Далеко не все дата-центры проходят сертификацию Tier, поэтому в этой статье будут разобраны и другие стандарты и сертификаты, показывающие надежность ЦОД. Почему мед организациям нужно обращать внимание на HIPAA, какие требования PCI DSS должны соблюдать дата-центры, что подтверждают стандарты ISO и в чем отличия отчетов SOC 1 от SOC 2.
Надеюсь, эта статья поможет лучше разобраться, что означают эти аббревиатуры и почему на них стоит обращать внимание при выборе ЦОД.
Наиболее распространенной гарантией надежности дата-центра является наличие сертификатов, подтверждающих, что он соответствует требованиям эксплуатации и является безопасным для хранения данных. Например, стандарт Tier, который отражает разные уровни поддержки инфраструктуры. Его часто используют как ориентир при выборе ЦОД. На Хабр довольно много статей про него, поэтому здесь я затрону только основные поинты, которые следует понимать.
Дата-центр | Сертификаты |
---|---|
DataSpace (Россия, Москва) | Стандарты и сертификаты: Tier III Design, Tier III Facility, Tier III Operations, PCI DSS, ISO 9001:2015 |
AM2 (Нидерланды, Амстердам) | Стандарты и сертификаты: SOC 1 Type II, SOC 2 Type II, PCI DSS, ISO 9001:2015, ISO 27001, ISO 45001 (OHSAS), ISO 22301, ISO 14001, ISO 50001 |
NNJ3 (США, Нью-Джерси) | Стандарты и сертификаты: ISO 27001, HIPAA Assessment, SOC 1 Type II, SOC 2 Type II, PCI DSS |
TOR3 (Канада, Торонто) | Стандарты и сертификаты: ISO 27001, HIPAA Assessment, SOC 1 Type II, SOC 2 Type II, PCI DSS |
beCloud (Беларусь, Минск) | Стандарты и сертификаты: Tier III Design, Tier III Facility, Tier III Operations, PCI DSS, ISO 27001 |
Kazteleport (Казахстан, Алматы) | Стандарты и сертификаты: PCI DSS, ISO 9001:2015, ISO 14001, ISO 45001 (OHSAS) |
Tier
Начнем с Tier, уровни которого показывают степень надежности и отказоустойчивости дата-центра. Разработан он международной организацией Uptime Institute, которая и выдает сертификаты соответствия. Существует четыре уровня, где каждый новый включает в себя требования, предъявляемые к предыдущим. Основные критерии для присвоения того или иного уровня:
- питание;
- охлаждение;
- протоколы обслуживания;
- избыточность;
- отказоустойчивость.
Чтобы ЦОД получил сертификацию Tier, оператор должен отправить проектную документацию в Uptime Institute на рассмотрение. Далее сотрудники института должны посетить объект, чтобы проверить его работу и сравнить, насколько он соответствует проекту. После завершения проверки дата-центру присваивается уровень от I до IV.
Tier I
На этом уровне дата-центр оснащен базовой инфраструктурой без резервирования и соответствует требованиям: наличие источника бесперебойного питания на случай сбоя и перенапряжения, зоны IT-систем, охлаждающего оборудования и генератора на случай отключения электроэнергии. Эти компоненты позволяют объекту справляться со скачками напряжения и перебоями в подаче электроэнергии, а также работать в выходные дни.
Для проведения регулярного техобслуживания или аварийного ремонта работа ЦОД должна быть временно остановлена.
Tier II
ЦОД уровня Tier II уже обладает инфраструктурой с резервированием. Здесь к требования Tier I добавляется частичное резервирование в виде резервных генераторов, накопителей энергии, охлаждающего оборудования (например, чиллеров/насосов), модулей ИБП, оборудования для отвода тепла, топливных баков и ячеек.
ЦОД на этом уровне уже не может выйти из строя, если инженерное оснащение площадки отключится. Это возможно благодаря дополнительным источникам питания и каналам охлаждения. Но как и на уровне I техработы все еще не могут быть осуществлены без приостановки работы.
Tier III
ЦОД Tier III уже оснащен инфраструктурой с повышенным уровнем резервирования. Поддерживает техобслуживание и замену оборудования без приостановки работы дата-центра. Все инфраструктурные элементы имеют несколько резервных копий: есть несколько каналов подачи питания и охлаждения. В моменты технического обслуживания (8-12 часов) будет активен только один из этих элементов. Наши дата-центры в Москве (DataSpace) и Минске (beCloud) имеют сертификацию III уровня.
Tier IV
Центр обработки данных Tier IV содержит все возможности объектов уровней I, II и III, но также включает механизмы отказоустойчивости с резервированием для каждого компонента. Любые незапланированные сбои отдельного оборудования не влияют на ИТ-операции.
Для более четкого понимания основные отличия выделены в таблице:
Параметры | Tier I | Tier II | Tier III | Tier IV |
---|---|---|---|---|
Гарантия безотказной работы | 99,671% | 99,741% | 99,982% | 99,995% |
Время простоя в год | <28,8 часов или 1729 минут | <22 часа или 1729 минут | <1,6 часа или 95 минут | <26,3 минуты |
Одновременно ремонтопригодный | Нет | Нет) | Частично | Да |
Клиент | Небольшие компании и стартапы с простыми требованиями | Малый и средний бизне | Растущий и крупный бизнес | Государственные учреждения и крупные предприятия |
Чтобы еще более подробно погрузиться в специфику уровней, можете почитать статьи на Habr Введение в систему классификации Tier и Еще раз про уровни Tier. А со списком дата-центров, которые сертифицированы Uptime Institute, можно ознакомиться на официальном сайте.
Сертификация Tier не является обязательной. Некоторые дата-центры строятся по стандартам Tier III, но не получают конкретный уровень. Причина этого может быть в стоимости сертификации — в пересчете на стойку она значительна, а после прохождения сертификации доп расходы перекладываются на клиентов.
Помните новость, когда в Страсбурге сгорел дата-центр, хотя точнее будет сказать трэш-цод, от OVH Cloud. Он был построен из контейнеров и выглядел как большой склад и явно не был сконструирован по уровням Tier. В результате этой ситуации было отключено миллион веб-сайтов и интернет-сервисов по всему миру. Пострадали правительственные ресурсы, банки, магазины, новостные порталы и большое количество страниц в доменной зоне .FR, используемой во Франции. Поэтому выбирать провайдера только по стоимости не рекомендуется.
При этом нет оснований считать, что отсутствие сертификата означает низкую надежность ЦОДа. Существуют и другие критерии и стандарты, по которым можно оценить надежность. Об этом поговорим далее.
HIPAA
Одни из наших зарубежных дата-центров TOR3 и NNJ3 соответствуют требованиям HIPAA. Что это значит?
Во многих дата-центрах хранится информация клиентов, в числе которых могут быть медицинские организации. Так как данные таких компаний являются конфиденциальными, необходимо убедиться, что они находятся под защитой и соответствуют закону о мобильности и подотчетности медицинского страхования (HIPAA или Health Insurance Portability and Accountability Act). Отмечу, что это касается только американских компаний.
Чтобы подтвердить, что дата-центр соответствует HIPAA, он должен проходить ежегодный анализ рисков для выявления угроз для ePHI (electronic protected health information) – защищенная медицинская информация.
- SSL-сертификаты и HTTPS. Дата-центры должны гарантировать, что любой веб-доступ к ePHI пациента зашифрован и защищен от несанкционированного доступа.
- AES-шифрование. Поставщики услуг дата-центра должны использовать Advanced Encryption Standard для шифрования ePHI, хранящийся на серверах.
- Firewall. Установка безопасного Firewall может предотвратить кибератаки и остановить доступ вредоносного ПО к данным ePHI через Интернет.
- Удаленный VPN-доступ. Установка удаленного управления VPN необходима для обеспечения безопасного доступа к сетям и системам, содержащим конфиденциальные данные ePHI, с использованием удаленного компьютера.
- Выделенный частный IP-адрес. Отделение сети от общедоступного Интернета может гарантировать отсутствие несанкционированного доступа извне или злонамеренного трафика в сетях, содержащих ePHI.
- Аварийное восстановление. ЦОД должен иметь не только план действий на случай инцидента, но и документированный резервный план восстановления на случай потери ePHI или сбоя сервера.
- Программа обучения по вопросам безопасности. Руководители ЦОД и все сотрудники, которые прямо или косвенно имеют дело с данными ePHI или принимают активное участие в обеспечении их безопасности, должны быть обучены по вопросам безопасности.
- Регулярная оценка безопасности и рисков. Периодически необходимо проводить анализ безопасности и рисков, чтобы оставаться в курсе и защищаться от угроз безопасности.
- Соглашения делового партнерства. Необходимо заключать официальные соглашения о партнерских отношениях, в которых подробно описаны обязанности и ответственность учреждений здравоохранения.
- Политики и процедуры безопасности. Необходимо проработать соответствующие политики и процедуры безопасности, которыми руководствуются сотрудники, а также обязанности по обеспечению безопасности для реализации.
За публикацию правил HIPAA отвечает Министерство здравоохранения и социальных служб (HHS), а Управление по гражданским правам (OCR) агентства отвечает за соблюдение и принятие принудительных мер в случае выявления нарушений.
PCI-DSS
Не будем отходить далеко от конфиденциальных данных. Точно так же, как HIPAA защищает медицинскую информацию (ePHI), стандарты PCI DSS направлены на защиту уже данных кредитных карт.
