8 800 200-10-95

Ваш консультант

Артемий Алиев

+7(495) 788-0-788 (доб.3178)

Связаться

Информация для специалистов

Lukovnikov Какие виды сертификации являются обязательными в России, а какие — добровольными, и о чем говорит тот или иной сертификат? Современные подходы к оценке качества дата-центров анализирует директор по развитию бизнеса ЦОД "ТрастИнфо" Михаил Луковников.

Обязательность сертификации товара или услуги определяется законодательными нормами нашей страны. Для самого ЦОД подобных требований не существует. Требуют обязательной сертификации ряд видов деятельности – услуги связи, телематика и т.д. Соответственно, сертификация ЦОД является добровольной. Мотивы проведения необязательной сертификации могут быть разные. Например, для увеличения доверия клиентов, создавая тем самым конкурентное преимущество. Или аудит деятельности подрядчиков со стороны инвестора проекта.Если говорить про конкретные услуги, типа размещения эквайринговых, систем приема платежей – для них необходимо иметь сертификацию PCI DSS. Требование соответствию стандарту распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. 

Наиболее актуальными видами сертификации сегодня являются:

  • Uptime Institute (различается по уровням Tier и типам сертификата: на проект, на объект, на эксплуатацию)
  • ISO/IEC 27001
  • ISAE3402
  • Payment Card Industry Data Security Standard (PCI DSS)
  • Certified Energy Efficiency Data Center Award (CEEDA)
  • Обеспечение соответствия требованиям ФЗ 152 («Закону о персональных данных»)
  • Сертификаты конкретных производителей (в настоящей статье не рассматриваются)

Uptime Institute

Компания Uptime Institute Professional Services одна из первых начала стандартизировать отказоустойчивость ЦОД по уровням. При соответствии 1 и 2 уровням профилактические и ремонтные работы проводятся с отключением инженерных систем, что влияет на бесперебойность предоставления услуг клиентам.

3 и 4 уровни предполагают проведения работ в «горячем режиме» без воздействия на предоставляемые услуги — время бесперебойной работы 99,982 % и 99,995% соответственно.

Следовательно, коммерческий дата-центр необходимо проектировать минимум по 3-му или 4-му уровню отказоустойчивости.

Сама сертификация может проводиться по трем направлениям:

  • Аудит проектной документации
  • Аудит построенного объекта
  • Аудит процессов эксплуатации

В России на текущий момент сертифицировано всего 5 дата-центров по этапу Design documents и 3 из них — Constructed Facility. Это говорит о том, что данная сертификация не распространена в России, в том числе из-за ее высокой стоимости, что сказывается на ценах предоставляемых услуг и, следовательно, на прибыли оператора.

Из положительных моментов можно отметить, что данная сертификация подразумевает профессиональный аудит третьей, незаинтересованной стороной, что может потребоваться акционерам ЦОД. Часто сертификация Uptime востребована инвесторами для оценки результатов работы подрядчиков, либо для маркетинговой активности, а также — как аргумент в конкурентной борьбе за заказчика. 

Согласно методологии Uptime Institute (UI), на первом этапе сертификации специалистами UI проводится аудит проектной документации (здание, инженерная инфраструктура, СКС, машзалы и т.д.). После проверки предоставляется отчет, какие элементы инфраструктуры не являются отказоустойчивыми и не соответствуют уровню, на который проводится сертификация. Основные параметры (критерии) – это отказоустойчивость и предоставления услуг бесперебойно c возможностью проведения ремонтных и профилактических работ в «горячем режиме». Есть фиксированные параметры - они зависят непосредственно от уровня отказоустойчивости. Что касается тестов – их проводят на этапе проверки соответствия реализованного ЦОД требованиям конкретного уровня Tier. Специалисты UI приезжают на объект, инспектируют инженерные системы и персонал, проводят нагрузочные тестирования. По результатам уже выдается сертификат Constructed Facility на соответствие уровню. 

Сертификация Uptime — из разряда «желательных».

ISO/IEC 27001

Наличие сертификата демонстрирует клиентам, партнерам и инвесторам эффективно налаженное управление информационной безопасностью внутри дата-центра. Поэтому он является одним из основных требуемых клиентами сертификатов при выборе ЦОД.

Сертификация — из разряда «обязательных».

ISAE3402

ISAE3402 был введен недавно как замена SAS 70 и важен для организаций, которые подпадают под регулирование акта Sarbanes-Oxley. Аудит включает в себя документирование, оценку реализации и анализ эффективности управления рисками за последние шесть месяцев. Аудиторы оценивают, как провайдер обеспечивает надежность и безопасность, а также осуществляет управление конфигурациями, инцидентами и изменениями.

Получение данного сертификата будет актуально для новых площадок. Для уже работающих дата-центров, вероятно, эти инвестиции будутнецелесообразны — ЦОД уже сформировал определенную репутацию на рынке и пул заказчиков.

Сертификация — из разряда «желательных».

Payment Card Industry Data Security Standard (PCI DSS)

Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими.

Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.).

Т.к. в России соответствие стандарту PCI DSS стало обязательным к применению в соответствующих организациях (банки, платежные системы и т.д.) с 2007 г., то соответствие ему также стало обязательным и для тех дата-центров, которые оказывают услуги подобным организациям.

Сертификация — из разряда «Обязательных» при размещении процессинговых систем.

Certified Energy Efficiency Data Center Award (CEEDA)

Награда в области эффективного использования электроэнергии в дата-центре, которая нацелена на проведение независимой аккредитации операторов ЦОД. Институт готовит всеобъемлющий доклад, отражающий потенциал технологий энергосбережения в центрах обработки данных. В России не распространено, т.к. тренд Green data center к нам еще только приходит, в то время как в Европе и Штатах это направление развивается уже несколько лет.

Сертификация — из разряда «желательных».

Обеспечение соответствия требованиям ФЗ 152

Как показывает практика, в последнее время вопрос защиты персональных данных является одним из наиболее востребованных среди заказчиков. С другой стороны, аттестация на соответствия ФЗ 152 — это индивидуальные проекты, которые включают в себя ряд аудитов процессов клиентов, наряду с SW и HW средствами защиты данных. Важно отметить, что ЦОД как таковой на соответствие ФЗ-152 не аттестуется. Аттестуется система по обработке ПДн и комплексы ее защиты.

Провайдерам выгодно иметь возможность предоставлять подобные услуги, т.к. сегодня это очевидное конкурентное преимущество на рынке ИТ-услуг.

СЕРВИОНИКА

ЦОД

МАГАЗИН
СЕРВИСОВ

КОНТАКТ-ЦЕНТР

РЕГИОНЫ