaarselt kontrollida ja hooldada. Tulekustutid peavad olema
paigutatud nii, et neid oleks põlengu korral kerge kätte saada. Töötajad peaksid endale
lähima tulekustuti asukoha meelde jätma. Kustutite ja hüdrantide asukohad peavad
olema tähistatud nõuetele vastavate siltidega. Kantavate tulekustutite lubatud kogukaal on
kuni 20 kg. Arvamus, et enamasti kasutusel olevate 6 kuni 12 kg kustutitega ei ole
võimalik kustutada suuremaid tulekoldeid, on võhiklik, sest hea ettevalmistuse korral on
see võimalik. Kustutusvahendi täielik tühjenemine toimub vaid mõne sekundi jooksul.
Seepärast tuleb tuletõrjeõppuste ajal töötajatele õpetada tulekustutite kasutamist.
Täiendavad kontrollküsimused:
- Kas töötajad on teadlikud tulekustutite asukohast?
- Kas tulekustutite kasutamist harjutatakse?
- Kas tulekustutid on põlengu korral üldse kättesaadavad?
- Kas toimub regulaarne tulekustutite kontroll ja hooldus ?
- M 1.10 (M) Turvauksed ja –aknad
M 1.10 Turvauksed ja -aknad
Vastutav algatuse eest: tehnikaosakonna juhataja
Vastutav elluviimise eest: tehnikaosakond
Turvaustel ja –akendel on võrreldes tavaliste büroouste ja –akendega oma eelised:
- Vastavalt ISKE-le on ehituselemendid jagatud vastupidavusklassidesse (WK). WK1
kuni WK2 vastupidavusklassi kuuluvad uksed pakuvad oma stabiilsuse tõttu
tõhusamat kaitset sissemurdmise vastu (nt keldri- ja tarnesissepääsud)
- Isesulguvad, tule- ning suitsutihedad uksed (nt suitsutihe uks aeglustab tule levikut).
- Need kaitsevad isesulguvate suitsukindlate ustena põlenguga kaasneva suitsu levikut.
Põlemisel tekkiv suits on nii peeneteraline, et tungib probleemideta läbi kõvaketta
rõhuühtlustus- ja õhutusavade. Kõvaketta lugemispeade madala liikumiskõrguse
jaoks on see aga ikka veel liiga jäme ning tekitab neile enneolematut kahju.
Tuleb garanteerida, et kõikide ruumi ümbritsevate ehituselementide ohutusmeetmed oleks
võrdväärsed.
- Sissemurdmist takistavate uste kasutamisel tuleb fassaadi piirkonnas kaaluda
sissemurdmist takistavate akende ja fassaadielementide kasutamist.
- Lisaks sellele ei ole kõrgeimasse vastupidavusklassi kuuluva ukse paigaldamine
kipskartongseina otstarbekas.
- Tule- või suitsukindla ukse paigaldamisel tuleb loomulikult tähelepanu pöörata
asjaolule, et ka ümbritsev sein oleks tuld pärssiv ja suitsu mitte läbilaskev ning et
laetulede või kaabli paigaldusavade tõttu tekiks möödaviik.
Ülevaate turvaustele esitatavatest nõuetest leiate meetmetest M 1.47 Eraldi tuletõkked ja
M 1.19 Sissemurdmiskaitse.
Turvauste kasutamine on tuleohutuse seisukohalt otstarbekas lisaks ehitusjärelvalve ja
tuletõrje poolt ette nähtud tsoonidele (vt M 1.6 Tuletõrje-eeskirjade täitmine) erilist
kaitset vajavates ruumides nagu serveriruumis, dokumentide ja andmekandjate arhiivis .
Tugevdatud kaitset vajavate ruumide jaoks on vaja koostada tasakaalustatud
kaitsekontseptsioon, milles käsitletakse valvesignalisatsiooni ja alarmsüsteeme ning
turvauste paigaldamist. Kui potentsiaalsel sissemurdjal on sissemurdmiseks aega terve
nädalavahetus, ei takista teda oma eesmärgi saavutamisel, varastamisel, andmete või
sisutuse hävitamisel ka kõige kvaliteetsem sissemurdmist takistav uks.
Nõuanne: Sissemurdmise eesmärgiks võib olla ka andmete ja IT-süsteemidega
manipuleerimine. Seepärast tuleks pärast sissemurdmist kontrollida tsentraalsete ITsüsteemide
terviklust (vt ka M 6.60 Turvaintsidentide käsitlusprotseduurid ja
teavitamiskanalid).
Tuleb hoolitseda selle eest, et tule- ja suitsukindlad uksed tõepoolest suletaks ning mitte
(mis ei ole lubatud) nt kiilu abil lahti ei hoitaks. Alternatiivina võib kasutada uksi
automaatse sulgurmehhanismiga, mis häire korral aktiveeritakse.
Täiendavad kontrollküsimused:
- Kas on kindlaks tehtud, kuhu oleks otstarbekas paigaldada turvauksed ja -aknad?
- Kas toimub turvauste ja -akende regulaarne funktsioonikontroll?
- M 1.18 (M) Valve - ja tuletõrjesignalisatsioon
M 1.18 Valve- ja tuletõrjesignalisatsioon
Vastutav algatuse eest: tehnikaosakonna juhataja, tuleohutuse eest vastutav töötaja,
infoturbeosakond
Vastutav elluviimise eest: tehnikaosakond
Valve- ja tuletõrjesignalisatsiooni süsteem koosneb paljudest lokaalsetest anduritest, mis
on ühenduses valvekeskusega, mille kaudu ka häiresignalisatsioon käivitub. Kui
valvesignalisatsioon sissemurdmise, tulekahju, vee- või gaasiavarii jaoks on olemas ning
kui seda on võimalik jõukohaste kulutustega täiendada, tuleks vähemalt IT peamised
tsoonid (serveriruumid, andmekandjate arhiivid , tehnilise infrastruktuuri ruumid jms)
valvesüsteemi kaasata. Sel viisil on võimalik tule, sissemurdmise, varguse tõttu tekkida
võivaid ohtusid õigeaegselt ära tunda ning vastuabinõud tarvitusele võtta. Selle
tagamiseks on hädavajalik ohusignaalide edasisuunamine alalise valvega kohta ( portjee ,
valve- ja turvateenistus, tuletõrje jne). Seejuures peab olema kindlaks tehtud, et nimetatud
koht on ka tehniliselt ja isikuliselt võimeline häiresignaalile reageerima . Siinkohal tuleb
järgida vastavas asutuses kehtivaid eeskirju.
Valve- ja tuletõrjesignalisatsioon on kompleksne süsteem, mis tuleb planeerida ja
installeerida vastavalt hoone omapärale ja võimalikele ohtudele. Seepärast peaks
valvesignalisatsiooni installeerimise ja hooldamisega tegelema eksperdid . Kui neid oma
asutuses pole, tuleb otsida abi väljastpoolt. Nii näiteks on olemas terve rida erinevaid
valvesignalisatsiooni süsteeme, mille hulgast tuleb teha valik vastavalt püstitatud
turvanõuetele ja keskkonnatingimustele. Sissemurdmiste avastamiseks võib kasutada nt
liikumisandureid, klaasipurunemisandureid, avamisandureid, videokaameraid jne.
Andureid võib omavahel erineval viisil võrku ühendada. Olenevalt kaitstavate tsoonide
liigist ja suurusest ning kehtivatele eeskirjadele tuleb välja valida ja installeerida
sobivad süsteemid. Valve- ja tuletõrjesignalisatsiooni planeerimisel ja arendamisel
tuleks tähelepanu pöörata asjaolule, et trassid võrgu loomiseks oleks piisavalt
dimensioneeritud ning et trasside kasutamise suhtes võetaks ette võimalikult vähe
muudatusi.
Et valve- ja tuletõrjesignalisatsiooni kaitsevõimet säilitada, on vaja planeerida selle
regulaarne hooldus ja funktsioonikontroll.
Kui valve- ja tuletõrjesignalisatsioon puudub või ei ole olemasolevat võimalik kasutada,
tulevad miinimumlahendusena kõne alla lokaalsed valveandurid. Need töötavad täiesti
iseseisvalt, ilma et oleksid ühendatud valvekeskusega. Häiresignaal hakkab tööle
kohapeal või lihtsa kahejuhtmelise liini kaudu (nt telefoniliin) mõnes teises kohas.
Arvutuskeskuse tööks on vaja installeerida valve- ja tuletõrjesignalisatsioon põlengute
ja sissemurdmiste avastamiseks. Hoone asukohta ja selle infrastruktuuri silmas pidades
võivad osutuda otstarbekohaseks ka teised detektsiooni valdkonnad.
Tugevdatud kaitset vajavad nt serveriruumid ja andmekandjate arhiivid. Kui ei ole olemas
tsentraalset valve- ja tuletõrjesignalisatsiooni, on vaja installeerida lokaalsed
valveandurid. Lokaalsete valveandurite kasutamisel ohu varajaseks avastamiseks on vaja
hoolitseda selle eest, et signaal oleks kuulda ka väljaspool kaitstavaid ruume . Signaali
edastamine võib toimuda erineval viisil ning see peaks edasi antama kohta, mis on
ööpäevaringselt hõivatud. Näiteks on olemas lahendusi töötajate informeerimiseks häirest
PBX-seadme või raadio teel mobiiltelefonile edastatud teate kaudu.
Enne valve- ja tuletõrjesignalisatsiooni planeerimist tuleb vastava hoone jaoks välja
töötada tihe kaitsekontseptsioon. Era- või äriobjektide valvesignalisatsiooniseadmete
planeerimisel tuleks kindlustusandjaga kokku leppida, kas tuleks kõne alla
_________________________________________________________________________
- M 1.24 (M) Veetorude vältimine IT-ruumis
M 1.24 Veetorude vältimine IT-ruumis
Vastutav algatuse eest: tehnikaosakonna juhataja, IT-juht
Vastutav elluviimise eest: tehnikaosakond, administraator
Ruumides või tsoonides , kus asuvad tsentraalsete funktsioonidega IT- seadmed (nt
serverid ), tuleks vältida igat liiki veetorusid. Ainsad veetorud võiksid olla, kui tingimata
vajalik, külmavee-, kustutusvee- ja küttetorud. Küttekehade juurde viivad torud peaks
asuma võimaluse korral väljaspool ruumi või tsooni ning olema varustatud
sulgurventiilidega. Väljaspool kütteperioodi tuleb ventiilid sulgeda.
Kui veetorusid ei saa vältida, tuleb tarvitusele võtta meetmed, mis aitaks veeleket
õigeaegselt avastada või negatiivseid mõjusid minimeerida. Minimaalse kaitseabinõuna
võib torude alla paigaldada drenaaživanni või –renni, mille äravooluava viib ruumist
välja. Selleks on soovitatav kasutada koridori, sest nii avastatakse võimalik toru kahjustus
kiiremini. Veelekete ja ebatihedate torude varajaseks avastamiseks on õigustanud end
lagede valgeks värvimine.
Valikuliselt võiks paigaldada veeandurid koos automaatselt töötavate magnetviilidega.
Nimetatud magnetventiilid tuleb paigaldada väljaspool ruumi või tsooni. Selleks, et
ventiilid täidaks ka pärast elektrivoolu katkemist oma kaitsefunktsiooni, tuleb need
sulgeda, kui nad pole voolu all.
Täiendava või alternatiivse meetmena on soovitav kasutada automaatset drenaaži (vt M
1.14 Automaatne drenaaž).
Kõik IT- ja tehnikaosakonna töötajad peaksid olema informeeritud, et kõrgete
käideldavusnõuetega IT-süsteemidega hoone tsoonides on veetorud probleemiks ning
millele nendega seoses tuleb tähelepanu pöörata.
Täiendavad kontrollküsimused:
- Kas toimub olemasolevate veetorude reeglipärane tiheduse kontroll (vaatlus)?
- M 1.26 (L) Toite avariilülitid
M 1.26 Toite avariilülitid
Vastutav algatuse eest: tehnikaosakonna juhataja, IT-juht
Vastutav elluviimise eest: tehnikaosakond
Ruumides, kus elektriseadmete kasutamine toimub selliselt, et nende heitsoojuse, tiheda
paiknevuse või täiendava tulekoormuse olemasolu tõttu on kõrgenenud tuleohtlikkus, on
otstarbekas installeerida avariilüliti. Sellisteks ruumideks on nt serveri- või
tehnikaruumid. Kuna avariilüliti aktiveerimiseks on vajalik personali olemasolu, tuleb
selle paigaldamine kõne alla vaid tsoonides, kus alati või enamasti keegi kohal on.
Tsoonides, kus töötajad ei viibi või viibivad vaid vahetevahel , on oluliselt efektiivsem
avarii-väljalüliti, mis aktiveerub põlengu avastamisel tulekahjuanduri kaudu.
Avariilüliti aktiveerimisega võetakse põlengult oluline energiaallikas, mis väiksemate
põlengute korral võib viia nende kustumiseni. Vähemalt on aga elektripinge kaudu tekkiv
oht tule kustutamisel kõrvaldatud.
Tähelepanu tuleb pöörata asjaolule, et kohalikud puhvertoiteallikad võtavad välise
toitevoolu väljalülitamise järgselt üle vooluga varustamise ning ühendatud seadmed
jäävad pinge alla. Seepärast tuleb avariilüliti installeerimisel jälgida, et ka
puhvertoiteallikas lülitataks välja ning mitte ainult ei lahutataks välisest toiteallikast.
Avariilüliti tuleks paigaldada ruumi sisse ukse kõrvale (soovitavalt viitega asukohale ukse
juures väljaspool ruumi) või ukse kõrvale väljaspool ruumi. Seejuures on aga võimalik, et
avariilüliti aktiveerimine võib toimuda ka ekslikult või tahtlikult ilma ohuolukorrata.
Seepärast tuleb avariilülitile paigaldada kate, et kaitsta seda eksliku aktiveerimise eest.
Negatiivne näide:
Keskmise suurusega ametiasutuse serveriruumi paigaldati umbes 10 serverit, 5
laserprinterit ja teisi seadmeid. Ruum oli sissemurdmiskaitse tagamiseks varustatud
vastavate seinte, akende ja ustega. Avariilülitit ei olnud. Oli ainult kaks punkti, et
nimetatud ruumist elektrivool välja lülitada: hoone peajaotuskilp keldris või ruumi
jaotuskilp. See asus aga seinal sissepääsu vastas, põlengu korral peaaegu kättesaamatus
kohas.
Täiendavad kontrollküsimused:
- Kas on kõikide tehnikaruumide suhtes kontrollitud, kas avariilüliti installeerimine
on otstarbekas?
- Kas kõik avariilülitid on ettekavatsematu aktiveerimise vastu kaitstud?
- M 1.27 (M) Konditsioneer
M 1.27 Konditsioneer
Vastutav algatuse eest: tehnikaosakonna juhataja, IT-juht
Vastutav elluviimise eest: tehnikaosakond
IT seadmete temperatuuri tagamiseks lubatud piirides ei piisa mõnikord ruumi
normaalsest õhu- ja soojusvahetusest, nii et osutub vajalikuks konditsioneeri
sisseehitamine. Selle ülesandeks on hoida ruumiõhku IT poolt ettenähtud piirides.
Kui lisaks sellele esitatakse nõudeid õhuniiskusele, nt elektrostaatilise lahenduse
vältimiseks, võib kliimaseade ventilatsiooni kaudu täita ka seda ülesannet. Selleks tuleb
aga kliimaseade ühendada veetoruga. Järgida meedet M 1.24 Veetorude vältimine ITruumis.
Kliimaseadme kaitsemõju säilitamiseks on vajalik selle regulaarne hooldus. Soovitav on
kasutada koos konditsioneeriga täiendavat järelevalveseadet, eriti täiskonditsioneeri
korral.
Kuna kliimaseadme seiskumisel tuleb teatud juhtudel paljud (eriti tähtsad) IT süsteemid
välja lülitada, peaks see olema paigaldatud kõrgetele käideldavusnõuetele vastavalt. See
peaks olema dimensioneeritud suure võimsusreserviga, peale selle peaks see olema
lihtsalt täiendatav. Hädaolukorraks valmisoleku planeerimisel ( vt moodulit B 1.3
Hädaolukorraks valmisoleku kontseptsioon) ei tohiks konditsioneeri unustada.
Serveriruumi või arvutuskeskuse jaoks vajaliku jahutusvõimsuse kindlaksmääramiseks
tuleb läbi viia täpne soojuskoormuse arvutamine. Värske õhu juurdevool on vajalik
juhul, kui konditsioneeritud ruumis (ruumides) viibivad pidevalt töötajad.
Samuti tuleb erinevatel päevaaegadel teostatud mõõtmiste abil kindlaks määrata, kas
nimetatud ruumides on vajalik õhuniiskuse suurendamine või vähendamine. Siinkohal
tuleb järgida ka rakendatud IT-komponentide tootjaeeskirju.
Soojusvaheti ja jahutusseadmed ei peaks asuma otseselt serveriruumis või
arvutuskeskuses, et takistada kliimaseadme rikete, nt jahutusvedeliku lekete või
lühiühenduste tõttu tekkivaid tõrkeid.
Kui konditsioneeri jahutusseadmed on paigutatud väljapoole hoonet, tuleb neid kaitsta
otsese pikselöögi eest. Eriti kõrgete turvanõuetega tsoonides ei tohiks jahutusseadmetele
igaüks juurde pääseda ning need peaksid olema füüsiliselt kaitstud ka sabotaaži vastu.
Täiendavad kontrollküsimused:
- Millistes IT-ruumides võivad esineda kõrgenenud temperatuurid?
- Kas toimub kasutuses olevate kliimaseadmete regulaarne hooldus?
- Millised on IT-ruumis lubatud temperatuuri ja õhuniiskuse piirväärtused?
- M 1.28 (M) Puhvertoiteallikas (UPS)
M 1.28 Puhvertoiteallikas
Vastutav algatuse eest: tehnikaosakonna juhataja, IT-juht, infoturbe osakond
Vastutav elluviimise eest: administraator, tehnikaosakond
Puhvertoiteallikas sildab lühiajalisest voolukatkestusest või säilitab vooluga varustatust
nii kauaks , et on võimalik ühendatud arvutite ettenähtud korras mahalaadimine. See on
eriti otstarbekas alljärgnevatel juhtudel:
- kui arvuti vahemällu salvestatakse suurel hulgal andmeid (nt Cache võrguserveris),
enne kui need mittekaduvatele mäluseadmetele salvestatakse.
- kui voolu katkestuse tagajärjel läheks kaduma terve hulk andmeid, mida tuleks
tagantjärele uuesti taastada,
- kui ei ole tagatud küllaldase stabiilsusega elektritoide.
Tehakse vahet kaht liiki puhvertoiteallikate vahel:
- offline puhvertoiteallikas: seejuures saavad võrku ühendatud tarbijad normaaljuhul
toidet otse vooluvõrgust. Alles siis, kui see enam ei toimi, lülitub puhvervooluallikas
automaatselt sisse ning võtab toitefunktsiooni üle.
- online puhvertoiteallikas: sel juhul on puhvertoiteallikas alaliselt võrgu ja tarbijate
vahele ühendatud. Kogu elektritoide kulgeb kogu aeg puhvertoiteallika kaudu.
Mõlemad puhvertoiteallikad võivad lisaks elektrivarustuse täielikust lakkamisest ja
alapingest üleaitamisele tasandada ka liigpingeid. Ka siinkohal kehtib liigpingekaitse
suhtes meetmes M 1.25 Liigpingekaitse ära toodud 20 meetri piirang.
Kui IT seadmeid TN-S-võrguga hoones (vt M 1.39 Tasandusvoolude vältimine varjes)
varustatakse lokaalse puhvertoiteallika kaudu, tuleb tähelepanu pöörata alljärgnevatele
asjaoludele: Et TN-S võrgu kaitsemõju tasandusvoolude suhtes andmeside liinide varjes
säilitada, tuleb tähelepanu pöörata asjaolule, et puhvertoiteallikal ei ole väljaminekul
ühendust N- ja PE-juhi vahel ( kaitsemaandus ). Vajadusel tuleb sellised seeriatootmise
käigus sisseehitatud ühendused enne paigaldamist TN-S võrku eemaldada.
Puhvertoiteallika dimensioneerimisel võib reeglina lähtuda tavapärasest umbes 10 kuni
15 minutilisest sildamisajast. Enamasti likvideeritakse voolukatkestused 5 kuni 10
minuti jooksul, nii et pärast nimetatud ajavahemiku möödumist jääb veel 5 minutit aega
üle, et võrku ühendatud IT ettenähtud korras alla laadida, kui voolukatkestus peaks
kestma kauem. Enamik moodsatest puhvertoiteseadmetest pakuvad arvutiliideseid, mis
võivad eelnevalt kindlaks määratud aja järgi, vastavalt IT ajavajadusele ja
puhvertoiteseadme võimsusele algatada õigeaegse automaatse mahalaadimise.
Spetsiaalsete rakendusjuhtumite korral (nt PBX-seadmed) võib vajalik sildamisaeg kesta
ka mitmeid tunde.
Puhvertoiteallika kaitsemõju säilitamiseks on vajalik selle regulaarne hooldus.
Kui katkematu elektritoide on võimalik mingi teise allika kaudu (nt ühendamisel keskse
puhvertoiteallikaga), on tegemist alternatiiviga lokaalsele puhvertoiteallikale.
Täiendavad kontrollküsimused:
- Kas peetakse kinni puhvertoiteallikate hooldusintervallidest?
- Kas on ette nähtud automaatne mahalaadimine?
- Kas toimub reeglipärane puhvertoiteallika mõjususe testimine?
- M 1.31 (M) Tõrgete kaugindikatsioon
M 1.31 Tõrgete kaugindikatsioon
Vastutav algatuse eest: IT-juht, PBX-seadmete eest vastutav töötaja, infoturbe osakond
Vastutav elluviimise eest: administraator
IT-seadmed ja tugiseadmed, mis ei nõua või nõuavad vaid harva teenindamist mõne isiku
poolt, paigutatakse tihti suletud ja lukustatud ruumidesse (nt serveriruumi). Tulemuseks
on, et rikked, mis varases staadiumis veel IT-le mõju ei avalda ja lihtsalt kõrvaldatavad
on, avastatakse alles liiga hilja, enamasti mõju tõttu IT-le. Tuli, puhvertoiteallika
funktsioonihäired või konditsioneeri seiskumine oleks näideteks taolistest “hiilivatest”
ohtudest.
Kaugindikatsiooni abil on võimalik taolisi tõrkeid varem avastada. Paljud seadmed, mida
peab usaldama , ilma et oleks võimalik neid pidevalt kontrollida ja jälgida, on kaasajal
ühendatud tõrgete kaugindikatsiooniseadmega. Tehnilised võimalused ulatuvad seejuures
lihtsatest kontaktidest, mille kaudu saab hoiatuslambi sisse lülitada kuni arvutiliidesteni
selle juurde kuuluva tarkvarapaketiga levinud talitlussüsteemide jaoks. Liideste kaudu on
tihti isegi võimalik igal ajal kindlaks teha ühendatud seadmete tööseisundit ning nii
tõrgetele õigeaegselt vastu astuda.
Täiendavad kontrollküsimused:
- Kas kaugindikatsiooni kaudu häiresignaali saanud isikud teavad, mida tuleb ette
võtta?
_________________________________________________________________________
ISKE
- M 1.52 (M) Tehnilise infrastruktuuri varud
M 1.52 Tehnilise infrastruktuuri varud
Vastutav algatuse eest: asutuse/ettevõtte juhatus
Vastutav elluviimise eest: planeerija
Kui arvutuskeskuse või serveriruumi käideldavuse suhtes on kehtestatud spetsiaalsed
nõudmised, tuleb luua ka tehnilise infrastruktuuri varud.
Kliimaseadmete töösserakendamisel on soovitav hoida kasutusvalmis küllaldaselt
varukomponente. Kui näiteks mingit komponenti vajatakse 6 tükki, peaks soetama 7.
Nii saadakse hakkama tippkoormuse ajal, nt kuumadel suvepäevadel ning ka mingi
seadme rikke või hooldustööde teostamisel ajal säilib konditsioneeri üldine kasutatavus.
Ka sideliinide osas tuleks kontrollida, millistes valdkondades on varud vajalikud (vt ka M
6.18 Varuliinid). See kehtib eriti juhul, kui kesksed võrgusõlmed või kesksed
aktiivkomponendid asuvad kontrollimata valdkondades.
Arvutuskeskus peab olema varustatud ka varutoite allikaga. Soovitusi selleks leiate
meetmes M 1.56 Varutoite allikas.
Kui varutoite allikas ei asu naaber-tuletõkkesektsioonis, tuleks mõelda elektritoite
varukaabeldusele.
Täiendavad kontrollküsimused:
- Kas kaitsevajaduse kindlaksmääramisest tuleneb vajadus tehnilise infrastruktuuri
- M 1.58 (L) Tehnilised ja organisatoorsed nõuded serveriruumidele
M 1.58 Tehnilised ja organisatoorsed nõuded serveriruumidele
Vastutav algatuse eest: asutuse/ettevõtte juhatus
Vastutav algatuse eest: infoturbe osakond
Serveriruum tuleks kavandada suletud turvatsoonina. Sellel peaks olema võimalikult hästi
kaitstavad uksed ja aknad, kuna kõik sissepääsuteed peavad olema valve all (vt ka M 1.10
Turvauksed ja -aknad). Sissepääs peaks olema reguleeritud rangete
kontrollimehhanismidega. Serveriruumi planeerimisel või sobivate ruumide
väljavalimisel tuleks keskkonnamõjudest tingitud potentsiaalsed ohud võimalikult
minimeerida. Nii tuleb potentsiaalseteks ohtudeks, mis on tingitud vee sissetungimisest
lamekatuse korral või kogunemisest keldritesse samuti valmis olla nagu
elektromagnetkiirguse taluvuse tasemest tingitud tõrgeteks, nt mobiilsideseadmete või
kolmefaasiliste agregaatide tõttu.
Planeerimisel tuleks jälgida, et hoone toiteliinide trassid, nt vee või gaasitorud, (vt M
1.24 Veetorude vältimine IT-ruumis) ei kulgeks arvutuskeskuse vahetus läheduses ega
läbi selle tundlike tsoonide.
Arvutuskeskuse IT-komponentidele esitatakse paljudel juhtudel kõrgeid nõudeid
käideldavuse suhtes Neid nõudeid on võimalik täita, paigaldades infrastruktuuri ja
tehnilised seadmed varuga (vt meedet M 1.52 Tehnilise infrastruktuuri varud).
Serveriruum on ohutuse seisukohalt tähtis tsoon, seepärast tohiks sinna paigaldatud ITsüsteemidele
olla juurdepääs ainult nende administraatoritel. Kooskõlastatud
pääsuõiguste reguleerimisega tuleb kindlustada, et omad töötajad ning eriti veel
ajutused töötajad, nt hooldustööde läbiviimise ajal, ei omaks juurdepääsu süsteemidele
väljaspool oma tegevusvaldkonda.
IT-süsteemid, mida hooldavad mittekoosseisulised töötajad, peaks olema paigutatud
eraldi ruumidesse. Peale selle oleks otstarbekohane paigaldada erineva kaitsetarbega või
erinevate valdkondade IT-süsteemid eraldi ruumidesse, et sissepääsuõigusega isikute arvu
väiksena hoida.
Serveriruumis ei tohiks mitte mingil juhul paikneda seadmed või varustus , millele peaks
olema juurdepääs suurel hulgal kasutajatel, nt faksiaparaat või fotokoopiamasin. Põlevad
materjalid, nagu koopiapaber, ei tohiks olla ladustatud serveriruumis.
