EN 50600 Standardına  Göre Veri Merkezi İş Risk Analizi 

Üzeyir Kaluk 

ETP  Veri Merkezi Çalışma grubumuzun EN 50600 standartları doğrultusunda yaptığı çalışmalar kapsamında “ETP VM Temel Kavramlar”  alt çalışma grubunda gerçekleştirilen çalışmalar sonucunda bu  bu konudaki çalışmalarımızı ETP Portalı olarak sizlere sunuyoruz. Çalışmaya emeği geçen çalışma grubu üyelerimizden (Alfabetik sırayla) “Rahmi Bıyıklı, Sabri Günaydın, Şenol Gürvit, Şeref Ertekin ‘ e   içtenlikle  teşekkür ederiz. 

Veri Merkezi yatırımlarının  Avrupa Standartlarına Uygunluğunun sağlanması amacıyla bir veri merkezinin EN 50600’e göre tasarlanması için aşağıdaki adımların izlenmesi önemlidir. 

Öncelikle İş risk analizi tanımlanır.

Tanımlanan iş risk analizine göre Veri Merkezi Kullanılabilirlik Sınıfı seçilir.

Veri merkezi yolları ve alanları için uygun Koruma Sınıfları belirlenir.

Uygun bir enerji verimliliği sağlama seviyesi seçilir.

Standard tarafından belirlenmiş tasarım süreci uygulanır.

Yukarıda bahsettiğimiz konular aslında başlı başına bir makale konusu olmaktadır. Bu nedenle hepsini ayrı ayrı değerlendireceğiz. İlk olarak iş risk analizi tanımlama ile başlayabiliriz. 

İŞ RİSK ANALİZİ

Bir veri merkezinin genel kullanılabilirliği, veri işleme, depolama ve taşıma işlevlerinin sürekliliğinin bir ölçüsüdür. Bir veri merkezinin genel sürekliliğin kabul edilebilir düzeyi, aşağıdakileri içeren bir dizi faktör tarafından belirlenir:

a) Bir iş etki analizi, hizmet sunumundaki bir başarısızlıkla ilişkili maliyet, veri merkezinin işlevi ve önemi.

b) Harici olarak uygulanan ticari baskılar (örneğin, sigorta maliyetleri). 

Veri merkezinin her bir tesisinin ve altyapısının kullanılabilirliği, istenen genel kullanılabilirlik, bir kullanılabilirlik sınıflandırması ile tanımlanır. 

Veri merkezinin tesislerinin ve alt yapılarının tasarım ve fiziksel güvenlikleri risk analizine tanımlanmış risk olaylarına karşılık olarak gelen kullanılabilirlik sınıflandırmasıyla konu olmalıdır. Her altyapı için kullanılabilirlik sınıflandırması, düşük, orta, yüksek ve çok yüksek kullanılabilirlik olarak tanımlanmıştır. 

İş Etki Analizi 

Kesinti süresinin maliyeti için analiz yöntemlerini tanımlamaz. EN 31010, ISO / TS 22317 veya EN ISO 22301 gibi standartlar için faydalı rehberlik sağlar. 

Böyle bir analizde dikkate alınacak parametreler, veri merkezinin amacına bağlı olacaktır. 

a) Acil mali cezalar; 

b) Dolaylı kayıplar; 

c) İşletmenin itibarına verilen uzun vadeli hasarın bir değerlendirmesi, örneğin bir İnternet Servis Sağlayıcısı veya finansal kurum. 

Arıza süresi analiz edilirken genellikle maliyet dikkate alınsa da, diğer etkiler de dikkate alınmalıdır.  Can güvenliği, hukuki, tıbbi ve cezai bilgileri içeren veri merkezleri, planlanmamış kapalı kalma sürelerinin bireysel olarak tanınan sonuçları olabilir.

Risk Analizi

Öncelikle, EN 50600 kesinlikle risk analiz yöntemleri tanımlamaz. Bu makalede aynı şekilde rehber amaçlıdır.

Risk analizi, kabul edilebilir toplam risk ile karşılaştırmaya izin veren bir yönetim aracı olarak kullanılabilir ve azaltma faaliyetinden kaynaklanan eğilimleri gösterir. Bu standardın amaçları doğrultusunda ilgili risk Veri merkezinin hizmet sunumunu kesintiye uğratan, veri merkezinin tesisleri ve altyapıları ile ilgili bir olay, etki ve olasılık fonksiyonu olan olay riski olarak tanımlanır. 

Veri merkezinin işlevsel kapasitesine yönelik toplam risk her tesis ve altyapının temelde ölçülmesi şartıyla ilişkilidir. İş etki analizinin çıktısı ile ilgiliyse toplam riskin mali değeri tahmin edilebilir.

Dikkate alınan riskler, tesisleri ve altyapıları etkileyebilecek dış tehditleri özellikle coğrafi (hava trafiği, su baskını vb.), siyasi (savaşlar, sorunlu noktalar, terör vb.) veya komşuluk ilişkilerini etkileyen (örneğin yangın tehlikesi mevcutsa, dolum istasyonları, kimyasal depolama vb.) içermelidir ve dolayısıyla potansiyel bir aksama süresi olasılığını etkiler. Ayrıca, personelin veya diğerlerinin yaptığı iç ve dış saldırılardan kaynaklanan potansiyel riskler, genel risk içerisinde değerlendirilmelidir.

Etki şu şekilde kategorize edilebilir: 

1) Düşük: Kritik olmayan hizmetlerin kaybı;

2) Orta: Kritik sistem işlevsel öğelerinin arızalanması, ancak yedeklilik kaybı olmaması;

3) Yüksek: Kritik sistem yedekliliği kaybı, ancak hizmet kaybı olmaması;

4) Kritik: Kritik hizmet kaybı veya can kaybı (kişisel yaralanmayı ele almak için genişletilebilir).