Koliko se IT standardi poštuju u Srbiji?
Balkanska opuštenost tako nam prija, navikli smo na nju, čak se pomalo i ponosimo tom šarmantnom ležernošću. Smemo li sebi da dozvolimo da se tako odnosimo i prema stvarima koje to ne trpe? Kod primene standarda potrebne su doslednost i ozbiljnost, a to ne ide pod ruku s ležernošću.
Imamo li standarde?
Primena krovnih standarda kakav je SRPS IEC/ISO 27001 bez primene standarda na tehničkom nivou nalik je gradnji kuće od krova prema temelju. Ako u gradnji sa implementacijom standarda zastanete pre vremena, imaćete čardak ni na nebu ni na zemlji.
Naravno, i to domaće. Pa dobro, nisu baš domaći, već svetski i evropski IEC, EN i ISO, prihvaćeni kod nas i proglašeni za naše u potpunosti. Dakle, ipak naši i valja ih se pridržavati.
Nepridržavanje standarda loša je navika koja ide zajedno s pomenutom ležernošću, a konkretnih razloga ima više. Često je razlog što i ne znamo da postoje standardi u pojedinim oblastima. Ako nas zakon ne primorava, najradije ne bismo trošili vreme (i novac), na upoznavanje s novim standardima ili novim verzijama starih. Naročito poslednjih godina, kada je mnogo standarda penzionisano, a na njihovo mesto su došli, i još dolaze, novi standardi.
Ako znamo za standard koji nije obavezan, ponekad merimo da li je vredno truda upoznati se s njim: ko će još na to da troši vreme. Treba čitati i čitati, i iz standarda izvući ono što mora ili treba da se primeni. Zamoran posao, a zatim se kod menadžmenta valja boriti za implementaciju i neophodna sredstva, vreme i druge resurse. Ćuti, ne čačkaj.
Zbog toga se često dešava da se u tenderima pojavljuju zahtevi koji nisu usaglašeni s važećim normama ili se pozivaju na davno ugašene standarde. Krivicu podjednako dele korisnici koji nemaju vremena da prate propise i projektanti koji bi to morali, ali i njima je lakše da kopiraju i preštampavaju stare tehničke opise i predmere i predračune.
Ima i jedan praktičan, svakodnevni problem: standardi su skupi. Pojedinačno i nisu, ali kada se skupi sve ono što nam treba da bismo se bavili određenom granom aktivnosti, bude toga dosta. Pa inovirane verzije, pa zamenski dokumenti, pa novi koji se stalno pojavljuju… Kome se to isplati.
Torta s mnogo kora
Ako se bavite fizičkom IT infrastrukturom, takozvani IT standardi samo su prvi sloj, prva kora na torti. Svi znaju za SRPS ISP/IEC 27001, i svi se trude da dobiju sertifikaciju prema tom standardu. Fizička infrastruktura tu se pominje u par šturih rečenica o obavezama zaštite s tog stanovišta: fizička zaštita prostora, kontrola pristupa, zaštita od oštećenja izazvanih požarom, vodom, zemljotresom, eksplozijom, građanskim nemirima i od drugih katastrofa koje su posledica delovanja prirode ili čoveka. Stop. Kraj. Nema daljih detalja.
Očigledno je da morate ići dalje, jer mora da se obezbedi zaštita od navedenih rizika i katastrofa. Nažalost, tu otprilike u najvećem broju slučajeva prestaje priča s praćenjem odgovarajućih, primenljivih i važećih standarda. Do sada je bilo deklarativno, sada je konkretno. I traži znanje drugih standarda, praktično znanje, koje košta.
Mnogobrojni su standardi koji regulišu ovaj sledeći nivo mera i aktivnosti. Jedan od najvažnijih je SRPS EN 10472 (Jedinice za sigurno čuvanje — Klasifikacija i metode ispitivanja otpornosti na vatru — Deo 2: Prostorije i kontejneri za čuvanje podataka), koji detaljno i veoma oštro opisuje uslove za testiranje zaštitnih prostorija za data centre i parametre koje one moraju da zadovolje.
U igri je i stari dobri TIA 942 koji daje obilje smernica i uslova za planiranje, projektovanje i izgradnju data centara. Iako nema obaveznu primenu u Srbiji, često se uzima za osnovu kao takozvani referentni dizajn. Takozvana Tier klasifikacija ima uporište u odredbama ovog standarda, ali je mnogi ne implementiraju baš onako kako standard traži.
Čitav niz standarda naslanja se na evropske direktive, koje kod nas imaju obaveznu primenu: niskonaponska direktiva i EMC direktiva daju samo okvir i osnovne smernice, a na njih se nadovezuju drugi, tehnički standardi (SRPS EN 61439, SRPS EN 60204 itd.) koji regulišu zahteve za karakteristike i ispitivanje konkretne opreme.
Dajte mi 100 grama od buta: SRPS EN 1047‑2 NE PRIZNAJE parcijalno testiranje
Standardi nam govore kako mora da se radi ili barem kako bi trebalo. Pošto je to značajno teži i duži put koji zahteva znanje, predanost, disciplinu u primeni, troškove i opsežne resurse, implementacija kod nas često krene prečicama.
Muka sa standardima je što su oni određeni do detalja. Pomenuti SRPS EN 1047‑2 je primer za to: uslovi za testiranje su rigorozni i jasno definisani. Samo proizvodi koji su dorasli zahtevima standarda prolaze testiranje i dobijaju ECBS atest. Proizvođači koji bi da malo uštede pronalaze razne „sam svoj majstor“ definicije kako bi kod korisnika stvorili pogrešan utisak da njihov standard zadovoljava zahteve SRPS EN 1047‑2. Svakodnevno se susrećemo s novim definicijama takvog zaobilaženja standarda. Najčešća je tvrdnja da su zaštitni zidovi testirani u skladu sa (SRPS) EN 1047‑2 i onda se dalje tvrdi da proizvod zadovoljava uslove standarda. Takva tvrdnja pokazuje nekoliko stvari. Najpre, potpuno nepoznavanje standarda, koji ne priznaje samostalna testiranja. Jedina akreditovana institucija za sertifikaciju u skladu sa ovim standardom jeste ECB (European Certification Board). Bilo kakva testiranja kod drugih tela koja nisu odobrena od ECB nisu validna. Jedini sertifikat koji važi jeste ECBS sertifikat koji izdaje pomenuta akreditovana kuća.
Drugi problem je s parcijalnim testovima. Standard zahteva pojedinačna testiranja svih elemenata zaštitne prostorije u skladu s definisanim tehničkim uslovima. Dakle, ako ste testirali zidove, ali ne i sve ostale elemente, standard nije primenjen.
Standard propisuje minimalnu opremu prostorije koja se mora testirati: ne samo zidovi već i spojni elementi, vrata, odušni otvori, prolazi za instalacije… Proizvođač ne može sam da odredi šta će testirati, a šta neće.
Najvažnije, pored pojedinačnog testiranja svih elemenata, obavezan je sistemski test svih elemenata u stvarnom radu: pravi se ispitni model prostorije definisanih minimalnih dimenzija i na njemu se sprovode svi testovi po standardu. Dakle, proverava se zajedničko funkcionisanje i ponašanje svih elemenata u realnom okruženju.
Drugi tehnički standardi i ostale glavobolje
Ima li još ovakvih stranputica? Da vas obradujemo, ima.
Napajanje, na primer, razvod električne energije i ostale stvari koje kolokvijalno zovemo „struja“, potpadaju pod brojne jasno definisane standarde sa obaveznom primenom. Klimatizacija takođe, a o protivpožarnoj zaštiti da ne govorimo. Izaberite „jeftinije“ rešenje i eto vam zanimacije za duži niz godina.
Ako se pitate šta da radite: angažujte profesionalce, ali ih dobro proverite. Naročito papire kojima često mašu iako sami znaju da su bezvredni.
Postovani,
standard ima snagu Zakona. Zakon mora da bude javno objavljen u službenom glasniku dotične države!? Ili, onda nije zakon.
Pa kad se država ne pridržava standarda o objavi zakona, kako ocekivati da to urade građani u svom delu obaveza?
Ovako, uskoro ce i sijalice za poljski WC da nam projektuju stranci. A mi “ce se snalazimo”.