Сертифицировались? А объяснить можете?

14.05.2013

lukovnikov

На портале GlobalCIO вышла экспертная колонка Михаила Луковникова - директора по развитию бизнеса ЦОД 'ТрастИнфо' (компания 'Сервионика', ГК 'Ай-Теко'). Она посвящена теме сертификации ЦОД - какие виды сертификации являются обязательными в России, а какие — добровольными, и о чем говорит тот или иной сертификат. 

Наиболее актуальными видами сертификации на сегодня являются: 

  • Uptime Institute (различается по уровням Tier и типам сертификата: на проект, на объект, на эксплуатацию)
  • ISO/IEC 27001
  • ISAE3402
  • Payment Card Industry Data Security Standard (PCI DSS)
  • Certified Energy Efficiency Data Center Award (CEEDA)
  • Обеспечение соответствия требованиям ФЗ 152 («Закону о персональныхданных»)
  • Сертификаты конкретных производителей (в настоящей статье не рассматриваются)

Полный текст публикации - на globalCIO 

=========================================================

В дополнение к данной публикации Михаил ответил на вопросы читателей портала GlobalCIO и подробнее прокомментировал наиболее распространенные сертификаты: 

1) 'какие виды сертификации являются обязательными в России, а какие — добровольными' - кто определяет обязательность/ добровольность?
Обязательность сертификации товара или услуги определяется законодательными нормами нашей страны. Для самого ЦОД подобных требований не существует. Требуют обязательной сертификации ряд видов деятельности – услуги связи, телематика и т.д. Соответственно, сертификация ЦОД является добровольной. Мотивы проведения необязательной сертификации могут быть разные. Например, для увеличения доверия клиентов, создавая тем самым конкурентное преимущество. Или аудит деятельности подрядчиков со стороны инвестора проекта.Если говорить про конкретные услуги, типа размещения эквайринговых, систем приема платежей – для них необходимо иметь сертификацию PCI DSS. Требование соответствию стандарту распространяются на все компании, работающие с международными платёжными системами Visa и MasterCard. 


2) 'данная сертификация подразумевает профессиональный аудит' - аудит в какой форме? по каким параметрам? что-то реально тестируется?
Как я понял, вопрос касается  сертификации, проводимой Uptime Institute (UI). В качестве первого этапа специалистами UI проводится аудит проектной документации  (здание, инженерная инфраструктура, СКС, машзалы и т.д.). После проверки предоставляется отчет, какие элементы инфраструктуры не являются отказоустойчивыми и не соответствуют уровню, на который проводится сертификация. Основные параметры (критерии) – это отказоустойчивость и предоставления услуг бесперебойно c возможностью проведения ремонтных и профилактических работ в «горячем режиме». Есть фиксированные параметры - они зависят непосредственно от уровня отказоустойчивости. Что касается тестов – их проводят на этапе проверки соответствия реализованного ЦОД требованиям конкретного уровня Tier. Специалисты UI приезжают на объект, инспектируют инженерные системы и персонал, проводят нагрузочные тестирования. По результатам уже выдается сертификат Constructed Facility на соответствие уровню. 


3) 'аттестация на соответствия ФЗ 152' - разве на соответствие аттестуется ЦОД, а не информационная система? Даже ИС не аттестуется, а защищается по классу...

Совершенно верно, ЦОД на соответствие ФЗ-152 не аттестуется. Аттестуется сама система по обработке ПДн и комплексы ее защиты.

Назад к разделу "Публикации"