Certificări pentru Centre de Date. Care sunt opţiunile principale?

Alinierea la standardele internaționale reprezintă o prioritate constantă a industriei centrelor de date, din ce în ce mai mulți clienți finali solicitând certificări care să garanteze disponibilitatea și calitatea serviciilor achiziționate.

Identificarea sistemului adecvat de certificare este însă dificilă pentru companiile nefamiliarizate cu standardele existente. Criteriile de clasificare și terminologiile diferă, iar zonele tehnologice acoperite (electro-alimentare, răcire, comunicații, securitate etc se suprapun. Și asta deoarece pe lângă „clasicele“ ISO 9001 (calitate), 27001 (securitate) și 14001 (mediu) sau seria dedicată ISO 30134 (indicatori de performanță pentru Data Centere), avem și SOC, HIPAA, PCI DSS, NIST 800-53, SSAE 16 etc. La acestea se adaugă însă și sistemele consacrate, cele mai populare în prezent fiind:

  • ANSI/TIA-942 – standard pentru infrastructura de telecomunicații, care utilizează un sistem de evaluare de tip „Ratings“;
  • Tier Standard – sistemul dezvoltat de Uptime Institute pentru certificarea centrelor de date din Statele Unite și exportat apoi cu succes la nivel internațional;
  • EN 50600 – „replica“ Comitetului European pentru Standardizare în Eletrotehnică (CELENEC), care folosește un sistem de „clase“.

Unii specialiști contestă însă includerea TIA-942 în top, invocând faptul că standardul este prea specializat, fiind focalizat strict pe zona de cablarea infrastructurii de comunicații. (Referirile la nivelurile de disponibilitate ale sistemelor de electro-alimentare și răcire apar „colateral“, doar în anexe, cu titlul de informare, nefăcând parte efectiv din standard.) Prin urmare, rămân în cursă sistemele dezvoltate de Uptime Institute și CELENEC, fiecare având propriile cu propriile avantaje competitive, pe care le vom prezența succint în rândurile ce urmează.

Atuurile sistemului Uptime Institute

Din punct de vedere al popularității, Tier Standard este lider. Conform datelor disponibile pe site-ul Uptime Institute, la momentul realizării acestui material erau emise peste 1.750 de certificări pentru centre din 105 țări. O scurtă incursiune pe harta centrelor certificate   relevă o serie de informații interesante:

  • România are, în prezent, un singur Data Center certificat (Transfond – Tier IV Certification of Design Documents).
  • Țările UE cu cele mai multe certificări sunt Spania (27), Italia (24) și Luxemburg (15).
  • La capitolul absențe notabile se remarcă Suedia, Finlanda și Estonia.
  • La nivel global, SUA deține supremația (178), urmată de China (95), Arabia Saudită (92), Brazilia (53) și Rusia (52).

Popularitatea Tier Standard se datorează, pe de o parte vechimii – peste 25 de ani pe piață –, iar pe de altă flexibilității sistemului. Uptime Institute utilizează o metodologie de evaluare a performanțelor centrelor și facilităților pe trei zone (Design, Constructed Facility și Operațional Sustainability), clasificându-le pe patru niveluri:

 

  • Tier I (Basic Capacity) – definește un Data Center dotat cu sisteme UPS și de răcire și generator electric pentru asigurarea protecției în cazurile întreruperilor accidentale de alimentare cu energie electrică.
  • Tier II (Redundant Capacity) – include componente redundante pentru sistemele critice de electro-alimentare și răcire (modul UPS, chillere, pompe, motoare de generatoare etc.).
  • Tier III (Concurrently Maintainable) – presupune asigurarea unei redundanțe de tip N+1, care să permită mentenanța și/sau înlocuirea echipamentelor fără perturbarea funcționării acestora.
  • Tier IV (Fault Tolerant) – presupune asigurarea unei redundanțe de tip N+2 și introduce conceptul de Fault Tolerance – atunci când survine un eveniment ce afectează funcționarea unui echipament sau livrarea unui serviciu critic, perturbarea este corectată automat.

(Mai multe detalii despre criteriile sistemului de clasificare Uptime Institute găsiți aici.) LINK: https://uptimeinstitute.com/tiers

Flexibilitatea invocată de partizanii Tier Standard constă în faptul că sistemul dezvoltat de Uptime Institute este unul progresiv – atingerea unui Tier superior se bazează pe respectarea condițiilor Tier-ului anterior. Pe de altă parte, sistemul indică doar rezultatele dorite, nu și modalitățile concrete prin care obiectivele de performanță pot fi obținute. Practic, sistemul Uptime Institute nu prescrie nicio tehnologie, design sau schemă specifică, dând astfel libertate centrelor de date în privința alegerilor făcute.

Care este abordarea EN 50600

Sistemul EN 50600 este conceput ca o suită de standarde, care se dezvoltă constant începând din 2013, la momentul realizării materialului incluzând următoarele componente:

  • EN 50600-1: General concepts
  • EN 50600-2-1: Building construction
  • EN 50600-2-2: Power distribution
  • EN 50600-2-3: Environmental control
  • EN 50600-2-4: Telecommunications cabling infrastructure
  • EN 50600-2-5: Physical security
  • EN 50600-3-1: Management and operational information
  • EN 50600-4-1: KPIs – Overview and general requirements
  • EN 50600-4-2: KPIs – Power Usage Effectiveness (PUE – ISO/IEC 30134-2);
  • EN 50600-4-3: KPIs – Renewable Energy Factor (REF ISO/IEC 30134-3);
  • EN 50600-4-4: KPIs – IT Equipment Energy Efficiency for Servers (REF – ISO/IEC 30134-3);
  • EN 50600-4-5: KPIs – IT Equipment Energy Utilisation for Servers (ITEEsv – ISO/IEC 30134-4)
  • EN 50600-4-5: KPIs – IT Equipment Energy Utilisation for Servers (ITEUsv – ISO/IEC 30134-5)
  • EN 50600-4-6: Energy Reuse Factor
  • EN 50600-4-7: Cooling Efficiency Ratio )
  • EN 50600-5-1: Data Center Maturity Model (Novated from Green Grid – In Development)
  • CLC/TR 50600-99-1: Energy management – Recommended Practices
  • CLC/TR 50600-99-2: Environmental sustainability – Recommended Practices
  • CLC/TR 50600-99-3: Guidance to the application of EN 50600 series

Deși este prezentat în prezent ca o suita de standarde, EN50600 nu a fost conceput inițial ca o metodă de evaluare, ci ca un ghid pentru centrele de date. Cu toate acestea, trei din componentele EN 50600 (2-2, 2-3 și 2-4) stabilesc niveluri de clasificare a centrelor de date în patru clase. Totodată, pentru Data Centerele care doresc să se alinieze cerințelor EN 50600, CLC Technical Committee 215 – entitate care colaborează cu CENELEC la dezvoltarea seriei de standarde – a publicat un ghid pentru corecta aplicare și interpretare a recomandărilor, CLC/TR 50600-99-3.

Deși seria este în dezvoltare încă – anul acesta au fost publicate EN 50600-4-6 și EN 50600-4-7 –, au început să apară tot mai multe entități terțe de certificare și centre de date care își anunță conformitatea cu anumite componente ale EN 50600. Ca de exemplu, providerul german InterNetX, centrul TelemaxX Telekommunikation  sau Data Centerul de stat de la Kragujevac, Serbia, cu o suprafață totală de 14.000 mp.

 

 

* Zona de telecomunicații nu este inclusă în sistemul de certificare Uptime Institute, pentru aceasta majoritatea centrelor de date folosind TIA942. EN 50600 include însă un sistem de ierarhizare pe patru clase: • 1. Single-path cu conexiune directă; • 2. Single-path cu utilizarea infrastructurii fixe și redundanță pe ENI (External Network Interface); • 3. Multi-path cu utilizarea infrastructurii fixe și redundanță pe ENI; • 4. Multi-path cu utilizarea infrastructurii fixe cu zone de distribuție redundante și redundanță pe ENI.

O abordare complementară

Un caz aparte îl reprezintă European Data Hub, din Luxemburg, care deține două certificări Uptime Institute (Tier IV Certification of Design Documents și M&O Stamp Of Approval), dar și certificarea EN 50600-2.

Nu este un caz singular – și centrul de date Basefarm, Norvegia, deține o certificare Uptime Institute (Tier III Certification of Design Documents), dar și EN50600 Availability Class 3.

Ceea ce demonstrează că abordarea Tier Classification versus EN 50600 este limitativă, cele două sisteme de certificare putând funcționa și complementar, fără se înlocui efectiv unele pe altele.

O astfel de abordare presupune însă competențe avansate în domeniul construcției Data Centerelor. De aceea, dacă doriți să aveți garanția că ați ales sistemul de certificare adecvat condițiilor specifice și nevoilor centrului de date pe care îl dețineți, specialiștii Tema Enegy vă stau la dispoziție.

