Журнал сетевых решений/LAN, № 05, 2013
Точка зрения директора по производству DataLine, Григория Атрепьева, на вопрос о сертификации ЦОД в журнале "Журнале сетевые решений/LAN".
Не Uptime’ом одним
Александр Барсков — ведущий редактор «Журнала сетевых решений/LAN»
Российский рынок центров обработки данных становится все более зрелым. Одним из показателей этого служит рост интереса к сертификации ЦОД. Ниже мы представим наиболее часто обсуждаемые в отрасли ЦОД «статусы», а также все «за» и «против» прохождения процесса сертификации.
Наибольшую известность в области ЦОДостроения получили сертификаты Uptime Institute. Эта организация разработала систему Tier, определяющую уровень надежности и отказоустойчивости ЦОД. Всего таких уровней четыре, но сертификация, как правило, проводится на соответствие двум наивысшим — Tier III и Tier IV (правда, в мире есть и объекты, сертифицированные по Tier II).
Uptime Institute выдает три типа сертификатов: на проект (Design), на уже построенный объект (Constructed Facility) и на его эксплуатацию (Operational Sustainability). Сертификация эксплуатационных процессов начала проводиться относительно недавно, и всего в мире соответствующие документы имеются только у пяти ЦОД — все они находятся за пределами России.
Информацию о сертифицированных объектах можно получить на сайте Uptime Institute (см. Рисунок 1). В России сертификаты на проект имеют пять ЦОД, а сами объекты сертифицировали (все по уровню Tier III) только три компании: Dataspace, Сбербанк РФ и «Крок». Если учесть, что, по данным BroadGroup, на сегодняшний день в нашей стране насчитывается более 160 крупных и средних коммерческих ЦОД, получается, что сертификацию по Tier III прошли всего около 2% объектов. В Европе этот показатель разные эксперты оценивают по-разному: от 1 до 3% — тут все зависит от критериев, по которым ИКТ-объект относят к категории ЦОД. В любом случае доля сертифицированных ЦОД очень мала.
Представители центров обработки данных, прошедших сертификацию в Uptime Institute, высоко оценивают качество проделанной работы. Вот что, например, рассказывает Руслан Заединов, заместитель генерального директора, руководитель направления ЦОД и облачных вычислений компании «Крок»: «Совсем недавно мы сертифицировали по уровню Tier III наш аутсорсинговый центр обработки данных «Компрессор». Команда из Uptime Institute, которая к нам приезжала, проявила себя с самой положительной стороны — это настоящие профессионалы в сфере консалтинга ЦОД. Они проверили все до малейших деталей, причем, будучи знакомыми с проектом нашего центра, акцентировали внимание на тех участках, где потенциально могли возникнуть узкие места. Такой аудит — отличная «боевая» проверка всех систем на надежность».
Как полагает Михаил Луковников, директор по развитию бизнеса ЦОД «ТрастИнфо» (компания «Сервионика»), сертификация Uptime востребована либо для оценки результатов работы подрядчиков, либо для маркетинговых целей, либо как аргумент в конкурентной борьбе за заказчика. Он полагает наличие соответствующих сертификатов желательным, но не обязательным.
«Безусловным плюсом сертификации может послужить доскональная и грамотная проверка зарубежными специалистами проектных решений и их реализации на всех этапах проекта. Это позволит владельцу ЦОД быть уверенным в том, что по завершении строительства объекта он получит требуемый уровень надежности, — говорит Андрей Павлов, генеральный директор компании DataDome. — Но не все заказчики готовы за это платить».
Коммерческие ЦОД не торопятся тратиться на сертификацию Uptime, поскольку, по мнению Андрея Павлова, для слишком малого круга потребителей услуг центров обработки данных соответствующий документ может повысить маркетинговую привлекательность площадки. При этом он составит существенную величину в структуре расходов на строительство и проектирование. Руководитель DataDome приводит следующий пример: сертификация среднего ЦОД на 200 стоек при стоимости 7 млн долларов может составить в совокупности — с учетом перевода документации, расходов на транспорт и проживание специалистов и затрат на приемочные испытания — до 300 тыс. долларов, то есть порядка 5% капитальных затрат (CAPEX).
