Microsoft Azure - Mobility & Security - wybrane usługi bezpieczeństwa
CSA STAR i OCF
1. CSA STAR i OCF
Security, Trust and Assurance Registry
Open Certification Framework
Marcin Fronczak
Cloud Security Alliance Polska
2. Program Security, Trust and Assurance Registry
("STAR") jest częścią CSA Open Certification
Framework („OCF”), który jest branżową
inicjatywą polegającą na przyznawaniu
dostawcom usług w
chmurze globalnych, akredytowanych, zaufany
ch certyfikatów potwierdzających stosowanie
najlepszych praktyk w zarządzaniu
bezpieczeostwem.
3. OCF jest elastycznym, przyrostowym i
wielowarstwowym programem
certyfikacyjnym zgodnym z
przewodnikiem CSA i celami kontrolnymi
zdefiniowanymi w zakresie CSA GRC
(Governance, Risk and Compliance).
4. Projekt integruje powszechne programy
certyfikacyjne prowadzone przez zaufane
trzecie strony oraz mapuje wymagania
uznanych norm, standardów oraz najlepszych
praktyk z zakresu bezpieczeostwa i nadzoru
IT. Obejmuje swoim zakresem ocenę zaufanej
trzeciej strony oraz ciągłe monitorowanie i
doskonalenie.
5. CSA Open Certification Framework dostarcza:
• Ścieżkę mapowania kwestii związanych z zachowaniem
zachowania zgodności z obowiązującymi, lokalnymi regulacjami
do globalnie uznanych najlepszych praktyk w tym zakresie. Na
przykład, rządy mają możliwośd zaadaptowania
unikalnych, lokalnych wymagao na najwyższej warstwie GRC
Stack Stack (Governance, Risk and Compliance) i w ten sposób
udostępnid możliwośd certyfikacji w sektorze publicznym
• Przewodnik dla dostawców jak korzystad z narzędzi GRC Stack
w celu certyfikacji np. jakie kroki należy podjąd w celu
spełnienia wymagao standardu ISO 27001, które są
zmapowane z wymaganiami zawartymi w Cloud Control Matrix
(CCM)
6.
7. Poziom 1 – Samoocena STAR
Dostawcy usług mogą przedstawid 2 różne
typy raportów potwierdzających zgodnośd
z wymaganiami najlepszych praktyk
wskazanych przez CSA oraz uznanych
norm i standardów (m.in. ISO/IEC
27001:2007).
8. Poziom 1 – Samoocena STAR
W pierwszym poziomie programu STAR
wzięły udział 22 rozwiązania oferowanych
w modelu chmury m.in. firm
Amazon, HP, Microsoft, Symantec, Teleco
m Italia, Verizon
9. Poziom 2 – Certyfikacja STAR – Ocena niezależnego
audytora
Głównym założeniem poziomu 2 jest wykorzystanie
wymagao ISO/IEC 27001:2007 zintegrowanych z
wymaganiami Cloud Control Matrix („CCM”) w celu
dokonania oceny poziomu dojrzałości organizacji i
stosowanego przez nią systemu kontroli wewnętrznej.
Dodatkową korzyścią jest dostarczenie potencjalnemu
odbiorcy usługi narzędzia wspomagającego proces
oceny i wyboru dostawcy.
10. Poziom 3 – Ciągły monitoring i
doskonalenie
Program STAR opiera się na cyklu Deminga
zwanym również modelem PDCA (ang.
Plan-Do-Check-Act), który zapewnia
proces ciągłego monitoringu
i doskonalenia wdrożonych mechanizmów
kontrolnych i procesów.
11. Harmonogram OCF
Poziom 1 – już jest dostępny
Open Certification Framework - 1 kwartał 2013
Ocena niezależnego audytora – 1 kwartał 2013
Certyfikacja STAR dla dostawców - 2 kwartał 2013
Poziom 3 - nie wcześniej niż 2015 r.