Informationssäkerhet Drift Atea Linköping 1 (7)
Contents Informationssäkerhet Drift Atea OGL... 1 Versioner... 3 Inledning... 3 Fysisk säkerhet... 4 Skalskydd och inbrottslarm... 4 övervakning... 5 Brandsläckningsutrustning... 6 Kommunikation... 6 Säkerhetskopiering... 7 Dokumentation... Error! Bookmark not defined. IP-Plan... Error! Bookmark not defined. Lösenorhdshantering... Error! Bookmark not defined. Arbetslogg (Server)... Error! Bookmark not defined. Arbetssätt... 7 Inloggning... 7 Systemkonton... 7 Installationsfiler mm... 7 Arbetslogg... Error! Bookmark not defined. Servrar, IP Adresser, systemkonton, databaser, dns... 7 Arbete i kundmiljöer... 7 2 (7)
Versioner Datum Version Namn Förändring 2014-08-01 1.0 Johnny Jonander Skapande av första version Inledning Detta dokument syftar till att beskriva Atea Östergötlands policy och riktlinjer för informationssäkerhet inom driftmiljön. Den syftar också till att vara ett redskap för alla medarbetare som hanterar information inom driften. Detta dokument kompletterar Ateas övergripande Ledningssystem för informationssäkerhet (LIS) samt sammanfattar de policys och arbetsmetoder som finns dokumenterade i dokumentationsportalen. LIS är Ateas styrande dokument för hur Atea jobbar på ett strukturerat sätt med informationssäkerhet. LIS syftar till att samla Ateas policys, riktlinjer och instruktioner för Ateas arbete med informationssäkerhet. LIS är en standard med ett utökat ramverk som omfattar rutiner för identifiering, skydd av informationstillgångar, kontroll och efterlevnad av lagkrav samt förväntningar och krav från våra kunder. Ateas LIS bygger på standarden ISO 27001. 3 (7)
Monitorering Dokumenttyp Datum 2014-08-04 Fysisk säkerhet För att leva upp till de krav som ställs i LIS på den fysiska säkerheten i de lokaler som huserar våra kunders information, hyr vi plats hos serverhallsleverantören Availo. Utrustningen finns placerad på två olika geografiska placeringar i Linköping där backup-data är särskilt från produktionsdata. Den fysiska säkerheten kan delas upp enligt följande: Skalskydd Inbrottslarm Brandskydd Släcksystem Inpasseringssystem Kameraövervakning SK AL SK YDD OCH IN BROT T SLAR M Skalskyddet och inbrottslarmet består av: Ett staket som omgärdar hela området Datacentret är en separat byggnad som är byggd i en annan byggnad Den yttre byggnadens ytterhölje är förenligt med intrångsskyddsklass 2 och har EMP-Skydd. Datacentrets inre valv har ett skal av stål och intrångskyddsklass 2. Tekniska installationer utomhus är skyddade med: o Betongelement som uppfyller säkerhetskrav för vägspärrar. o Ett punktsvetsat staket med höga säkerhetskrav 4 (7)
o Ett elstängsellarm med korta högvoltspulser i larmtrådarna som ger inkräktaren en kort och smärtsamt, men ofarlig chock. Tekniska utomhusinstallationer är skyddade med elstängsel Byggnaden har larm i skalet Datacentret har ett avancerat alarmsystem med sensorer i alla rum, tak och dörrar Området är skyddad med linjedetektorer och rörelsesensorer Larmet är kopplat till ett säkerhetsföretag via redundanta vägar Säkerhetsvakter patrullerar området vid slumpmässiga tidpunkter Ö VER VA KNING Övervakning med högupplösta kameror vid viktiga platser Rörelsedetektorer i kameror som aktiverar videoinspelning och larm Lagring av bilduppgifter hanteras i enlighet med den svenska personuppgiftslagen. Fysisk lagring finns på en separat server i en annan av Availos datacenter. Data lagras i minst 3 månader. Bildinformation från övervakningen hanteras i enlighet med tillämpliga lagar och förordningar. Övervakningssystemet InfraStruXure Central samlar in och hanterar larm från hela infrastrukturen (ställverk, redundant el, UPS, kylaggregat, säkerhet). Det finns temperatursensorer i varje rack och sensorer som detekterar läckage i varje kylaggregat. Andra sensorer övervakar potentiella hot mot säkerheten eller miljömässiga faktorer. Redundans i distribution av larm genom att låta både övervakningsservern och distribuerade hubbar skicka larm. En separat server hanterar larm från den tekniska utrustningen. INPAS SER INGSSYST EM För åtkomst till datacentret krävs en godkänd begäran vilken ska innehålla följande: o Kontaktuppgifter o Har Ateas sekretessförbindelse skrivits på? o Syfte/ Ärendekoppling o Kund o Start stop Varje person har ett personligt inpasseringskort 5 (7)
Alla händelser loggas och sparas undan. BRANDSKYDDSSÄK E RHET Anläggningen är uppdelad i flera separata, helt slutna, brandceller. Väggarna är förstärkta med stålplåt. Väggarna uppfyller brandklass EI60 (dvs. motstå brand i 60 minuter). Golven i datacentret är kalciumsulfat och kan inte brinna. Ståldörrarna är av klass A60, vilket motsvarar (El) krav på EL2. De är både isolerande och förseglande. Kablar mellan brandzoner drivs genom transitramar. Tätningarna i de olika brandcellerna har testats (sk integritetstest) enligt NFPA 2001. Avståndet till Lambohov brandstation är bara 2,900 meter. BRANDSLÄC KNINGSUT RUS T NING Byggnaden är utrustad med brandlarm och sprinklers som har en direkt koppling till larmtjänster. Datacentret är utrustat med ett Argonit-släcksystem: o Sofistikerad, mycket känsliga provtagningsdetektorer sätter igång larmet innan någon synlig rök har genererats. o Argonite är en gasblandning som släcker branden på mindre än 60 sekunder genom att kväva elden. o Släcksystemet har installerats under upplyfta golv i datacentret samt i ställverk och batterirum. o Besökare till datacentret kommer inte att skadas om systemet är aktiverat. KOMMU NIKAT ION Det finns ett antal leverantörer av fiber och fibervägar, vilket skapar både fysisk- och leverantörsredundans. Anslutning till Skanovas kopparnät. Två olika korskopplingsrum (Meet Me rum) vilket möjliggör helt redundanta fiber- och kopparanslutningar från racken till den externa leverantören. Förinstallerade kablar är på plats för snabbt genomförande och hög kvalitet. MeetMe2-rummen är i separata brandceller. Möjlighet att ansluta rack med redundant TP och fiberkablar. Redundanta anslutningar till Availo IP och MPLS stamnät. 6 (7)
Möjlighet finns för anslutning av redundanta våglängder, Ethernet-anslutningar eller svartfiber mellan kundkontor och datacentret. Säkerhetskopiering För de kunder som köpt Backup som tjänst finns ett avtal som reglerar vilket data som säkerhetskopieras, hur ofta och hur länge data sparas. Som standard gäller följande: Daglig backup: måndag lördag - Spartid 7 dagar Månadsbackup: Första söndagen varje månad. Spartid 2 månader Återläsning/Restore: Kunden kan återläsa sina Virtuella maskiner, filer, databaser m.m. via backupportalen. Önskar kund hjälp med restore görs detta mot löpande räkning eller avtalad kostnad. Återläsningstest: Vi har möjlighet att testa återläsning av backuper i isolerad testmiljö. Detta görs på löpande räkning eller överenskommen kostnad. Ett återläsningstest initieras av kunden. ARBET SS ÄTT Inloggning Inloggning i servrar och system görs alltid med personligt användarkonto. Det är förbjudet att dela ut kontouppgifter till andra. Systemkonton Om systemkonton behövs skapas ska dessa beställas i samband med förändringsbegäran alternativt via ärende (beställning). Det är inte tillåtet att använda ett personligt konto som systemkonto. Installationsfiler mm Installationsmedia, skräpfiler placeras i temp katalogen på C eller D disken. Är det filer som bör sparas meddela detta till itfabriken@atea.se med beskrivning var filerna finns samt varför de ska sparas, ärendekoppling och ev hur länge de bör sparas. Servrar, IP Adresser, systemkonton, databaser, dns Alla konton, servrar etc ska följa Atea OGL:s drifts namnstandard och beställs i samband med förändringsbegäran eller som ett ärende (beställning). Arbete i kundmiljöer Arbete i kundernas system ska alltid efterleva kundens regelverk och policys. 7 (7)