Сертифицировались? А объяснить можете?

3

Недавно мы уже разбирали, зачем дата-центру сертификация — http://www.globalcio.ru/workshops/106/

Давайте попробуем разобраться с предметом поглубже и выясним, какие виды сертификации являются обязательными в России, а какие — добровольными, и о чем говорит тот или иной сертификат.

Наиболее актуальными видами сертификации на сегодня являются следующие:

  • Uptime Institute (различается по уровням Tier и типам сертификата: на проект, на объект, на эксплуатацию)
  • ISO/IEC 27001
  • ISAE3402
  • Payment Card Industry Data Security Standard (PCI DSS)
  • Certified Energy Efficiency Data Center Award (CEEDA)
  • Обеспечение соответствия требованиям ФЗ 152 («Закону о персональныхданных»)
  • Сертификаты конкретных производителей (в настоящей статье не рассматриваются)

Uptime Institute

Компания Uptime Institute Professional Services одна из первых начала стандартизировать отказоустойчивость ЦОД по уровням. При соответствии 1 и 2 уровням профилактические и ремонтные работы проводятся с отключением инженерных систем, что влияет на бесперебойность предоставления услуг клиентам.

3 и 4 уровни предполагают проведения работ в «горячем режиме» без воздействия на предоставляемые услуги — время бесперебойной работы 99,982 % и 99,995% соответственно.

Следовательно, коммерческий дата-центр необходимо проектировать минимум по 3-му или 4-му уровню отказоустойчивости.

Сама сертификация проходит в 2 этапа:

1. Аудит проектной документации

2. Аудит построенного объекта

Дополнительно можно провести аудит процессов эксплуатации.

В России на текущий момент сертифицировано всего 5 дата-центров по этапу Design documents и 3 из них — Constructed Facility. Это говорит о том, что данная сертификация не распространена в России, в том числе из-за ее высокой стоимости, что сказывается на ценах предоставляемых услуг и, следовательно, на прибыли оператора.

Из положительных моментов можно отметить, что данная сертификация подразумевает профессиональный аудит третьей не заинтересованной стороной — что может потребоваться акционерам ЦОД. Часто сертификация Uptime востребована либо инвесторами для оценки результатов работы подрядчиков, либо для маркетинговой активности, либо как аргумент в конкурентной борьбе за заказчика.

Сертификация Uptime — из разряда «желательных».

ISO/IEC 27001

Наличие сертификата демонстрирует клиентам, партнерам и инвесторам эффективно налаженное управление информационной безопасностью внутри дата-центра. Поэтому он является одним из основных требуемых клиентами сертификатов при выборе ЦОД.

Сертификация — из разряда «обязательных».

ISAE3402

ISAE3402 был введен недавно как замена SAS 70 и важен для организаций, которые подпадают под регулирование акта Sarbanes-Oxley. Аудит включает в себя документирование, оценку реализации и анализ эффективности управления рисками за последние шесть месяцев. Аудиторы оценивают, как провайдер обеспечивает надежность и безопасность, а также осуществляет управление конфигурациями, инцидентами и изменениями.

Получение данного сертификата будет актуально для новых площадок. Для уже работающих дата-центров, вероятно, эти инвестиции будутнецелесообразны — ЦОД уже сформировал определенную репутацию на рынке и пул заказчиков.

Сертификация — из разряда «желательных».

Payment Card Industry Data Security Standard (PCI DSS)

Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.).

Т.к. в России соответствие стандарту PCI DSS стало обязательным к применению в соответствующих организациях (банки, платежные системы и т.д.) с 2007 г., то соответствие ему также стало обязательным и для тех дата-центров, которые оказывают услуги подобным организациям.

Сертификация — из разряда «Обязательных» при размещении процессинговых систем.

