Ziel / Zweck
Ein Rechenzentrum ist innerhalb der Institution wie folgt definiert:
- Wird die IT der Institution innerhalb eines Gebäudes oder einer Liegenschaft verteilt in mehreren Bereichen betrieben und sind diese Bereiche untereinander und zu den IT-Benutzern hin durch hauseigene LAN-Verbindungen angeschlossen, ist mindestens der funktional bedeutendste dieser Bereiche als Rechenzentrum zu behandeln. Des Weiteren sind Bereiche, von deren ordnungsgemäßem Betrieb 50 % und mehr Nutzer abhängig sind oder aus denen heraus 50 % und mehr an Diensten und Daten (gemessen an der Gesamtheit der Bereiche) bereitgestellt werden, als Rechenzentrum zu behandeln.
- Hat die Institution nur einen zentralen IT-Betriebsbereich, ist dieser gemeinsam mit den erforderlichen Supportbereichen grundsätzlich immer wie ein Rechenzentrum entsprechend dem Schutzbedarf zu behandeln. Unter „IT-Betriebsbereich“ sind Räume zu verstehen, in denen die Hardware aufgebaut ist und betrieben wird, die der Bereitstellung von Diensten und Daten dient. Das Rechenzentrum umfasst neben dem IT-Betriebsbereich alle weiteren technischen Supportbereiche (z. B. Stromversorgung, Kälteversorgung, Löschtechnik, Sicherheitstechnik), die dem bestimmungsgemäßen Betrieb und der Sicherheit dienen.
- Ist die IT der Institution an mehreren räumlich voneinander getrennten Standorten angesiedelt und sind diese durch andere als hauseigene LAN-Verbindungen miteinander gekoppelt, ist jeder der Standorte entsprechend separat zu betrachten und zu behandeln.
- Ein IT-Betriebsbereich, in dem für kritische Geschäftsprozesse (Prozesse, deren Störung oder Ausfall zu wesentlichen Beeinträchtigungen der Erledigung primärer Aufgaben führen) erforderliche IT angesiedelt ist, ist immer als Rechenzentrum zu behandeln, unabhängig von Größe.
- IT-Betriebsbereiche, aus denen heraus Dienste oder Dienstleistungen für Dritte erbracht werden, sind immer als Teil eines Rechenzentrums zu betrachten. Dabei ist es unerheblich, ob dies gegen Entgelt erfolgt oder nicht.
Weicht ein Rechenzentrum von dieser Definition ab, wird der betrachtete IT-Betriebsbereich als Serverraum bezeichnet. Diese Definition orientiert sich ausschließlich an der Bedeutung der IT-Struktur für die Aufgabenerfüllung der Institution und steht damit im methodischen Einklang mit der DIN EN 50600.
Soll ein Serverraum abgesichert werden, können die Anforderungen dieser Sicherheitsrichtlinie entsprechend reduziert werden. Dies muss jedoch stichhaltig und nachvollziehbar begründet werden und es müssen mindestens die Basis-Anforderungen umgesetzt werden.
Ziel dieser Sicherheitsrichtlinie ist es zu beschreiben, welche Anforderungen zu erfüllen sind, um ein Rechenzentrum aus Sicht der Informationssicherheit optimal zu nutzen. Für die Erstellung dieser Sicherheitsrichtlinie wurde auf die Vorgaben des BSI Bausteines INF.1 „Allgemeines Gebäude" und INF.2 „Rechenzentrum“ aus dem Kompendium 2020 zurückgegriffen.
Über den bereitgestellten Download-Link kann die Vorlage heruntergeladen werden.