Cloud Computing Compliance Controls Catalog (C5)

Обзор

AWSC5Logo

Cloud Computing Compliance Controls Catalog (C5) – это схема аттестации, учрежденная Федеральным управлением по информационной безопасности (BSI) при поддержке правительства Германии. Она призвана помочь организациям в демонстрации операционной защиты против типичных кибератак при использовании облачных сервисов в контексте Рекомендаций по обеспечению безопасности для поставщиков облачных услуг, утвержденных правительством Германии.

Аттестация C5 может использоваться клиентами AWS и их консультантами по вопросам соответствия требованиям при переносе рабочих нагрузок в облако для ознакомления с настройками безопасности, предлагаемыми платформой AWS для соответствия требованиям C5. Аттестация C5 представляет законодательно определенный эквивалент каталога IT‑Grundschutz, действующий на уровне ИТ‑безопасности, с поддержкой облачных средств управления.

Аттестация C5 включает в себя дополнительные требования к безопасности, связанные с местонахождением данных, предоставлением услуг, местом рассмотрения споров, существующей сертификацией, обязательствами о разглашении и описанием полного набора сервисов. С помощью этой информации клиенты смогут оценить соотношение правовых норм (например, в области конфиденциальности данных), собственных политик или опасностей внешней среды с используемыми облачными вычислительными сервисами.

  • Что такое C5?

    C5 (Cloud Computing Compliance Controls Catalogue) – это стандарт ИТ‑безопасности в сфере облачных вычислений, действующий в Германии. Набор средств управления C5, разработанный и выпущенный BSI в феврале 2016 г., предлагает клиентам, находящимся на территории Германии, дополнительный уровень защиты при переносе комплексных и регламентируемых рабочих нагрузок в сервисы облачных вычислений, такие как AWS. В C5 учтены требования следующих международных стандартов.

    • ISO/IEC 27001:2013 (ISO – Международная организация по стандартизации)
    • CSA Cloud Controls Matrix 3.01 (CSA – Ассоциация по вопросам облачной безопасности)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – Американский институт дипломированных общественных бухгалтеров)
    • ANSSI Référentiel Secure Cloud 2.0 (проект) (ANSSI – Национальное агентство безопасности информационных систем)
    • IDW ERS FAIT 5 04.11.201 (проект постановления по бухгалтерскому учету: Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing [Общепринятые принципы бухгалтерского учета при внешнем обеспечении бухгалтерских услуг с использованием облачных вычислений], версия от 4 ноября 2014 г.)
    • Каталоги BSI IT‑Grundschutz, версия 14, 2014 г.
    • BSI SaaS Sicherheitsprofile 2014 [Профили безопасности SaaS BSI, 2014 г.]
  • В чем заключаются преимущества этого стандарта для клиента?

    AWS завершила свое тестирование 2020 года по программе информационной безопасности и соответствия C5, и отчет C5 доступен для загрузки в AWS Artifact. Отчет об аттестации AWS 2021 C5 будет доступен в конце 2021 года. 

    Отчет C5 предоставляет нашим европейским клиентам независимую стороннюю аттестацию о пригодности разработки и эксплуатационной эффективности наших средств управления для соответствия основным и дополнительным критериям C5. В частности, в Германии клиенты привыкли выбирать облачные сервисы, которые оцениваются по критериям C5. C5 предоставляет клиентам платформу с документальным описанием эквивалента каталога IT‑Grundschutz, действующего на уровне ИТ‑безопасности и охватывающего все аспекты ИТ‑безопасности для облачных вычислений. Для федеральных органов власти аттестация C5 является базовым требованием в процессе закупок.

  • На какие регионы AWS распространяется аттестация С5?

    Аттестация C5 распространяется на следующие регионы AWS: Франкфурт, Ирландия, Лондон, Париж, Милан, Стокгольм и Сингапур, а также на периферийные местоположения в Германии, Ирландии, Англии, Франции и Сингапуре.

  • На какие сервисы она распространяется?

    Список сервисов AWS, на которые распространяется аттестация С5, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

  • Кто разработал стандарт C5?

    Стандарт С5 в 2016 г. разработало национальное управление Германии по кибербезопасности Bundesamt für Sicherheit in der Informationstechnik (BSI). В 2019 году BSI переработала и обновила каталог C5. Новая версия (C5:2020) была завершена в январе 2020 года. BSI настоятельно рекомендует применять C5:2020 для аудитов, периоды оценки которых заканчиваются 15 февраля 2021 года или позднее. BSI устанавливает требования ИТ‑безопасности для всех правительственных систем, и большинство немецких компаний выстраивают свою стратегию ИТ‑безопасности в соответствии со стандартами BSI.

  • В чем разница между стандартами BSI C5 и IT‑Grundschutz?

    IT‑Grundschutz – это стандарт для организации и поддержания надлежащей защиты информации учреждения. В каталогах IT‑Grundschutz описаны средства защиты для типовых бизнес‑процессов, ИТ‑систем и приложений, а также требования к защите собственной информации предприятия. C5 служит руководством по предложениям поставщиков облачных сервисов.

  • Как AWS поддерживает аттестацию клиентских приложений SaaS и PaaS по стандарту С5?

    Стандарт C5 предназначен преимущественно для профессиональных поставщиков облачных сервисов, их аудиторов и клиентов. Он определяет, какие требования (также называемые элементами управления) должны соблюдать поставщики облачных услуг.

    В ноябре 2016 г. компания AWS первой из поставщиков облачных сервисов в Германии прошла аттестацию C5 на уровне инфраструктуры. Клиенты из Германии и других европейских стран могут использовать отчет об аттестации AWS, чтобы повысить свое соответствие региональным требованиям безопасности согласно критериям C5. Аттестация AWS C5 закладывает основу для получения собственной аттестации C5 для своих облачных приложений от аудитора. К примеру, это дает клиентам AWS возможность пройти собственную аттестацию C5, не включая физическую безопасность ЦОД или управление инфраструктурой облака в объем индивидуального аудита. Приложения, развернутые с использованием моделей «ПО как услуга» (SaaS) и «Платформа как услуга» (PaaS), также могут проходить проверку на соответствие требованиям по системе C5. Таким образом, ваши клиенты получают подтверждение того, что вы эффективно обеспечиваете ИТ‑безопасность по стандарту BSI на всех уровнях.

  • Имеет ли этот стандарт международное значение?

    Организация BSI согласовала эту разработку с агентством ANSSI и маркировкой Secure Cloud Label, которая будет введена в использование в ближайшее время. Имело место взаимное влияние между стандартами C5 и SecNumCloud во Франции с целью создать возможность взаимного признания под общим названием ESCloud. Кроме того, черновой вариант схемы сертификации кибербезопасности облачных сервисов (EUCS) Агентства Европейского Союза по кибербезопасности (ENISA) в значительной степени основан на стандарте безопасности C5.

  • В чем разница между сертификацией и аттестацией?

    Сертификаты выдает особая аккредитованная компания, и срок их действия часто составляет от одного года до трех лет. Аттестацию можно пройти во время аудита соответствия или бухгалтерского аудита, проводимого квалифицированным персоналом. Аттестация больше ориентирована на аспект непрерывного осуществления, то есть цикл повторного аудита намного короче – вплоть до 6 месяцев. Согласно ISAE 3000/3402, процесс аудита обеспечивает подтверждение уместности и эффективности за прошедший период времени. Сертификация фиксирует состояние на момент времени.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »