3.11 Fysiskt skydd av IT-utrustning och system

Generella riktlinjer avseende säkerhetstekniska krav på utformning av utrymmen för korskoppling och kommunikationsutrustning, serverrum och datahallar.

Allmänt I syfte att skydda lärosätets IT-infrastruktur, applikationer och lagrad data mot oavsiktlig skada genom brand och vätskeläckage, avsiktlig skadegörelse respektive olovligt nyttjande o.dyl. skall utrymmen för korskopplingar och kommunikationsutrustning, serverrum samt centrala datahallar utformas enligt nedanstående säkerhetstekniska krav.

Riktlinjerna skall ses som minimikrav och nyttjas vid ny- och ombyggnad samt som målbild för successiv höjning av IT-säkerheten i befintliga lokaler. Med hänsyn verksamhetens art, resultat från genomförd riskanalys och räddningstjänstens insats möjligheter kan främst brandskyddskraven behöva höjas.

Se vidare under fördjupning

Mindre utrymmen och skåp för korskoppling och kommunikationsutrustning:

  • skall uppfylla skyddsklass 2 enligt SSF 200:3 och vara försedda med godkänt lås vars cylindrar skall ingå i lärosätets låssystem (vid inhyrning i annan verksamhets lokaler skall cylindrarna ingå i det aktuella verksamhetsområdets låssystem). Låsningen skall vara separerad så endast behörig IT-personal ges tillträde.

  • skall vara placerade innanför enhetens skalskyddsgräns. Om utrymmet eller skåpet placeras utanför enhetens skalskyddsgräns skall det förses med larm. Även utrymmen eller skåp som är placerade i publika delar innanför skalskyddsgräns bör larmas.

Rum för korskoppling och kommunikationsutrustning

  • Rum för korskoppling och kommunikationsutrustning skall generellt uppfylla detaljerade krav enligt SSF (200:3), skyddsklass 2, vad gäller konstruktion och fastsättning av golv, väggar, tak och dörrar.

För övrigt gäller:

Golv Antistatisk golvbeläggning.

Väggar Gipsskivor målade. Glansvärde 20Brandklass EI 60

Tak Målat Brandklass EI 60

Dörrar Ståldörr klass EI 60Godkänt lås enligt skyddsklass 2. Cylindrar skall ingå i lärosätets låssystem. Låsningen skall vara separerad så endast behörig IT-personal ges tillträde.

Tillträde Tillträdeskontroll bör ske genom passagekontrollsystem med loggningsmöjligheter.Tillträde skall endast vara tillåtet för behörig IT-personal.

Larm Dörr skall vara larmad. Inbrottslarm skall vara kopplat till av lärosätet upphandlad larmoperatör.

El Varje stativ förses med 4 st 2-vägsuttag på separata grupper.Belysning och allmänkraft matas från grupp skild från stativuttag. Belysning Medelsbelysningsnivå skall vara 500 lux med elektronisk tändning.Belysning skall avseende bländning och belysningsjämnhet vara utformad enligt lärosätets skyddsingenjörs rekommendationer.

Kanalisation Kabelstegar efter behov inklusive 30 % reservutrymme för ledningskomplettering.Separata el- och datanätsstegar

Genomföringar Genomföringar skall vara brandtätade enligt EI 60.

Övrigt

  • Rum för korskoppling och kommunikationsutrustning får inte vara placerat i omedelbar anslutning till våtutrymmen.

  • Rörledningar och övriga installationer med vätska får inte finnas.

  • Förekommer aktiv utrustning får rumstemperaturen inte variera utanför temperaturgränserna +18 till +25 grader C.

  • Temperaturlarm med signal till av lärosätet upphandlad larmoperatör skall finnas.

  • Brandindikeringssystem kopplat till inbrottslarmsystem, alternativt brandlarm, skall finnas.

  • Kolsyresläckare, minimum 5 kilo, skall finnas på utsidan av rummet, i direkt anslutning till dörren.

  • Vid risk för översvämning skall vätskelarm med signal till av lärosätet upphandlad larmoperatör finnas.

  • Rum för korskoppling och kommunikationsutrustning får inte vara placerat i omedelbar anslutning till större elektromagnetiska eller andra störande källor.

  • Fönster får inte finnas.

Serverrum

  • Serverrum skall alltid uppfylla detaljerade krav enligt SSF (200:3), skyddsklass 2 vad gäller konstruktion och fastsättning av golv, väggar, tak och dörrar.

  • Enstaka servrar, vid verksamheter som är placerade så att gemensamt serverrum inte är tillgängligt, får placeras i stöldskyddat, larmat och godkänt datamedieskåp.

För övrigt gäller

Golv Antistatisk golvbeläggning

Väggar Gipsskivor målade. Glansvärde 20 Brandklass EI 60

Tak Målat Brandklass EI 60

Dörrar Låsningen skall vara separerad så endast behörig IT-personal ges tillträde.

Tillträde Tillträdeskontroll skall ske genom passagekontrollsystem med loggningsmöjligheter. Tillträde skall endast vara tillåtet för behörig IT-personal.

Larm Dörr skall vara larmad. Serverrum skall utgöra eget larmområde och bör försåtlarmas med IR-detektorer. Inbrottslarm skall vara kopplat till av lärosätet upphandlad larmoperatör.

El Separata grupper för datautrustning och allmänkraft, antal efter behov, inklusive 30 % reservkapacitet.

Belysning Medelsbelysningsnivå skall vara 500 lux med elektronisk tändning.Belysning skall avseende bländning och belysningsjämnhet vara utformad enligt lärosätets skyddsingenjörs rekommendationer. UPS matas via separat grupp och fas.

Kanalisation Kabelstegar efter behov, inklusive 30 % reservutrymme för ledningskomplettering.Separata el- och datanätsstegar.

Genomföringar Genomföringar skall vara brandtätade enligt EI 60.

Övrigt

  • Serverrum får inte vara placerat i omedelbar anslutning till våtutrymme.

  • Rörledningar och övriga installationer med vätska får inte finnas.

  • Kylanläggning skall finnas. Vid placering av kylanläggning skall hänsyn tas till risk för läckage.Rumstemperaturen får inte variera utanför temperaturgränserna +18 till +25 grader C.

  • Temperaturlarm med koppling till av lärosätet upphandlad larmoperatör skall finnas.

  • Brandindikeringssystem kopplat till inbrottslarmsystem, alternativt brandlarm, skall finnas.Kolsyresläckare, av en storlek på minst 5 kilo, skall finnas på utsidan av rummet i direkt anslutning till dörren.

  • Vid risk för översvämning skall vätskelarm med koppling till av lärosätet upphandlad larmoperatör finnas.

  • Serverrum får inte placeras i omedelbar anslutning till större elektromagnetiska eller andra störande källor.

  • Fönster får inte finnas.Servrar ska vara placerade minst 10 cm över golvet.

  • Rackmontage rekommenderas.Rack, 19 tum, efter behov. För mer detaljerad information se lärosätets IT-avdelnings anvisningar: Grundstandard data- och telenät för lärosätet. Datorhall:

Rum för datorhall skall alltid uppfylla detaljerade krav enligt SSF (200:3), skyddsklass 3 vad gäller konstruktion och fastsättning av golv, väggar, tak och dörrar.För övrigt gäller:

Golv Installationsgolv (antistatisk matta). Höjd 400 mm över underliggande golv.

Väggar Betong/Gipsskivor målade. Glansvärde 20.Brandklass EI 60

Tak skall vara försett med ljudabsorbenter (dammbindande).Brandklass EI 60

Dörrar Ståldörr klass EI 60Godkänt lås enligt skyddsklass 3. Cylindrar skall ingå i lärosätets låssystem.Låsningen skall vara separerad så endast behörig IT-personal ges tillträde.

