Сам себе Uptime: как сертифицировать ЦОДы в новых реалиях?
Взаимодействие российских компаний с глобальными организациями, сертифицирующими бизнес-процессы и технические решения, в современных условиях оказывается под угрозой. Под вопросом может оказаться проведение аттестации дата-центров по стандартам Uptime Institute – Tier и Management & Operations. Выходить из положения придется за счет внутренних отраслевых компетенций.
Без бумажки ты не Tier?
Аудиты Uptime Institute – глобального сертификатора ЦОДов – всегда проводятся командой экспертов, в том числе на объекте в формате личной инспекции. В связи с нарушением множества логистических цепочек и проблемами с трансграничными финансовыми переводами процесс получения российскими ЦОДами сертификатов Uptime Institute Tier и Management & Operations (M&O) оказывается под угрозой.
В то же время в России довольно много дата-центров, которые работают, лишь декларируя соответствие требованиям Tier, формально не проходя процедуру верификации соответствия. Про M&O и говорить не приходится – этот сертификат имеется у очень ограниченного числа ЦОДов.
Ситуация напоминает спортивные соревнования: хорошо подготовленный любитель может спокойно занять высокое место, оставив позади профессионалов, но на призы он претендовать не сможет по причине отсутствия подтверждения статуса по правилам сообщества.
Так и здесь. Операторы строят площадки в соответствии со всеми требованиями и стандартами, принятыми в отрасли, запускают необходимые процессы эксплуатации и обеспечения безаварийной работы, но обходятся «без бумажки».
Чем чревато
Прекращение докуска к международной сертификации не повлияет на средний по рынку уровень надежности наших ЦОДов. Однако формальное подтверждение того самого статуса независимым международным арбитром действительно гарантирует соблюдение всех необходимых подходов к проектированию, строительству, настройке, эксплуатации, поддержке отказоустойчивости.
В ситуации массового отсутствия сертификатов клиентам ЦОДов для достоверной оценки партнера или контрагента придется самостоятельно проводить аудит рассматриваемых площадок. Выезжать в ЦОД, проверять, как он построен, как управляется, изучать результаты тренировок персонала по обеспечению отказоустойчивости, резервированию, изучать документацию и т. д.
Кроме того, ранее в тендерах заказчик мог заявить в качестве одного из критериев наличие сертификата Tier III. В новых условиях придется максимально детально расписывать конкурсные требования.
Родные стандарты
По собственному опыту могу сказать, что в России уровень культуры управления площадками довольно высок. Практически все провайдеры практикуют регулярные тренинги по отработке базовых аварийных сценариев. Большинство коммерческих ЦОДов прекрасно оборудованы и обеспечивают надежную работу ИТ-инфраструктуры.
По сути, сертификация в качестве формального подтверждения уровня объекта больше нужна клиентам, нежели операторам. Прежде чем передать ЦОДу ИТ-системы и данные, хочется увидеть авторитетную бумажку.
И в этом отношении Uptime заслуженно считается золотым стандартом в отрасли. Однако свято место пусто не бывает. Уже в 2020 году в рамках развития национальных программ в сфере цифровизации началось обсуждение инициативы Ассоциации участников отрасли ЦОД. Проект под рабочим названием «РосЦОД» предполагал тот же принцип, по которому работает Uptime. Ассоциация является разработчиком системы сертификации и управляет органом аккредитации независимых компаний-аудиторов.
Сертификацию предложили реализовывать на основе отечественной модели классификации дата-центров, проект которой был разработан в рамках нацпрограммы «Цифровая экономика» в 2019 году. ЦОДы оцениваются по 30 показателям, включая параметры надежности, физической, информационной и пожарной безопасности, доступности услуг информационных систем. Каждый из показателей оценивается по пятибалльной шкале: от A (наивысший балл) до E (минимальный).
В 2021 году сертификацию по «РосЦОД» запустили на добровольной основе. Существует и национальный стандарт «Центры обработки данных. Ключевые показатели эффективности», введенный в 2019 году, но он, по сути, является переводом международного стандарта ISO/IEC 30134-1:2016.
Альтернативная реальность
Как ситуация может развиваться далее? Вполне вероятно, независимый аудит от организации типа «РосЦОД» станет постоянным критерием конкурсных процедур. Формат: «сертификация независимым аудитором из списка… с уровнем оценки не ниже…». Например, в сфере бухгалтерского учета существуют международные и национальные стандарты, использование одних не мешает применять другие.
Другое дело, что экспертиза Uptime складывалась долгие годы очень интенсивной работы в глобальном масштабе. Она является выжимкой аудита тысяч площадок по всему миру. Насколько эффективно получится конкурировать с таким заделом – серьезный вопрос. У компаний – клиентов ЦОДов остается несколько вариантов действий:
Если бизнесу нужна качественная услуга ЦОДа, можно отправить на площадку специалистов, которые в режиме «сам себе Uptime Institute» изучат все критически важные составляющие для работы ИТ-инфраструктуры.
Для аудита ЦОДов можно задействовать аутсорсинг, передав эти задачи компаниям, имеющим высокие компетенции в области постройки или управления дата-центрами. Для независимой оценки операционных процессов можно привлекать специалистов из коммерческих дата-центров с Tier III и M&O.
Накоплен опыт строительства и управления ведомственными дата-центрами. Например, очень серьезно к этим вопросам подходит «Росатом», конкурсная информация с ТЗ на такие объекты – в открытом доступе, и никто не запрещает применять подобную практику в решении задач строительства коммерческих ЦОДов. Хотя стандарты «Росатома», возможно, несколько избыточны для коммерческих площадок.
Исполнителей на уровне создания зданий и инженерных систем ЦОДов в России можно найти, так что непреодолимых трудностей с компетенциями в нужном объеме не возникнет.
Однако ряд проблем переходного периода, связанных с синхронизацией подходов к сертификации, отрасли пережить придется. Выработка общих критериев и процедур займет какое-то время, а до той поры все задачи придется решать в режиме индивидуального подхода к каждому кейсу. Пока же клиентам дата-центров, которым наличие сертификатов критически важно, придется заплатить за это удовольствие из своего кармана.
Опубликовано 28.04.2022