Сертифицировались? А объяснить можете?

Недавно мы уже разбирали, зачем дата-центру сертификация — http://www.globalcio.ru/workshops/106/

Давайте попробуем разобраться с предметом поглубже и выясним, какие виды сертификации являются обязательными в России, а какие — добровольными, и о чем говорит тот или иной сертификат.

Наиболее актуальными видами сертификации на сегодня являются следующие:

• Uptime Institute (различается по уровням Tier и типам сертификата: на проект, на объект, на эксплуатацию)
• ISO/IEC 27001
• ISAE3402
• Payment Card Industry Data Security Standard (PCI DSS)
• Certified Energy Efficiency Data Center Award (CEEDA)
• Обеспечение соответствия требованиям ФЗ 152 («Закону о персональныхданных»)
• Сертификаты конкретных производителей (в настоящей статье не рассматриваются)

Uptime Institute

Компания Uptime Institute Professional Services одна из первых начала стандартизировать отказоустойчивость ЦОД по уровням. При соответствии 1 и 2 уровням профилактические и ремонтные работы проводятся с отключением инженерных систем, что влияет на бесперебойность предоставления услуг клиентам.

3 и 4 уровни предполагают проведения работ в «горячем режиме» без воздействия на предоставляемые услуги — время бесперебойной работы 99,982 % и 99,995% соответственно.

Следовательно, коммерческий дата-центр необходимо проектировать минимум по 3-му или 4-му уровню отказоустойчивости.

Сама сертификация проходит в 2 этапа:

1. Аудит проектной документации

2. Аудит построенного объекта

Дополнительно можно провести аудит процессов эксплуатации.

В России на текущий момент сертифицировано всего 5 дата-центров по этапу Design documents и 3 из них — Constructed Facility. Это говорит о том, что данная сертификация не распространена в России, в том числе из-за ее высокой стоимости, что сказывается на ценах предоставляемых услуг и, следовательно, на прибыли оператора.

Из положительных моментов можно отметить, что данная сертификация подразумевает профессиональный аудит третьей не заинтересованной стороной — что может потребоваться акционерам ЦОД. Часто сертификация Uptime востребована либо инвесторами для оценки результатов работы подрядчиков, либо для маркетинговой активности, либо как аргумент в конкурентной борьбе за заказчика.

Сертификация Uptime — из разряда «желательных».

ISO/IEC 27001

Наличие сертификата демонстрирует клиентам, партнерам и инвесторам эффективно налаженное управление информационной безопасностью внутри дата-центра. Поэтому он является одним из основных требуемых клиентами сертификатов при выборе ЦОД.

Сертификация — из разряда «обязательных».

ISAE3402

ISAE3402 был введен недавно как замена SAS 70 и важен для организаций, которые подпадают под регулирование акта Sarbanes-Oxley. Аудит включает в себя документирование, оценку реализации и анализ эффективности управления рисками за последние шесть месяцев. Аудиторы оценивают, как провайдер обеспечивает надежность и безопасность, а также осуществляет управление конфигурациями, инцидентами и изменениями.

Получение данного сертификата будет актуально для новых площадок. Для уже работающих дата-центров, вероятно, эти инвестиции будутнецелесообразны — ЦОД уже сформировал определенную репутацию на рынке и пул заказчиков.

Сертификация — из разряда «желательных».

Payment Card Industry Data Security Standard (PCI DSS)

Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.).

Т.к. в России соответствие стандарту PCI DSS стало обязательным к применению в соответствующих организациях (банки, платежные системы и т.д.) с 2007 г., то соответствие ему также стало обязательным и для тех дата-центров, которые оказывают услуги подобным организациям.

Сертификация — из разряда «Обязательных» при размещении процессинговых систем.

Certified Energy Efficiency Data Center Award (CEEDA)

Награда в области эффективного использования электроэнергии в дата-центре, которая нацелена на проведение независимой аккредитации операторов ЦОД. Институт готовит всеобъемлющий доклад, отражающий потенциал технологий энергосбережения в центрах обработки данных. В России не распространено, т.к. тренд Green data center к нам еще только приходит, в то время как в Европе и Штатах это направление развивается уже несколько лет.

Сертификация — из разряда «желательных».

Обеспечение соответствия требованиям ФЗ 152

Как показывает практика, в последнее время вопрос защиты персональных данных является одним из наиболее востребованных среди заказчиков. С другой стороны, аттестация на соответствия ФЗ 152 — это индивидуальные проекты, которые включают в себя ряд аудитов процессов клиентов, наряду с SW и HW средствами защиты данных.

Провайдерам выгодно иметь возможность предоставлять подобные услуги, т.к. сегодня это очевидное конкурентное преимущество на рынке ИТ-услуг.