Certified Energy Efficiency Data Center Award (CEEDA)

Награда в области эффективного использования электроэнергии в дата-центре, которая нацелена на проведение независимой аккредитации операторов ЦОД. Институт готовит всеобъемлющий доклад, отражающий потенциал технологий энергосбережения в центрах обработки данных. В России не распространено, т.к. тренд Green data center к нам еще только приходит, в то время как в Европе и Штатах это направление развивается уже несколько лет.

Сертификация — из разряда «желательных».

Обеспечение соответствия требованиям ФЗ 152

Как показывает практика, в последнее время вопрос защиты персональных данных является одним из наиболее востребованных среди заказчиков. С другой стороны, аттестация на соответствия ФЗ 152 — это индивидуальные проекты, которые включают в себя ряд аудитов процессов клиентов, наряду с SW и HW средствами защиты данных.

Провайдерам выгодно иметь возможность предоставлять подобные услуги, т.к. сегодня это очевидное конкурентное преимущество на рынке ИТ-услуг.

8074
Коментарии: 3

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Михаил Петров
    Рейтинг: 809
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    15.05.2013 15:18

    Добрый день! Есть несколько вопросов. 1) "какие виды сертификации являются обязательными в России, а какие — добровольными" - кто определяет обязательность/ добровольность? 2) "данная сертификация подразумевает профессиональный аудит" - аудит в какой форме? по каким параметрам? что-то реально тестируется? 3) "аттестация на соответствия ФЗ 152" - разве на соответствие аттестуется ЦОД, а не информационная система? Даже ИС не аттестуется, а защищается по классу...

  • Михаил Луковников
    Рейтинг: 65
    «ТрастИнфо» («Сервионика»)
    директор ЦОД
    22.05.2013 13:07

    Михаил, отвечаю на ваши вопросы: 1) "какие виды сертификации являются обязательными в России, а какие — добровольными" - кто определяет обязательность/ добровольность? Обязательность сертификации товара или услуги определяется законодательными нормами нашей страны. Для самого ЦОД подобных требований не существует. Требуют обязательной сертификации ряд видов деятельности – услуги связи, телематика и т.д. Соответственно, сертификация ЦОД является добровольной. Мотивы проведения необязательной сертификации могут быть разные. Например, для увеличения доверия клиентов, создавая тем самым конкурентное преимущество. Или аудит деятельности подрядчиков со стороны инвестора проекта.Если говорить про конкретные услуги, типа размещения эквайринговых, систем приема платежей – для них необходимо иметь сертификацию PCI DSS. Требование соответствию стандарту распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. 2) "данная сертификация подразумевает профессиональный аудит" - аудит в какой форме? по каким параметрам? что-то реально тестируется? Как я понял, вопрос касается сертификации, проводимой Uptime Institute (UI). В качестве первого этапа специалистами UI проводится аудит проектной документации (здание, инженерная инфраструктура, СКС, машзалы и т.д.). После проверки предоставляется отчет, какие элементы инфраструктуры не являются отказоустойчивыми и не соответствуют уровню, на который проводится сертификация. Основные параметры (критерии) – это отказоустойчивость и предоставления услуг бесперебойно c возможностью проведения ремонтных и профилактических работ в «горячем режиме». Есть фиксированные параметры - они зависят непосредственно от уровня отказоустойчивости. Что касается тестов – их проводят на этапе проверки соответствия реализованного ЦОД требованиям конкретного уровня Tier. Специалисты UI приезжают на объект, инспектируют инженерные системы и персонал, проводят нагрузочные тестирования. По результатам уже выдается сертификат Constructed Facility на соответствие уровню. 3) "аттестация на соответствия ФЗ 152" - разве на соответствие аттестуется ЦОД, а не информационная система? Даже ИС не аттестуется, а защищается по классу... Совершенно верно, ЦОД на соответствие ФЗ-152 не аттестуется. Аттестуется сама система по обработке ПДн и комплексы ее защиты.

    • Михаил Петров Михаил
      Рейтинг: 809
      Счетная палата Российской Федерации
      Директор департамента цифровой трансформации
      22.05.2013 20:02

      Спасибо!

Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.