Tillträde Tillträdesskydd genom passagekontrollsystem med loggningsmöjligheter.Tillträde skall endast vara tillåtet för behörig IT-personal.

Larm Dörrar skall vara larmade. Datorhall skall utgöra eget larmområde och bör försåtlarmas med IR-detektorer. Inbrottslarm skall vara kopplat till av lärosätet upphandlad larmoperatör.

El Elkraftsystemet skall vara typ 5-ledarsystem.Två separata kraftförsörjningar inkl huvudbrytare och centraler skall finnas.UPS enligt behov med batteritid beroende på utrustning, dock minst 30 minuter skall finnas.Genomföringar skall vara brandtätade enligt EI60.

Belysning Medelsbelysningsnivå skall vara 500 lux med elektronisk tändning.Belysning skall avseende bländning och belysningsjämnhet vara utformad enligt lärosätets skyddsingenjörs rekommendationer.

Datanät Datanät enligt lärosätets standard Korskoppling för allmänt fastighetsnät får ej finnas i datorhall.

Kanalisation Kabelstegar efter behov, inklusive 50 % reservutrymme för ledningskomplettering.Separata el- och datanätsstegar.

Övrigt

  • Datorhall får inte vara placerad i omedelbar anslutning till våtutrymme. Rörledningar och övriga installationer med vätska får inte finnas.Vid risk för översvämning skall vätskelarm med koppling till av lärosätet upphandlad larmoperatör finnas.

  • Brandlarmssystem med larmöverföring via Multicom till räddningstjänsten via SOS- alarmering skall finnas. Automatiskt släcksystem skall finnas.

  • Kylanläggning skall finnas. Vid placering av kylanläggning skall hänsyn tas till risk för läckage.Rumstemperaturen får inte variera utanför temperaturgränserna +18 till +25 grader C.Temperaturlarm med koppling till av lärosätet upphandlad larmoperatör skall finnas.

  • Datorhall får inte vara placerad i omedelbar anslutning till större elektromagnetiska eller andra störande källor.

  • Fönster får inte finnas.

  • Servrar skall vara placerade minst 10 cm över golvet. Rackmontage rekommenderas.Rack, 19 tum, efter behov

  • Datorhall skall efter behov kunna sektioneras, exempelvis sektioner för servrar som sköts av egen personal respektive extern personal.

  • Operatörsrum/arbetsrum i anslutning till hallen bör finnas.

  • Reservkraft och utrustning för det automatiska släcksystemet skall placeras i separata utrymmen.

  • För mera detaljerad information se lärosätets IT-avdelnings anvisningar: Grundstandard data- och telenät för lärosätet.

Förvaring av säkerhetskopior Säkerhetskopior skall förvaras i serverrum eller brandsäkert datamedieskåp som är placerade i annan brandcell än i vilken den kopierade informationen förvaras.

Serverrummet skall uppfylla kraven enligt ovan.

Datamedieskåpet skall vara testat och godkänt för datamedier enligt svensk standard SS-EN 1047-1. Förvaras sekretessbelagd information i skåpet skall det också uppfylla kravet för säkerhetskåp av klass SS3492.

Arkivering av information på IT-media

Arkivering av information lagrad på IT-media skall ske i rum eller skåp som uppfyller Riksarkivets krav enligt RA-FS 1997:3.

Se även lärosätets dokumenthanteringsplan.

Skydd av stationära och bärbara arbetsstationer samt videoprojektorer.

  • Stationära arbetsstationer

Stationära arbetsstationer i öppnare miljöer såsom korridorer, datorsalar, receptioner samt i fönsterförsedda lokaler som lätt kan nås utifrån bör vara fastlåsta. Dator placeras i av säkerhetschefen godkänd stöldskyddsbox och skärm låses fast med vajer, kätting eller annan av säkerhetschefen rekommenderad låsanordning.

I mycket utsatta miljöer bör arbetsstationer även förses med larm.

  • Bärbara datorer

Bärbara datorer skall förses med utrustning för temporär fastlåsning.

På ordinarie arbetsplats bör det finnas möjlighet till fastlåsning alternativt inlåsning skåp för bärbara datorer

  • Videoprojektorer

Stationär videoprojektor monteras i en av säkerhetschefen godkänd säkerhetsbox och förses med larm som sammankopplas med fastighetens inbrottslarm.

Bärbar videoprojektor skall förses med enkel utrustning för temporär fastlåsning och vid användning i utsatta miljöer bör även akustiskt larm övervägas.

  • Stöldskyddsmärkning

All IT-utrustning såsom stationära och bärbara arbetsstationer inkl skärmar, videoprojektorer, plasmaskärmar i entréutrymme o.dyl. skall stöldskyddsmärkas. Se även lärosätets ekonomihandbok.

Omhändertagande av IT-media och utrustning som skall lämna lärosätet

  • Allmänt

För att förhindra att lagrad information, såsom personuppgifter, forskningsdata, annan skyddsvärd information, blir tillgänglig för obehöriga skall all utrangerad minnesmedia raderas och överskrivas eller destrueras mekaniskt på ett säkert sätt.

Minnesmedia som innehåller sekretessbelagd information skall både överskrivas och destrueras mekaniskt.

Till minnesmedia räknas i detta sammanhang all elektronisk utrustning som innehåller en minnesfunktion såsom fasta och lösa hårddiskar, handdatorer inkl mobiltelefoner med handdatorfunktion, cd, band, disketter och andra lösa minnesenheter.

Även skrivare med inbyggd minnesfunktion skall raderas och överskrivas på ett säkert sätt innan de lämnar lärosätet.

  • Datorer och lös minnesmedia som skall försäljas eller lämnas över i extern ägo

Utöver bestämmelser i ekonomihandboken skall, vid försäljning eller annan överlämning av datorer och lös minnesmedia till extern ägo, lagrad information raderas och skrivas över enligt standard DoD 5520-22.M. Överskrivningen skall ske med ett av lärosätets IT-avdelning godkänt överskrivningsprogram.

Datorer och lös minnesmedia som innehållit sekretessbelagd information får inte försäljas eller på annat sätt lämnas över till extern ägo. Dessa skall efter överskrivning mekaniskt destrueras, se nedan.

Överskrivningen dokumenteras på blankett ”Anmälan avregistrering av anläggningstillgång”. Av dokumentationen ska framgå datum för överskrivningen, vem som utfört överskrivningen och vilket överskrivningsprogram som använts.

  • Datorer och lös minnesmedia som kasseras

Enligt förordningen (2000:208) om producentansvar för elektriska och elektroniska produkter, skall elektronikleverantörer återta utrangerad och kasserad IT-utrustning. För att utrangerad och kasserad minnesmedia ska kunna återlämnas till leverantören måste leverantören kunna visa upp en av lärosätets säkerhetschef godkänd process för säker destruktion.

Tekniskt ansvarig för IT-system och kommunikationsnät inom olika organisationsenheter ansvarar för att utrangerad och kasserad minnesmedia omhändertas och destrueras i en, av lärosätets säkerhetschef godkänd säker kedja från lärosätets lokaler till mekanisk destruktion.

Disketter, cd och band som innehåller eller har innehållit känslig eller sekretessbelagd information ska mekaniskt förstöras eller läggas i av lärosätets säkerhetschefs godkända behållare för säker destruktion av papper. När det gäller minnesmedia från uppdragsforskning eller motsvarande med särskilda sekretesskrav skall lärosätets säkerhetschef kontaktas.

Destruktionen dokumenteras på blankett ”Anmälan avregistrering av anläggningstillgång”. Av dokumentationen skall framgå datum och till vem utrustningen har lämnats för destruktion. Destruktionsintyg från destruktionsfirman eller leverantören som återtagit utrustningen skall arkiv

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt