Журнал сетевых решений/LAN, № 05, 2013

Точка зрения директора по производству DataLine, Григория Атрепьева, на вопрос о сертификации ЦОД в журнале "Журнале сетевые решений/LAN".

Не Uptime’ом одним

Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN»

Рос­сий­ский рынок цен­тров об­ра­бот­ки дан­ных ста­но­вит­ся все более зре­лым. Одним из по­ка­за­те­лей этого слу­жит рост ин­те­ре­са к сер­ти­фи­ка­ции ЦОД. Ниже мы пред­ста­вим наи­бо­лее часто об­суж­да­е­мые в от­рас­ли ЦОД «ста­ту­сы», а также все «за» и «про­тив» про­хож­де­ния про­цес­са сертификации.
Наи­боль­шую из­вест­ность в об­ла­сти ЦОДо­стро­е­ния по­лу­чи­ли сер­ти­фи­ка­ты Uptime Institute. Эта ор­га­ни­за­ция раз­ра­бо­та­ла си­сте­му Tier, опре­де­ля­ю­щую уро­вень на­деж­но­сти и от­ка­зо­устой­чи­во­сти ЦОД. Всего таких уров­ней че­ты­ре, но сер­ти­фи­ка­ция, как пра­ви­ло, про­во­дит­ся на со­от­вет­ствие двум наи­выс­шим — Tier III и Tier IV (прав­да, в мире есть и объ­ек­ты, сер­ти­фи­ци­ро­ван­ные по Tier II).
Uptime Institute вы­да­ет три типа сер­ти­фи­ка­тов: на про­ект (Design), на уже по­стро­ен­ный объ­ект (Constructed Facility) и на его экс­плу­а­та­цию (Operational Sustainability). Сер­ти­фи­ка­ция экс­плу­а­та­ци­он­ных про­цес­сов на­ча­ла про­во­дить­ся от­но­си­тель­но недав­но, и всего в мире со­от­вет­ству­ю­щие до­ку­мен­ты име­ют­ся толь­ко у пяти ЦОД — все они на­хо­дят­ся за пре­де­ла­ми России.

Ин­фор­ма­цию о сер­ти­фи­ци­ро­ван­ных объ­ек­тах можно по­лу­чить на сайте Uptime Institute (см. Ри­су­нок 1). В Рос­сии сер­ти­фи­ка­ты на про­ект имеют пять ЦОД, а сами объ­ек­ты сер­ти­фи­ци­ро­ва­ли (все по уров­ню Tier III) толь­ко три ком­па­нии: Dataspace, Сбер­банк РФ и «Крок». Если учесть, что, по дан­ным BroadGroup, на се­го­дняш­ний день в нашей стране на­счи­ты­ва­ет­ся более 160 круп­ных и сред­них ком­мер­че­ских ЦОД, по­лу­ча­ет­ся, что сер­ти­фи­ка­цию по Tier III про­шли всего около 2% объ­ек­тов. В Ев­ро­пе этот по­ка­за­тель раз­ные экс­пер­ты оце­ни­ва­ют по-раз­но­му: от 1 до 3% — тут все за­ви­сит от кри­те­ри­ев, по ко­то­рым ИКТ-объ­ект от­но­сят к ка­те­го­рии ЦОД. В любом слу­чае доля сер­ти­фи­ци­ро­ван­ных ЦОД очень мала.

Пред­ста­ви­те­ли цен­тров об­ра­бот­ки дан­ных, про­шед­ших сер­ти­фи­ка­цию в Uptime Institute, вы­со­ко оце­ни­ва­ют ка­че­ство про­де­лан­ной ра­бо­ты. Вот что, на­при­мер, рас­ска­зы­ва­ет Рус­лан За­еди­нов, за­ме­сти­тель ге­не­раль­но­го ди­рек­то­ра, ру­ко­во­ди­тель на­прав­ле­ния ЦОД и об­лач­ных вы­чис­ле­ний ком­па­нии «Крок»: «Со­всем недав­но мы сер­ти­фи­ци­ро­ва­ли по уров­ню Tier III наш аут­сор­син­го­вый центр об­ра­бот­ки дан­ных «Ком­прес­сор». Ко­ман­да из Uptime Institute, ко­то­рая к нам при­ез­жа­ла, про­яви­ла себя с самой по­ло­жи­тель­ной сто­ро­ны — это на­сто­я­щие про­фес­си­о­на­лы в сфере кон­сал­тин­га ЦОД. Они про­ве­ри­ли все до ма­лей­ших де­та­лей, при­чем, бу­дучи зна­ко­мы­ми с про­ек­том на­ше­го цен­тра, ак­цен­ти­ро­ва­ли вни­ма­ние на тех участ­ках, где по­тен­ци­аль­но могли воз­ник­нуть узкие места. Такой аудит — от­лич­ная «бо­е­вая» про­вер­ка всех си­стем на надежность».
Как по­ла­га­ет Ми­ха­ил Лу­ков­ни­ков, ди­рек­тор по раз­ви­тию биз­не­са ЦОД «Траст­Ин­фо» (ком­па­ния «Сер­ви­о­ни­ка»), сер­ти­фи­ка­ция Uptime вос­тре­бо­ва­на либо для оцен­ки ре­зуль­та­тов ра­бо­ты под­ряд­чи­ков, либо для мар­ке­тин­го­вых целей, либо как ар­гу­мент в кон­ку­рент­ной борь­бе за за­каз­чи­ка. Он по­ла­га­ет на­ли­чие со­от­вет­ству­ю­щих сер­ти­фи­ка­тов же­ла­тель­ным, но не обязательным.

«Без­услов­ным плю­сом сер­ти­фи­ка­ции может по­слу­жить дос­ко­наль­ная и гра­мот­ная про­вер­ка за­ру­беж­ны­ми спе­ци­а­ли­ста­ми про­ект­ных ре­ше­ний и их ре­а­ли­за­ции на всех эта­пах про­ек­та. Это поз­во­лит вла­дель­цу ЦОД быть уве­рен­ным в том, что по за­вер­ше­нии стро­и­тель­ства объ­ек­та он по­лу­чит тре­бу­е­мый уро­вень на­деж­но­сти, — го­во­рит Ан­дрей Пав­лов, ге­не­раль­ный ди­рек­тор ком­па­нии DataDome. — Но не все за­каз­чи­ки го­то­вы за это платить».

Ком­мер­че­ские ЦОД не то­ро­пят­ся тра­тить­ся на сер­ти­фи­ка­цию Uptime, по­сколь­ку, по мне­нию Ан­дрея Пав­ло­ва, для слиш­ком ма­ло­го круга по­тре­би­те­лей услуг цен­тров об­ра­бот­ки дан­ных со­от­вет­ству­ю­щий до­ку­мент может по­вы­сить мар­ке­тин­го­вую при­вле­ка­тель­ность пло­щад­ки. При этом он со­ста­вит су­ще­ствен­ную ве­ли­чи­ну в струк­ту­ре рас­хо­дов на стро­и­тель­ство и про­ек­ти­ро­ва­ние. Ру­ко­во­ди­тель DataDome при­во­дит сле­ду­ю­щий при­мер: сер­ти­фи­ка­ция сред­не­го ЦОД на 200 стоек при сто­и­мо­сти 7 млн дол­ла­ров может со­ста­вить в со­во­куп­но­сти — с уче­том пе­ре­во­да до­ку­мен­та­ции, рас­хо­дов на транс­порт и про­жи­ва­ние спе­ци­а­ли­стов и за­трат на при­е­моч­ные ис­пы­та­ния — до 300 тыс. дол­ла­ров, то есть по­ряд­ка 5% ка­пи­таль­ных за­трат (CAPEX).

Ка­че­ство предо­став­ля­е­мо­го ЦОД сер­ви­са во мно­гом опре­де­ля­ет­ся про­цес­сом его экс­плу­а­та­ции. Как по­ла­га­ет Гри­го­рий Ат­ре­пьев, ди­рек­тор по про­из­вод­ству, сер­ти­фи­ка­там и стан­дар­там ком­па­нии DataLine, на рынке пока нет об­ще­при­знан­но­го стан­дар­та, где бы по­дроб­но опи­сы­вал­ся этот про­цесс, чтобы его можно было гра­мот­но оце­нить, но шансы стать таким стан­дар­том в обо­зри­мом бу­ду­щем имеет ANSI BICSI 002.

Между тем клас­си­фи­ка­ция Uptime, как счи­та­ет спе­ци­а­лист DataLine, недо­ста­точ­но кон­крет­на в части экс­плу­а­та­ции и ско­рее от­но­сит­ся к эта­пам про­ек­ти­ро­ва­ния и стро­и­тель­ства ин­же­нер­ной ин­фра­струк­ту­ры. Эта ком­па­ния при­над­ле­жит к по­дав­ля­ю­ще­му боль­шин­ству вла­дель­цев ЦОД, ко­то­рые пока даже не пла­ни­ру­ют сер­ти­фи­ка­цию по Uptime. «При вы­со­кой сто­и­мо­сти сер­ти­фи­ка­ции ре­аль­но­го спро­са на на­ли­чие этих сер­ти­фи­ка­тов со сто­ро­ны за­каз­чи­ков нет», — кон­ста­ти­ру­ет Гри­го­рий Атрепьев.

УРО­ВЕНЬ TIER КАК МЕРА СРАВНЕНИЯ

Для по­дав­ля­ю­ще­го боль­шин­ства рос­сий­ских, да и за­ру­беж­ных, ЦОД клас­си­фи­ка­ция Tier — это всего лишь удоб­ная мера срав­не­ния на­деж­но­сти цен­тров об­ра­бот­ки дан­ных. Да и то, как счи­та­ет Ан­дрей Пав­лов, за­ча­стую вла­дель­цы ЦОД трак­ту­ют эту клас­си­фи­ка­цию по-сво­е­му (ра­зу­ме­ет­ся, в своих ин­те­ре­сах), а за­яв­ля­е­мый уро­вень Tier фор­маль­но при­пи­сы­ва­ют име­ю­щей­ся ин­фра­струк­ту­ре, ко­то­рая ему может не соответствовать.

На по­лу­че­ние сер­ти­фи­ка­тов Uptime Institute идут ЦОД, ко­то­рые по­зи­ци­о­ни­ру­ют себя как «элит­ные», дабы еще ярче вы­де­лить­ся на фоне ос­нов­ной массы цен­тров об­ра­бот­ки дан­ных. По сло­вам ге­не­раль­но­го ди­рек­то­ра DataDome, такие ЦОД ори­ен­ти­ро­ва­ны на ино­стран­ные ком­па­нии или на круп­ные рос­сий­ские хол­дин­ги, в ко­то­рых про­це­ду­ра вы­бо­ра под­ряд­чи­ка су­ще­ствен­но слож­нее про­сто­го срав­не­ния цены и ос­нов­ных тех­ни­че­ских па­ра­мет­ров. Они не ста­ра­ют­ся кон­ку­ри­ро­вать с осталь­ны­ми ЦОД по цене, делая ак­цент на иных мар­ке­тин­го­вых и лоб­бист­ских механизмах.

«Uptime Institute пред­ло­жил де­таль­но про­ра­бо­тан­ную ме­то­до­ло­гию [сер­ти­фи­ка­ции ЦОД по уров­ню на­деж­но­сти], воз­мож­но, самую со­вре­мен­ную и луч­шую на дан­ный мо­мент, — счи­та­ет Ми­ха­ил Во­рон­ков, тех­ни­че­ский кон­суль­тант ком­па­нии Linxdatacenter. — Но, к со­жа­ле­нию, с уче­том прак­ти­ки при­ме­не­ния в Рос­сии, она глав­ным об­ра­зом ас­со­ци­и­ру­ет­ся с мар­ке­тин­го­вым ин­стру­мен­том при­вле­че­ния кли­ен­тов на вновь от­крыв­ши­е­ся пло­щад­ки. Теряя уни­каль­ность, мар­ке­тин­го­вые ин­стру­мен­ты, как пра­ви­ло, ста­но­вят­ся менее эф­фек­тив­ны­ми, по­это­му в этой об­ла­сти Linxdatacenter пред­по­чи­та­ет идти своим соб­ствен­ным путем, от­да­вая при­о­ри­тет во­про­сам обес­пе­че­ния ин­фор­ма­ци­он­ной безопасности».

С АК­ЦЕН­ТОМ НА БЕЗОПАСНОСТИ

В об­ла­сти ин­фор­ма­ци­он­ной без­опас­но­сти вла­дель­цы ЦОД в первую оче­редь про­яв­ля­ют ин­те­рес к сер­ти­фи­ка­там ISO/IEC 27001 и Payment Card Industry Data Security Standard (PCI DSS).

По сло­вам Ми­ха­и­ла Во­рон­ко­ва, в своей ра­бо­те спе­ци­а­ли­сты Linxdatacenter все чаще стал­ки­ва­ют­ся с тре­бо­ва­ни­я­ми со сто­ро­ны кли­ен­тов и круп­ных парт­не­ров по на­ли­чию имен­но таких сер­ти­фи­ка­тов. «На­при­мер, за­пус­кая услу­гу LinxCloud, мы столк­ну­лись с тем, что ком­па­ния VMware предъ­яв­ля­ет к парт­не­рам выс­ше­го уров­ня, за­ни­ма­ю­щим­ся предо­став­ле­ни­ем об­лач­ных услуг на ос­но­ве ее про­дук­тов, тре­бо­ва­ние по сер­ти­фи­ка­ции в со­от­вет­ствии с ISO 27001. С ро­стом рынка об­лач­ных услуг и ми­гра­ци­ей дан­ных в об­ла­ка ана­ло­гич­ные тре­бо­ва­ния к сер­вис­ным парт­не­рам ста­нут нор­мой и со сто­ро­ны дру­гих раз­ра­бот­чи­ков про­грамм­но-ап­па­рат­ных ком­плек­сов», — счи­та­ет он.

«ISO 27001 в пол­ном объ­е­ме «за­кры­ва­ет» всю де­я­тель­ность по обес­пе­че­нию ин­фор­ма­ци­он­ной без­опас­но­сти в рам­ках предо­став­ля­е­мых нами услуг (co-location, те­ле­ком­му­ни­ка­ции, об­лач­ные сер­ви­сы, управ­ле­ние ин­фра­струк­ту­рой)», — рас­ска­зы­ва­ет Гри­го­рий Ат­ре­пьев. DataLine еже­год­но под­твер­жда­ет свои сер­ти­фи­ка­ты ISO 27001 и PCI DSS, при­чем в рам­ках ауди­та (как внеш­не­го, так и внут­рен­не­го) по ISO 27001 при­хо­дит­ся ре­шать боль­шой объем задач: этот стан­дарт в первую оче­редь про­цесс­ный, по­это­му охва­ты­ва­ет боль­шин­ство под­раз­де­ле­ний ком­па­нии и пред­по­ла­га­ет во­вле­че­ние в том числе со­труд­ни­ков не ИТ-подразделений.

Ми­ха­ил Лу­ков­ни­ков счи­та­ет сер­ти­фи­ка­цию по ISO/IEC 27001 обя­за­тель­ной для ком­мер­че­ских ЦОД: «На­ли­чие дан­но­го сер­ти­фи­ка­та де­мон­стри­ру­ет кли­ен­там, парт­не­рам и ин­ве­сто­рам эф­фек­тив­но на­ла­жен­ное управ­ле­ние ин­фор­ма­ци­он­ной без­опас­но­стью внут­ри цен­тра об­ра­бот­ки дан­ных, по­это­му он яв­ля­ет­ся одним из ос­нов­ных сер­ти­фи­ка­тов, ко­то­рые кли­ен­ты тре­бу­ют предъ­явить при вы­бо­ре ЦОД». (Си­сте­ма управ­ле­ния ин­фор­ма­ци­он­ной без­опас­но­стью ком­па­нии «Сер­ви­о­ни­ка» со­от­вет­ству­ет тре­бо­ва­ни­ям стан­дар­та ISO/IEC 27001:2005. — Прим. ред.)

Ком­па­ния Linxdatacenter пла­ни­ру­ет до конца те­ку­ще­го года за­вер­шить сер­ти­фи­ка­цию по ISO 27001, при­чем дан­ная про­це­ду­ра за­тро­нет все струк­тур­ные еди­ни­цы этой меж­ду­на­род­ной ком­па­нии. «Выбор стан­дар­та ISO был обу­слов­лен рядом его осо­бен­но­стей — стан­дарт может быть при­ме­нен к любой ор­га­ни­за­ции, га­ран­ти­ру­ет неза­ви­си­мость ауди­та (чтобы из­бе­жать кон­флик­та ин­те­ре­сов, ауди­тор не может быть кон­суль­тан­том той же ком­па­нии) и — един­ствен­ный из стан­дар­тов! — фо­ку­си­ру­ет­ся на трех китах ин­фор­ма­ци­он­ной без­опас­но­сти: до­ступ­но­сти, це­лост­но­сти и кон­фи­ден­ци­аль­но­сти дан­ных, — рас­ска­зы­ва­ет Ми­ха­ил Во­рон­ков. — Дру­гие стан­дар­ты про­сто опре­де­ля­ют необ­хо­ди­мый набор эле­мен­тов кон­тро­ля (PCI-DSS) или про­ект­ных ре­ше­ний (TIA), ко­то­рые долж­ны быть ре­а­ли­зо­ва­ны. ISO 27001 идет несколь­ко дру­гим путем: ме­то­до­ло­гия ISO 27001 ос­но­ва­на на оцен­ке рис­ков и пред­по­ла­га­ет ин­вен­та­ри­за­цию ин­фор­ма­ци­он­ных ак­ти­вов ком­па­нии и опре­де­ле­ние пе­реч­ня угроз, свя­зан­ных с су­ще­ству­ю­щи­ми уяз­ви­мо­стя­ми в этих ак­ти­вах. Как толь­ко риски из­вест­ны и опре­де­ле­ны спо­со­бы ра­бо­ты с ними, для их сни­же­ния до при­ем­ле­мо­го уров­ня могут быть внед­ре­ны со­от­вет­ству­ю­щие ин­стру­мен­ты кон­тро­ля и управления».

Важ­ным ас­пек­том ISO 27001 яв­ля­ет­ся то, что этот стан­дарт обя­зы­ва­ет ком­па­нии ис­поль­зо­вать ши­ро­ко ис­поль­зу­е­мую в си­сте­мах управ­ле­ния ка­че­ством мо­дель Plan-Do-Check-Act, ко­то­рая обес­пе­чи­ва­ет даль­ней­шее со­вер­шен­ство­ва­ние си­сте­мы без­опас­но­сти. По мне­нию экс­пер­тов Linxdatacenter, во­про­сы тех­ни­че­ской на­деж­но­сти ЦОД и свя­зан­ных с ней ин­фор­ма­ци­он­ных рис­ков пре­крас­но впи­сы­ва­ют­ся в мо­дель сер­ти­фи­ка­ции ISO 27001, ко­то­рая ре­а­ли­зу­ет куда более взве­шен­ный биз­нес-под­ход в про­ти­во­вес более тех­но­ло­гич­ной сер­ти­фи­ка­ции Uptime Institute.

