EN 50600-99-3 Rehberliğinde
Veri Merkezlerinde Güvenlik Sistemleri Denetimi

Celal Ünalp 

EN 50600-2-5, aşağıdakilere karşı koruma ile ilgili olarak EN 50600-1'de tanımlanan veri merkezi alanları ve bu alanlarda kullanılan sistemler için gereksinimleri ve önerileri belirtir:

a) Yapısal, organizasyonel ve teknolojik çözümlere yönelik yetkisiz erişim;

b) Veri merkezi alanları içinde meydana gelen yangın olayları;

c) Tanımlanan koruma düzeyini etkileyecek veri merkezi alanlarının içindeki veya dışındaki diğer olaylar.

EN 50600-2-5'e uygunluğu değerlendirmek için, bu yönlerin uygun bir şekilde uygulandığını doğrulamak için belgeli kanıt gereklidir.

Bir veri merkezinin tesislerine ve altyapılarına uygulanan fiziksel güvenlik derecesi, veri merkezinde depolanan ve işlenen verilerin hem işlevinin kullanılabilirliği hem de bütünlüğü/güvenliği üzerinde bir etkiye sahiptir. Ancak, EN 50600-2-2, EN 50600-2-3 ve EN 50600-2-4'ün aksine, EN 50600-2-5 gereksinimleri, sırasıyla çevresel kontrol ve telekomünikasyon, enerji kaynağı, güç dağıtımı için altyapıların kullanılabilirlik hedeflerine dayanmaz.

Veri merkezi için sağlanan fiziksel güvenlik, risk olaylarının hem olasılığı hem de şiddeti üzerinde bir etkiye sahip olduğundan, EN 50600-2-5'in gereksinimleri ve tavsiyeleri, Erişilebilirlik Sınıfından bağımsız olarak veri merkezinin her alanına uygulanan bir Koruma Sınıfına dayanmaktadır.

Genellikle korumayla ilgili artan gereksinimlerle ilişkilendirilen dört Koruma Sınıfı (PC1 ila PC4) vardır. Güç dağıtımı, çevresel kontrol ve telekomünikasyon kablolama altyapısı ile ilgili alanlar, yetkisiz erişime karşı Koruma Sınıfı 3 (PC3) olarak tanımlanmak zorundadır.

EN 50600 kapsamında üç (gelecekte dört) farklı kategoride koruma sınıfları tanımlanmıştır. Veri merkezinin tüm alanlarına ve besleme yollarına aşağıdaki olaylara karşı fiziksel koruma sınıfı tanımlanır ve atanır :

1) Yetkisiz erişimler

2) Dahili çevresel olaylar (yangınlar, EMI, titreşim, su baskını, gaz, tozlanma)

3) Harici çevresel olaylar (EMI, depremler, titreşim, su baskını, gaz, tozlanma)

4) İzinsiz girişler ve sızma teşebbüsleri (gelecekte yayımlanacak)

Defence in Depth - İç İçe Geçen Güvenlik Önlemleri

EN 50600 standardı, veri merkezi tesisleri ve altyapıları için düzenlemeler sağladığı gibi detaylar incelendiğinde kritik altyapılar içeren her türlü bina ve yerleşkede fiziki güvenliğin sağlanması için çok uygun olduğu görülmektedir.

EN 50600, ortak güvenlik ilkelerini kullanarak fiziksel güvenliğin uygulanması için pratik bir konsept sunar.

Öncelikli olarak bir risk değerlendirmesi yapılacak ve daha sonra hangi güvenlik önlemlerinin alınacağı kararlarının temeli olarak kullanılacaktır.

Ayrıca EN 50600, organizasyonel güvenlik konusunu da açık bir şekilde ele alır ve fiziksel güvenliğe eşlik edecek kurumsal önlemler talep eder.

Güvenlikle ilgili diğer birçok bağlamda da ortaya çıkan bir başka kavram, iç içe geçmiş Derinlemesine Savunma'dır. Bu konsept saldırganın tek bir güvenlik önlemini aşarak izinsiz girememesi ve varlıkların korunması için birden fazla güvenlik önlemi alınması anlamına gelir.

Fiziksel güvenlik için, kelimenin tam anlamıyla, fiziksel bariyerlerden oluşan güvenlik çevrelerinin soğan kabuğu benzeri bir konfigürasyonda düzenlenmesi gerektiğini ifade etmektedir.
 

