Cloud Computing Compliance Controls Catalog (C5)

Обзор


Каталог средств контроля соответствия облачных вычислений требованиям (C5) – это поддерживаемая правительством Германии схема аттестации, введенная Федеральным управлением по информационной безопасности (BSI). C5 помогает организациям продемонстрировать операционную безопасность от распространенных кибератак при использовании облачных сервисов в контексте Рекомендаций по безопасности для поставщиков облачных услуг правительства Германии.

Аттестация C5 может использоваться клиентами AWS и их консультантами по вопросам соответствия требованиям при переносе рабочих нагрузок в облако для ознакомления с настройками безопасности, предлагаемыми платформой AWS для соответствия требованиям C5. Аттестация C5 представляет законодательно определенный эквивалент каталога IT‑Grundschutz, действующий на уровне ИТ‑безопасности, с поддержкой облачных средств управления.

Аттестация C5 включает в себя дополнительные требования к безопасности, связанные с местонахождением данных, предоставлением услуг, местом рассмотрения споров, существующей сертификацией, обязательствами о разглашении и описанием полного набора сервисов. С помощью этой информации клиенты смогут оценить соотношение правовых норм (например, в области конфиденциальности данных), собственных политик или опасностей внешней среды с используемыми облачными вычислительными сервисами.

Вопросы и ответы


  • C5 (Cloud Computing Compliance Controls Catalogue) – это стандарт ИТ‑безопасности в сфере облачных вычислений, действующий в Германии. Набор средств управления C5, разработанный и выпущенный BSI в феврале 2016 г., предлагает клиентам, находящимся на территории Германии, дополнительный уровень защиты при переносе комплексных и регламентируемых рабочих нагрузок в сервисы облачных вычислений, такие как AWS. В C5 учтены требования следующих международных стандартов.

    • ISO/IEC 27001:2017 (ISO – Международная организация по стандартизации)
    • CSA Cloud Controls Matrix 3.01 (CSA – Ассоциация по вопросам облачной безопасности)
    • AICPA Trust Service Principles Criteria 2017 (AICPA – Американский институт дипломированных общественных бухгалтеров)
    • Trusted Cloud Data Protection Profile (TCDP) – версия 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium – выпуск 2019
  • Стандарт С5 в 2016 г. разработало национальное управление Германии по кибербезопасности Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI устанавливает требования ИТ‑безопасности для всех правительственных систем, и большинство немецких компаний выстраивают свою стратегию ИТ‑безопасности в соответствии со стандартами BSI. В 2019 году BSI переработала и обновила каталог C5. Новая версия (C5:2020) была завершена в январе 2020 года. 

  • Отчет C5 предоставляет нашим европейским клиентам независимую стороннюю аттестацию о пригодности разработки и эксплуатационной эффективности наших средств управления для соответствия основным и дополнительным критериям C5. В частности, в Германии клиенты привыкли выбирать облачные сервисы, которые оцениваются по критериям C5. C5 предоставляет клиентам платформу с документальным описанием эквивалента каталога IT‑Grundschutz, действующего на уровне ИТ‑безопасности и охватывающего все аспекты ИТ‑безопасности для облачных вычислений. Для федеральных органов власти аттестация C5 является базовым требованием в процессе закупок.

    Актуальную информацию о C5 в AWS можно найти в соответствующих публикациях в блоге о безопасности AWS C5.

  • Аттестация C5 распространяется на следующие регионы AWS: Франкфурт, Ирландия, Лондон, Париж, Милан, Стокгольм, Сингапур, Цюрих и Испания, а также на периферийные местоположения в Германии, Ирландии, Англии, Франции, Сингапуре, Швеции, Италии, Испании и Швейцарии.

  • Список сервисов AWS, на которые распространяется аттестация С5, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и (или) задать вопросы о других сервисах, свяжитесь с нами.

  • IT‑Grundschutz – это стандарт для организации и поддержания надлежащей защиты информации учреждения. В каталогах IT‑Grundschutz описаны средства защиты для типовых бизнес‑процессов, ИТ‑систем и приложений, а также требования к защите собственной информации предприятия. C5 служит руководством по предложениям поставщиков облачных услуг (CSP).
  • Отчет AWS C5 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

  • Организация BSI согласовала эту разработку с агентством ANSSI и маркировкой Secure Cloud Label, которая будет введена в использование в ближайшее время. Имело место взаимное влияние между стандартами C5 и SecNumCloud во Франции с целью создать возможность взаимного признания под общим названием ESCloud. Кроме того, черновой вариант схемы сертификации кибербезопасности облачных сервисов (EUCS) Агентства Европейского Союза по кибербезопасности (ENISA) в значительной степени основан на стандарте безопасности C5.

  • Сертификаты выдает особая аккредитованная компания, и срок их действия часто составляет от одного года до трех лет. Аттестацию можно пройти во время аудита соответствия или бухгалтерского аудита, проводимого квалифицированным персоналом. Аттестация больше ориентирована на аспект непрерывного осуществления, то есть цикл повторного аудита намного короче – вплоть до 6 месяцев. Согласно ISAE 3000/3402, процесс аудита обеспечивает подтверждение уместности и эффективности за прошедший период времени. Сертификация фиксирует состояние на момент времени.

Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »