Наибольшую известность в области ЦОДостроения получили сертификаты Uptime Institute. Эта организация разработала систему Tier, определяющую уровень надежности и отказоустойчивости ЦОД. Всего таких уровней четыре, но сертификация, как правило, проводится на соответствие двум наивысшим — Tier III и Tier IV (правда, в мире есть и объекты, сертифицированные по Tier II).
Uptime Institute выдает три типа сертификатов: на проект (Design), на уже построенный объект (Constructed Facility) и на его эксплуатацию (Operational Sustainability). Сертификация эксплуатационных процессов начала проводиться относительно недавно, и всего в мире соответствующие документы имеются только у пяти ЦОД — все они находятся за пределами России.
Рисунок 1. В России организацией Uptime Institute сертифицированы (по уровню Tier III) только три центра обработки данных. |
Информацию о сертифицированных объектах можно получить на сайте Uptime Institute (см. Рисунок 1). В России сертификаты на проект имеют пять ЦОД, а сами объекты сертифицировали (все по уровню Tier III) только три компании: Dataspace, Сбербанк РФ и «Крок». Если учесть, что, по данным BroadGroup, на сегодняшний день в нашей стране насчитывается более 160 крупных и средних коммерческих ЦОД, получается, что сертификацию по Tier III прошли всего около 2% объектов. В Европе этот показатель разные эксперты оценивают по-разному: от 1 до 3% — тут все зависит от критериев, по которым ИКТ-объект относят к категории ЦОД. В любом случае доля сертифицированных ЦОД очень мала.
Представители центров обработки данных, прошедших сертификацию в Uptime Institute, высоко оценивают качество проделанной работы. Вот что, например, рассказывает Руслан Заединов, заместитель генерального директора, руководитель направления ЦОД и облачных вычислений компании «Крок»: «Совсем недавно мы сертифицировали по уровню Tier III наш аутсорсинговый центр обработки данных «Компрессор». Команда из Uptime Institute, которая к нам приезжала, проявила себя с самой положительной стороны — это настоящие профессионалы в сфере консалтинга ЦОД. Они проверили все до малейших деталей, причем, будучи знакомыми с проектом нашего центра, акцентировали внимание на тех участках, где потенциально могли возникнуть узкие места. Такой аудит — отличная «боевая» проверка всех систем на надежность».
Как полагает Михаил Луковников, директор по развитию бизнеса ЦОД «ТрастИнфо» (компания «Сервионика»), сертификация Uptime востребована либо для оценки результатов работы подрядчиков, либо для маркетинговых целей, либо как аргумент в конкурентной борьбе за заказчика. Он полагает наличие соответствующих сертификатов желательным, но не обязательным.
«Безусловным плюсом сертификации может послужить доскональная и грамотная проверка зарубежными специалистами проектных решений и их реализации на всех этапах проекта. Это позволит владельцу ЦОД быть уверенным в том, что по завершении строительства объекта он получит требуемый уровень надежности, — говорит Андрей Павлов, генеральный директор компании DataDome. — Но не все заказчики готовы за это платить».
Коммерческие ЦОД не торопятся тратиться на сертификацию Uptime, поскольку, по мнению Андрея Павлова, для слишком малого круга потребителей услуг центров обработки данных соответствующий документ может повысить маркетинговую привлекательность площадки. При этом он составит существенную величину в структуре расходов на строительство и проектирование. Руководитель DataDome приводит следующий пример: сертификация среднего ЦОД на 200 стоек при стоимости 7 млн долларов может составить в совокупности — с учетом перевода документации, расходов на транспорт и проживание специалистов и затрат на приемочные испытания — до 300 тыс. долларов, то есть порядка 5% капитальных затрат (CAPEX).
Качество предоставляемого ЦОД сервиса во многом определяется процессом его эксплуатации. Как полагает Григорий Атрепьев, директор по производству, сертификатам и стандартам компании Dataline, на рынке пока нет общепризнанного стандарта, где бы подробно описывался этот процесс, чтобы его можно было грамотно оценить, но шансы стать таким стандартом в обозримом будущем имеет ANSI BICSI 002.