Tema Energy – partener în proiectul Preţul Binelui

Tema Energy s-a alăturat Hope and Homes for Children România în proiectul Preţul Binelui care ajută copiii expuși riscului instituționalizării să rămână alături de familiile lor, oferindu-le acces la educatie si condiții de trai mai bune. Proiectul are ca obiectiv ca peste 1600 de copii care trăiesc în sărăcie, să nu ajungă în orfelinate, ci să rămână acasă, cu sprijinul companiilor partenere şi a donatorilor. Riscul ca aceşti copii să ajungă în instituţii a crescut considerabil în contextul pandemiei. Ambasadorul proiectului este binecunoscutul om de radio Mihai Morar. Programul are mai multe componente: conştientizarea opiniei publice ca de la sărăcie extremă la orfelinat este doar un pas, colectare de fonduri, distribuirea acestora şi ajutorarea efectivă a familiilor aflate in dificultate.

 

 

Hope and Homes for Children România derulează programe de prevenire a separării copilului de familie de aproape 20 de ani.  Mulţumită acestor acţiuni şi susţinerii din partea societatii, cca 35.000 de copii vulnerabili au rămas alături de părinți, si-au continuat studiile, au avut parte de ingrijire medicala adecvata si au beneficiat de programe de integrare socio-profesională.

Sunt interesate Centrele de Date să devină operatori de servicii esențiale?

Iminența instaurării unei noi stări de urgență – măsură luată în calcul de autorități pentru a atenua evoluția alarmantă a pandemiei de COVID-19 – readuce în prim-plan subiectul registrului de operatori de servicii esențiale (OSE) activi în România. Motivul este evident: pe parcursul stării anterioare de urgență, entitățile din categoria OSE au beneficiat de o serie de derogări de la măsurile limitative luate de autorități (privind derularea activității, deplasarea angajaților etc.)

Însă, conform raportului Comisiei Europene de evaluare a coerenței abordărilor adoptate de statele membre în procesul de identificare a OSE (în conformitate cu Directiva UE 2016/1148 privind securitatea rețelelor și a sistemelor informatice – așa-numita Directiva NIS), România avea la nivelul anului trecut doar 86 de entități încadrate la categoria OSE (spre deosebire de media europeană, care este de 633 operatori per stat membru). Iar dintre aceștia nu fac parte, în mod explicit, centrele de date, care au un rol esențial în derularea activității economice, atât în condiții de normalitate, dar mai ales în cazul readoptarii la nivel național a lucrului la distanță, respectiv de acasă.

Limitările Anexei II

 

Faptul că Data Centerele nu se regăsesc în Registrul Operatorilor de Servicii Esențiale – întocmit și gestionat de CERT-RO, entitate care se ocupă de identificarea și verificarea OSE – nu este o situație specifică doar României, ci se regăsește la nivelul întregii Uniuni Europene.

„Scăparea“ se datorează în bună măsură faptului că Directiva NIS emisă de Parlamentul European în iulie 2016 stabilește în formula sa inițială că OSE provin, în principiu, din șapte sectoare de activitate , nominalizate în Anexa II. În versiunea CERT-RO (disponibilă aici), acestea sunt:

 

 

  1. Energie (electrică; petrol, gaze);
  2. Transporturi (aerian, feroviar, pe apă, rutier);
  3. Bancar;
  4. Infrastructuri ale pieței financiare;
  5. Sectorul sănătătii;
  6. Furnizarea și distribuirea de apă potabilă;
  7. Infrastructuri digitale (Servicii IXP pentru traficul internet; Servicii DNS; Gestionarea registrului de nume de domenii .ro).

 

 

 

 

Acestora li se adaugă Furnizorii de Servicii Digitale (FSD) din trei categorii: piețe online, motoare de căutare online și servicii de Cloud Computing (conform Art. 3, Lit o).

Şi totuși, se poate mai mult

 

Faptul că Anexa II a fost aplicată mot-à-mot de statele membre se pare însă că este o greșeală care le aparține acestora. Articolul 5 alineatul (2) al Directivei stipulează trei criterii principale care trebuie utilizate generic identificarea OSE. Însă la alineatul (3) se prevede că statele membre trebuie să stabilească o listă cu serviciile esențiale pe baza acestor criterii, dar și că pot să depăsească sfera de aplicare a Anexei II și să efectueze o identificare în alte sectoare și subsectoare. Lucru pe care Ministerul Comunicațiilor și Societății Informaționale a încercat să-l facă în 2017, când a lansat în consultare publică modul de transpunere a Directivei NIS, incluzând în chestionar întrebarea: „Considerati că alte sectoare de servicii esențiale/digitale ar trebui să aibă obligații în ceea ce privește securitatea rețelelor și sistemelor informatice decât cele incluse în Anexele Directivei NIS? Care?“

Răspunsurile primite, conform raportului citat, au depășit cu mult nominalizările Anexei II, România identificând 77 de categorii de servicii esențiale. Adică mai mult decât dublu față de media europeană, care este de 35. (Singurii care ne-au depășit au fost polonezii, care au stabilit 87 de servicii esențiale.)

Cu toate acestea, forma finală a Legii nr. 362/2018 (care transpune Directiva NIS în legislația națională) așa cum a intrat ea în vigoare din ianuarie 2019, precum și Normele metodologice de identificare a OSE și FSD aprobate în iulie trecut nu includ decât sectoarele și subsectoarele menționate anterior. (Ghidul practic de identificare al OSE întocmit de CERT-RO este disponibil aici.)

 

CE revizuieste, CERT-RO se grăbește

 

Raportul Comisiei Europene de evaluare a coerenței abordărilor adoptate de statele membre (disponibil aici PDF în versiunea română) a analizat și aplicarea directivei în alte sectoare decât cele incluse în Anexa II.

Rezultatele obținute arată că statele membre participante au identificat 157 de OSE care furnizează servicii esențiale neincluse în rândul entităților menționate anterior. Iar primele dintre acestea sunt centrele de date și fermele de servere, urmate de serviciile financiare furnizate de societăți de asigurare și reasigurare și serviciile guvernamentale (servicii electronice pentru cetăteni).

În raport se mai arată că o serie de state membre au decis să profite de oportunitatea de a cuprinde și alte sectoare decât cele enumerate în Anexa II, măsură pe care o au în vedere și oficialii CERT-RO. Dan Cimpean, director general al Centrului, a precizat cu ocazia evenimentului Ziua Comunicațiilor că oficialii CE prevăd o revizuire a Directivei NIS pentru extinderea ariei de incluziune a categoriei OSE, dar și că măsurile pot fi grăbite de autoritățile române: „Prin Legea 362/2018 au fost desemnați Operatorii de Servicii Esențiale la nivelul României. Dar, în mod surprinzător, operatorii de telecomunicații nu intră în categoria OSE. Nu este vina legiuitorului român – Legea 362 este doar o transpunere a Directivei NIS în legislația națională –, însă pandemia ne-a demonstrat în mod clar că operatorii telecom sunt esențiali. Din fericire, Comisia Europeană prevede o revizuire a Directivei, dar cred că ar fi oportună adoptarea modelului altor țări care nu au mai așteptat și au luat la nivel național decizia de a desemna operatorii de telecomunicații a operatori de servicii esențiale.“

 

Statutul vine însă cu obligații

 

Este o informație utilă și industriei centrelor de date din România care, beneficiind de sprijinul autorităților, ar putea accede la statutul OSE, cu benficiile care decurg de aici. Însă, așa cum a precizat și directorul CERT-RO, recunoașterea vine la pachet cu o serie de responsabilități importante: de a reduce riscurile la minim, de a coopera cu furnizorii de echipamente și tehnologii și cu autoritățile pentru a identifică și contracara aceste riscuri, de a fi foarte transparenți în cazul incidentelor sau al existenței riscului unui impact asupra societății și economiei etc.

Conditiille de asigurare a securități rețelelor și sistemelor informatice prevăzute în Capitolul IV din Legea 362 includ cerințe minime de securitate, de notificare a incidentelor și de management al acestora. În afara acestora un întreg capitol (V) este dedicat auditului și autorizării OSE, iar un altul (VII) acțiunilor de supraveghere, control, sancționare. (link util https://cert.ro/pagini/informatii-generale-despre-nis găsiți mai multe informații generale utile.)

E foarte posibil ca acest cumul de condiții și prevederi să fie prea restrictiv pentru centrele de date din România. Dovadă, nici operatorii telecom nu se înghesuie să obțină statutul de OSE.

Însă, fie că vor deveni sau nu operatori de servicii esențiale, centrele de date locale vor trebui să adopte strategii adaptate contextului pandemiei, cum sunt, de exemplu, cele pe care vi lle-am recomandat deja pentru a pute asigura continuitatea operațională și nivelurile de performanță și calitate a serviciilor agreate cu clienții, fără a periclita sănătatea angajaților.