Поделиться через


Самостоятельная оценка Cloud Security Alliance (CSA) STAR

Обзор самостоятельной оценки CSA STAR

Cloud Security Alliance (CSA) — это некоммерческая организация, управляемая широким объединением отраслевых специалистов, организаций и других важных заинтересованных лиц. Ее целью является определение рекомендаций по обеспечению безопасности облачной среды и предоставление потенциальным клиентам возможности принимать информированные решения при переносе ИТ-операций в облако.

В 2010 г. CSA опубликовала набор средств для оценки облачных ИТ-операций: стек для управления CSA, управления рисками и соответствия требованиям (GRC). Он был предназначен для помощи облачным клиентам в оценке соблюдения поставщиками облачных служб (CSP) отраслевых рекомендаций и стандартов, а также их соответствия нормативным требованиям.

В 2013 г. CSA и Британский институт стандартов создали реестр безопасности, доверия и гарантий (STAR) — бесплатный общедоступный реестр, в котором CSP могут публиковать свои оценки, связанные с CSA.

Реестр CSA STAR основан на двух основных компонентах стека CSA GRC:

  • Облачная матрица управления (CCM) — платформа элементов управления, включающая фундаментальные принципы защиты в 16 областях для помощи облачным клиентам в оценке общей угрозы безопасности CSP.
  • Анкета для общей оценки (CAIQ) — более 140 вопросов, основанных на CCM, которые клиент или облачный аудитор могут задать CSP, чтобы оценить его соответствие рекомендациям CSA.

STAR обеспечивает три уровня гарантий. Самостоятельная оценка CSA-STAR — это начальное предложение уровня 1. Оно бесплатно и доступно всем поставщикам облачных служб (CSP). Следующий в стеке уровень 2 программы STAR включает сертификацию на основе независимой оценки, а уровень 3 предусматривает сертификацию на основе непрерывного мониторинга.

Майкрософт и самостоятельная оценка CSA STAR

В рамках самостоятельной оценки STAR поставщики облачных служб могут предоставить два разных типа документов, чтобы продемонстрировать свое соответствие рекомендациям CSA: заполненную анкету CAIQ или отчет, демонстрирующий соответствие требованиям CCM. Для самостоятельной оценки CSA STAR корпорация Майкрософт опубликовала анкету CAIQ и отчет на основе CCM для Microsoft Azure, а также отчеты на основе CCM для Microsoft Dynamics 365 и Microsoft Office 365.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure и Azure для государственных организаций
  • Dynamics 365
  • Microsoft 365

Самостоятельная оценка Azure, Dynamics 365 и CSA STAR

Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение самостоятельной оценки Azure CSA STAR.

Самостоятельная оценка Microsoft 365 и CSA STAR

Среды Microsoft 365

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость и область службы Microsoft 365

Используйте следующую таблицу, чтобы определить применимость для служб и подписки Microsoft 365:

Применимость Затрагиваемые службы
Коммерческий сектор Exchange Online, Exchange Online Protection, Клиентский портал Microsoft 365, Office Online, Инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online, Skype для бизнеса

Вопросы и ответы

Каким отраслевым стандартам соответствует CSA CCM?

CCM соответствует отраслевым стандартам безопасности, нормативам и платформам управления, таким как ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST и т. д. Актуальный список см. на веб-сайте CSA.

Почему важна самостоятельная оценка CSA STAR?

Она позволяет CSP прозрачно документировать соответствие опубликованным рекомендациям CSA. Отчеты самостоятельной оценки являются общедоступными. Это помогает облачным клиентам получить представление о методах обеспечения безопасности CSP и сравнить разных поставщиков CSP, используя одинаковую основу.

Какой уровень контроля качества CSA STAR получил Office 365?

  • Уровень 1: Самостоятельная оценка CSA STAR — это дополнительное предложение от поставщиков облачных служб для регистрации их элементов управления безопасностью, помогающее пользователям оценить безопасность службы.

Ресурсы Microsoft 365