Дмитрий Белов: «Стоимость рисков в ЦОД определяется возможными финансовыми потерями и репутационным ущербом»

7 часов назад

Дмитрий Белов
Руководитель направления проектирования систем безопасности STEP LOGIC

Дмитрий Белов, руководитель направления проектирования систем безопасности STEP LOGIC, в интервью журналу RUБЕЖ рассказал о том, как определить разумный предел вложений в безопасность ЦОД, какие факторы влияют на выбор уровня защиты и какие технологические тренды меняют рынок.

RU: Сколько стоят риски в ЦОД? Где предел разумного вложения в безопасность ЦОД? До какого уровня стоит обезопасить/застраховать ЦОД?

Дмитрий Белов: Уровень защиты должен быть достаточным для:

• соблюдения всех применимых регуляторных и отраслевых требований;
• минимизации рисков до приемлемого уровня с учетом специфики бизнеса;
• обеспечения непрерывности работы с учетом критичности обрабатываемых данных и сервисов;
• поддержания доверия клиентов и партнеров.

При этом не стоит стремиться к абсолютной защите, так как это может быть экономически нецелесообразно. Достаточно достичь уровня, при котором вероятность и масштаб ущерба от инцидентов будут минимальными с учетом всех факторов.

Как определить предел / контрольную точку в оснащении ЦОДов системами безопасности? На сколько стоит перезакладываться?

Д. Белов: Предел в оснащении дата-центров системами безопасности зависит от типа данных, обрабатываемых в ЦОД, требований регуляторов, географического расположения, масштаба инфраструктуры и бюджета. Цель — достичь баланса между уровнем защиты и рациональностью затрат.

Ключевые факторы для определения контрольной точки:

• категория обрабатываемых данных. Если ЦОД обрабатывает персональные данные, государственную тайну, финансовые или медицинские сведения, требования к безопасности будут выше. Например, для работы с персональными данными необходимо соблюдать ФЗ №152-ФЗ, а для обработки платёжных карт — стандарт PCI DSS;
• класс надежности ЦОД. Согласно классификации Uptime Institute, дата-центры делятся на уровни от Tier I до Tier IV. Чем выше уровень, тем больше требований к резервированию систем, включая электроснабжение, охлаждение и безопасность. Например, Tier IV предполагает максимальное резервирование с двукратным дублированием систем;
• географическое расположение и внешние риски. ЦОД, размещенные в сейсмически активных зонах, районах с высоким риском наводнений, пожаров или близости к аэропортам, требуют дополнительных мер защиты;
• масштаб и критичность инфраструктуры. Крупные дата-центры, обслуживающие критически важные сервисы (например, финансовые системы, облачные платформы), нуждаются в более продвинутых системах безопасности, чем небольшие объекты.
• требования регуляторов. В России действуют федеральные законы (например, 187-ФЗ о безопасности объектов КИИ), приказы ФСТЭК, ГОСТы и другие нормативные акты, которые устанавливают обязательные меры защиты;
• бюджет и рентабельность. Необходимо учитывать финансовые возможности оператора дата-центра. Переизбыток систем безопасности может сделать проект нерентабельным, а недостаточное оснащение — привести к серьезным рискам.

Степень «перезакладывания» зависит от критичности сервисов и финансовых возможностей. В некоторых случаях оправдано избыточное резервирование (например, для ЦОД, обслуживающих критически важные объекты инфраструктуры), в других достаточно минимального набора мер, соответствующего стандартам.

- Каковы драйверы, возможности, вызовы рынка ЦОД в ближайшие 1-3 года?

Д. Белов: Сейчас один из главных драйверов рынка — это вычислительные мощности для ИИ-задач. Крупные проекты требует строительства высоконагруженных ЦОД с энергопотреблением от 30 до 100 кВт на стойку, когда еще совсем недавно стандартом было энергопотребление в 10 кВт на стойку. А рост вычислительных мощностей напрямую влияет на пожарную безопасность, увеличивая риски возгораний и усложняя их локализацию и тушение.

- По вашему мнению, какие ЦОД «прогреты» для максимального оснащения СБ? (Типы, примеры)

Д. Белов: ЦОД, которые максимально оснащены системами безопасности, обычно относятся к корпоративному типу и имеют высший уровень надежности — Tier IV по классификации Uptime Institute. Такие объекты предназначены для критически важных операций, где даже кратковременный простой недопустим. Также высокий уровень защиты характерен для дата-центров, обрабатывающих чувствительные данные (государственные системы, финансовые организации, медицинские учреждения) и соответствующих строгим регуляторным требованиям.

- Какие технологические тренды в области безопасности ЦОД вы считаете наиболее перспективными на ближайшие годы?

Д. Белов: В сфере пожарной безопасности ключевыми направлениями могут стать вопросы в области применения аккумуляторных батарей:

• разработка эффективных методов тушения возгораний литий-ионных аккумуляторов в системах бесперебойного питания;
• создание комплексных подходов к безопасной эксплуатации аккумуляторных батарей;
• совершенствование нормативной базы в области применения аккумуляторных батарей;
• развитие новых технологий, например, натрий-ионных аккумуляторов, которые считаются более безопасными, так как натрий не вступает в реакции, способные вызвать тепловой разгон.

В современных крупных ЦОД используются сотни и тысячи аккумуляторных батарей, что создает значительные риски для инфраструктуры. При возникновении пожара или неисправности масштаб повреждений может быть колоссальным.

В сентябре 2025 года в ЦОД Национальной службы информационных ресурсов Южной Кореи произошел крупный пожар, причиной которого стало воспламенение литий-ионных аккумуляторов системы бесперебойного питания. Инцидент привел к масштабным последствиям: была парализована работа 647 государственных сервисов, уничтожена облачная система G‑Drive и безвозвратно утеряно 858 ТБ данных.

Инцидент с атакой беспилотников на ЦОД компании Amazon на Ближнем Востоке, вероятно, приведет к значительным изменениям в подходах к обеспечению безопасности дата-центров.

Основные тенденции развития:

• рост спроса на бункерные ЦОД. В связи с возросшими угрозами внешних воздействий усиливается интерес к строительству защищенных подземных центров обработки данных. Бункерные ЦОД обеспечивают повышенную защиту от физических воздействий и могут стать предпочтительным выбором для критически важных объектов;
• усиление требований к конструктивной защите. Многие коммерческие ЦОД строятся из быстровозводимых конструкций, которые не обеспечивают необходимого уровня защиты от внешних угроз. В связи с этим увеличится спрос на системы физической защиты: усиленные стены, периметральные ограждения и т. д.;
• Развитие средств защиты от БПЛА. Атака на ЦОД Amazon может стать катализатором для разработки и внедрения новых технологий защиты от беспилотных летательных аппаратов. Это включает в себя как системы радиоэлектронного подавления, так и физические барьеры для защиты объектов.

- Как вы оцениваете текущую нормативную базу в области безопасности ЦОД и необходимость государственного регулирования?

Д. Белов: Относительно недавно появилась тенденция к выделению ЦОД в отдельный вид объектов. Законодательно это выразилось в утверждении новой редакции СП 541.1325800.2024 «Здания и сооружения центров обработки данных. Правила проектирования», в котором было уделено внимание пожарной безопасности, в частности вопросам конструктивного исполнения, эвакуации, размещению ДГУ. Появились рекомендации к применению аспирационных извещателей, применения ТРВ, пункты, допускающие не отключать при пожаре системы кондиционирования и вентиляцию, обеспечивающую безопасность технологического процесса. При этом общая нормативная база по пожарной безопасности, применяемая в том числе и при проектировании ЦОД, остается обширной и достаточно регулярно обновляется.

В сфере физической безопасности ЦОД наблюдается иная ситуация: в настоящее время у нас отсутствуют специализированные нормативные требования. На практике требования заимствуются из разрозненных руководящих документов, которые не учитывают отраслевую специфику центров обработки данных. В качестве компенсирующей меры применяются лучшие практики, заимствованные из смежных областей.

В сфере обеспечения безопасности дата-центров активно используется международный опыт. Ранее применялись общие требования, изложенные в стандарте ANSI/TIA-942-B-2017 и рекомендациях Uptime Institute, которые носили общий характер. Сегодня существует современный международный стандарт ISO/IEC 22237-6:2024. Этот документ представляет собой комплексный норматив, который детально описывает требования и дает рекомендации по обеспечению физической безопасности ЦОД. Стандарт ISO/IEC 22237-6:2024 является частью обширной серии стандартов ISO/IEC 22237. Эта серия охватывает все аспекты, связанные с оборудованием и инфраструктурой центров обработки данных, включая требования к их физической защите.

В отличие от предыдущих документов, современный стандарт предлагает более детализированный подход к обеспечению безопасности, учитывающий все особенности современной инфраструктуры ЦОД и актуальные угрозы. Стандарты безопасности для дата-центров являются объективно необходимыми. Накопленный практический опыт эксплуатации, интенсивные темпы строительства ЦОД, а также стремительное развитие технологий будут выступать ключевыми факторами, способствующими совершенствованию нормативной базы в этой сфере.