Kaasaskantavate IT-süsteemide, mobiiltelefonide või kaamerate kaasavõtmine
serveriruumi peaks olema keelatud, kui nimetatud seadmed ei ole vastava asutuse
kontrolli all. Mobiiltelefonide kasutamine arvutuskeskustes peaks olema põhimõtteliselt
keelatud, kuna need võivad IT-süsteemide talitlust oluliselt häirida. Erandid peavad olema
kooskõlastatud (vt M 2.188 Mobiiltelefonide kasutamise eeskirjad ja turvasuunised).
Täiendavad kontrollküsimused:
- Kas on tehnilisi ja organisatsioonilisi nõudeid serveriruumidele?
- Kas serveriruumid on kavandatud suletud turvatsoonina
- M 1.62 (L) Kaablijaotusseadmete tulekaitse
M 1.62 Kaablijaotusseadmete tulekaitse
Vastutav algatuse eest: tuleohutuse eest vastutav töötaja
Vastutav elluviimise eest: tehnikaosakond, tuleohutuse eest vastutav töötaja, planeerija
Nii majavõrgu sisemised kui ka avaliku võrgu välimised juhtmed kuhjuvad mingil moel
kaablijaotusseadmetele või –paneelidele, millelt need on ühendusjuhtmete kaudu seotud
serverite ning marsruuteritega jne.
Et takistada nimetatud kaablijaotusseadmete ja -paneelide kahjustumist aktiivsete ITseadmete
(serverid, marsruuterid , jne) põlemise tagajärjel, tuleb need vastavate
tuletõketega nimetatud aktiivsetest IT-seadmetest isoleerida .
Kui tehnilise infrastruktuuri ruumis paiknevad kaablijaotusseadmed ja – paneelid ühelt
poolt (vt moodulit B 2.6 Tehnilise infrastruktuuri ruum) ning serveriruumis paiknevad
serverid, marsruuterid jne teiselt poolt (vt moodulit B 2.4 Serveriruum) on paigutatud
üksteisest korralikult eraldatuna, võib vastava tuleisolatsiooni sobivate meetmete abil
realiseerida ehitises .
Kui ei ole võimalik kasutada eraldi ruume ning kaablijaotusseadmed ja -paneelid tuleb
paigutada serveriruumi, on võimalus kasutada nende paigaldamiseks nõuetele vastavaid
seinale või põrandale paigaldatavaid jaotuskilpe, mis säilitavad vajaliku funktsionaalsuse.
Seejuures tuleb aga erilist tähelepanu pöörata asjaolule, et ka kõiki majast ja avalikust
võrgust ruumi tulevaid toitejuhtmeid kaitstaks ruumis samal viisil (nt asjakohaste
kaablikanalite kaudu) põlengu eest.
Mõlemate lahenduste korral tuleb jälgida, et ühendusjuhtmete viimine
kaablijaotusseadmetelt ja –paneelidelt IT-seadmete juurde läbi tulekaitsekonstruktsiooni
oleks igal ajal asjakohaste tulekaitsevahenditega blokeeritud. Et saaks lihtsalt ja kiiresti
nimetatud läbiviikude juures töid teostada, ning et alati ei peaks kulukat tulekaitset uuesti
paigaldama , on soovitav kasutada tulekaitsepatjasid või (harvemate tööde korral)
puistekivim. Kasutatavaid tulekaitsepatju tuleb lisaks sellele kindlustada väljakukkumise
vastu.
Täiendavad kontrollküsimused:
- Kas ka toitejuhtmed on küllaldaselt kaitstud?
- Kas valitud ja realiseeritud funktsiooni säilitamine (E-30 või E-90) vastab
olemasolevatele võimalustele tuletõrjesignalisatsiooni ja tulekustutamise osas?
- Kas läbiviigud suletakse pärast tööde teostamist jaotuspiirkonnas vastavalt nõutud
korrale?
- Kas kasutatavad tulekaitsepadjad kindlustatakse väljakukkumise vastu?
Rakendamine
- M 2.17 (L) Sisenemise reeglid ja reguleerimine
M 2.17 Sisenemisreeglid ja reguleerimine
Algatamise eest vastutavad: organisatsiooni juht, majas kasutatava tehnoloogia juht
Rakendamise eest vastutavad: tehnikajuht, töötajad, planeerijad
Sisenemine kaitset vajavatesse majaosadesse ja ruumidesse peab olema reguleeritud ning
seda tuleb kontrollida (vt M 2.6 Sissepääsuõiguste andmine). Meetmed võivad selle
puhul alata lihtsa võtmete väljastamise kontrolliga ja lõppeda keeruliste isikuid eristavate
identifitseerimissüsteemidega, kusjuures luku avamine mehaanilise võtmega võib samuti
sisenemise reeglite hulka kuluda. Sisenemise reguleerimiseks ja kontrollimiseks on
vajalik
- selgelt märgistada reeglite alla kuuluv ala,
- hoida sissepääsuõigusi omavate inimeste ring nii väike kui võimalik; vastavad isikud
peaksid teadma üksteise volitusi, et võõraid isikuid oleks võimalik võõrastena
tuvastada,
- enne sisenemisloa andmist võõrastele isikutele (külalistele) kontrollida, kas see on
vajalik,
- väljastatud sissepääsuload dokumenteerida.
Õiguste jagamisest üksi ei piisa, õigustest kinnipidamist ja üleastumisi tuleb kontrollida.
Kontrollimehhanismide väljatöötamisel tuleks lähtuda põhimõttest, et lihtsad ja
teostatavad lahendused on tihti sama tõhusad kui keeruline tehnoloogia. Mõningad
näited:
- informatsioon ja õiguste tundlikumaks muutmine,
- teavitamine õiguste muutumisest,
- majalubade kandmine nähtaval kohal, vajadusel külastajapääsmete väljastamine,
- külastajate saatmine ,
- kindlaksmääratud käitumine volituste ületamise avastamisel ning
- volitamatu sissepääsu tõkestamine (nt ühepoolselt avatav uks, volitatud isikutele
ukselukk ja võti, külalistele kella helistamise võimalus).
Sisenemise kontrollimiseks läheb tarvis erinevaid ehituslikke, organisatsioonilisi ja
isiklikke meetmeid. Nende koostoime peaks olema reguleeritud sissepääsu
kontrollikontseptsiooniga, mis määrab üldnõuded turvaala, hoone ja seadmete
kaitsmiseks. Siia alla kuuluvad:
- turvatsoonide piiritlemine
Kaitsmist vajavate alade hulka võivad kuuluda kinnistud , hooned, serveriruumid,
lisaseadmetega ruumid, arhiivid, kommunikatsiooniseadmed ja hoones kasutav
tehnika. Kuna vastavate alade turvanõuded on teineteisest erinevad, võib olla mõttekas
jaotada need eraldi turvatsoonidesse.
