Onko palvelinten turvallisuusmääräyksistä jotain lyhyttä ohjetta?

[soundmodel]

Onko palvelinten turvallisuusmääräyksistä jotain lyhyttä ohjetta?

Olen yrittänyt etsiä tällaista, mutta ainoa referenssi, mitä olen löytänyt on:

Toimitilojen tietoturvaohje 2/2013
Valtiovarainministeriö

https://www.finlex.fi/data/normit/41654/Toimitilojen_tietoturvaohje_VAHTI_2_2013_netti.pdf

Tämä on vähän tiiliskivinen teos.

Pientä palvelinta varten haluaisin lukea jonkun lyhyemmän oppaan.

 

[Algron28]

Tuskin sellaista yksiselitteistä on sillä se miten pitää turvata riippuu varmasti hyvin monesta asiasta kuten siitä minkälaisia palveluita ja minkälaista dataa siellä on.

 

[Pakana]

Lisäksi myös uhat ei ole staattisia, vaan keksivät jatkuvasti uusia kiusoja.

 

[escalibur]

Edit: Eipä mitään sittenkään...

 

[soundmodel]

Riittääköhän määräysten täyttämiseen siten, jos näyttää, että on yrittänyt parhaansa ko. tilaan?

Luulin, että joku tarkastaja voi tulla tekemään yllätystarkastuksia.

 

[talvensa]

Riittääköhän määräysten täyttämiseen siten, jos näyttää, että on yrittänyt parhaansa ko. tilaan?

Luulin, että joku tarkastaja voi tulla tekemään yllätystarkastuksia.

En nähnyt, en kuullut mistään tarkastajista.
Poliisi ainoa etsintäluvalla, muilla ei asiaa toisten tiloihin.

 

[Algron28]

Riittääköhän määräysten täyttämiseen siten, jos näyttää, että on yrittänyt parhaansa ko. tilaan?

Luulin, että joku tarkastaja voi tulla tekemään yllätystarkastuksia.

Riippuu ihan siitä mitä olet oikein puuhailemassa. Ja tässä nyt jäi vähän epäselväksi oliko tässä kyse fyysisestä vai ohjelmistollisesta turvallisuudesta vai molemmista.

JOS siellä sinun palvelimella on ja käsitellään muiden ihmisten henkilötiedoiksi laissa määriteltyä tietoa niin parhaansa yrittäminen ei riitä jos paska osuu pahasti tuulettimeen ja joku pääsee näihin tietoihin luvatta käsiksi. Jos siellä taas on vain hauskoja kissavideoita ja joku sen hakkeroi niin kyseessä on lähinnä oma häpeä.

Mitään tarkastuksia ei tule kuin niissä tapauksessa jossa poliisi epäilee rikosta ja tämä varmasti vaatii sen että joku taho on heille asiasta tutkintapyynnön tai rikosilmoituksen tehnyt.


Yrityspuolella on sitten erilaisia kolmannen osapuolen auditointeja mitkä lähinnä antaa mielenrauhaa ja takaa käyttäjille/asiakkaille että palvelua tuottava organisaatio on panostanut riittävästi.

 

[soundmodel]

Oma kysymys koskee lähinnä fyysisiä vaatimuksia, kuten paloturvallisuus. Ongelmana oli, että ajoitusviestin teos on työläs lukea, kun haluaisin vain sellaisen listan siitä, mitä pitää tehdä perustasolle IV.

On kyllä sinänsä hyvä pointti, että vaikuttaa siltä, että lista kasvaa niin suureksi, että mitään "teenpä oman kotipalvelimen toimitilaan" -välimuotoa ei taida olla. Eli joko on samantien pilvipalveluyrittäjä tai sitten vuokraa muilta. Tai ehkä approksimaationa säännöistä voisi vuokrata toimitilan, jossa voisi tehdä myös tietokoneella töitä, ja sitten vaan lisää siihen ne pienet vaatimukset, jotka koskevat miehittämättömiä 24/7 tietokoneita.

Vuokrapalvelimissa on rasittanut vaan se, että ne tulee joskus asiakkaana lopulta kalliimmaksi kuin palvelimen omistaminen. Mutta jos ajattelee, että käyttää saman ajan johonkin muuhun kuin palvelinten ylläpitämiseen, niin ehkä diili on ihan reilu.

Tämä on vaan sinänsä vähän outoa, että siinä missä palvelimen pitäisi voida osata pystyttää vaikkapa IT-maisteri, niin nyt tässä aletaan vaatia, että on myös joku rakennusmestari. Tämä on sinänsä vähän kohtuuton vaatimus. Vai voisikohan tuon fyysisen rakennepuolen ulkoistaa jollekin rakennustyypille?

 

[Grez]

Tämä on vaan sinänsä vähän outoa, että siinä missä palvelimen pitäisi voida osata pystyttää vaikkapa IT-maisteri, niin nyt tässä aletaan vaatia, että on myös joku rakennusmestari.

Siis palvelimen pysyttäminen on kyllä eri asia, kuin palvelintilan rakentaminen. Eli esimerkiksi nyt palonsuojaratkaisut ja varavirtajärjestelmät ei liity palvelimen pystyttämiseen sinänsä. Myös palvelinkoneen voi ostaa valmiiksi kasattuna, ei tarvitse alkaa komponenteista rakentamaan. Eli ymmärtäisin "palvelimen pysyttämisellä" lähinnä sitä että olemassaolevaan rautaan laitetaan käyttis ja konffataan softat tietoturvallisesti.

Mutta siis tosiaankin vaatimukset riippuu siitä mitä on tarkoitus tehdä. Ja jos ostat palvelintilaa pilvestä niin ostat siinä kyllä muutakin kuin vain fyysisen palvelimen. Jos ajatellaan että ostat fyysisen palvelimen ja siihen tulee joku fyyisnen vika oman toimiston laitetilassa, niin Murphyn lain mukaan se tulee juuri silloin kuin koko firman IT-tiimi on lentämässä hyvin ansaitulle kolmen viikon kesälomalle Pohjois-Italiaan. Eli siis oman palvelimen hintaan pitäisi melkein laskea päivystäjän palkka mukaan, jos siitä haluaa vertailukelpoisen. Tietty jos palvelin palvelee vain firman sisäisiä käyttäjiä ja kaikki on samaan aikaan kesälomalla, niin sittenhän tuokaan ei paljon haittaa.

 

[Algron28]

Oma kysymys koskee lähinnä fyysisiä vaatimuksia, kuten paloturvallisuus. Ongelmana oli, että ajoitusviestin teos on työläs lukea, kun haluaisin vain sellaisen listan siitä, mitä pitää tehdä perustasolle IV.

On kyllä sinänsä hyvä pointti, että vaikuttaa siltä, että lista kasvaa niin suureksi, että mitään "teenpä oman kotipalvelimen toimitilaan" -välimuotoa ei taida olla. Eli joko on samantien pilvipalveluyrittäjä tai sitten vuokraa muilta. Tai ehkä approksimaationa säännöistä voisi vuokrata toimitilan, jossa voisi tehdä myös tietokoneella töitä, ja sitten vaan lisää siihen ne pienet vaatimukset, jotka koskevat miehittämättömiä 24/7 tietokoneita.

Vuokrapalvelimissa on rasittanut vaan se, että ne tulee joskus asiakkaana lopulta kalliimmaksi kuin palvelimen omistaminen. Mutta jos ajattelee, että käyttää saman ajan johonkin muuhun kuin palvelinten ylläpitämiseen, niin ehkä diili on ihan reilu.

Tämä on vaan sinänsä vähän outoa, että siinä missä palvelimen pitäisi voida osata pystyttää vaikkapa IT-maisteri, niin nyt tässä aletaan vaatia, että on myös joku rakennusmestari. Tämä on sinänsä vähän kohtuuton vaatimus. Vai voisikohan tuon fyysisen rakennepuolen ulkoistaa jollekin rakennustyypille?

Tästä ei nyt vieläkään oikein selvinnyt mitä siellä palvelimella meinataan pyörittää, näin yleisellä tasolla. Mutta jos kyse oli fyysisestä puolesta niin ei sillä niin väliä.

Mitään suoria fyysisiä vaatimuksia ei ole paitsi tietenkin se mitkä sen itse laite vaatii toimiakseen (riittävä jäähdytys, tilassa tarvittava sähkö). Kaikki muut tulee jostain muusta kuten esim juurikin tietosuoja asetuksista yms. tai asiakkaan tai käyttäjänä olevan organisaation vaatimuksista MIKÄLI nuo kyseiseen käyttötapaukseen on sovellettavissa.

Tuo ohje, minkä olet kaivanut, on ohjeistus valtionhallinnolle, ei mikään yleinen. Tuolla on aivan omat erityisvaatimukset.

 

[soundmodel]

Luulisin, että oppaan palo- ja sähköturvallisuusominaisuudet ovat hyödyllisiä myös yrityksille. Enkä ymmärrä, miksi ne eivät koskisi toimitiloja, joissa on valvomattomia koneita. Sehän voi vaarantaa talon muut huoneet, jos jotain kärähtää.

 

[Algron28]

Luulisin, että oppaan palo- ja sähköturvallisuusominaisuudet ovat hyödyllisiä myös yrityksille. Enkä ymmärrä, miksi ne eivät koskisi toimitiloja, joissa on valvomattomia koneita. Sehän voi vaarantaa talon muut huoneet, jos jotain kärähtää.

Siksi että tuo ohje ei ole laki vaan ohjeistus valtiohallinnolle. Muut noudattavat lakia ja oman organisaationsa ja itsensä keksimiä ohjeita. Yleisiä vaatimuksia esimerkiksi paloturvallisuudesta tai sähköturvallisuudesta löytyy molempien omasta pykälistöstä mutta esimerkiksi sähköturvallisuuden osalta ne ovat yleisiä ja liittyvät mihin tahansa vastaavaan järjestelmään. Voihan vaikka se jääkaappi vaarantaa talon muut huonee kun sekin on päällä 24/7 tai se kotona oleva 5G reititin. Se että jossain kellarikomerossa on joku palvelin ei suoraan ole siis kiellettyä, mutta toki sopii miettiä onko se hyvä ja fiksu paikka sille. Voi ollakkin, jos siellä kuitenkin on sellaiset olosuhteet joissa laite pärjää. Ja kyllä niitä kellarikomeroissa on tullut nähtyä.

 

[soundmodel]

Eli mistä tiedän, mitä tilan vaatimuksia toimitilaan tehdyn miehittämättömän palvelinklusterin tulee täyttää? Lain mukaan.

 

[Hyrava]

Eli mistä tiedän, mitä tilan vaatimuksia toimitilaan tehdyn miehittämättömän palvelinklusterin tulee täyttää?

Eikös tuo ole aika pitkälti toimitilan omistajan tiedossa mitä vaaditaan. Varmaan esimerkiksi tilan paloluokka vaikuttaa. Ja varmaan vakuutusyhtiökin osaisi kertoa jotain asioita mitä pitää ottaa huomioon tuollaisessa palvelinkäytössä.

Tuskin missään on mitään valmista ohjeistusta tai checklistiä juuri omaan tapaukseesi.

 

[Algron28]

Eli mistä tiedän, mitä tilan vaatimuksia toimitilaan tehdyn miehittämättömän palvelinklusterin tulee täyttää? Lain mukaan.

Voit toki tuota ohjettakin soveltaa, sinäänsä vaikuttaa ihan pätevältä, mutta esim kohta "2.15 Suojautuminen HPM-hyökkäystä vastaan" on aika extremeä jossain tavan firmassa. Eikä tuossakaan ohjeessa anneta tarkkoja määrityksiä toimenpiteille vaan lähinnä vaatimuksia raja arvoista ja muista joiden saavuttaminen on sitten toteuttajasta kiinni.

Lisäksi tässä olisi hyvä tietää minkä mittaluokan projektista puhutaa, 3 palvelinta vai kolme kaapillista palvelimia? Ja millä budjetilla liikkeellä ollaan? Jos ollaan rakentamassa isolla rahalla uutta tilaa niin toki paloilmaisimet ja automaattinen sammutusjärjestelmä tuo aina lisäturvallisuuttaa.

 

[soundmodel]

No itse voisin esim. laittaa ensin kolme palvelinta, mutta toimitilaa varten pitäisi esim. tietää, mitä siellä pitää olla. Esimerkiksi pintamateriaalit, osastointi, palontorjuntavälineet, sähkönsyötön ja kaapeloinnin vaatimukset. Oppaassa suositeltiin esim., että pinnoista ei saisi irrota pölyä, joka voisi tukkia koneiden ilmanvaihtoa.

 

[Algron28]

No itse voisin esim. laittaa ensin kolme palvelinta, mutta toimitilaa varten pitäisi esim. tietää, mitä siellä pitää olla. Esimerkiksi pintamateriaalit, osastointi, palontorjuntavälineet, sähkönsyötön ja kaapeloinnin vaatimukset. Oppaassa suositeltiin esim., että pinnoista ei saisi irrota pölyä, joka voisi tukkia koneiden ilmanvaihtoa.

Eli onko nämä nyt tulossa sinun vai jonkun muun hallinnoimaan tilaan? Onko kyseinen tila myös muussa käytössä?

 

[soundmodel]

Oletetaan, että tila ostetaan tai vuokrataan valmiina muualta.

Pitääkö myyjän tai vuokranantajan tietää, että saako tilaan laittaa ne miehittämättömät palvelimet?

 

[Grez]

Palvelinhan nyt ei lähtökohtaisesti eroa vaikkapa kotitietokoneesta enkä ole kuullut että jossain tilassa ei saisi käyttää tietokoneita tai että vuokranantaja kieltäisi sen.

Olennainen kysymys on varmaankin, että riittääkö tilojen sähkönsyöttö ja jäähdytys tarpeisiisi.

 

[Algron28]

Jos kyseessä on ihan puhdas harrasteprojekti, niin lähinnähän tuossa on sitten fyysisten vaatimuksten osalta lähinnä se että tilassa on riittävä sähkönsyöttö syöttämään laitteistoa sekä riittävä jäähdytys jotta tilan lämpötila ei ylitä laitteiden maksimi käyttölämpötilaa (ja käytännössä ei kannata tätä mitoittaa sinne ihan ylärajalle sillä korkea lämpötila lyhentää laitteen käyttöikää.) Lisäksi kannattaa huomioida paikkaa valittaessa se että noista laitteista lähtee yleensä ääntä joka voi kantautua viereisiin tiloihin -> voi häiritä kiinteistön muita käyttäjiä.

Osa vuokrantajista voi suhtautua nihkeästi hommaa sillä melko yleistä on että yksittäisiä huoneita vuokratessa niissä ei välttämättä ole omaa sähkömittausta joka taas tällaisessa hommassa jossa sähköä voi kulua ei ole välttämättä vuokranantajalle kannattavaa. Itse jouduin omaan vuokratilaan hommaamaan oman mittaroinnin ja vedot ja keskuksen.

 

[soundmodel]

Luulisin, että palomiestenkin pitäisi olettaa jotain, jos ne menee sammuttamaan ja siellä on vaikka 10kW klusteri tai isompi savuamassa.

 

[Algron28]

Luulisin, että palomiestenkin pitäisi olettaa jotain, jos ne menee sammuttamaan ja siellä on vaikka 10kW klusteri tai isompi savuamassa.

Miten se eroaa siitä että siellä on huone täynnä polttopuuta? Vaarallisempihan sellainen on. Tai huone täynnä paperiarkistoa. Pääsääntöisesti nuo nykyajan sähkölaitteet on muovien osalta sellaista materiaalia että eivät oikein tahdo itsenäisesti ylläpitää paloa.

Itse omaa laitetilaa rakentaessa kysäsin paikalliselta palotarkastajalta ja hän totesi vain että mitään vaatimuksia ei heidän tai määräysten puolelta tuollaiselle ollut.

 

[Hyrava]

Luulisin, että palomiestenkin pitäisi olettaa jotain, jos ne menee sammuttamaan ja siellä on vaikka 10kW klusteri tai isompi savuamassa.

Siitä vaan sitten paloviranomaisilta kysymään "mitä minun pitää ottaa huomioon laittaessani laitetilan spekseillä x osoitteeseen y" ja sama kysymys tilan omistajalle ja vakuutusyhtiölle niin eiköhän niistä tule jo aika tarkka speksi.

 

[Algron28]

Ainoa mielestäni palotilanteessa erityinen tekijä on isot litium akustot jos sellaisia on sillä niiden sammuttaminen on oma taiteenlajinsa.