Per la progettazione dei data center i provider possono fare riferimento ad alcuni standard esistenti che dettano le linee guida su sostenibilità ed efficienza energetica, oltre che sulla qualità e la disponibilità dei dati. Tra questi, ricordiamo lo standard ISO/IEC TS 22237 che rappresenta un documento di riferimento per realizzare infrastrutture “adattabili” allo sviluppo tecnologico fornendo indicazioni utili sulle ottimizzazioni per i sistemi di alimentazione e raffreddamento, su quelle energetiche e di sicurezza.
Inoltre, per la progettazione dei data center sono molto note anche le norme dell’Uptime Institute e l’ANSI TIA-942.
Indice degli argomenti
La ISO/IEC TS 22237 e gli altri standard
L’Uptime Institute certifica i data center sulla base delle loro caratteristiche di disponibilità. La certificazione può essere data su 4 livelli (tier), corrispondenti a caratteristiche architetturali sempre più rigorose e, di conseguenza, a sempre più elevati livelli di disponibilità del data center (fino al 99,99% per il Tier IV). L’ultima versione del “Tier Standard: Topology” è del 2018.
L’ANSI TIA-942, dal titolo “Telecommunications Infrastructure Standard for Data Centers”, la cui revisione B è del 2017, è un documento dell’ente di standardizzazione statunitense ANSI. Anch’esso prevede 4 livelli a cui un data center può aspirare.
Considerando la rilevanza dei modelli dell’Uptime Institute e dell’ANIS TIA-942, l’Europa ha voluto sviluppare standard relativi ai data center. Per questo prima sviluppò lo standard EN 5600, poi recepito nel 2018 a livello internazionale come standard multi-part ISO/IEC TS 22237 con titolo “Data centre facilities and infrastructures”.
Le parti che compongono lo standard ISO/IEC TS 22237 sono le seguenti:
- ISO/IEC TS 22237-1:2018 – Part 1: General concepts;
- ISO/IEC TS 22237-2:2018 – Part 2: Building construction;
- ISO/IEC TS 22237-3:2018 – Part 3: Power distribution;
- ISO/IEC TS 22237-4:2018 – Part 4: Environmental control;
- ISO/IEC TS 22237-5:2018 – Part 5: Telecommunications cabling infrastructure;
- ISO/IEC TS 22237-6:2018 – Part 6: Security systems;
- ISO/IEC TS 22237-7:2018 – Part 7: Management and operational information.
Lo standard prevede che si possa sviluppare uno schema di certificazione, considerando la parte 1 come punto di partenza per stabilire la classe di disponibilità (da 1 a 4) e il livello di efficienza energetica (da 1 a 3) che si intende perseguire e poi applicare quanto previsto dalle altre parti della norma.
I dettagli dello standard ISO/IEC 22237
La ISO/IEC 22237 non è uno standard per sistemi di gestione e pertanto non richiede audit interni o riesami periodici, né di gestire non conformità. Viene raccomandato e non richiesto obbligatoriamente (nella parte 7) di riesaminare almeno annualmente il rispetto degli SLA interni e con i clienti. Sono richiesti alcuni riesami periodici per alcuni aspetti tecnici (p.e. ai sistemi antincendio basati su gas).
La parte 1 dello standard richiede di condurre una valutazione del rischio (e propone anche una linea guida molto sintetica per un approccio qualitativo su scale di 4 valori per verosimiglianza e conseguenza), di identificare una classe di disponibilità (la norma ne prevede 4), di identificare le aree del data center e assegnare loro una classe di protezione, di identificare un appropriato livello di capacità energetica (la norma ne prevede 3) e di applicare alcuni specifici principi di progettazione.
Per quanto riguarda la disponibilità, essa è stabilita dal data center. La norma non stabilisce obiettivi quantitativi, ma la scelta della classe è qualitativa. Poi, per ciascuna classe scelta, vanno attuati i requisiti delle parti 3, 4 e 5 per le specifiche componenti.
Per quanto riguarda la protezione, la classe NON è determinata dal data center (e quindi non esiste il concetto di classe di protezione del data center), ma è stabilita per ciascuna area del data center a seconda del suo utilizzo:
Per quanto riguarda l’efficienza energetica, è il data center che stabilisce il livello che desidera. Esse si basano sulla gestione dell’energia e sul monitoraggio e controllo ambientale.
