Czy certyfikaty są jedynym, co ma znaczenie przy wyborze data center? Jest bardzo wiele czynników, które mogą mieć znaczenie dla klienta. Dla jednej firmy istotna będzie możliwość skorzystania z usługi „zdalnych rąk”, aby wykonać podstawowe prace przy kolokowanych serwerach. Dla innego użytkownika największe znaczenie może mieć doświadczenie we współpracy z firmami z określonej branży. Jednakże certyfikaty są kwestią kluczową, z której wynikają konkretne korzyści dla klienta, jak redundantne (powielone) systemy czy kontrola bezpieczeństwa informacji.
Jak ocenić data center?
Wybierając data center warto skupić się na rozpoznawalnych na całym świecie normach ISO (International Organization for Standardization), TIER (Uptime Institute) oraz ANSI (American National Standards Institute). Ułatwia to wyodrębnienie spośród wielu ośrodków najbezpieczniejszego data center, spełniającego nasze oczekiwania. Poniżej przedstawiamy najistotniejsze instytucje certyfikujące centra danych:
ISO
ISO, czyli Międzynarodowa Organizacja Normalizacyjna działa od 1947 roku, a wśród jej założycieli można wyróżnić Polski Komitet Normalizacyjny. ISO ustanawia normy dotyczące różnych dziedzin życia, opublikowano ich już ponad 20 tysięcy.
Uptime Institute
Uptime Institute opracował standard definiujący poziomy niezawodności data center. Obecnie standardy TIER spełniają centra danych w ponad 110 krajach.
American National Standards Institute
ANSI to istniejąca od 1918 roku instytucja certyfikująca, która działa w USA. Jest niezależną instytucją certyfikującą, która określa minimalne wymagania dotyczące infrastruktury centrów danych.
Na co należy uważać?
Niektóre firmy stosują niepokojące praktyki, podszywając się pod uznane certyfikaty. Używają nazw łudząco podobnych do znanych certyfikatów, a nawet piszą, że spełniają określoną normę np. w 99%.
Jeśli organizacja z jakiegoś powodu nie przeszła pełnej procedury certyfikującej i nie może się poszczycić prawdziwym certyfikatem wydanym przez uznaną instytucję – trudno określić poziom bezpieczeństwa, jaki faktycznie może zapewnić. Ponadto jeżeli już na etapie przedstawiania oferty dostawca próbuje zwabić klienta pustymi sloganami – trudno powierzyć jej opiekę nad danymi całej firmy.
Na jakie certyfikaty zwrócić uwagę?
Niezależnie od branży, w której działa firma, warto zwrócić uwagę na to, czy centrum danych wybrane dla naszych systemów IT posiada poniższe certyfikaty:
ISO 22301
Norma przeznaczona dla organizacji, dla których ciągłość działania jest kwestią strategiczną. Wdrożenie i doskonalenie systemu zarządzania ciągłością działania stanowi podejście, które umożliwia przewidywanie i reagowanie na ewentualne problemy mające wpływ na prowadzenie działalności np. katastrofy naturalne.
Jednak zarządzanie ciągłością działania nie dotyczy tylko sytuacji krytycznych – są to działania wykonywane każdego dnia, które pozwalają zachować stałą gotowość w razie wystąpienia np. awarii, a także zmniejszają możliwość jej wystąpienia.
ISO/IEC 27001
ISO/IEC 27001 jest standardem dotyczącym systemu zarządzania bezpieczeństwem informacji. Stosuje się go w organizacjach, dla których informacja jest wartością, a jej ochrona wynika z przepisów prawa. Certyfikat ISO/IEC 27001 zapewnia, że przetwarzane informacje są bezpieczne, dzięki stworzeniu odpowiednich warunków ochrony.
Norma stosuje Cykl Deminga (PDCA), składający się z elementów:
ISO/IEC 27017
ISO/IEC 27017 to rozszerzenie ISO/IEC 27001. Dotyczy technik bezpieczeństwa w technologii informacyjnej, stanowi swoisty kodeks praktyk, który opisuje, jak kontrolować bezpieczeństwo informacji w usługach chmurowych. Firmy współpracujące z organizacjami spełniającymi normę ISO IEC/27017 mogą być pewne, że ich dane nie zostaną wykorzystane do celów, na które nie wyrażono zgody.
ISO 27017/IEC dotyczy m.in.: kwestii odpowiedzialności między dostawcą rozwiązania chmurowego a klientem, monitorowanie aktywności klientów, dostosowanie środowisk wirtualnych, ich separację i ochronę, konfigurację maszyn wirtualnych, zwrot lub usunięcie aktywów w związku z zakończeniem umowy, a także procedury administracyjne.
TIER III
TIER to klasyfikacja centrów danych. Każdy z poziomów wyróżnia się określoną dostępnością danych – dla TIER III jest to 99,982%. Tak wysoki poziom dostępności można osiągnąć dzięki temu, że całość infrastruktury jest redundantna (powielona). Konserwację i serwisowanie infrastruktury wykonuje się bez utraty systemu chłodzenia i zasilania.
Warto zwrócić uwagę, czy firma posiadające certyfikat TIER uzyskała go tylko w odniesieniu do projektu obiektu, czy certyfikat dotyczy także poziomu konstrukcyjnego, co jest kompleksowym rozwiązaniem. Weryfikacja wytycznych w określonym obiekcie jest niezbędnym elementem wdrożenia certyfikatu na poziomie konstrukcyjnym, stąd jego duże znaczenie. Certyfikat Design Documents jest tylko deklaracją, a certyfikat Constructed Facility stanowi dopiero potwierdzenie, że to, co zostało zadeklarowane w dokumentacji projektowej zostało wdrożone i działa bezawaryjnie.
ANSI/TIA-942
Audyt ANSI/TIA-942 polega na sprawdzeniu ponad 2 tysięcy wymogów odnoszących się do kwestii takich jak: architektura sieci, projekt sieci elektrycznej, systemy mechaniczne, bezpieczeństwo fizyczne i przeciwpożarowe, efektywność, redundancja systemów mechanicznych, elektrycznych i telekomunikacyjnych.
Z pewnością można wyróżnić wiele innych certyfikatów, jednak wyżej wymienione są najistotniejsze w działalności data center. Posiadanie poświadczeń dotyczących określonego poziomu bezpieczeństwa daje klientowi pewność, że dane powierzone określonemu data center są zabezpieczone m.in. poprzez określone procedury.
Jeśli szukasz sprawdzonego dostawcy rozwiązań IT, sprawdź certyfikaty Exea w zakładce Data Center.
