Каталог критериев соответствия требованиям облачных вычислений (C5)
Общие сведения о С5
В 2016 году Федеральное управление по информационной безопасности (Bundesamt für Sicherheit in der Informationstechnik или BSI) создало Каталог средств контроля соответствия облачных вычислений требованиям (C5). В 2020 году BSI пересмотрел руководство как каталог критериев соответствия облачным вычислениям (C5:2020). C5 — это проверенный стандарт, устанавливающий обязательный минимальный базовый уровень облачной безопасности и предусматривающий внедрение общедоступных облачных решений правительственными учреждениями Германии и организациями, работающими с правительством. Кроме того, C5 все больше и все чаще используется частными компаниями.
Каталог требований C5 предназначен для того, чтобы обеспечить согласованную структуру безопасности для сертификации поставщиков облачных служб и предоставить пользователям гарантии безопасного управления их данными.
C5 основан на таких признанных на международном уровне стандартах безопасности информационных технологий как ISO/IEC 27001:2013, Cloud Security Alliance Cloud Controls Matrix 3.0.1, а также собственных каталогах BSI базовой защиты информационных технологий — IT-Grundschutz. Каталог содержит 114 требований для 17 доменов, например по организации информационной и физической безопасности, которые включают в себя основные требования по обеспечению безопасности для всех поставщиков облачных служб, а также другие требования по обработке данных с высокой степенью конфиденциальности и ситуаций c высоким уровнем доступности.
Кроме того, BSI уделяет особое внимание прозрачности. В процессе проверки от поставщика облачных служб требуется предоставить подробное описание системы и раскрыть такие параметры среды, как юрисдикция и место обработки данных, сертификаты на оказание услуг и другие сертификаты, выдаваемые облачным службам, а также сведения об обязательствах поставщика облачных служб по раскрытию информации перед государственными органами. Эта система помогает потенциальным облачным клиентам решить, соответствуют ли облачные службы их основным требованиям, таким как соблюдение правовых требований, таких как защита данных, политика компании или возможность борьбы с угрозой промышленного шпионажа.
Майкрософт и C5
Облачные службы Майкрософт проходят проверку по стандартам SOC 2 (AT Раздел 101) не реже одного раза в год. Согласно предложению BSI, аудит C5 можно объединять с аудитом SOC 2, что позволит повторно использовать некоторые части описания системы и результаты аудита как элементы двойного контроля. Для подтверждения соответствия С5 для Microsoft Azure, государственных учреждений и Azure для Германии используется объединенный отчет (C5, SOC 2 типа 2, аттестацию CSA STAR) на основе аудиторской оценки независимого аудитора.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure, Azure для государственных организаций и Azure для Германии
- Office 365 Germany
Azure, Dynamics 365 и C5
Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия требованиям см. в предложении Для Германии C5:2020.
Вопросы и ответы
Можно ли использовать соответствие Майкрософт требованиям С5, чтобы помочь нашей организации самой пройти аттестацию C5?
Да. Аттестацию облачных служб Майкрософт можно использовать в качестве основы для программ или инициатив, для которых требуется С5. Однако для компонентов, находящихся за пределами этих служб или добавленных к ним, нужно пройти аттестацию С5 самостоятельно.
В чем разница между C5 и каталогами IT-Grundschutz?
Каталоги IT-Grundschutz содержат конкретную методологию, помогающую организациям определить и внедрить меры безопасности для ИТ-систем. Они являются одним из элементов, на котором основан стандарт C5. В C5 представлен набор стандартов аудита поставщиков облачных служб, но нюансы реализации облачных служб остаются на усмотрении их поставщиков.
Что такое Microsoft Cloud для Германии?
Microsoft Cloud для Германии физически базируется в Германии, соблюдая требования немецкого законодательства о конфиденциальности, которое ограничивает передачу персональных данных в другие страны и обеспечивает защиту от доступа со стороны властей из других юрисдикций, которые могут нарушать внутреннее законодательство. Azure для Германии управляет службами Azure из немецких центров обработки данных (т.е. данные находятся в Германии) и обеспечивает строгие меры по управлению доступом к данным и контролю с помощью уникальной модели доверенного управления данными, которая регулируется немецким законодательством.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Каталог критериев соответствия облачным вычислениям (C5:2020) (английский) (немецкий)
- Рекомендации по безопасности для поставщиков облачных вычислений (Английский) (Немецкий)
- Azure + Dynamics 365 + веб-службы — общедоступные & для государственных организаций — SOC 2 Type II + C5 + CSA Star Report
- Отчет Microsoft 365 — C5 Worldwide Type 1
- Книга IT-Grundschutz для Microsoft Azure для Германии
- Книга IT-Grundschutz (английский) для Office 365 Германии
- Книга IT-Grundschutz (немецкий) для Office 365 Германии
- Соответствие требованиям в центре управления безопасностью Майкрософт
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по