Существует множество международных и национальных сертификаций, которые подтверждают соответствие решений и бизнес-процессов облачного оператора общепринятым требованиям. Одной из таких является CSA STAR. Что это, какие преимущества дает и как ее пройти, рассказываем ниже.

Что такое сертификация CSA STAR

CSA Security, Trust и Assurance Registry (STAR) ― независимая оценка безопасности cloud сервисов. Эту сертификацию разработали Британский институт стандартов (BSI) и Альянс облачной безопасности (Cloud Security Alliance).

Проект сочетает средства контроля и лучшие практики, изложенные в других стандартах информационной безопасности, например, ISO/IEC 27001:2013. А также помогает облачным операторам лучше защитить данные своих клиентов.

CSA STAR уровни сертификации

Делится на три уровня.

Уровень 1 ― Самооценка на основе опросника Инициативы консенсусных оценок (CAIQ)

Чтобы получить сертификат первого уровня, нужно провести самооценку своих систем и средств контроля в соответствии с лучшими практиками CSA. Для этого облачные операторы должны заполнить анкету Инициативы консенсусных оценок (CAIQ) и отправить в Cloud Security Alliance для проверки.

Сертификацию нужно проходить ежегодно. Но если компании проходят ее хоть каждый месяц, имеют право на непрерывную сертификацию. Это позволяет им заверить своих клиентов в том, что они придерживаются нормативных требований постоянно, а не только тогда, когда наступает время ресертификации.

GigaCloud единственный среди украинских облачных операторов прошел сертификацию CSA STAR и получил сертификат первого уровня на публичное облако на VMware, расположенное на площадках в Украине и Польше.

Уровень 2 ― Независимое оценивание третьей стороны

Предусматривает проведение оценки систем и сервисов третьей стороной, сертифицированной CSA. Например, CSA STAR Attestation и CSA STAR Certification.

Есть несколько способов как получить сертификат второго уровня:

• Аттестация AICPA SOC 2 + CSA STAR. Включает критерии доверительных услуг SOC 2, структуру CCM и должна обновляться ежегодно.
• Сертификация ISO 27001:2013 + CSA STAR. Включает требования стандарта ISO 27001:2013 и рамочные требования CSA. Ее необходимо проходить каждые три года.
• GB/T 22080-2008 + CSA C-STAR. Предназначена для поставщиков облачных услуг, работающих в Китае. Оценивание включает структуру CSA и китайские национальные требования GB/T 22080-2008, а также дополнительные средства контроля из GB/T 22239-2008 и GB/Z 28828-2012. Оценивание необходимо проходить каждые три года.

Уровень 3 ― Непрерывный мониторинг

На сайте Cloud Security Alliance третий уровень указан как «coming soon». То есть пока он не является официально доступным. В будущем непрерывная оценка будет достигнута путем сбора данных в режиме реального времени с помощью инструментов мониторинга, таких как аналитика журналов, сетевая статистика, статистика процессов или использования ресурсов.

Преимущества сертификации

Позволяет клиентам быстро найти поставщика, который предлагает уровень безопасности, необходимый для их бизнеса.

Помогает существующим клиентам обеспечить лучшее согласование практик безопасности между ними и их облачными операторами, упрощая процесс построения эффективной программы управления, рисков и соответствия.

Реестр CSA STAR

Реестр STAR ― это публичный реестр поставщиков облачных услуг, которые используют средства контроля программы STAR и получили сертификат. Реестр находится на сайте компании и позволяет любому загрузить копию сертификата, который получил облачный оператор.

Ранее мы рассказывали, что означает SLA 99,95% и какая ответственность облачного оператора.