Cloud Computing Compliance Controls Catalog (C5)

Обзор

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) – это схема аттестации, учрежденная Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии. Она призвана помочь организациям в демонстрации операционной защиты против типичных кибератак в контексте Рекомендаций по обеспечению безопасности для поставщиков облачных услуг, утвержденных правительством Германии.

Аттестация C5 может использоваться клиентами AWS и их консультантами по вопросам соответствия требованиям при переносе рабочих нагрузок в облако для ознакомления с ассортиментом сервисов ИТ-безопасности, предлагаемых платформой AWS. Аттестация C5 представляет законодательно определенный эквивалент каталога IT-Grundschutz, действующий на уровне ИТ-безопасности, с поддержкой облачных средств управления.

Аттестация C5 вводит дополнительные средства управления, предоставляющие информацию в отношении местонахождения данных, предоставления услуг, места рассмотрения споров, существующей сертификации, обязательств о разглашении и описания полного набора сервисов. С помощью этой информации клиенты смогут оценить соотношение правовых норм (например, в области конфиденциальности данных), собственных политик или опасностей внешней среды с используемыми облачными вычислительными сервисами.

Аттестация C5 для приложений SaaS и PaaS

Клиенты AWS могут пройти аттестацию C5 для облачных приложений, работающих на базе инфраструктуры AWS. По состоянию на ноябрь 2016 г. компания AWS первой из поставщиков облачных сервисов в Германии прошла аттестацию C5 на уровне инфраструктуры. С выпуском отчета C5 AWS создает основу для документирования соответствия стандарту C5 в качестве поставщика сервисов «Инфраструктура как услуга» (IaaS).

Теперь, чтобы пройти аттестацию C5 для облачных приложений, клиенты AWS не обязаны проводить аудит физической безопасности центров обработки данных (ЦОД) или инфраструктуры облака. Клиенты могут также аттестовать приложения, развернутые с использованием моделей «ПО как услуга» (SaaS) и «Платформа как услуга» (PaaS), по системе C5. Это подтверждает, что клиенты эффективно обеспечивают ИТ-безопасность по стандарту BSI на всех уровнях.

Отзывы клиентов об аттестации C5

Аттестация Cloud Computing Compliance Control Catalogue (C5) BSI распространяется на все аспекты безопасной эксплуатации облачных сервисов. Существующим клиентам AWS она поможет упростить внутреннее обсуждение с участием руководителя по безопасности и соблюдению требований. Потенциальные клиенты смогут значительно облегчить перенос своих примеров использования в AWS. В любом случае, мы полагаем, что аттестация значительно повысит уровень использования сервисов.

Computacenter AG & Co oHG

Аттестация BSI C5 подтверждает, что Box Cloud является надежным облачным решением для управления корпоративными информационными ресурсами. Своими инвестициями в соблюдение нормативных требований Германии и Европы в целом Box показывает, насколько важны эти рынки для компании. Помимо прочих решений, Box использует инфраструктуру AWS, которая также соответствует требованиям С5, в районе Франкфурта.

Box, Inc.

«Аттестация AWS по схеме C5, предназначенной для управления инфраструктурой, – весомое подтверждение информационной безопасности для нас и наших клиентов в таких областях, как ЦОД, серверы, сеть и данные. Сохраняя уверенность в надежности и безопасности AWS, мы можем сосредоточиться на нашем собственном бизнесе».

e-Spirit AG

Эти вопросы и ответы призваны стать руководством по аттестации C5 для приложений SaaS и PaaS. Дополнительные сведения о C5 и документе «Cloud Computing Compliance Controls Catalogue (C5) – Criteria to assess the information security of cloud services» можно найти на веб-сайте BSI.

  • На какие сервисы AWS распространяется аттестация С5?

    Список сервисов AWS, на которые распространяется аттестация С5, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

  • Что такое C5?

    C5 (Cloud Computing Compliance Controls Catalogue)  – это стандарт ИТ-безопасности в сфере облачных вычислений, действующий в Германии. Набор средств управления C5, разработанный и выпущенный BSI в феврале 2016 г., предлагает клиентам, находящимся на территории Германии, дополнительный уровень защиты при переносе комплексных и регламентируемых рабочих нагрузок в сервисы облачных вычислений, такие как AWS. В C5 учтены требования следующих международных стандартов.

    • ISO/IEC 27001:2013 (ISO – Международная организация по стандартизации)
    • CSA Cloud Controls Matrix 3.01 (CSA – Ассоциация по вопросам облачной безопасности)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – Американский институт дипломированных общественных бухгалтеров)
    • ANSSI Référentiel Secure Cloud 2.0 (проект) (ANSSI – Национальное агентство безопасности информационных систем)
    • IDW ERS FAIT 5 04.11.201 (проект постановления по бухгалтерскому учету: Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing [Общепринятые принципы бухгалтерского учета при внешнем обеспечении бухгалтерских услуг с использованием облачных вычислений], версия от 4 ноября 2014 г.)
    • Каталоги BSI IT-Grundschutz, версия 14, 2014 г.
    • BSI SaaS Sicherheitsprofile 2014 [Профили безопасности SaaS BSI, 2014 г.]
  • Кто создал этот новый стандарт?

    Стандарт С5 создало национальное управление Германии по кибербезопасности Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI устанавливает требования ИТ-безопасности для всех правительственных систем, и большинство немецких компаний выстраивают свою стратегию ИТ-безопасности в соответствии со стандартами BSI.

  • Почему был создан новый стандарт?

    Средства управления из вышеупомянутых стандартов были собраны и сведены воедино специально для облачных вычислений. Это обеспечивает четкое понимание ролей поставщика облачных сервисов и клиента в модели общей ответственности.

  • В чем разница между стандартами BSI C5 и IT-Grundschutz?

    IT-Grundschutz  – это стандарт для организации и поддержания надлежащей защиты информации учреждения. В каталогах IT-Grundschutz описаны средства защиты для типовых бизнес-процессов, ИТ-систем и приложений, а также требования к защите собственной информации предприятия. C5 служит руководством по предложениям поставщиков облачных сервисов.

  • В чем разница между сертификацией и аттестацией?

    Сертификаты выдает особая аккредитованная компания, и срок их действия часто составляет от одного года до трех лет. Аттестацию можно пройти во время аудита соответствия или учета, проводимого квалифицированным персоналом. Аттестация больше ориентирована на аспект непрерывного осуществления, то есть цикл повторного аудита намного короче  – вплоть до 6 месяцев. Согласно ISAE 3000/3402, процесс аудита обеспечивает подтверждение уместности и эффективности за прошедший период времени. Сертификация представляет собой снимок состояния.

  • В чем заключаются преимущества этого стандарта для клиента?

    В Германии, в частности, клиенты обычно ищут сервисы, сертифицированные по стандарту BSI IT-Grundschutz (базовая безопасность ИТ). Стандарт IT-Grundschutz подходит для локальных инфраструктур или традиционных отношений аутсорсинга, но не оптимизирован для облачных вычислений. C5 предоставляет клиентам отчет с документальным описанием эквивалента каталога IT-Grundschutz, действующего на уровне ИТ-безопасности и охватывающего все аспекты ИТ-безопасности для облачных вычислений. Для органов власти аттестация C5 является базовым требованием в процессе закупок.

  • Как AWS поддерживает аттестацию клиентских приложений SaaS и PaaS по стандарту С5?

    Стандарт C5 предназначен преимущественно для профессиональных поставщиков облачных сервисов, их аудиторов и клиентов. В нем указано, какие требования (также называемые средствами управления) должны соблюдать поставщики облачных сервисов или каким минимальным требованиям поставщики обязаны соответствовать. Клиенты AWS получают преимущества от аттестации C5 для уровня инфраструктуры (IaaS), поскольку это позволяет им сосредоточиться на аттестации своих приложений SaaS или PaaS.

    В ноябре 2016 г. компания AWS первой из поставщиков облачных сервисов в Германии прошла аттестацию C5 на уровне инфраструктуры. Тем самым мы создали основу, с помощью которой вы сможете получить аттестат C5 от своего аудитора для своих облачных приложений. Это дает клиентам AWS возможность пройти собственную аттестацию C5, не включая физическую безопасность ЦОД и управление инфраструктурой облака в объем индивидуального аудита. Приложения, развернутые с использованием моделей «ПО как услуга» (SaaS) и «Платформа как услуга» (PaaS), также могут быть аттестованы по системе C5. Таким образом, ваши клиенты получают подтверждение, что вы эффективно обеспечиваете ИТ-безопасность по стандарту BSI на всех уровнях.

  • Как пройти аттестацию С5?

    В стандарте С5 указано, что публичный аудитор выдает аттестат для облачных сервисов, проверенных в общепринятом порядке. Основой аттестации служит отчет по аудиту, в котором аудитор отражает факт соблюдения и эффективного выполнения требований.

    С вопросами относительно подготовки и проведения аудита С5 обращайтесь к своему аудитору.

  • Каким критериям следует уделить внимание при выборе аудитора?

    Ежегодный аудит обычно проводится не публичным аудитором, а группой. В эту группу также входят ИТ-эксперты. Для проведения аттестации по стандарту С5 участники группы должны подтвердить свою квалификацию (см. раздел 3.5.1). Примеры включают сертификаты ISACA (CISA, CISM, CRISC), CSA (CCSK) или ISO 27001 и аудиторов IT-Grundschutz. Эти квалификации должны быть перечислены и подтверждены в аттестате.

  • Какое время занимает процесс аудита для получения аттестации С5?

    Продолжительность аудита зависит от существующих сертификаций в вашей компании. Например, сертификация по стандарту ISO 27001 сокращает процесс аудита. Рекомендуется проводить аттестацию вместе с сертификацией, поскольку все требования ISO IEC 27001 также указаны в стандарте С5.

  • Имеет ли этот стандарт международное значение?

    Организация BSI согласовала эту разработку с агентством ANSSI и его маркировкой Secure Cloud Label, которая будет введена в ближайшее время. Имело место взаимное влияние между стандартами C5 и Secure Cloud во Франции с целью создать возможность взаимного признания под общей маркировкой ESCloud.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »