Сертифицировались? А объяснить можете?
Недавно мы уже разбирали, зачем дата-центру сертификация — http://www.globalcio.ru/workshops/106/
Давайте попробуем разобраться с предметом поглубже и выясним, какие виды сертификации являются обязательными в России, а какие — добровольными, и о чем говорит тот или иной сертификат.
Наиболее актуальными видами сертификации на сегодня являются следующие:
- Uptime Institute (различается по уровням Tier и типам сертификата: на проект, на объект, на эксплуатацию)
- ISO/IEC 27001
- ISAE3402
- Payment Card Industry Data Security Standard (PCI DSS)
- Certified Energy Efficiency Data Center Award (CEEDA)
- Обеспечение соответствия требованиям ФЗ 152 («Закону о персональныхданных»)
- Сертификаты конкретных производителей (в настоящей статье не рассматриваются)
Uptime Institute
Компания Uptime Institute Professional Services одна из первых начала стандартизировать отказоустойчивость ЦОД по уровням. При соответствии 1 и 2 уровням профилактические и ремонтные работы проводятся с отключением инженерных систем, что влияет на бесперебойность предоставления услуг клиентам.
3 и 4 уровни предполагают проведения работ в «горячем режиме» без воздействия на предоставляемые услуги — время бесперебойной работы 99,982 % и 99,995% соответственно.
Следовательно, коммерческий дата-центр необходимо проектировать минимум по
Сама сертификация проходит в 2 этапа:
1. Аудит проектной документации
2. Аудит построенного объекта
Дополнительно можно провести аудит процессов эксплуатации.
В России на текущий момент сертифицировано всего 5 дата-центров по этапу Design documents и 3 из них — Constructed Facility. Это говорит о том, что данная сертификация не распространена в России, в том числе из-за ее высокой стоимости, что сказывается на ценах предоставляемых услуг и, следовательно, на прибыли оператора.
Из положительных моментов можно отметить, что данная сертификация подразумевает профессиональный аудит третьей не заинтересованной стороной — что может потребоваться акционерам ЦОД. Часто сертификация Uptime востребована либо инвесторами для оценки результатов работы подрядчиков, либо для маркетинговой активности, либо как аргумент в конкурентной борьбе за заказчика.
Сертификация Uptime — из разряда «желательных».
ISO/IEC 27001
Наличие сертификата демонстрирует клиентам, партнерам и инвесторам эффективно налаженное управление информационной безопасностью внутри дата-центра. Поэтому он является одним из основных требуемых клиентами сертификатов при выборе ЦОД.
Сертификация — из разряда «обязательных».
ISAE3402
ISAE3402 был введен недавно как замена SAS 70 и важен для организаций, которые подпадают под регулирование акта Sarbanes-Oxley. Аудит включает в себя документирование, оценку реализации и анализ эффективности управления рисками за последние шесть месяцев. Аудиторы оценивают, как провайдер обеспечивает надежность и безопасность, а также осуществляет управление конфигурациями, инцидентами и изменениями.
Получение данного сертификата будет актуально для новых площадок. Для уже работающих дата-центров, вероятно, эти инвестиции будутнецелесообразны — ЦОД уже сформировал определенную репутацию на рынке и пул заказчиков.
Сертификация — из разряда «желательных».
Payment Card Industry Data Security Standard (PCI DSS)
Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.
Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.).
Т.к. в России соответствие стандарту PCI DSS стало обязательным к применению в соответствующих организациях (банки, платежные системы и т.д.) с 2007 г., то соответствие ему также стало обязательным и для тех дата-центров, которые оказывают услуги подобным организациям.
Сертификация — из разряда «Обязательных» при размещении процессинговых систем.
Certified Energy Efficiency Data Center Award (CEEDA)
Награда в области эффективного использования электроэнергии в дата-центре, которая нацелена на проведение независимой аккредитации операторов ЦОД. Институт готовит всеобъемлющий доклад, отражающий потенциал технологий энергосбережения в центрах обработки данных. В России не распространено, т.к. тренд Green data center к нам еще только приходит, в то время как в Европе и Штатах это направление развивается уже несколько лет.
Сертификация — из разряда «желательных».
Обеспечение соответствия требованиям ФЗ 152
Как показывает практика, в последнее время вопрос защиты персональных данных является одним из наиболее востребованных среди заказчиков. С другой стороны, аттестация на соответствия ФЗ 152 — это индивидуальные проекты, которые включают в себя ряд аудитов процессов клиентов, наряду с SW и HW средствами защиты данных.
Провайдерам выгодно иметь возможность предоставлять подобные услуги, т.к. сегодня это очевидное конкурентное преимущество на рынке ИТ-услуг.
