Przetwarzanie danych w chmurze (cloud computing) to jedna z najszybciej rozwijających się technologii, co sprawia, że kolejne Data Center (DC) powstają jak grzyby po deszczu. Coraz bardziej kluczowa staje się więc kwestia bezpieczeństwa DC, a dokładniej bezpieczeństwa danych, które są tam przetrzymywane – to one są priorytetem dla klientów (zewnętrznych czy wewnętrznych).
Przed centrami przetwarzania danych stoi szereg wyzwań związanych z niezawodnością, dostępnością, zabezpieczeniami czy ciągłością dostaw prądu. Z tego powodu najpierw CENELEC, a następnie ISO stworzyły standardy dla potwierdzenia tych kluczowych elementów gwarantujących „jakość” w Data Center.
Certyfikaty EN 50600 oraz ISO/IEC 22237 potwierdzają odpowiedni poziom bezpieczeństwa, dostępności oraz efektywności energetycznej DC oczekiwany przez klientów.
W centrach danych znajduje się sprzęt informatyczny, osprzęt, okablowanie oraz inne elementy infrastruktury sieciowej do przetwarzania, przechowywania i transportu danych. Zewnętrzne centra danych są tworzone przez operatorów sieci dostarczających swoje usługi klientom, z kolei wewnętrzne centra danych są tworzone bezpośrednio przez same przedsiębiorstwa. Centra danych muszą zapewniać modułowe i elastyczne obiekty i infrastruktury, aby łatwo dostosować się do szybko zmieniających się wymagań rynku.
Międzynarodowy standard ISO/IEC 22237 jest odpowiednikiem europejskiej normy EN 50600 zawierającym wymagania oraz wytyczne dla centrów danych. ISO/IEC 22237 określa wytyczne dla poszczególnych obiektów i infrastruktur, definiuje ogólne koncepcje projektowania i eksploatacji centrów danych, obejmuje analizę ryzyka biznesowego i kosztów operacyjnych, a także system klasyfikacji centrów danych pod kątem dostępności, bezpieczeństwa fizycznego i efektywności energetycznej.
Seria ISO/IEC 22237 określa wymagania i wytyczne wspierające poszczególne strony zaangażowany w funkcjonowanie obiektów i infrastruktury w centrach danych. Strony te obejmują m.in.: właścicieli, zarządców obiektów, głównych wykonawców, konsultantów, architektów, projektantów systemów/instalacji, audytorów, dostawców sprzętu, instalatorów i konserwatorów.
Seria wymagań ISO/IEC 22237 aktualnie składa się z 7 podstawowych dokumentów:
Części: 1, 3 i 4 zostały już opublikowane jako normy międzynarodowe. Pozostałe dokumenty, póki co są dostępne jako specyfikacje techniczne (TS) i będą sukcesywnie rewidowane i publikowane jako normy międzynarodowe.
ISO/IEC 22237 wraz z normami z rodziny ISO/IEC 27000 wzajemnie się uzupełniają. ISO/IEC 27001 skupia się na poziomie organizacyjnym i procesowym, z kolei norma ISO/IEC 22237 zawiera wymagania ukierunkowane na fizyczne bezpieczeństwo centrum danych. Ponadto norma ISO/IEC 22237 zawiera wymagania umożliwiające wykazanie zgodności z ISO/IEC 27001 oraz ISO/IEC 27002 w zakresie zasilania, chłodzenia i okablowania centrum danych.
Na potrzeby serii ISO/IEC 22237 obiekty i infrastruktury centrów danych są wyznaczane w odniesieniu do:
| Infrastruktura: | 1 klasa dostępności | 2 klasa dostępności | 3 klasa dostępności | 4 klasa dostępności |
|---|---|---|---|---|
| Zasilanie | Jednotorowe do podstawowego sprzętu dystrybucyjnego Pojedyncze źródło | Jednotorowe do podstawowego sprzętu dystrybucyjnego Komponenty redundantne | Wielotorowy do podstawowego sprzętu dystrybucyjnego Cały system redundantny | Wielotorowy do podstawowego sprzętu dystrybucyjnego Wiele źródeł |
| Dystrybucja mocy | Jednotorowa | Jednotorowa z redundancją | Wielotorowa zapewniająca jednocześnie rozwiązania do naprawy i eksploatacji | Wielotorowa zapewniająca rozwiązania odporne na awarie, z wyjątkiem okresu konserwacji |
| Kontrola środowiska | Jednotorowa | Jednotorowa z redundancją | Wielotorowa zapewniająca jednocześnie rozwiązania do naprawy i eksploatacji | Wielotorowa zapewniająca rozwiązania odporne na awarie, z wyjątkiem okresu konserwacji |
| Okablowanie telekomunikacyjne | Jednotorowe Połączenia bezpośrednie lub infrastruktura stacjonarna z pojedynczym przyłączem sieci dostępowej | Jednotorowe Infrastruktura stacjonarna z wieloma połączeniami sieci dostępowej | Wielotorowe Infrastruktura stacjonarna o zróżnicowanych ścieżkach z wieloma połączeniami sieci dostępowej | Wielotorowe Infrastruktura stacjonarna o zróżnicowanych ścieżkach i redundantnych strefach dystrybucyjnych oraz wieloma połączenia sieci dostępowej |
Zdefiniowano trzy poziomy szczegółowości pomiaru:
Europejski standard EN 50600 składa się z serii norm zawierających najlepsze praktyki dla centrów danych, od standardów projektowych, w tym zasilania, chłodzenia, telekomunikacji i bezpieczeństwa (uwzględniając bezpieczeństwo przeciwpożarowe) po standardy operacyjne i zarządzania oraz zalecenia dotyczące zrównoważonego rozwoju i redukcji zużycia energii.
