Каталог критериев соответствия для облачных вычислений

Отчет C5 предоставляет нашим европейским клиентам независимую стороннюю аттестацию о пригодности разработки и эксплуатационной эффективности наших средств управления для соответствия основным и дополнительным критериям C5. В частности, в Германии клиенты привыкли выбирать облачные сервисы, которые оцениваются по критериям C5. C5 предоставляет клиентам платформу с документальным описанием эквивалента каталога IT‑Grundschutz, действующего на уровне ИТ‑безопасности и охватывающего все аспекты ИТ‑безопасности для облачных вычислений. Для федеральных органов власти аттестация C5 является базовым требованием в процессе закупок.

Актуальную информацию о C5 в AWS можно найти в соответствующих публикациях в блоге о безопасности AWS C5.

Отчет AWS C5 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

Организация BSI согласовала эту разработку с агентством ANSSI и маркировкой Secure Cloud Label, которая будет введена в использование в ближайшее время. Имело место взаимное влияние между стандартами C5 и SecNumCloud во Франции с целью создать возможность взаимного признания под общим названием ESCloud. Кроме того, черновой вариант схемы сертификации кибербезопасности облачных сервисов (EUCS) Агентства Европейского Союза по кибербезопасности (ENISA) в значительной степени основан на стандарте безопасности C5.

Список сервисов AWS, на которые распространяется аттестация С5, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и (или) задать вопросы о других сервисах, свяжитесь с нами.

Аттестация C5 распространяется на следующие регионы AWS: Франкфурт, Ирландия, Лондон, Париж, Милан, Стокгольм, Сингапур, Цюрих и Испания, а также на периферийные местоположения в Германии, Ирландии, Англии, Франции, Сингапуре, Швеции, Италии, Испании и Швейцарии.

Сертификаты выдает особая аккредитованная компания, и срок их действия часто составляет от одного года до трех лет. Аттестацию можно пройти во время аудита соответствия или бухгалтерского аудита, проводимого квалифицированным персоналом. Аттестация больше ориентирована на аспект непрерывного осуществления, то есть цикл повторного аудита намного короче – вплоть до 6 месяцев. Согласно ISAE 3000/3402, процесс аудита обеспечивает подтверждение уместности и эффективности за прошедший период времени. Сертификация фиксирует состояние на момент времени.

IT‑Grundschutz – это стандарт для организации и поддержания надлежащей защиты информации учреждения. В каталогах IT‑Grundschutz описаны средства защиты для типовых бизнес‑процессов, ИТ‑систем и приложений, а также требования к защите собственной информации предприятия. C5 служит руководством по предложениям поставщиков облачных услуг (CSP).

C5 (Каталог критериев соответствия нормативным требованиям при облачных вычислениях (Cloud Computing Compliance Criteria Catalogue)) – это стандарт ИТ‑безопасности в сфере облачных вычислений, действующий в Германии. Набор средств управления C5, разработанный и впервые выпущенный BSI в 2016 г., предлагает клиентам, находящимся на территории Германии, дополнительный уровень защиты при переносе комплексных и регламентируемых рабочих нагрузок в сервисы облачных вычислений, такие как AWS.

Текущая версия C5 была выпущен в 2020 году и включает требования следующих стандартов и публикаций:

• ISO/IEC 27001:2013. Системы управления информационной безопасностью. Требования
• ISO/IEC 27002:2016. Процедуры обеспечения ИТ-безопасности. Руководство по мерам информационной безопасности
• ISO/IEC 27017:2015. Методы обеспечения безопасности. Свод правил по контролю информационной безопасности на основе ISO/IEC 27002 для облачных сервисов
• BSI. Компендиум по основам обеспечения ИТ-безопасности (IT-Grundschutz-Kompendium), 2-е издание, 2019 г.
• CSA. Матрица управления облаком 3.0.1 (Cloud Controls Matrix 3.0.1) (CSA – Ассоциация по вопросам облачной безопасности)
• Критерии принципов оказания услуг по обеспечению доверия AICPA 2017 г. (AICPA Trust Service Principles Criteria 2017) (AICPA – Американский институт сертифицированных бухгалтеров)
• ANSSI (Национальное агентство кибербезопасности Франции (Agence nationale de la sécurité des systèmes d’information)) Поставщики услуг облачных вычислений. Версия 3.1 (SecNumCloud).
• IDW (Институт сертифицированных бухгалтеров Германии (Institut der Wirtschaftsprüfer)) RS FAIT 5. Заявление о финансовой отчетности: «Принципы упорядоченного бухгалтерского учета при аутсорсинге услуг, связанных с финансовой отчетностью, включая облачные вычисления», по состоянию на 4 ноября 2015 г.

Стандарт С5 в 2016 г. разработало национальное управление Германии по кибербезопасности Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI устанавливает требования ИТ‑безопасности для всех правительственных систем, и большинство немецких компаний выстраивают свою стратегию ИТ‑безопасности в соответствии со стандартами BSI. В 2019 году BSI переработала и обновила каталог C5. Новая версия (C5:2020) была завершена в январе 2020 года.