- Sissepääsuõiguste andmine (vt meede M 2.6 Sissepääsuõiguste andmine)
- Sissepääsu kontrollimise eest vastutava töötaja määramine
Sissepääsuõiguste jagamisel üksikutele töötajatele lähtub vastav isik turvapoliitikas
määratud üldpõhimõtetest.
________________________________________________________________________
- M 2.21 (L) Suitsetamiskeeld
M 2.21 Suitsetamiskeeld
Algatamise eest vastutavad: tehnikajuht
Rakendamise eest vastutavad: töötajad
Ruumides, kus hoitakse IT-seadmeid või andmekandjaid (serveriruumis, andmekandjate
arhiivis, aga ka kuludokumentide arhiivis), kus tulekahjud või määrdumine võivad
põhjustada suuri kahjusid, peaks kehtima suitsetamiskeeld. Lisaks tuleohtlike olukordade
ennetamisele, aitab suitsetamiskeeld tagada ka IT-seadmete mehaanilist tööfunktsiooni.
Täiendavad kontrollküsimused:
- Kas kaitset vajavates ruumides peetakse suitsetamiskeelust kinni?
Kasutamine
- M 1.15 (L) Suletud aknad ja uksed
M 1.15 Aknad ja uksed suletud
Vastutav algatuse eest: tehnikaosakonna juhataja
Vastutav elluviimise eest: tehnikaosakond, töötajad
Aknad ja välisuksed (rõdud, terrassid ) tuleb lukustada ajaks, mil ruumi ei kasutata.
Keldri- ja esimesel korrusel ning vastavalt fassaadikujundusele ka kõrgematel korrustel
pakuvad need sissemurdjale ka töö ajal ideaalset sisenemisvõimalust.
Normaalse tööaja ja kaastöötaja lühikese äraoleku ajal teatud kindlal ajal ei ole
bürooruumide ning nõupidamis-, ürituste ja koolitusruumide kasutamise reguleerimine
hädavajalik.
Nõupidamis- ürituste- ja koolitusruumides ei ole tavaliselt võimalust hoida dokumente,
IT-süsteeme ja muud taolist eraldatult luku taga. Seepärast peaks olema võimalik
sellised ruumid lukustada, vähemalt ajaks, mil kõik koosolekust osavõtjad ruumist
lahkuvad , või lasta oma asutuse töötajal sellel silma peal hoida.
Täiendavad kontrollküsimused:
- Kas on olemas korraldus akende ja välisuste sulgemiseks?
- Kas kontrollitakse reeglipäraselt akende ja uste lukustamist pärast ruumist lahkumist ?
- M 1.23 (L) Lukustatud uksed
M 1.23 Lukustatud uksed
Vastutav algatuse eest: tehnikaosakonna juhataja, IT-juht
Vastutav elluviimise eest: tehnikaosakond, töötajad
Tühjade ruumide uksed peaksid olema suletud. Seeläbi on võimalik takistada
mittevolitatud isikute juurdepääsu nendes asuvatele dokumentidele ja IT seadmetele.
Üksikute bürooruumide lukustamine on eriti sel juhul tähtis, kui need asuvad tsoonides,
kus liigub palju külastajaid või nendesse sisenemine ei ole teiste meetmete abil
kontrollitav.
Uste lukustamisest võib loobuda , kui neil on väljaspool iselukustuv lukk . Seejuures on
eelduseks, et volitatud töötajatel oleks alati oma võti kaasas.
Mõningatel juhtudel, nt suurte avatud bürooruumide korral, ei saa büroosid lukustada.
Sel juhul peaks iga töötaja äraoleku ajaks oma dokumendid (“puhta laua poliitika”) ja
isikliku töövaldkonna sulgema: kirjutuslaua, kapi ja arvuti (disketidraivi lukk,
klaviatuurilukk), telefoni.
Uste lukustamisest võib loobuda, kui kaitstavad esemed nagu dokumendid ja
andmekandjad ei ole avatult väljas ning volitamata juurdepääs IT-süsteemidele ruumis
(ning nendega ühenduses olevatele IT süsteemidele) ei ole võimalik.
Töötava arvuti korral võib uste lukustamisest loobuda, kui on installeeritud kaitseseade,
mis teeb arvuti kasutamise võimalikuks vaid parooli sisestamisega (parooliga kaitstud
ekraanisäästja), ekraan kustutatakse või kui arvuti buutimiseks on vaja sisestada parool .
Väljalülitatud arvuti korral võib loobuda büroo sulgemisest, kui arvuti buutimiseks on
vajalik sisestada parool. Sama funktsioon on ka pääsumehhanismidel, mis baseeruvad
lubamarkeritel ( token passing) või kiipkaartidel.
Täiendavad kontrollküsimused:
- Kas kontrollitakse pisteliselt büroode lukustamist, kui sealt lahkutakse?
- Kas töötajatele antakse korraldus büroo lukustamiseks nende äraolekul?
Aste H: Turvameetmed kataloogist H, lisada astme M meetmetele
Kohustuslikud üldmeetmed
HG.1 Lisanõuded juhtmestuse kohandamisele
HG.1 Lisanõuded juhtmestuse kohandamisele
M 1.3 parametriseering
Lisaks M 1.3 nõuetele kehtivad lisanõuded juhtmestuse kohandamise sageduse osas.
Juhtmestik tuleb üle vaadata ning vajadusel kohandada iga kord, kui:
ruumide funktsioone muudetakse (nt kabinet antakse ühe allüksuse töötajalt
teisele, kabineti asemel tehakse nõupidamisruum vms);
ruume kasutavate töötajate tööülesandeid muudetakse;
installeeritakse uut süsteemset riistvara;
muudetakse võrgu topoloogiat;
toimus kaablirikkega seotud intsident.
turvainspekteerimisel avastati tegeliku juhtmestiku lahknevus
dokumentatsioonis kirjeldatust;
muudetakse asutuse turvapoliitikat või riistvara puudutavaid turvaplaane.
Juhtmestik tuleb üle vaadata ka juhtudel, kui asutuses muudetakse füüsilisi turvatsoone
või võrgu eralduslüüse (tulemüürid, VPNid jms), samuti ka turvatsoonidega seotud
pääsuõigusi.
HG.2 Tuletõrje-eeskirjade täitmise seire
HG.2 Tuletõrje-eeskirjade täitmise seire
Unikaalmeede
Tuletõrje-eeskirjade (vt M 1.6) täitmist tuleb kontrollida:
vähemalt kaks korda aastas, pistelise kontrollina juhuslikel aegadel, ilma
etteteatamiseta;
siis, kui asutuses avastati juhuslikult (st ilma eriseireta) vähemalt üks tuletõrjeeeskirjade
rikkumine ;
siis, kui tuletõrjesignalisatsioon on rakendunud üle nelja korra aastas.
Lisaks eeltoodule tuleb juhinduda tuleohutuse seaduses sätestatust.
Kõik eeltoodu on hoone haldusjuhi kohustus.
HG.4 Võrguhaldussüsteemi turbe regulaarseire
HG.4 Võrguhaldussüsteemi turbe regulaarseire
Unikaalmeede
Võrguhaldussüsteemi turvalisust (vt M 2.146) tuleb kontrollida:
pistelise kontrollina vähemalt kaks korda aastas, juhuslikel aegadel, ilma
etteteatamiseta;
peale igat suuremat muutust võrguhaldussüsteemis (muutus tarkvara, riistvara,
kaabelduse paigutus , püsikonsooli asukoht jms);
kui logidest vm andmetest tekib kahtlusi haldussüsteemi turvalisuse kohta;
pärast igat turvaintsidenti, mis puudutab võrguhaldussüsteemi;
kui üldtunnustatud turvalistides on teateid sarnaste süsteemide haldamise turbe
probleemide kohta.
HG.55 Esemete tõstetud hoidmine serveri- ja arhiiviruumides
HG.55 Esemete tõstetud hoidmine serveri- ja arhiiviruumides
Unikaalmeede
Kõik seadmed, andmekandjad ja arhivaalid , samuti kõik toite- ja andmesidevõrkude osad
ning komponendid tuleb serveri- ja arhiiviruumides hoida vähemalt 50 cm kõrgusel
põrandast riiulitel, kappidel, seinale kinnitatuna või muudel tarinditel.
Nõue on vajalik ootamatu uputuse korral, mis võib seadmeid ja esemeid rikkuda.
Lähemal kui 50 cm põrandast on lubatud hoida vaid mööbli, kinnitustarindite,
hoonekonstruktsioonide jms osi ning selliseid detaile, mis vett ei karda . Erandina on
lubatud allpool eelnimetatud 50 cm piiri hoida ka kaableid, juhtumeil kui kõik
harundseadmed ja ühenduskohad (sh ka parandatud kohad) asuvad ülalpool 50 cm piiri.
Nõue ei kehti juhtumeil, kui ruumides on kasutatud spetsiaalseid tõstetud põrandaid
________________________________________________________________________
HG.66 Tulekustutite nõue serveri- ja arhiiviruumides
HG.66 Tulekustutite nõue serveri- ja arhiiviruumides
M 1.7 parametriseering
Lisaks M 1.7 kirjeldatule peab tulekustuti asuma igas arhiivi- ja serveriruumis sees. Nõue
kehtib ka siis, kui üldtsooni tulekustuti asub nimetatud ruumide ukse taga selle vahetus
läheduses.
HG.67 Veetorude keeld serveri- ja arhiiviruumides
HG.67 Veetorude keeld serveri- ja arhiiviruumides
M 1.24 parametriseering
Lisaks M 1.24 nõuetele on veetorude (sh reoveetorude) paiknemine arhiivi- ja/või
serveriruumides keelatud.
Kui seda nõuet ei ole võimalik täita, tuleb:
_________________________________________________________________________
HG.69 Ruumide turvatsoneerimise korraldamine
HG.69 Ruumide turvatsoneerimise korraldamine
Unikaalmeede
Sagedasti on asutuse tööruumidest vaid osa seotud infosüsteemiga. Samuti on tüüpiline
selline olukord, kus ruumid on jaotatud tsoonideks, milledele rakenduvad ISKE kohaselt
erinevad turvaklassid .
Kõikidel niisugustel juhtumitel tuleb lähtuda alljärgnevast.
Tsoneerimine tuleb viia läbi mõistlikult, st tsoonidevaheliste pääsude hulka
minimeerides, enam kaitset vajavaid tsoone sissepääsust ja külaliste tsoonidest
kaugemale paigutades jms. Tsoneerimise juures peab kindlasti osalema turvajuht,
kes peab tulemuse ka kirjalikult kinnitama.
Kõik tsoonidevahelised pääsud peavad sisaldama autentimist. Vastavalt
olukorrale ja vajadustele võib autentimisvahendiks olla magenetkaartlukk,
kiipkaartlukk, RFID-kaardiga lukk, tavaline võtmega lukk, valvuriga pääsla vms.
Lubamatu on jätta tsoonidevahelisi pääsusid lahti ilma inimvalveta ka lühikeseks
ajaks ning remontide ja ümberkorralduste ajaks. Kui see on siiski hädavajalik,
peab tsoonide taasloomisel kõik muutunu turvajuht spetsiaalselt üle kontrollima.
Teabe käideldavus (K)
HK.1 Varu-elektrigeneraatori nõue
HK.1 Varu-elektrigeneraatori nõue
Unikaalmeede
Kõrgkäideldavusnõuetega (käideldavusosaklassiga K3) süsteemidel on nõutav varutoitegeneraatori
olemasolu, mis peab vastama järgmistele nõuetele.
Varugeneraator peab asetsema eraldi ruumis, mis vastab Eestis kehtivatele
tuleohutusnõuetele.
Varugeneraator peab olema suuteline koostoimima katkematu toiteallikaga (vt
M1.28) – viimase akude jõudmisel kriitilise mahtuvuspiirini peab generaator
käivituma.
 Lahendatud peab olema varugeneraatori regulaarne hooldus, mis peab olema
dokumenteeritud vastava töötaja töölepingus, ametijuhendis , viimaste lisas või
välise partneriga sõlmitavas lepingus.
Varugeneraatoril peab olema kütusevaru 48 tunniks (kaheks ööpäevaks).
Varugeneraatori käivitamisest tuleb süsteemiadministraatorile teatada
kaugindikatsiooni teel (vt HG.3 nõuded).
HK.11 Serveriruumide ja kaitsekappide temperatuuriseire
HK.11 Serveriruumide ja kaitsekappide temperatuuriseire
Unikaalmeede
Kõikide serveriruumide ja kaitsekappide korral tuleb kindlaks määrata kaks
piirtemperatuuri – hoiatuslävi ja kriitiline lävi. Hoiatusläveks tuleb valida selline
temperatuur, mis jääb veel seadmete normaalsete töötingimuste piiresse, kuid mille
edasisel tõusmisel võib see normaalsete tingimuste alt väljuda. Kriitiline lävi on
temperatuur, mis asub juba kindlalt ülalpool seadmete normaalseid töötingimusi, mistõttu
seadmete riknemine sellel temperatuuril on tõenäoline.
Temperatuuri tõusmise nii hoiatusläveni kui ka kriitilise läveni jõudmise peab
seiresüsteem fikseerima ning edastama vastava teatise süsteemiadministraatorile
kaugindikatsiooni teel (vt HG.3).
Temperatuuri mõõtepunktid peavad asuma serveriruumis piisava paigutusega tagamaks
tõest lugemit, kinniste isoleeritud kaitsekappide puhul peavad nad asuma igas kapis. igas
kaitsekapis ( moodul B 2.7) nende ülaosas, kus tõenäoliselt temperatuur on kõrgeim. Kui
serveriruumis asub osa seadmeid kaitsekapis, osa aga väljaspool kappe, piisab
temperatuuri mõõtepunktide olemasolust kaitsekappides. Kui serveriruumis kaitsekappe
ei asu, peab sealne temperatuuri mõõtepunkt asuma suurema hulga seadmete kohal ruumi
lae all, kus tõenäoliselt on temperatuur kõrgeim.
HK.30 = HT.46 Serveriruumi ja andmearhiivi eraldatuse nõue
HK.30 Serveriruumi ja andmearhiivi eraldatuse nõue
M 1.13 parametriseering
Kõrgtasemel käideldavuse ja terviklusega infosüsteemides (turvaosaklass K3 või T3) peab ruumide paigutamisel lisaks M 1.13 sätestatule lähtuma nõudest, et serveriruum ja andmearhiiv peavad asuma eraldi ning üksteisest võimalikult kaugel (olemasoleva kontoripinna võimaluste piires). Nõue on vajalik juhtumeiks, kui ühes neist ruumidest toimub tulekahju või uputus , mis nõuete täitmisel säästab teist ruumi. Eraldiseisva andmearhiivi korral kehtib seal kaabelduse minimaalsuse nõue (vt HK.29 = HT.45), st kõik elektrit tarbivad (onlain-)seadmed tuleb koondada serveriruumi ja vältida nende olemasolu andmearhiivis. Tehnilise infrastruktuuri ruumi (moodul B 2.6) võib ühitada serveriruumiga, kuid ei tohi üldjuhul ühitada andmearhiiviga. Kui serveriruumist ja/või tehnilise infrastruktuuri ruumist eraldiseisvat andmearhiivi ei õnnestu olemasoleva kontoripinna baasil luua, tuleb kasutada kaugarhiveerimise (kaugvarundamise) teenuseid
HT.43 Keskse autentimisserveri kasutamine
M5.138 parametriseering
M 5.138 toodud soovituslikud nõuded on siin kohustuslikuks täitmiseks. Keskse autentimisserveri ( RADIUS või analoogne) kasutamine on siin kohustuslik ja see peab vastama meetme M 4.250 tingimustele ja nõuetele
Teabe terviklus (T)
HT6 = HS.6 Esemeliste pääsuvahendite halduse seire
HT.6 Esemeliste pääsuvahendite halduse seire
Unikaalmeede
Esemeliste pääsuvahendite all mõeldakse siin võtmeid, magnetkaarte, kiipkaarte, kontaktivabu kaarte jt esemeid, mis võimaldavad pääsu arvutitesse/infosüsteemidesse või kaitsekappidesse/ruumidesse/territooriumitele. Nende halduse üldnõuded vt M 2.14. Esemeliste pääsuvahendite halduse seire tuleb läbi viia: • pistelise kontrollina vähemalt kaks korda aastas; • pärast iga turvaintsidenti, mille üheks põhjuseks olid puudused võtmete ja kaartide halduses; • pärast süsteemi iga suuremat ümberkorraldust, millega kaasneb oluline muudatus ka kasutajate õigustes ning seetõttu ulatuslik võtmete ja kaartide vahetus/ümberprogrammeerimine; • kui kuu jooksul on lahkunud töölt üle 20% töötajatest; • pärast asutuse turvapoliitika ja/või turvaplaani muutusi, mis puudutavad olulisel määral pääsuvahendite haldust ja korraldust; • peale kolimist või olulist ressursside muutmist (nt töötajate ümberpaigutamist hoones või ruumide lõikes). Seire tegemine on turvajuhi või tema poolt määratud töötaja kohustus.
HT.26 = HS.18 Serveriruumi ja andmearhiivi külastajate logiraamatu pidamine
HT.26 Serveriruumi ja andmearhiivi külastajate logiraamatu pidamine
Unikaalmeede
Sisse tuleb viia serveriruumi ja andmearhiivi külastajaid ja külastusi kajastav logiraamat. Selles tuleb dokumenteerida: • iga külastusaja algus ja lõpp; • iga külastaja nimi; • külastaja vastuvõtnud töötaja nimi; • külastuse põhjus (vajadusel); • külastatud ruumide loetelu . Kui nimetatud logiraamatut peetakse digitaalselt, tuleb halduslike, infotehniliste või füüsiliste vahenditega tagada, et raamatusse kantud kirjeid ei saaks hiljem muuta ega kustutada.
HT.44 = HS.32 Lisanõuded turvaustele ja –akendele
HT.44 Lisanõuded turvaustele ja -akendele
M 1.10 parametriseering
Lisaks M 1.10 nõuetele peavad: • turvauksed (standardi EVS EN- 1143 -1 kohaselt 1. klassi nõuetele vastavad) olema igal turvaosaklassiga T3 või S3 serveriruumil või andmearhiivil; • turvaaknad (standardi EVS EN-1143-1 kohaselt 1. klassi nõuetele vastavad vastavad) olema igal turvaosaklassiga T3 või S3 serveriruumil või andmearhiivil; • turvaaknad olema varustatud valgust hajutava klaasi või spetsiaalse hajutiga, mis ei võimalda väljastpoolt näha ruumi sisse. Nõuded ei kehti nende andmearhiivide korral, kus arhivaalid on seifis, millel on EVS EN 1143-1 järgi 1. klassi murdmiskindlus ning mis on spetsiaalselt hoonekonstruktsioonide külge kinnitatud, et oleks välistatud nende äraviimine.
________________________________________________________________________________________
ISKE rakendusjuhendi kataloog: november 2011 82
B: Tüüpmoodulid
________________________________________________________________________________________
Teabe konfidentsiaalsus (S)
HS.31 Lisanõuded ruumide paigutusele
HS.31 Lisanõuded ruumide paigutusele
M 1.13 parametriseering
Kõrgkonfidendtsiaalsustsoonide (turvaosaklass S3) ruumid peavad lisaks M 1.13 nõuetele vastama veel alljärgnevatele nõuetele. • Esimese korruse ruumide aknad peavad olema varustatud trellide, turvaruloode või turvaklaasidega. Sama nõue kehtib kõrgemate korruse korral, kui akende taga väljaspool on katus, karniis vm ehitustarind, mida mööda saab sissetungija hõlpsalt akendeni liikuda. • Kui kõrgkonfidentsiaalsustsooni ruumidega külgnevad avatud tsooni ruumid (kuhu pääsu ei kontrollita ), siis ei tohi eraldusvaheseinad olla valmistatud kipsplaadist, puitkiudplaadist vm kergesti purustatavast materjalist. Kui nimetatud vaheseinte taga on kontoriruumid, kuhu võõrad vabalt ei pääse ja kus kehtib külastajate saatmise nõue (vt M 2.16), siis nimetatud nõuded ei kehti. Kõik ehitustööd kõrgkonfidentsiaalsustsooni ruumides tuleb eelnevalt kooskõlastada turvajuhiga, samuti peab turvajuht olema ehitustööde tellijapoolses vastuvõtukomisjonis. • Kõrgkonfidentsiaalsustsooni(de) ruumid tuleb ülejäänud ruumidest helikindlalt isoleerida, juhul kui nendes ruumides arendatakse turvaosaklassi S3 kuuluvaid vestlusi või kuulatakse läbi vastava konfidentsiaalsusosaklassiga fonogramme.
________________________________________________________________________________________
ISKE rakendusjuhendi kataloog: november 2011 83
B: Tüüpmoodulid
________________________________________________________________________________________