La parte 2 specifica i requisiti di protezione fisica per le diverse aree di un data center.
La parte 3 riporta i requisiti relativi alla distribuzione dell’energia con requisiti specifici per le 4 classi di disponibilità e per i 3 livelli di efficienza energetica.
La parte 4 riporta i requisiti di controllo ambientale (sicurezza fisica intesa come controllo della temperatura, degli allagamenti eccetera, distinta da quella specifica dell’edificio, oggetto della parte 2), con alcuni requisiti specifici per le 4 classi di disponibilità e requisiti di misurazione di efficienza energetica.
La parte 5 fornisce requisiti di cablaggio e di progettazione dei percorsi del cablaggio, oltre che (pochi) requisiti sui rack e sulle stanze di TLC per tutte le classi di disponibilità. Fornisce anche requisiti specifici a seconda della classe di disponibilità scelta.
La parte 6, sui sistemi di sicurezza, si concentra su quelli per la protezione da accessi non autorizzati, incendi, eventi ambientali originati all’interno del data center, eventi ambientali originati all’esterno del data center esclusi gli incendi.
La parte 7 riguarda i test da prevedere e i processi da pianificare, alcuni richiamano quelli della ISO/IEC 20000-1.
Lo schema di certificazione di Accredia
Accredia, a novembre 2022 ha pubblicato la circolare tecnica 42/2022 con le regole per “l’accreditamento per lo schema DSEEDC a fronte delle Norme ISO/IEC TS 22237 – Disponibilità, Sicurezza, Efficienza Energetica dei Data Center”.
Lo schema viene sicuramente incontro alle esigenze di molti operatori, anche a fronte delle richieste di AgID relative ai data center della Pubblica amministrazione (Determinazione 628/2021). Purtroppo però alcuni requisiti sono criticabili.
Innanzi tutto la circolare aggiunge requisiti alle norme e questo non è sicuramente corretto: le norme sono state sviluppate da un gruppo di lavoro che ha sicuramente discusso le varie proposte. Aggiungere autonomamente requisiti dimostra o scarsa fiducia nel processo di standardizzazione o un eccesso di arroganza o ambedue. Eventuali requisiti aggiuntivi agli standard andrebbero discussi in sede di redazione degli standard stessi, non unilateralmente.
Da segnalare il richiamo all’uso della ISO 31000 per la gestione del rischio, ignorando il fatto che la norma stessa fornisce le linee guida per questa attività.
Accredia ha addirittura inventato dei livelli di maturità, non previsti dalla norma.
Altra invenzione è richiedere che il data center disponga di certificazioni ISO 9001 e ISO/IEC 27001, a cui affianca anche richieste inapplicabili a questo tipo di standard come i VA per i servizi cloud, che non sono proprio oggetto della norma. Sempre fuori ambito della norma sono le richieste di disporre di un NOC e di un SOC.
Ulteriore requisito che non riguarda la norma è quello delle unità operative. Si prevede: “nel caso di Data Center strutturati su più unità operative, tutte le unità dovranno essere oggetto di valutazione”. Ma questo è contrario al dettato della norma, che riguarda il singolo data center.
Si vede ancora come Accredia si sia concentrata sulla sicurezza informatica, facendo richieste specifiche (e anche eccessive, visto che non si capisce cosa c’entri la sicurezza delle informazioni) sulle competenze degli auditor, ignorando completamente una parte fondamentale di queste norme (anzi, una delle ragioni per cui furono sviluppate), ossia l’efficienza energetica. Apparentemente il Gruppo di audit può non avere competenze in materia (per questo sarà necessario analizzare gli argomenti per i corsi, che dovrebbero essere sviluppati dal “Ente riconosciuto come l’Ente Nazionale di Normazione”, ma non risultano ancora disponibili).
Conclusioni
Dalla lettura dei documenti, si vede chiaramente che il Regolamento AgID riguarda anche la sicurezza digitale, mentre la ISO/IEC TS 22237 solo quella fisica. La Circolare Accredia sembra invece confondere malamente le cose. Sembra insomma che la circolare non sia utile per uno schema di accreditamento basato sulla ISO/IEC TS 22237, ma sul regolamento AgID.
Questo è un peccato perché da una parte introduce confusione nel mercato, quando invece Accredia avrebbe come compito quello di ridurla, dall’altra spreca un’occasione di avere uno schema di accreditamento molto interessante e utile.