Norma EN 50600 uwzględnia wszystkie obszary związane z budową, funkcjonowaniem oraz eksploatacją centrów danych w związku z czym jest standardem, który przywoływany jest w wielu wytycznych m.in. w komunikacie Urzędu Komisji Nadzoru Finansowego dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze, czy w Uchwale nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy "Wspólna Infrastruktura Informatyczna Państwa”.
Seria norm EN 50600 została opracowana przez CENELEC (Europejski Komitet Normalizacyjny Elektrotechniki), a następnie uznana przez Komisję Europejską oraz kraje członkowskie UE. Polskie wydanie normy zostało opublikowane pod nazwą PN-EN-50600.
Norma składa się z 4 części i zawiera m.in. taki pozycje jak:
Część 1: EN 50600-1 – Pojęcia ogólne
Część 2:
Część 3: EN 50600-3-1 – Zarządzanie i informacje operacyjne
Część 4:
Obecnie certyfikacja możliwa jest tylko według części drugiej, określonej jako projektowane (design).
Standard definiuje:
| Infrastruktura: | 1 klasa dostępności | 2 klasa dostępności | 3 klasa dostępności | 4 klasa dostępności |
|---|---|---|---|---|
| Układ zasilania | Jednotorowy Brak szczególnych wymogów | Jednotorowy Redundacja elementów | Wielotorowy Redundacja systemów | Wielotorowy Odporny na awarie w czasie konserwacji |
| Parametry środowiskowe | Brak wymagań | Jednotorowy Brak wymogów – bez redundacji | Jednotorowy Redundacja elementów | Wielotorowy Redundacja systemów – konserwacja w trakcie pracy |
| Okablowanie teleinformatyczne | Połączenia pojedyncze punkt – punkt | Połączenia pojedyncze typu strukturalnego | Połączenia wielokrotne typu strukturalnego | Połączenia wielokrotne z wykorzystaniem wielu tras |
Wymagania europejskiej normy EN 50600 zostały praktycznie w całości przyjęte do międzynarodowej normy ISO/IEC 22237. Dzięki temu możliwe jest planowanie, budowa i eksploatacja centrów danych na całym świecie w oparciu o jednakowe zasady i sprawdzoną jakość.
Poniżej porównanie obydwu standardów.
| Norma z rodziny ISO/IEC 22237 | Norma z rodziny EN 50600 | Obszar |
|---|---|---|
| ISO/IEC 22237-1 | EN 50600-1 | Pojęcia ogólne |
| ISO/IEC TS 22237-2 | EN 50600-2-1 | Konstrukcja budynku |
| ISO/IEC 22237-3 | EN 50600-2-2 | Zasilanie i dystrybucja energii |
| ISO/IEC 22237-4 | EN 50600-2-3 | Kontrola środowiska |
| ISO/IEC TS 22237-5 | EN 50600-2-4 | Infrastruktura okablowania telekomunikacyjnego |
| ISO/IEC TS 22237-6 | EN 50600-2-5 | Systemy bezpieczeństwa |
| ISO/IEC TS 22237-7 | EN 50600-3-1 | Zarządzanie i informacje operacyjne |
Świadczymy usługi certyfikacji i oceny zgodności pod kątem ISO/IEC 22237 oraz EN 50600, a także innych standardów i przepisów dotyczących cyberbezpieczeństwa we wszystkich branżach.
Dowiedz się więcej na temat rozwiązań cyfrowych od SGS
Zapraszamy też do zapoznania się z ofertą szkoleń otwartych Akademii SGS
System zarządzania bezpieczeństwem informacji - wymagania ISO/IEC 27001
System zarządzania bezpieczeństwem informacji - wymagania i wdrożenie ISO/IEC 27001
Audytor wewnętrzny systemu zarządzania bezpieczeństwem informacji wg ISO/IEC 27001