Самостоятельная оценка Cloud Security Alliance (CSA) STAR

  • Статья

Обзор самостоятельной оценки CSA STAR

Cloud Security Alliance (CSA) — это некоммерческая организация, управляемая широким объединением отраслевых специалистов, организаций и других важных заинтересованных лиц. Ее целью является определение рекомендаций по обеспечению безопасности облачной среды и предоставление потенциальным клиентам возможности принимать информированные решения при переносе ИТ-операций в облако.

В 2010 г. CSA опубликовала набор средств для оценки облачных ИТ-операций: стек для управления CSA, управления рисками и соответствия требованиям (GRC). Он был предназначен для помощи облачным клиентам в оценке соблюдения поставщиками облачных служб (CSP) отраслевых рекомендаций и стандартов, а также их соответствия нормативным требованиям.

В 2013 г. CSA и Британский институт стандартов создали реестр безопасности, доверия и гарантий (STAR) — бесплатный общедоступный реестр, в котором CSP могут публиковать свои оценки, связанные с CSA.

Реестр CSA STAR основан на двух основных компонентах стека CSA GRC:

  • Облачная матрица управления (CCM) — платформа элементов управления, включающая фундаментальные принципы защиты в 16 областях для помощи облачным клиентам в оценке общей угрозы безопасности CSP.
  • Анкета для общей оценки (CAIQ) — более 140 вопросов, основанных на CCM, которые клиент или облачный аудитор могут задать CSP, чтобы оценить его соответствие рекомендациям CSA.

STAR обеспечивает три уровня гарантий. Самостоятельная оценка CSA-STAR — это начальное предложение уровня 1. Оно бесплатно и доступно всем поставщикам облачных служб (CSP). Следующий в стеке уровень 2 программы STAR включает сертификацию на основе независимой оценки, а уровень 3 предусматривает сертификацию на основе непрерывного мониторинга.

Майкрософт и самостоятельная оценка CSA STAR

В рамках самостоятельной оценки STAR поставщики облачных служб могут предоставить два разных типа документов, чтобы продемонстрировать свое соответствие рекомендациям CSA: заполненную анкету CAIQ или отчет, демонстрирующий соответствие требованиям CCM. Для самостоятельной оценки CSA STAR корпорация Майкрософт опубликовала анкету CAIQ и отчет на основе CCM для Microsoft Azure, а также отчеты на основе CCM для Microsoft Dynamics 365 и Microsoft Office 365.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure и Azure для государственных организаций
  • Dynamics 365
  • Office 365

Самостоятельная оценка Azure, Dynamics 365 и CSA STAR

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение самостоятельной оценки Azure CSA STAR.

Office 365 и самостоятельная оценка CSA STAR

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Exchange Online, Exchange Online Protection, портал клиентов Office 365, Office Online, инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online, Skype для бизнеса

Вопросы и ответы

Каким отраслевым стандартам соответствует CSA CCM?

CCM соответствует отраслевым стандартам безопасности, нормативам и платформам управления, таким как ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST и т. д. Актуальный список см. на веб-сайте CSA.

Почему важна самостоятельная оценка CSA STAR?

Она позволяет CSP прозрачно документировать соответствие опубликованным рекомендациям CSA. Отчеты самостоятельной оценки являются общедоступными. Это помогает облачным клиентам получить представление о методах обеспечения безопасности CSP и сравнить разных поставщиков CSP, используя одинаковую основу.

Какой уровень контроля качества CSA STAR получил Office 365?

  • Уровень 1: Самостоятельная оценка CSA STAR — это дополнительное предложение от поставщиков облачных служб для регистрации их элементов управления безопасностью, помогающее пользователям оценить безопасность службы.

Ресурсы Office 365