Между тем классификация Uptime, как считает специалист Dataline, недостаточно конкретна в части эксплуатации и скорее относится к этапам проектирования и строительства инженерной инфраструктуры. Эта компания принадлежит к подавляющему большинству владельцев ЦОД, которые пока даже не планируют сертификацию по Uptime. «При высокой стоимости сертификации реального спроса на наличие этих сертификатов со стороны заказчиков нет», — констатирует Григорий Атрепьев.
УРОВЕНЬ TIER КАК МЕРА СРАВНЕНИЯ
Для подавляющего большинства российских, да и зарубежных, ЦОД классификация Tier — это всего лишь удобная мера сравнения надежности центров обработки данных. Да и то, как считает Андрей Павлов, зачастую владельцы ЦОД трактуют эту классификацию по-своему (разумеется, в своих интересах), а заявляемый уровень Tier формально приписывают имеющейся инфраструктуре, которая ему может не соответствовать.
На получение сертификатов Uptime Institute идут ЦОД, которые позиционируют себя как «элитные», дабы еще ярче выделиться на фоне основной массы центров обработки данных. По словам генерального директора DataDome, такие ЦОД ориентированы на иностранные компании или на крупные российские холдинги, в которых процедура выбора подрядчика существенно сложнее простого сравнения цены и основных технических параметров. Они не стараются конкурировать с остальными ЦОД по цене, делая акцент на иных маркетинговых и лоббистских механизмах.
«Uptime Institute предложил детально проработанную методологию [сертификации ЦОД по уровню надежности], возможно, самую современную и лучшую на данный момент, — считает Михаил Воронков, технический консультант компании Linxdatacenter. — Но, к сожалению, с учетом практики применения в России, она главным образом ассоциируется с маркетинговым инструментом привлечения клиентов на вновь открывшиеся площадки. Теряя уникальность, маркетинговые инструменты, как правило, становятся менее эффективными, поэтому в этой области Linxdatacenter предпочитает идти своим собственным путем, отдавая приоритет вопросам обеспечения информационной безопасности».
С АКЦЕНТОМ НА БЕЗОПАСНОСТИ
В области информационной безопасности владельцы ЦОД в первую очередь проявляют интерес к сертификатам ISO/IEC 27001 и Payment Card Industry Data Security Standard (PCI DSS).
По словам Михаила Воронкова, в своей работе специалисты Linxdatacenter все чаще сталкиваются с требованиями со стороны клиентов и крупных партнеров по наличию именно таких сертификатов. «Например, запуская услугу LinxCloud, мы столкнулись с тем, что компания VMware предъявляет к партнерам высшего уровня, занимающимся предоставлением облачных услуг на основе ее продуктов, требование по сертификации в соответствии с ISO 27001. С ростом рынка облачных услуг и миграцией данных в облака аналогичные требования к сервисным партнерам станут нормой и со стороны других разработчиков программно-аппаратных комплексов», — считает он.
«ISO 27001 в полном объеме «закрывает» всю деятельность по обеспечению информационной безопасности в рамках предоставляемых нами услуг (co-location, телекоммуникации, облачные сервисы, управление инфраструктурой)», — рассказывает Григорий Атрепьев. DataLine ежегодно подтверждает свои сертификаты ISO 27001 и PCI DSS, причем в рамках аудита (как внешнего, так и внутреннего) по ISO 27001 приходится решать большой объем задач: этот стандарт в первую очередь процессный, поэтому охватывает большинство подразделений компании и предполагает вовлечение в том числе сотрудников не ИТ-подразделений.
Михаил Луковников считает сертификацию по ISO/IEC 27001 обязательной для коммерческих ЦОД: «Наличие данного сертификата демонстрирует клиентам, партнерам и инвесторам эффективно налаженное управление информационной безопасностью внутри центра обработки данных, поэтому он является одним из основных сертификатов, которые клиенты требуют предъявить при выборе ЦОД». (Система управления информационной безопасностью компании «Сервионика» соответствует требованиям стандарта ISO/IEC 27001:2005. — Прим. ред.)
Компания Linxdatacenter планирует до конца текущего года завершить сертификацию по ISO 27001, причем данная процедура затронет все структурные единицы этой международной компании. «Выбор стандарта ISO был обусловлен рядом его особенностей — стандарт может быть применен к любой организации, гарантирует независимость аудита (чтобы избежать конфликта интересов, аудитор не может быть консультантом той же компании) и — единственный из стандартов! — фокусируется на трех китах информационной безопасности: доступности, целостности и конфиденциальности данных, — рассказывает Михаил Воронков. — Другие стандарты просто определяют необходимый набор элементов контроля (PCI-DSS) или проектных решений (TIA), которые должны быть реализованы. ISO 27001 идет несколько другим путем: методология ISO 27001 основана на оценке рисков и предполагает инвентаризацию информационных активов компании и определение перечня угроз, связанных с существующими уязвимостями в этих активах. Как только риски известны и определены способы работы с ними, для их снижения до приемлемого уровня могут быть внедрены соответствующие инструменты контроля и управления».
Важным аспектом ISO 27001 является то, что этот стандарт обязывает компании использовать широко используемую в системах управления качеством модель Plan-Do-Check-Act, которая обеспечивает дальнейшее совершенствование системы безопасности. По мнению экспертов Linxdatacenter, вопросы технической надежности ЦОД и связанных с ней информационных рисков прекрасно вписываются в модель сертификации ISO 27001, которая реализует куда более взвешенный бизнес-подход в противовес более технологичной сертификации Uptime Institute.
Во всем мире уже более 14 000 компаний в 120 странах мира получили сертификат ISO 27001. Однако лишь немногие ЦОД имеют такой сертификат. «Судя по статистике сертификации зарубежных центров обработки данных, которую мы собирали несколько месяцев назад, меньше одного процента всех европейских ЦОД сертифицированы по ISO 27001», — добавляет Руслан Заединов.
Согласно этому исследованию, доля ЦОД, сертифицированных по стандарту PCI DSS, выше: из 923 европейских ЦОД, которые были изучены, соответствующий сертификат есть у 27 объектов — почти 3%. «Фокус на информационной безопасности — вторая волна развития рынка, она возникает, когда в большинство центров обработки данных уже приехали заказчики со своими системами и стали предъявлять определенные требования к системам защиты данных, — считает заместитель генерального директора компании «Крок». — Думаю, что в будущем в России будет появляться все больше ЦОД, сертифицированных по ISO/IEC 27001 и PCI DSS».
Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами, такими как Visa и MasterCard. Он был разработан Советом по стандартам безопасности отрасли платежных карт (Payment Card Industry Security Standards Council), который основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover.
Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.). Он содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов (см. «Основные разделы PSI DSS»).
Основные разделы PCI DSS
Стандарт PCI DSS содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов:
- применение межсетевых экранов;
- правила настройки оборудования;
- защита хранимых данных о владельцах платежных карт;
- применение криптографических средств защиты при передаче данных;
- применение антивирусных средств;
- безопасная разработка и поддержка приложений и систем;
- управление доступом пользователей к данным;
- управление учетными записями;
- обеспечение физической безопасности;
- мониторинг безопасности данных;
- регулярное тестирование систем;
- разработка и поддержка политики информационной безопасности.
Источник: http://www.pcidss.ru
Аудит на соответствие требованиям стандарта PCI DSS имеют право проводить компании со статусом Qualified Security Assessor (QSA). В число таких аудиторов входит ряд ведущих российских интеграторов, таких как «Крок», Jet Infosystems, NVision, Radius, а также компании, специализирующиеся на вопросах информационной безопасности: «Информзащита», Digital Security, Deiteriy и др.
«В России соответствие стандарту PCI DSS стало обязательным для соответствующих организаций (банки, платежные системы и т. д.) с 2007 года, поэтому выполнение его требований стало также обязательным и для тех центров обработки данных, которые оказывают услуги подобным организациям», — констатирует Михаил Луковников.
Но пока лишь немногие ЦОД имеют сертификат PCI DSS. Мы располагаем данными в отношении наличия такого сертификата только относительно ЦОД Dataline в Москве и «Миран» в Санкт-Петербурге. Однако удовлетворить основным требованиям PCI DSS можно и при размещении серверов в несертифицированном центре обработке данных (см. «PCI DSS в несертифицированном ЦОД»).
PCI DSS в несертифицированном ЦОД
Как защитить данные о держателях платежных карт при размещении серверов в ЦОД, которые не сертифицированы на соответствие этому стандарту? Вот какие рекомендации дают на этот счет специалисты компании Digital Security.
1. Центр обработки данных следует рассматривать как незащищенную территорию со свободным доступом.
2. Внутри серверного шкафа создается защищенная территория. Для этого на шкаф устанавливаются:
- все стенки и дверцы;
- камеры видеонаблюдения;
- механические замки;
- датчики открытия каждой двери.
3. Для управления ключами от серверного шкафа разрабатывается и внедряется соответствующая процедура.
4. Внутри шкафа устанавливаются и настраиваются видеорегистратор и система контроля открытия дверей.
5. Обеспечивается автоматическое уведомление ответственных сотрудников о фактах открытия шкафа.
6. Данные систем видеонаблюдения и контроля открытия дверей подвергаются регулярному анализу.
7. Все кабели и разъемы располагаются только внутри шкафа. Использование KVM-переключателя, предоставляемого оператором ЦОД, недопустимо.
Источник: Digital Security
«ЗЕЛЕНЫЙ» СЕРТИФИКАТ
Один из самых известных сертификатов в области энергоэффективности и экологичности проектов и зданий выдается в рамках системы The Leadership in Energy & Environmental Design — LEED. Она была разработана в 1993 году советом United States Green Building Council (USGBC) для организации щадящего для окружающей среды строительства. Документы LEED позволяют контролировать эффективность использования энергии и воды, добиться снижения выбросов СО2, обеспечить наиболее приемлемый климат внутри помещения, осуществлять управление ресурсами и отслеживать влияние человеческой деятельности на их состояние. Система LEED применима как к коммерческой (включая ЦОД), так и к жилой недвижимости и распространяется на весь цикл строительства здания, от начального проектирования до его эксплуатации.
Как указывает Руслан Заединов, аудит LEED очень востребован в США. ЦОД, у которых есть этот сертификат, используют возобновляемые источники энергии, которые минимально загрязняют окружающую среду, мало воздействуют на окружающий климат и т. д. Это своего рода свидетельство социальной ответственности провайдера ЦОД.
В России эффективность использования электроэнергии, к сожалению, мало интересует заказчиков услуг коммерческих ЦОД, поскольку не влияет на надежность оказываемого сервиса и практически не сказывается на его стоимости. Как считает Григорий Атрепьев, значимость соответствующих стандартов возрастает в случае проектирования и строительства корпоративного ЦОД, когда важно обеспечить запланированную экономию потребляемой электроэнергии.
Пожалуй, самой известной наградой в области «зеленых» ЦОД служит Certified Energy Efficiency Data Center Award (CEEDA). В России интерес к получению сертификатов LEED и награды CEEDA минимален, поскольку тренд в сторону «зеленых» ЦОД к нам только приходит с Запада. Мы не располагаем данными о том, что какой-нибудь из российских ЦОД имеет соответствующие регалии или претендует на их получение.
ЦОД И «ПЕРСОНАЛЬНЫЕ ДАННЫЕ»
Вопрос о соответствии ЦОД требованиям ФЗ-152 «О персональных данных» относится к числу наиболее часто задаваемых заказчиками владельцам коммерческих центров обработки данных.
Однако, как поясняет Руслан Заединов, ФЗ-152 и ЦОД связаны между собой лишь опосредованно, через заказчика — оператора персональных данных. Согласно этому Федеральному закону, объектом защиты является информация, а компания, которая с ней работает, становится «оператором персональных данных». Такой заказчик чаще всего просит поставщика услуг ЦОД обеспечить определенный уровень физической защиты своего оборудования. «Это стандартное требование, и нам часто приходится его выполнять, когда компании размещают ресурсы в наших аутсорсинговых центрах обработки данных, — рассказывает представитель «Крок». — Это может быть, например, выделенный периметр защиты для оборудования, собственная система видеонаблюдения или контроля доступа для этого периметра и т. д.».
Владелец двух коммерческих ЦОД в Риге компания DEAC с помощью юридических партнеров провела большой комплекс работ для подтверждения того, что размещение ИТ-систем в ее ЦОД не противоречит требованиям российского ФЗ-152. В частности, от Роскомнадзора получено одобрение разработанного порядка подтверждения российскими операторами персональных данных соблюдения требований по защите таких данных при их обработке и хранении в информационных системах, расположенных за пределами Российской Федерации (в Латвии). При необходимости компания предлагает услуги по подготовке комплекта документов для заказчика о легальности использования услуг ЦОД с точки зрения ФЗ-152. Эксперты DEAC также готовы участвовать в процессе аттестации заказчика в качестве оператора персональных данных.
Как считает Михаил Луковников, аттестация на соответствие ФЗ-152 носит индивидуальный характер: соответствующие проекты включают в себя аудит процессов клиентов, наряду с установкой программных и аппаратных средств защиты данных. По его мнению, провайдерам выгодно иметь возможность предоставлять подобные услуги, так как это дает очевидное конкурентное преимущество на рынке ИТ-услуг.
БАЗА ДЛЯ РОССИЙСКОГО СТАНДАРТА ЦОД
В последнее время на конференциях и форумах, собирающих профессионалов в области центров обработки данных, часто поднимается вопрос о необходимости создания российского стандарта для ЦОД. Михаил Воронков из компании Linxdatacenter предлагает взять за основу разрабатываемый сейчас в международной организации ISO портфель стандартов JTC1/SC39 Sustainability for and by Information Technology. В него входят, в частности, проекты стандартов ISO/IEC 30131 «Data Centers — Taxonomy and Maturity Model» (классификация и модель зрелости) и ISO/IEC 30134 «Data Centers — Key Performance Indicators» (ключевые показатели эффективности). Первую утвержденную версию можно ожидать к середине 2015 года.
«Это будет набор общепринятых международных стандартов, ориентированных на построение и эксплуатацию коммерчески эффективных ЦОД, — считает специалист Linxdatacenter. — В России широко апробирована практика перевода и «ГОСТирования» стандартов ISO. Примерами являются ГОСТ Р ИСО 9000, ГОСТ Р ИСО/МЭК 17799 (предшественник ISO 27000), ГОСТ Р ИСО/МЭК 20000. Использование данного подхода в области услуг ЦОД позволит отрасли более гладко и тесно интегрироваться в международный рынок высоких технологий и профессиональное сообщество».
В целом в российской отрасли ЦОД происходят важные изменения. Нельзя признать идеальной ситуацию, когда мнение одной-единственной организации (Uptime Institute) — к тому же коммерческой и объединяющей функции и консультанта, и аудитора — принимается как единственно верное, каким бы авторитетным оно ни было. Первые профессионалы в области ЦОД были взращены на рекомендациях Uptime Institute, однако новое поколение специалистов анализирует все возможные варианты и часто делает выбор в пользу других сертификатов, таких как ISO/IEC 27001 и PCI DSS.
Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: ab@lanmag.ru.