Koruma Sınıfı Derecelendirmeleri :

EN 50600, veri merkezinin çeşitli alanlarının sınıflandırılabileceği dört koruma sınıfını tanımlar. Örneğin, aktarma alanı, toplantı salonları, depolar vb. bilgisayar odasına kıyasla farklı bir koruma sınıfı derecesine sahip olmalıdır.
Veri merkezinin boyutundan veya amacından bağımsız olarak veri merkezi mahalleri ve yollarının her biri, belirli bir Koruma Sınıfı olarak belirlenir. Bu sebeple koruma sınıfları, erişilebilirlik sınıfları gibi tüm veri merkezini ifade edecek şekilde tanımlanamaz veya kullanılamazlar

EN 50600, dört Koruma Sınıfından (PC) oluşan bu sistemi kullanır. En güçlü korumayı gerektiren varlıklar, erişim kazanma kriterlerinin en kısıtlayıcı olduğu en yüksek sınıf olan Koruma Sınıfı 4 (PC4)'te yer alacaktır.

Aşağıda, veri merkezi mahallerinin ve güzergahlarının değerlendirileceği her bir derecelendirme seviyesinin üst düzey açıklamaları bulunmaktadır.

Koruma Sınıfı-1:
1) Yetkisiz erişimler : Herkese açık veya yarı-kapalı olan bir mahaldir.

2) Dahili çevresel olaylara (yangınlar, EMI, titreşim, su baskını, gaz, tozlanma) karşı özel bir koruması yoktur.

3) Harici çevresel olaylara (EMI, depremler, titreşim, su baskını, gaz, tozlanma) karşı özel bir koruması yoktur.

Koruma Sınıfı-2:
1) Yetkisiz erişimler : Yalnızca yetkilendirilmiş kişilerin ve misafirlerin erişebileceği bir mahaldir.

2) Dahili çevresel olaylara (yangınlar, EMI, titreşim, su baskını, gaz, tozlanma) karşı özel korumalar vardır.

3) Harici çevresel olaylara (EMI, depremler, titreşim, su baskını, gaz, tozlanma) karşı hafifletmeler vardır.

Koruma Sınıfı-3:
1) Yetkisiz erişimler : Yalnızca yetkilendirmiş belirli çalışanlar ve refakat edecekleri misafirleriyle sınırlı bir mahaldir.

2) Dahili çevresel olaylara (yangınlar, EMI, titreşim, su baskını, gaz, tozlanma) karşı özel korumalar vardır.

3) Harici çevresel olaylara (EMI, depremler, titreşim, su baskını, gaz, tozlanma) karşı hafifletmeler vardır.

Koruma Sınıfı-4:
1) Yetkisiz erişimler : Yalnızca yetkilendirmiş belirli çalışanların gerekçeli talepleriyle sınırlı erişilen bir mahaldir.

2) Dahili çevresel olaylara (yangınlar, EMI, titreşim, su baskını, gaz, tozlanma) karşı özel korumalar vardır.

3) Harici çevresel olaylara (EMI, depremler, titreşim, su baskını, gaz, tozlanma) karşı hafifletmeler vardır.

Diğer veri merkezi alanlarına uygulanan Koruma Sınıfı, gereksinimlerin ve tavsiyelerin EN 50600-2-5:2021, Madde 5'te tanımlandığı bir risk değerlendirmesinin sonucunu takip eder. Bu diğer alanların Koruma Sınıflandırması örnekleri tablosu bilgi ve rehberlik için EN 50600-2-5'te dahil edilmiştir.

EN 50600-2-5:2021, Madde 6, yetkisiz erişime karşı koruma için genel gereksinimleri ve ardından artan her Koruma Sınıfı için özel ek gereksinimleri içerir.

EN 50600-2-5:2021, Madde 7, veri merkezi alanlarında çıkan yangın olaylarına karşı koruma için genel gereksinimleri ve ardından artan her Koruma Sınıfı için özel ek gereksinimleri içerir.

EN 50600-2-5:2021, Madde 8, veri merkezi iç alanlarındaki çevresel olaylara (yangın dışında) karşı koruma için genel gereksinimleri içerir.

EN 50600-2-5:2021, Madde 9, veri merkezi dışındaki çevresel olaylara karşı koruma için genel gereksinimleri içerir.

Son olarak Madde 10, Madde 5'te kullanılan bazı sistemleri desteklemek için gereksinimleri içerir.

Bilgilendirici bir Ek, Madde 6'yı destekleyen faydalı bilgiler içerir.