Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о С5
В 2016 году Федеральное управление по информационной безопасности (Bundesamt für Sicherheit in der Informationstechnik или BSI) создало Каталог средств контроля соответствия облачных вычислений требованиям (C5). В 2020 году BSI пересмотрел руководство как каталог критериев соответствия облачным вычислениям (C5:2020). C5 — это проверенный стандарт, устанавливающий обязательный минимальный базовый уровень облачной безопасности и предусматривающий внедрение общедоступных облачных решений правительственными учреждениями Германии и организациями, работающими с правительством. Частный сектор также все чаще внедряет C5.
Цель каталога требований C5 — обеспечить согласованную платформу безопасности для сертификации поставщиков облачных служб и предоставить клиентам уверенность в том, что их данные управляются безопасно.
C5 основан на таких признанных на международном уровне стандартах безопасности информационных технологий как ISO/IEC 27001:2013, Cloud Security Alliance Cloud Controls Matrix 3.0.1, а также собственных каталогах BSI базовой защиты информационных технологий — IT-Grundschutz. Каталог содержит 114 требований для 17 доменов, например по организации информационной и физической безопасности, которые включают в себя основные требования по обеспечению безопасности для всех поставщиков облачных служб, а также другие требования по обработке данных с высокой степенью конфиденциальности и ситуаций c высоким уровнем доступности.
BSI также подчеркивает прозрачность. В процессе проверки от поставщика облачных служб требуется предоставить подробное описание системы и раскрыть такие параметры среды, как юрисдикция и место обработки данных, сертификаты на оказание услуг и другие сертификаты, выдаваемые облачным службам, а также сведения об обязательствах поставщика облачных служб по раскрытию информации перед государственными органами. Эта система помогает потенциальным облачным клиентам решить, соответствуют ли облачные службы их основным требованиям, таким как соблюдение правовых требований, таких как защита данных, политика компании или возможность борьбы с угрозой промышленного шпионажа.
Майкрософт и C5
Облачные службы Майкрософт проходят проверку по стандартам SOC 2 (AT Раздел 101) не реже одного раза в год. Согласно предложению BSI, аудит C5 можно объединять с аудитом SOC 2, что позволит повторно использовать некоторые части описания системы и результаты аудита как элементы двойного контроля. Для подтверждения соответствия С5 для Microsoft Azure, государственных учреждений и Azure для Германии используется объединенный отчет (C5, SOC 2 типа 2, аттестацию CSA STAR) на основе аудиторской оценки независимого аудитора.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure, Azure для государственных организаций и Azure для Германии
- Для Microsoft 365 в Германии используйте значение : .
Azure, Майкрософт Dynamics 365 и C5
Дополнительные сведения о Azure, Dynamics 365 и других веб-службы соответствии см. в предложении Germany C5:2020.
Вопросы и ответы
Можно ли использовать соответствие Майкрософт требованиям С5, чтобы помочь нашей организации самой пройти аттестацию C5?
Да. Вы можете использовать аттестацию облачных служб Майкрософт в качестве основы для любой программы или инициативы, требующей C5. Однако для компонентов, находящихся за пределами этих служб или добавленных к ним, нужно пройти аттестацию С5 самостоятельно.
В чем разница между C5 и каталогами IT-Grundschutz?
Каталоги IT-Grundschutz содержат конкретную методологию, помогающую организациям определить и внедрить меры безопасности для ИТ-систем. Они являются одним из элементов, на котором основан стандарт C5. В C5 представлен набор стандартов аудита поставщиков облачных служб, но нюансы реализации облачных служб остаются на усмотрении их поставщиков.
Что такое Microsoft Cloud для Германии?
Microsoft Cloud для Германии физически базируется в Германии, соблюдая требования немецкого законодательства о конфиденциальности, которое ограничивает передачу персональных данных в другие страны и обеспечивает защиту от доступа со стороны властей из других юрисдикций, которые могут нарушать внутреннее законодательство. Azure для Германии управляет службами Azure из немецких центров обработки данных (т.е. данные находятся в Германии) и обеспечивает строгие меры по управлению доступом к данным и контролю с помощью уникальной модели доверенного управления данными, которая регулируется немецким законодательством.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.
Ресурсы
- Каталог критериев соответствия облачным вычислениям (C5:2020) (английский) (немецкий)
- Рекомендации по безопасности для поставщиков облачных вычислений (Английский) (Немецкий)
- Azure + Dynamics 365 + веб-службы - Общедоступные & правительства - SOC 2 Type II + C5 + CSA Star Report
- Microsoft 365 - C5 Worldwide - C5 Type 2 Report
- Книга IT-Grundschutz для Microsoft Azure Германии
- Книга IT-Grundschutz (английский) для Office 365 Германии
- Книга IT-Grundschutz (немецкий) для Office 365 Германии
- Соответствие требованиям в центре управления безопасностью Майкрософт