Сертифікація датацентрів: якою буває, що дає і як убезпечує ваш бізнес?
Важливість інформації у наш час важко переоцінити, як і важливість її конфіденційності. Витік корпоративних даних чи відмова роботи ІТ-системи можуть дорого коштувати компанії як у фінансовому, так і репутаційному сенсах. Тому всі сучасні датацентри, що надають послуги зберігання й обробки даних, мають будуватися згідно з певними галузевими стандартами і бути сертифікованими. Що ж дають сертифікати, якими вони бувають і на які звернути увагу під час вибору датацентру?
Навіщо датацентру сертифікати?
Сертифікати видаються і підтверджуються незалежними сторонніми організаціями, такими як Uptime Institute та іншими. До прикладу, сертифікат Tier III від Uptime Institute гарантує, що ЦОД відповідає всім стандартам безпеки і цю відповідність підтвердила незалежна третя сторона, тобто це не просто заява оператора ЦОД.
Ми часто чуємо, як оператори ЦОД кажуть, що їхні датацентри побудовані відповідно до стандартів Tier III. Проте вони не вважають сертифікацію центру обробки даних важливою. Це так само як казати, що умовно автомобілі «Daewoo Lanos» побудовані за тими ж стандартами, як і «Mercedes» S-класу, оскільки вони також мають чотири колеса, чотири двері та кермо. Для тих, хто ніколи не бачив ці два автомобілі поруч, це може здатися переконливим, але у реальності вони неспівставні.
У галузі ЦОД легко замаскувати умовний «Daewoo Lanos» та представити його як умовний «Mercedes». Тому вибір сертифікованого центру обробки даних гарантує, що він відповідатиме вашим вимогам ІТ-безпеки та доступності.
Які види сертифікатів існують?
Існує багато сертифікатів для датацентрів. Вони відрізняються за призначенням і рівнем безпеки та вимагають дотримання різних специфікацій. Деякі сертифікати сфокусовані на фізичній інфраструктурі та її доступності, тоді як інші — на процедурах. Tier ІІІ, PSI DSS та ISO — це найбільш розповсюджені маркери надійності датацентру. Саме на їх наявність варто звертати увагу при виборі ЦОД. Усі вищезгадані рівні сертифікації впроваджені у центрах обробки даних Tet. Поясню, чому ці абревіатури мають вагоме значення для убезпечення ваших даних.
Tier-сертифікація
Підписуйтеся на наші соцмережі
Сертифікація Tier, розроблена інститутом Uptime Institute, визначає ступінь надійності та продуктивності датацентру за чотирма рівнями — від базового до найвищого. Що кожен із них дає ЦОД?
- Tier І. Uptime Institute не сертифікує центри обробки даних такого рівня. Тому це лише узгоджене визначення того, що можна вважати центром обробки даних Tier I. Цей рівень означає, що ЦОД відповідає певним вимогам для справного функціонування, як-от оснащення джерелами безперебійного живлення, системами охолодження і генераторами на випадок вимкнення електрики. Цей тип має відмовостійкість на рівні 99,671%.
-
Tier ІІ. Подібно до Tier I, не існує офіційного сертифікату рівня Tier II. На цьому рівні центр обробки даних працює на інфраструктурі, що включає системи резервування. Такі ЦОД оснащені додатковими джерелами живлення і каналами охолодження та продовжуватимуть функціонувати навіть у разі вимкнення інженерного оснащення. Рівень відмовостійкості датацентру Tier II становить 99,741% і в цілому відповідає вимогам малого бізнесу.
-
Tier ІІІ. Це оптимальний і найбажаніший рівень сертифікації датацентру для бізнесу, який постійно розвивається та зростає. Він гарантує високий ступінь резервування і безупинну роботу центру обробки даних навіть під час технічного обслуговування (на відміну від попередніх двох рівнів). Тобто ваш бізнес продовжуватиме працювати, навіть якщо ЦОД оновлюється чи там проводяться будь-які ремонтні роботи. Рівень відмовостійкості для цього типу сертифікації становить 99,982%, що гарантує безперервну роботу з простоєм не більше, ніж 1,6 години на рік.
-
Tier IV. Цей тип сертифікації має найвищий ступінь відмовостійкості у 99,995% та охоплює можливості всіх попередніх рівнів. Також він гарантує безперервність операцій при будь-яких збоях кожного окремого компонента системи і максимально орієнтований для застосування держустановами і військовими структурами.
PCI DSS-сертифікація
Приватність — одна з основних вимог до зберігання даних. Уся конфіденційна інформація компаній, включно з даними платіжних карток клієнтів, зберігається у датацентрі. І саме для того, щоб гарантувати високий рівень захисту такого типу інформації, ЦОД має дотримуватися стандартів сертифікації PCI DSS (Payment Card Industry Data Security Standard). Так, відповідно до стандарту датацентри проходять аудит і мають захистити свою інфраструктуру як на фізичному, так і на віртуальному та програмному рівнях.
Яким вимогам має відповідати датацентр згідно з PCI DSS? Насамперед повинна забезпечуватися мережева безпека, а саме наявність оригінальних паролів і підтримка брандмауера. Також ЦОД дбає про захист передачі даних карт через зашифровану мережу. Крім того, датацентр має продемонструвати високий рівень управління вразливостями, контролю доступу до даних та інформаційної безпеки.
Тож, коли всі ці умови виконані, ЦОД отримує сертифікат, який вимагають усі провайдери фінансових операцій, — PCI DSS.
ISO-сертифікація
Відомий міжнародний стандарт якості розповсюджується і на сферу центрів обробки даних, що гарантує плавність бізнес-процесів та масштабованість на нові ринки. Серед низки ISO-стандартів для ЦОД можна виділити наступні:
- ISO 27001. Цей стандарт мінімізує інформаційні ризики для компаній, адже застосовується до систем управління інформаційною безпекою. Так, згідно з ним датацентри мають впровадити низку нормативів і технічні засоби контролю для захисту даних клієнтів.
-
ISO 14001. Він гарантує ефективне управління ресурсами і зменшення викидів для мінімізації впливу на довкілля, що впливає на репутацію компанії та її сталий розвиток.
-
ISO 9001. Такий сертифікат підтверджує дотримання датацентром норм щодо надання якісних послуг.
Серед інших важливих стандартів можна зазначити ISO 45001 для забезпечення охорони здоров’я під час роботи у датацентрі та ISO 22301, що захищає роботу ЦОД від перебоїв і відповідає за швидке відновлення у разі їх виникнення. Якщо ви бачите, що центр обробки даних підтримує ці стандарти, будьте певні: це надійний бізнес, побудований на роки.
Українська сертифікація
В Україні також існують певні механізми сертифікації. Насамперед це комплексна система захисту інформації (КСЗІ), що поєднує технічні та організаційні засоби захисту даних від несанкціонованого доступу. Ці заходи є важливими як для інформаційної безпеки компанії, так і для можливості співпрацювати з держустановами.
Такі заходи включають і фізичну охорону об’єктів, і механізми блокування технічних каналів, і елементи криптографічного захисту. Імплементація та застосування таких заходів в Україні регулюється нормативами з технічного захисту інформації. Впровадження КСЗІ відбувається у декілька етапів, включно з розробкою технічних завдань і оцінкою захищеності інформації.
Інші види сертифікації ЦОД
Існують й інші сертифікати, які вимагаються у певних індустріях чи доводять лідерство датацентру за певними критеріями:
- LEED (The Leadership in Energy & Environmental Design). Один із найавторитетніших стандартів з екологічного будівництва, підтверджує його стійкість, що оцінюється за шістьма критеріями.
-
HIPAA (Health Insurance Portability and Accountability Act). Наявність такого сертифіката гарантує високий ступінь захисту медичних даних, що регулюється відповідними установами у сфері охорони здоров’я. Датацентри з такою сертифікацією відповідають закону про мобільність і підзвітність медичного страхування.
-
TVRA (The Threat, Vulnerability, and Risk Assessment). Цей сертифікат гарантує оцінку загроз і ризиків, що можуть негативно вплинути на роботу датацентру.
-
SOC (Service and Organization Controls). Ця сертифікація має три види звітності і контролює якість виконання процедур для захисту даних клієнта, пов’язаних із безпекою, доступністю і відповідністю галузевим стандартам.
Усі ці спеціальні сертифікати постійно оновлюються та гарантують відповідність вимогам сучасних клієнтів.
Я впевнений, що цінність вашої корпоративної інформації є надвисокою. І саме тому її захист варто довірити перевіреним та сертифікованим підрядникам. Наявність галузевих сертифікатів і документації про гарантію якості послуг від датацентру — обов’язкова умова для безпеки вашої інформації. Тож оцініть свої дані, сформулюйте вимоги до центру обробки даних і проаналізуйте його статус, щоб вибрати датацентр, який відповідатиме потребам вашого бізнесу.