«Стоимость рисков в ЦОД определяется возможными финансовыми потерями и репутационным ущербом»

Дмитрий Белов, руководитель направления проектирования систем безопасности STEP LOGIC, в интервью журналу RUБЕЖ рассказал о том, как определить разумный предел вложений в безопасность ЦОД, какие факторы влияют на выбор уровня защиты и какие технологические тренды меняют рынок.

RU: Сколько стоят риски в ЦОД? Где предел разумного вложения в безопасность ЦОД? До какого уровня стоит обезопасить/застраховать ЦОД?

Д. Белов: Уровень защиты должен быть достаточным для:

• соблюдения всех применимых регуляторных и отраслевых требований;

• минимизации рисков до приемлемого уровня с учетом специфики бизнеса;

• обеспечения непрерывности работы с учетом критичности обрабатываемых данных и сервисов;

• поддержания доверия клиентов и партнеров.

При этом не стоит стремиться к абсолютной защите, так как это может быть экономически нецелесообразно. Достаточно достичь уровня, при котором вероятность и масштаб ущерба от инцидентов будут минимальными с учетом всех факторов.

— Как определить предел / контрольную точку в оснащении ЦОДов системами безопасности? На сколько стоит перезакладываться?

Д. Белов: Определение предела или контрольной точки в оснащении ЦОДов системами безопасности — зависит от типа данных, обрабатываемых в ЦОДе, требований регуляторов, географического расположения, масштаба инфраструктуры и бюджета. Цель — достичь баланса между уровнем защиты и рациональностью затрат.

• Категория обрабатываемых данных. Если ЦОД обрабатывает персональные данные, государственную тайну, финансовые или медицинские сведения, требования к безопасности будут выше. Например, для работы с персональными данными необходимо соблюдать ФЗ №152-ФЗ, а для обработки платёжных карт — стандарт PCI DSS.

• Класс надежности ЦОДа. Согласно классификации Uptime Institute, ЦОДы делятся на уровни от Tier I до Tier IV. Чем выше уровень, тем больше требований к резервированию систем, включая электроснабжение, охлаждение и безопасность. Например, Tier IV предполагает максимальное резервирование с двукратным дублированием систем.

• Географическое расположение и внешние риски. ЦОДы, размещенные в сейсмически активных зонах, районах с высоким риском наводнений, пожаров или близости к аэропортам, требуют дополнительных мер защиты.

• Масштаб и критичность инфраструктуры. Крупные ЦОДы, обслуживающие критически важные сервисы (например, финансовые системы, облачные платформы), нуждаются в более продвинутых системах безопасности, чем небольшие объекты.

• Требования регуляторов. В России действуют федеральные законы (например, 187-ФЗ о безопасности объектов КИИ), приказы ФСТЭК, ГОСТы и другие нормативные акты, которые устанавливают обязательные меры защиты.

• Бюджет и рентабельность. Необходимо учитывать финансовые возможности оператора ЦОДа. Переизбыток систем безопасности может сделать проект нерентабельным, а недостаточное оснащение — привести к серьезным рискам.

Степень «перезакладывания» зависит от критичности сервисов и финансовых возможностей. В некоторых случаях оправдано избыточное резервирование (например, для ЦОДов, обслуживающих критически важные объекты инфраструктуры), в других — достаточно минимального набора мер, соответствующего стандартам.

— Каковы драйверы, возможности, вызовы рынка ЦОД в ближайшие 1-3 года?

Д. Белов: Сейчас один из главных драйверов рынка — это вычислительные мощности для ИИ-задач. Крупные проекты требует строительства высоконагруженных ЦОД с энергопотреблением от 30 до 100 кВт на стойку, когда еще совсем недавно стандартом было энергопотребление в 10 кВт на стойку. А рост вычислительных мощностей напрямую влияет на пожарную безопасность, увеличивая риски возгораний и усложняя их локализацию и тушение.

— По вашему мнению, какие ЦОДы прогреты для максимального оснащения СБ? (Типы, примеры)

Д. Белов: ЦОДы, которые максимально оснащены системами безопасности, обычно относятся к корпоративному типу и имеют высший уровень надежности — Tier IV по классификации Uptime Institute. Такие объекты предназначены для критически важных операций, где даже кратковременный простой недопустим. Также высокий уровень защиты характерен для ЦОДов, обрабатывающих чувствительные данные (государственные системы, финансовые организации, медицинские учреждения) и соответствующих строгим регуляторным требованиям.

— Какие технологические тренды в области безопасности ЦОД вы считаете наиболее перспективными на ближайшие годы?

Д. Белов: В сфере пожарной безопасности ключевыми направлениями могут стать вопросы в области применения аккумуляторных батарей:

• разработка эффективных методов тушения возгораний литий-ионных аккумуляторов в системах бесперебойного питания;

• создание комплексных подходов к безопасной эксплуатации аккумуляторных батарей;

• совершенствование нормативной базы в области применения аккумуляторных батарей;

• развитие новых технологий, например, натрий-ионных аккумуляторов, которые считаются более безопасными, так как натрий не вступает в реакции, способные вызвать тепловой разгон.

В современных крупных центрах обработки данных (ЦОД) используются сотни и тысячи аккумуляторных батарей, что создает значительные риски для инфраструктуры. При возникновении пожара или неисправности масштаб повреждений может быть колоссальным.

В сентябре 2025 года в ЦОД Национальной службы информационных ресурсов (NIRS) Южной Кореи произошел крупный пожар, причиной которого стало воспламенение литий-ионных аккумуляторов системы бесперебойного питания. Инцидент привел к масштабным последствиям: была парализована работа 647 государственных сервисов, уничтожена облачная система G‑Drive и безвозвратно утеряно 858 ТБ данных.

Инцидент с атакой беспилотников на центры обработки данных (ЦОД) компании Amazon на Ближнем Востоке, вероятно, приведет к значительным изменениям в подходах к обеспечению безопасности ЦОД.

Основные тенденции развития

• Рост спроса на бункерные ЦОД. В связи с возросшими угрозами внешних воздействий, возрастает интерес к строительству защищенных подземных центров обработки данных. Бункерные ЦОД обеспечивают повышенную защиту от физических воздействий и могут стать предпочтительным выбором для критически важных объектов.

• Усиление требований к конструктивной защите. Многие коммерческие ЦОД строятся из быстровозводимых конструкций, которые не обеспечивают необходимого уровня защиты от внешних угроз. В связи с этим увеличится спрос на системы физической защиты: усиленные стены, периметральные ограждения и т.д.

• Развитие средств защиты от БПЛА. Атака на ЦОД Amazon может стать катализатором для разработки и внедрения новых технологий защиты от беспилотных летательных аппаратов. Это включает в себя как системы радиоэлектронного подавления, так и физические барьеры для защиты объектов.

— Как вы оцениваете текущую нормативную базу в области безопасности ЦОД и необходимость государственного регулирования?

Д. Белов: Относительно недавно появилась тенденция к выделению ЦОД в отдельный вид объектов. Законодательно это выразилось в утверждении новой редакции СП 541.1325800.2024 «Здания и сооружения центров обработки данных. Правила проектирования», в котором было уделено внимание пожарной безопасности, в частности вопросам конструктивного исполнения, эвакуации, размещению ДГУ. Появились рекомендации к применению аспирационных извещателей, применения ТРВ, пункты, допускающие не отключать при пожаре системы кондиционирования и вентиляцию, обеспечивающую безопасность технологического процесса. При этом общая нормативная база по пожарной безопасности, применяемая в том числе и при проектировании ЦОД, остается обширной и достаточно регулярно обновляется.

В сфере физической безопасности ЦОД наблюдается иная ситуация: в настоящее время у нас отсутствуют специализированные нормативные требования. На практике требования заимствуются из разрозненных руководящих документов, которые не учитывают отраслевую специфику центров обработки данных. В качестве компенсирующей меры применяются лучшие практики (best practices), заимствованные из смежных областей.

В сфере обеспечения безопасности центров обработки данных (ЦОД) активно используется международный опыт. Ранее применялись общие требования, изложенные в стандарте ANSI/TIA-942-B-2017 и рекомендациях Uptime Institute, которые носили общий характер. Сегодня существует современный международный стандарт ISO/IEC 22237-6:2024. Этот документ представляет собой комплексный норматив, который детально описывает требования и дает рекомендации по обеспечению физической безопасности ЦОД. Стандарт ISO/IEC 22237-6:2024 является частью обширной серии стандартов ISO/IEC 22237. Эта серия охватывает все аспекты, связанные с оборудованием и инфраструктурой центров обработки данных, включая требования к их физической защите.

В отличие от предыдущих документов, современный стандарт предлагает более детализированный подход к обеспечению безопасности, учитывающий все особенности современной инфраструктуры ЦОД и актуальные угрозы. Стандарты безопасности для ЦОД являются объективно необходимыми. Накопленный практический опыт эксплуатации, интенсивные темпы строительства ЦОД, а также стремительное развитие технологий будут выступать ключевыми факторами, способствующими совершенствованию нормативной базы в этой сфере.