Во всем мире уже более 14 000 ком­па­ний в 120 стра­нах мира по­лу­чи­ли сер­ти­фи­кат ISO 27001. Од­на­ко лишь немно­гие ЦОД имеют такой сер­ти­фи­кат. «Судя по ста­ти­сти­ке сер­ти­фи­ка­ции за­ру­беж­ных цен­тров об­ра­бот­ки дан­ных, ко­то­рую мы со­би­ра­ли несколь­ко ме­ся­цев назад, мень­ше од­но­го про­цен­та всех ев­ро­пей­ских ЦОД сер­ти­фи­ци­ро­ва­ны по ISO 27001», — до­бав­ля­ет Рус­лан Заединов.

Со­глас­но этому ис­сле­до­ва­нию, доля ЦОД, сер­ти­фи­ци­ро­ван­ных по стан­дар­ту PCI DSS, выше: из 923 ев­ро­пей­ских ЦОД, ко­то­рые были изу­че­ны, со­от­вет­ству­ю­щий сер­ти­фи­кат есть у 27 объ­ек­тов — почти 3%. «Фокус на ин­фор­ма­ци­он­ной без­опас­но­сти — вто­рая волна раз­ви­тия рынка, она воз­ни­ка­ет, когда в боль­шин­ство цен­тров об­ра­бот­ки дан­ных уже при­е­ха­ли за­каз­чи­ки со сво­и­ми си­сте­ма­ми и стали предъ­яв­лять опре­де­лен­ные тре­бо­ва­ния к си­сте­мам за­щи­ты дан­ных, — счи­та­ет за­ме­сти­тель ге­не­раль­но­го ди­рек­то­ра ком­па­нии «Крок». — Думаю, что в бу­ду­щем в Рос­сии будет по­яв­лять­ся все боль­ше ЦОД, сер­ти­фи­ци­ро­ван­ных по ISO/IEC 27001 и PCI DSS».

Стан­дарт PCI DSS пред­на­зна­чен для обес­пе­че­ния без­опас­но­сти об­ра­бот­ки, хра­не­ния и пе­ре­да­чи дан­ных о дер­жа­те­лях пла­теж­ных карт в ин­фор­ма­ци­он­ных си­сте­мах ком­па­ний, ра­бо­та­ю­щих с меж­ду­на­род­ны­ми пла­теж­ны­ми си­сте­ма­ми, та­ки­ми как Visa и MasterCard. Он был раз­ра­бо­тан Со­ве­том по стан­дар­там без­опас­но­сти от­рас­ли пла­теж­ных карт (Payment Card Industry Security Standards Council), ко­то­рый ос­но­ван ве­ду­щи­ми меж­ду­на­род­ны­ми пла­теж­ны­ми си­сте­ма­ми — Visa, MasterCard, American Express, JCB, Discover.

Тре­бо­ва­ния стан­дар­та PCI DSS рас­про­стра­ня­ют­ся на все ком­па­нии, ко­то­рые об­ра­ба­ты­ва­ют, хра­нят или пе­ре­да­ют дан­ные о дер­жа­те­лях пла­теж­ных карт (банки, про­цес­син­го­вые цен­тры, сер­вис-про­вай­де­ры, си­сте­мы элек­трон­ной тор­гов­ли и др.). Он со­дер­жит де­таль­ные тре­бо­ва­ния по обес­пе­че­нию ин­фор­ма­ци­он­ной без­опас­но­сти, раз­би­тые на 12 те­ма­ти­че­ских раз­де­лов (см. «Ос­нов­ные раз­де­лы PSI DSS»).

Полная версия статьи