Самостоятельная оценка Cloud Security Alliance (CSA) STAR
Обзор самостоятельной оценки CSA STAR
Cloud Security Alliance (CSA) — это некоммерческая организация, управляемая широким объединением отраслевых специалистов, организаций и других важных заинтересованных лиц. Ее целью является определение рекомендаций по обеспечению безопасности облачной среды и предоставление потенциальным клиентам возможности принимать информированные решения при переносе ИТ-операций в облако.
В 2010 г. CSA опубликовала набор средств для оценки облачных ИТ-операций: стек для управления CSA, управления рисками и соответствия требованиям (GRC). Он был предназначен для помощи облачным клиентам в оценке соблюдения поставщиками облачных служб (CSP) отраслевых рекомендаций и стандартов, а также их соответствия нормативным требованиям.
В 2013 году CSA и Образовательное учреждение Великобритании запустили реестр безопасности, Trust & Assurance Registry (STAR), бесплатный общедоступный реестр, в котором CSP могут публиковать свои оценки, связанные с CSA.
Реестр CSA STAR основан на двух основных компонентах стека CSA GRC:
- Облачная матрица управления (CCM) — платформа элементов управления, включающая фундаментальные принципы защиты в 16 областях для помощи облачным клиентам в оценке общей угрозы безопасности CSP.
- Анкета для общей оценки (CAIQ) — более 140 вопросов, основанных на CCM, которые клиент или облачный аудитор могут задать CSP, чтобы оценить его соответствие рекомендациям CSA.
STAR обеспечивает три уровня гарантий. Самостоятельная оценка CSA-STAR — это начальное предложение уровня 1. Оно бесплатно и доступно всем поставщикам облачных служб (CSP). Следующий в стеке уровень 2 программы STAR включает сертификацию на основе независимой оценки, а уровень 3 предусматривает сертификацию на основе непрерывного мониторинга.
Майкрософт и самостоятельная оценка CSA STAR
В рамках самостоятельной оценки STAR поставщики облачных служб могут предоставить два разных типа документов, чтобы продемонстрировать свое соответствие рекомендациям CSA: заполненную анкету CAIQ или отчет, демонстрирующий соответствие требованиям CCM. Для самостоятельной оценки CSA STAR корпорация Майкрософт опубликовала анкету CAIQ и отчет на основе CCM для Microsoft Azure, а также отчеты на основе CCM для Microsoft Dynamics 365 и Microsoft Office 365.
Службы облачных & платформ Майкрософт в области действия
- Azure и Azure для государственных организаций
- Dynamics 365
- Office 365
Самостоятельная оценка Azure, Dynamics 365 и CSA STAR
Дополнительные сведения о соответствии требованиям Azure, Dynamics 365 и другим веб-службам см. в разделе Предложение самостоятельной оценки Azure CSA STAR.
Office 365 и самостоятельная оценка CSA STAR
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе описываются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Exchange Online, Exchange Online Protection, портал клиентов Office 365, Office Online, инфраструктура служб Office, OneDrive для бизнеса, SharePoint Online, Skype для бизнеса |
Вопросы и ответы
Каким отраслевым стандартам соответствует CSA CCM?
CCM соответствует отраслевым стандартам безопасности, нормативам и платформам управления, таким как ISO 27001, PCI DSS, HIPAA, AICPA SOC 2, NERC CIP, FedRAMP, NIST и т. д. Актуальный список см. на веб-сайте CSA.
Почему важна самостоятельная оценка CSA STAR?
Она позволяет CSP прозрачно документировать соответствие опубликованным рекомендациям CSA. Отчеты самостоятельной оценки являются общедоступными. Это помогает облачным клиентам получить представление о методах обеспечения безопасности CSP и сравнить разных поставщиков CSP, используя одинаковую основу.
Какой уровень контроля качества CSA STAR получил Office 365?
- Уровень 1: Самостоятельная оценка CSA STAR — это дополнительное предложение от поставщиков облачных служб для регистрации их элементов управления безопасностью, помогающее пользователям оценить безопасность службы.