Качество предоставляемого ЦОД сервиса во многом определяется процессом его эксплуатации. Как полагает Григорий Атрепьев, директор по производству, сертификатам и стандартам компании DataLine, на рынке пока нет общепризнанного стандарта, где бы подробно описывался этот процесс, чтобы его можно было грамотно оценить, но шансы стать таким стандартом в обозримом будущем имеет ANSI BICSI 002.
Между тем классификация Uptime, как считает специалист DataLine, недостаточно конкретна в части эксплуатации и скорее относится к этапам проектирования и строительства инженерной инфраструктуры. Эта компания принадлежит к подавляющему большинству владельцев ЦОД, которые пока даже не планируют сертификацию по Uptime. «При высокой стоимости сертификации реального спроса на наличие этих сертификатов со стороны заказчиков нет», — констатирует Григорий Атрепьев.
УРОВЕНЬ TIER КАК МЕРА СРАВНЕНИЯ
Для подавляющего большинства российских, да и зарубежных, ЦОД классификация Tier — это всего лишь удобная мера сравнения надежности центров обработки данных. Да и то, как считает Андрей Павлов, зачастую владельцы ЦОД трактуют эту классификацию по-своему (разумеется, в своих интересах), а заявляемый уровень Tier формально приписывают имеющейся инфраструктуре, которая ему может не соответствовать.
На получение сертификатов Uptime Institute идут ЦОД, которые позиционируют себя как «элитные», дабы еще ярче выделиться на фоне основной массы центров обработки данных. По словам генерального директора DataDome, такие ЦОД ориентированы на иностранные компании или на крупные российские холдинги, в которых процедура выбора подрядчика существенно сложнее простого сравнения цены и основных технических параметров. Они не стараются конкурировать с остальными ЦОД по цене, делая акцент на иных маркетинговых и лоббистских механизмах.
«Uptime Institute предложил детально проработанную методологию [сертификации ЦОД по уровню надежности], возможно, самую современную и лучшую на данный момент, — считает Михаил Воронков, технический консультант компании Linxdatacenter. — Но, к сожалению, с учетом практики применения в России, она главным образом ассоциируется с маркетинговым инструментом привлечения клиентов на вновь открывшиеся площадки. Теряя уникальность, маркетинговые инструменты, как правило, становятся менее эффективными, поэтому в этой области Linxdatacenter предпочитает идти своим собственным путем, отдавая приоритет вопросам обеспечения информационной безопасности».
С АКЦЕНТОМ НА БЕЗОПАСНОСТИ
В области информационной безопасности владельцы ЦОД в первую очередь проявляют интерес к сертификатам ISO/IEC 27001 и Payment Card Industry Data Security Standard (PCI DSS).
По словам Михаила Воронкова, в своей работе специалисты Linxdatacenter все чаще сталкиваются с требованиями со стороны клиентов и крупных партнеров по наличию именно таких сертификатов. «Например, запуская услугу LinxCloud, мы столкнулись с тем, что компания VMware предъявляет к партнерам высшего уровня, занимающимся предоставлением облачных услуг на основе ее продуктов, требование по сертификации в соответствии с ISO 27001. С ростом рынка облачных услуг и миграцией данных в облака аналогичные требования к сервисным партнерам станут нормой и со стороны других разработчиков программно-аппаратных комплексов», — считает он.
«ISO 27001 в полном объеме «закрывает» всю деятельность по обеспечению информационной безопасности в рамках предоставляемых нами услуг (co-location, телекоммуникации, облачные сервисы, управление инфраструктурой)», — рассказывает Григорий Атрепьев. DataLine ежегодно подтверждает свои сертификаты ISO 27001 и PCI DSS, причем в рамках аудита (как внешнего, так и внутреннего) по ISO 27001 приходится решать большой объем задач: этот стандарт в первую очередь процессный, поэтому охватывает большинство подразделений компании и предполагает вовлечение в том числе сотрудников не ИТ-подразделений.
Михаил Луковников считает сертификацию по ISO/IEC 27001 обязательной для коммерческих ЦОД: «Наличие данного сертификата демонстрирует клиентам, партнерам и инвесторам эффективно налаженное управление информационной безопасностью внутри центра обработки данных, поэтому он является одним из основных сертификатов, которые клиенты требуют предъявить при выборе ЦОД». (Система управления информационной безопасностью компании «Сервионика» соответствует требованиям стандарта ISO/IEC 27001:2005. — Прим. ред.)
Компания Linxdatacenter планирует до конца текущего года завершить сертификацию по ISO 27001, причем данная процедура затронет все структурные единицы этой международной компании. «Выбор стандарта ISO был обусловлен рядом его особенностей — стандарт может быть применен к любой организации, гарантирует независимость аудита (чтобы избежать конфликта интересов, аудитор не может быть консультантом той же компании) и — единственный из стандартов! — фокусируется на трех китах информационной безопасности: доступности, целостности и конфиденциальности данных, — рассказывает Михаил Воронков. — Другие стандарты просто определяют необходимый набор элементов контроля (PCI-DSS) или проектных решений (TIA), которые должны быть реализованы. ISO 27001 идет несколько другим путем: методология ISO 27001 основана на оценке рисков и предполагает инвентаризацию информационных активов компании и определение перечня угроз, связанных с существующими уязвимостями в этих активах. Как только риски известны и определены способы работы с ними, для их снижения до приемлемого уровня могут быть внедрены соответствующие инструменты контроля и управления».
Важным аспектом ISO 27001 является то, что этот стандарт обязывает компании использовать широко используемую в системах управления качеством модель Plan-Do-Check-Act, которая обеспечивает дальнейшее совершенствование системы безопасности. По мнению экспертов Linxdatacenter, вопросы технической надежности ЦОД и связанных с ней информационных рисков прекрасно вписываются в модель сертификации ISO 27001, которая реализует куда более взвешенный бизнес-подход в противовес более технологичной сертификации Uptime Institute.
Во всем мире уже более 14 000 компаний в 120 странах мира получили сертификат ISO 27001. Однако лишь немногие ЦОД имеют такой сертификат. «Судя по статистике сертификации зарубежных центров обработки данных, которую мы собирали несколько месяцев назад, меньше одного процента всех европейских ЦОД сертифицированы по ISO 27001», — добавляет Руслан Заединов.
Согласно этому исследованию, доля ЦОД, сертифицированных по стандарту PCI DSS, выше: из 923 европейских ЦОД, которые были изучены, соответствующий сертификат есть у 27 объектов — почти 3%. «Фокус на информационной безопасности — вторая волна развития рынка, она возникает, когда в большинство центров обработки данных уже приехали заказчики со своими системами и стали предъявлять определенные требования к системам защиты данных, — считает заместитель генерального директора компании «Крок». — Думаю, что в будущем в России будет появляться все больше ЦОД, сертифицированных по ISO/IEC 27001 и PCI DSS».
Стандарт PCI DSS предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами, такими как Visa и MasterCard. Он был разработан Советом по стандартам безопасности отрасли платежных карт (Payment Card Industry Security Standards Council), который основан ведущими международными платежными системами — Visa, MasterCard, American Express, JCB, Discover.
Требования стандарта PCI DSS распространяются на все компании, которые обрабатывают, хранят или передают данные о держателях платежных карт (банки, процессинговые центры, сервис-провайдеры, системы электронной торговли и др.). Он содержит детальные требования по обеспечению информационной безопасности, разбитые на 12 тематических разделов (см. «Основные разделы PSI DSS»).