Данила Любомирский: «Стоимость простоев — главный индикатор риска»

03 апреля 2026, 21:53

Данила Любомирский
главный инженер проекта «Инферит Безопасность» (кластер «СФ Тех» ГК Softline)

Данила Любомирский, главный инженер проекта «Инферит Безопасность» (кластер «СФ Тех» ГК Softline) в эксклюзивном интервью журналу RUБЕЖ дает практические советы по выбору стандартов и стратегий защиты, которые помогут сохранить цифровые активы в условиях постоянно меняющихся угроз.

RUБЕЖ: Сколько стоят риски в ЦОД?

Данила Любомирский: Стоимость рисков — это цена простоя. В зависимости от класса ЦОД, стоимость минуты простоя может варьироваться от нескольких тысяч до десятков миллионов рублей. Особенно это ощутимо для банков, маркетплейсов и машинных мощностей, предоставляемых как услуга. Риски складываются из штрафов, репутационного ущерба, потери данных и выручки.

Где предел разумного вложения в безопасность ЦОД? До какого уровня стоит обезопасить/застраховать?

Д. Любомирский: Предел — это стоимость обеспечения безопасности, равная стоимости самого критичного актива или потенциального ущерба. Вкладываться разумно до того уровня, на котором затраты на следующую «ступень» безопасности превышают потенциальные убытки от инцидента. Страховать стоит на 100% восстановительной стоимости оборудования плюс сумму потенциальной упущенной выгоды за 2–6 месяцев простоя (зависит от особенностей ЦОД).

Как определить предел / контрольную точку в оснащении ЦОД системами безопасности? На сколько стоит перезакладываться?

Д. Любомирский: Контрольная точка — это уровень Tier III (Uptime Institute) и требования регуляторов (ФСТЭК, ФСБ, РКН) для вашего сегмента. Закладывать запас стоит на 20–30% от текущих расчетных мощностей.

Главное — чтобы системы безопасности (СКУД, видеонаблюдение, системы тушения и противопожарной безопасности, системы резервирования) имели тот же уровень отказоустойчивости (N+1), что и инженерная инфраструктура самого дата-центра.

Какие технологические тренды в области безопасности ЦОД вы считаете наиболее перспективными на ближайшие годы?

Д. Любомирский:

ИИ-видеоаналитика: распознавание лиц, брошенных предметов и нестандартного поведения без участия оператора (внедрение поведенческих сценариев).

Нулевое доверие (Zero Trust): полное разделение сетей, микросегментация, отказ от понятия «доверенный периметр».

Антидронная защита: для периметра крупных ЦОДов — системы обнаружения и подавления БПЛА.

Техническая укрепленность объекта и мероприятия по противодействию террористических угроз.

Отечественное ПО: замещение импортных систем управления безопасностью (VMS, ACS) в связи с требованиями импортозамещения.

Страхование ЦОД

Какие требования к безопасности ЦОД вы считаете достаточными / недостаточными / избыточными?

Д. Любомирский: К достаточным требованиям безопасности относится наличие сертификации по Tier III и резервирования (N+1), физическая охрана и строгая СКУД с биометрией, соблюдение противопожарных норм (газовое пожаротушение).

Недостаточные требования: формальный подход к человеческому фактору (ошибки персонала — частая причина отказов, но страховщики часто недооценивают требования к обучению).

Избыточные — требования страховщиков по стопроцентному дублированию всех коммуникаций (входных дорог, точек ввода связи), что экономически нецелесообразно для дата-центров уровня Tier II.

Какие стандарты вы закладываете при проектировании?

Д. Любомирский: Международные: Uptime Institute (Tier III — стандарт де-факто для коммерческих ЦОД), ANSI/TIA-942 (структурированные кабельные системы).

Российские: ГОСТ Р 59135-2020 (классификация ЦОД), требования ФСТЭК (для государственных информационных систем и объектов КИИ), 152-ФЗ и актуальные нормы в сфере информационной безопасности (защита персональных данных). А также актуальные нормы и правила безопасности в сфере проектирования, строительства и эксплуатации.

Каковы сроки окупаемости строительства центра обработки данных?

Д. Любомирский: В среднем 3–10 лет, в зависимости от задач конкретного ЦОД. Например, если ЦОД строится «под себя» (корпоративный), окупаемость выше — 5–10 лет, но это актив компании. Если коммерческий ЦОД (аренда стоек), инвесторы ориентируются на 3–7 лет при высокой заполняемости.

По вашему мнению, какие ЦОД «прогреты» для максимального оснащения СБ? (Типы, примеры)?

Д. Любомирский: Максимально оснащены («прогреты») государственные ЦОД и ЦОД объектов критической информационной инфраструктуры (КИИ). К таким объектам относятся дата-центры для госорганов, банков (особенно обрабатывающих национально значимые платежные системы), крупные коммерческие дата-центры уровня Tier III с якорными арендаторами из сектора финансов и ритейла.

Какие требования вы предъявляете к системам видеонаблюдения внутри ЦОД и на периметре? Как организована система контроля доступа и как вы решаете вопросы обработки биометрических данных в условиях ужесточения требований Роскомнадзора?

Д. Любомирский: Системы видеонаблюдения (комплексные системы обеспечения безопасности) в рамках стоимости строительства ЦОД — не самая затратная часть, экономить на этих системам не стоит.

Видеонаблюдение: периметр — камеры с распознаванием номеров и лиц, тепловизоры для детекции проникновения. Внутри — сплошной обзор без слепых зон, особенно в серверных залах и зонах ввода коммуникаций. Срок хранения видео — от 30 суток (рекомендуется 1 год для критических зон).

СКУД: двухфакторная аутентификация (карта + биометрия или карта + PIN). Зонирование: разные уровни доступа для разных категорий сотрудников (гости не заходят в серверную). Системы биометрии и обработки персональных данных проектируются и строятся в соответствии с действующими нормами и требованиями законодательства.   

Ваши ожидания / последствия введения закона о реестре ЦОД с 1 марта 2026 года.

Д. Любомирский: Закон способствует уходу с рынка «серых» площадок. Не соответствующие требованиям безопасности ЦОД либо закроются, либо будут вынуждены вкладывать миллионы в модернизацию, чтобы попасть в реестр.

Повысится надежность дата-центров. Государство получит прозрачную картину мощностей. Для арендаторов (бизнеса) наличие в реестре станет обязательным условием для размещения критических сервисов.