Стандарт безопасности данных индустрии платежных карт (PCI DSS или Payment Card Industry Data Security Standard) был разработан в 2004 году компаниями Visa, MasterCard, Discover Financial Services, JCB International и American Express. Он представляет из себя очередной документ со списком критериев, которые должен соблюдать дата-центр. Направлен на защиту транзакций по картам от кражи данных и мошенничества.
PCI DSS разделяет компании на четыре уровня в зависимости от количества годовых транзакций по картам, которые бизнес-процессы обрабатывают. Уровень классификации определяет, что предприятие должно делать регулярно, чтобы соответствовать требованиям.
- Раз в год компании должны проходить внутренний аудит с независимым экспертом аудитором PCI
- Компании должны раз в квартал проходить ASV-сканирование для выявления внешних уязвимостей и заполнять лист самооценки (SAQ или Self-Assessment Questionnaire). Также может потребоваться ежеквартальное сканирование PCI.
- Для прохождения сертификации требуется как ежеквартальное ASV-сканирование, так и заполнение листа самооценки (SAQ).
- Как и на 3 уровне должна быть выполнена ежегодная оценка с использованием соответствующего SAQ. Также может потребоваться ежеквартальное сканирование PCI.
Дата-центры должны соответствовать следующим требованиям безопасности в отношении PCI DSS:
Сетевая безопасность
1. Должна быть обеспечена установка и поддержка firewall.
2. Системные пароли должны быть оригинальными.
Безопасность данных держателя карты
3. Данные держателя карты должны быть защищены.
4. Передача данных о держателях карт через общедоступные сети должна быть зашифрована.
Управление уязвимостями
5. Необходимо использовать антивирусное программное обеспечение и регулярно обновлять его.
6. Необходимо разрабатывать и поддерживать безопасность системы и приложения.
Контроль доступа
7. Доступ к данным о держателях карт должен быть ограничен и предоставлен только тем сотрудникам компании, которым эта информация необходима для выполнения своих обязанностей.
8. Каждому лицу, имеющему доступ к компьютеру, должен быть присвоен уникальный идентификатор.
9. Физический доступ к данным держателей карт должен быть ограничен
Мониторинг и тестирование сети
10. Доступ к данным держателей карт и сетевым ресурсам должен отслеживаться и контролироваться.
11. Системы и процессы безопасности должны регулярно тестироваться.
Информационная безопасность
12. Должна поддерживаться политика, касающаяся информационной безопасности.
PCI DSS не является юридическим или государственным регламентом. Однако, если центр обработки данных не соответствует требованиям, компании-эмитенты кредитных карт сами налагают штрафы на них. Поэтому все наши дата-центры имеют сертификат PCI DSS.
ISO
Всем известные международные стандарты качества применимы и к сфере IT-безопасности. Они помогают дата-центрам выстраивать бизнес-процессы, осваивать новые рынки сбыта и подтверждать характеристики своего «продукта».
К сериям стандартов, которые применяются к процессам обслуживания в дата-центре относятся ISO-9000 для общего управления качеством, ISO-27001 для информационной безопасности и ISO-14000 для экологических аспектов.
Например, многие из наших ЦОД соответствует стандарту ISO 9001. Его наличие показывает, что системы менеджмента качества (СМК) были успешно внедрены в бизнес-процессы. Проверка проводится в два этапа: документарная и выездная оценка экспертом органа по сертификации и специалистом Росаккредитации либо добровольной или международной системы сертификации.
Есть также стандарт ISO 27000, который применяется для управления информационной безопасностью (ISMS). Стандарт представляет собой серию политик и процедур, которые рекомендуют юридические, физические и технические средства контроля, связанные с процессами управления информационными рисками организации.
Сертификации ISO 14001 и ISO 50001 предоставляют подтверждение вашего надежного управления энергопотреблением и защитой окружающей среды и управления эффективностью.
Стандарт ISO 22301 предусматривает требования к системе менеджмента с целью защиты организации от перебоев деятельности, снижения их вероятности и обеспечения условий для восстановления.
ISO 45001 (OHSAS или СМПБиЗ) – система менеджмента охраны здоровья и безопасности труда. Предназначен для предотвращения производственного травматизма и профессиональных заболеваний, а также обеспечения безопасных и здоровых рабочих мест.
Некоторые организации применяют эти стандарты в целях получения выгод от внедрения новых требований, в то время как другим они необходимы для удовлетворения ожиданий клиентов. Сама организация ISO не осуществляет сертификацию, этим занимаются сторонние компании. Так, например, дата-центры Cologix получили сертификат ISO 27001 от компании Schellman.
SOC
Рассмотрим еще одни стандарты или даже лучше сказать отчеты, которые получают дата-центры – Service and Organization Controls. Существует 3 вида отчета, проработанные Американским институтом дипломированных общественных бухгалтеров (AICPA).
В ходе аудита SOC 1 оцениваются внутренние средства контроля и процедуры, имеющие отношение к защите данных клиентов. Существует два типа отчетов SOC 1.
SOC 1 Type I фокусируется на описании средств контроля, которые организация внедрила на определенный момент времени. SOC 1 Type II содержит те же данные, что и отчет типа I, но добавляет оценку операционной эффективности. Касается разработки и тестирования средств контроля за определенный период (чаще всего за 6 месяцев). В нем описываются проведенные испытания и результаты. Этот тип отчета является гораздо более строгим, поскольку требует, чтобы аудиторы провели более тщательное исследование структуры и процессов.
Аудит SOC 2 проверяет средства контроля, которые связаны с безопасностью, доступностью, целостностью обработки и конфиденциальностью данных. Эти критерии известны как Принципы службы доверия и являются основой любого отчета SOC 2.
SOC 2 не имеет жестких спецификаций, но позволяет каждой организации разрабатывать меры безопасности, используя принципы доверия. Контроль доступа, многофакторная аутентификация, шифрование, защита периметра, мониторинг производительности, а также обеспечение качества входят в число средств контроля, используемых для выполнения требований SOC 2.
Отчеты SOC 2 уникальны для каждой организации. В соответствии с определенной деловой практикой каждый из них разрабатывает свои собственные средства контроля, чтобы соответствовать одному или нескольким принципам доверия.
Есть также отчет SOC 3 — это отчет, в котором оценивается, соответствует ли предприятие требуемым отраслевым стандартам. Этот отчет носит более общий характер и не включает большую часть технической информации. Скорее, SOC 3 служит дополнительной проверкой соответствия, используемую на веб-сайтах и в других документах, не относящихся к организациям.
Сертификаты SOC действительны в течение 1 года. Организации обязана ежегодно проходить аудит SOC для обеспечения соответствия.
Советую почитать: опыт прохождения сертификации SOC 2 и SOC 3 от Яндекс.Практикум.
Дата-центры, получившие сертификаты имеют определенный статус и вызывают у потребителя большее доверие к оказываемым услугам, который они реализуют. Поэтому стоит задуматься о том, чтобы своевременно получить этот сертификат. Но где размещать оборудование или каким провайдерам довериться выбирать вам.
Конечно, есть много моментов, которые я не смогла здесь охватить. В статье представлена информация, необходимая для понимания, за что отвечает каждый сертификат и какие существуют требования для их получения. Если у вас есть, что добавить или вы хотите поделиться полезными материалами, мы будем рады услышать от вас в комментариях ниже.
Комментарии (8)
AlexM2001
25.01.2023 20:17+2Дарья, спасибо за информацию.
А про системы кондиционирования будет статья?
Serverspace
26.01.2023 12:28+3Здравствуйте, пока такая статья не планировалась. Но мы обязательно подумаем, что мы можем написать на эту тему)
AlexM2001
26.01.2023 12:41+1Система климата неотъемлемая часть ЦОДа. Предполагаю многих заинтересует.
Занимаюсь этим оборудованием давно, прочту Вашу статью с интересом.
Chumachechy
25.01.2023 23:39+2Всегда было любопытно, откуда берут числа на подобие "Гарантия безотказной работы: 99,671% ... 99,995%"? Из статистики отказов (например из 100000 процессоров в течение года из строя выбыло 329) Или в течение года из 100000 клиентов были сбои в обслуживании 329. Может теоретически посчитали исходя из схемы построения ЦОД. Или исходя из других подходов?
P.S. Посчитал. Указанное время простоя в год как раз и дает эти числа "надежности".
Darya_Chuyko Автор
26.01.2023 12:38+2Добрый день, да, все правильно. Процент надежности вычисляется как раз из времени простоя в год. В году 8760 часов, если время простоя как в Tier I 28,8 часов, то процент будет составлять 99,6712328767 - это, если быть точным)
Ivan_cod
26.01.2023 21:27+2Позновательная статья.
К сожалению вы не рассказали про TIER design, facility и operations, хотя картинка с этими терминами у вас есть.
Darya_Chuyko Автор
27.01.2023 12:44+2Здравствуйте, на Хабр довольно много статей про Tier, поэтому здесь я не стала так углубляться. В статье давала ссылки на материалы, где подробно написано про Tier. Вот здесь описаны эти моменты: https://habr.com/ru/company/ua-hosting/blog/243109/
little-brother
Сначала перевести документацию на английский язык, далее пригласить представителей, которые проверят, правда в документации или нет, а потом (но это не точно) передать подготовленные разведданные в компетентные органы США. За это владелец ЦОДа получает сертификат-бумажку от уважаемой (наверное) организации Uptime Institute.
Я ничего не упустил :) ?