Каталог критериев соответствия для облачных вычислений
(C5)
Обзор
Каталог критериев соответствия для облачных вычислений (C5) – это поддерживаемая правительством Германии схема аттестации, введенная Федеральным управлением по информационной безопасности (BSI). C5 помогает организациям продемонстрировать операционную защиту от распространенных кибератак при использовании облачных сервисов в контексте государственных Рекомендаций по безопасности для поставщиков облачных услуг в Германии.
При переносе своих рабочих нагрузок в облако клиенты AWS и их консультанты по вопросам соответствия могут использовать аттестацию C5 для понимания мер безопасности, реализованных AWS в соответствии с требованиями C5. Аттестация C5 представляет законодательно определенный эквивалент каталога IT‑Grundschutz, действующий на уровне ИТ‑безопасности, с поддержкой облачных средств управления.
Аттестация C5 включает в себя дополнительные требования к безопасности, связанные с местонахождением данных, предоставлением услуг, местом рассмотрения споров, существующей сертификацией, обязательствами о раскрытии данных и описанием полного набора сервисов. Используя эту информацию, клиенты могут оценить, как правовые нормы (например, защита данных), их собственные политики или среда угроз соотносятся с использованием ими облачных сервисов.
Вопросы и ответы
Открыть все- ISO/IEC 27001:2013. Системы управления информационной безопасностью. Требования
- ISO/IEC 27002:2016. Процедуры обеспечения ИТ-безопасности. Руководство по мерам информационной безопасности
- ISO/IEC 27017:2015. Методы обеспечения безопасности. Свод правил по контролю информационной безопасности на основе ISO/IEC 27002 для облачных сервисов
- BSI. Компендиум по основам обеспечения ИТ-безопасности (IT-Grundschutz-Kompendium), 2-е издание, 2019 г.
- CSA. Матрица управления облаком 3.0.1 (Cloud Controls Matrix 3.0.1) (CSA – Ассоциация по вопросам облачной безопасности)
- Критерии принципов оказания услуг по обеспечению доверия AICPA 2017 г. (AICPA Trust Service Principles Criteria 2017) (AICPA – Американский институт сертифицированных бухгалтеров)
- ANSSI (Национальное агентство кибербезопасности Франции (Agence nationale de la sécurité des systèmes d’information)) Поставщики услуг облачных вычислений. Версия 3.1 (SecNumCloud).
- IDW (Институт сертифицированных бухгалтеров Германии (Institut der Wirtschaftsprüfer)) RS FAIT 5. Заявление о финансовой отчетности: «Принципы упорядоченного бухгалтерского учета при аутсорсинге услуг, связанных с финансовой отчетностью, включая облачные вычисления», по состоянию на 4 ноября 2015 г.
C5 (Каталог критериев соответствия нормативным требованиям при облачных вычислениях (Cloud Computing Compliance Criteria Catalogue)) – это стандарт ИТ‑безопасности в сфере облачных вычислений, действующий в Германии. Набор средств управления C5, разработанный и впервые выпущенный BSI в 2016 г., предлагает клиентам, находящимся на территории Германии, дополнительный уровень защиты при переносе комплексных и регламентируемых рабочих нагрузок в сервисы облачных вычислений, такие как AWS.
Текущая версия C5 была выпущен в 2020 году и включает требования следующих стандартов и публикаций:
Стандарт С5 в 2016 г. разработало национальное управление Германии по кибербезопасности Bundesamt für Sicherheit in der Informationstechnik (BSI). BSI устанавливает требования ИТ‑безопасности для всех правительственных систем, и большинство немецких компаний выстраивают свою стратегию ИТ‑безопасности в соответствии с этими стандартами. Текущая версия (C5:2020) была завершена в январе 2020 года.
Отчет C5 предоставляет нашим европейским клиентам независимую стороннюю аттестацию о пригодности разработки и эксплуатационной эффективности наших средств управления для соответствия основным и дополнительным критериям C5. В частности, в Германии клиенты привыкли выбирать облачные сервисы, которые оцениваются по критериям C5. C5 предоставляет клиентам платформу с документальным описанием эквивалента каталога IT‑Grundschutz, действующего на уровне ИТ‑безопасности и охватывающего все аспекты ИТ‑безопасности для облачных вычислений. Для федеральных органов власти аттестация C5 является базовым требованием в процессе закупок.
Актуальную информацию о C5 в AWS можно найти в соответствующих публикациях в блоге о безопасности AWS C5.
Регионы AWS, на которые распространяется аттестация С5, включают Франкфурт, Ирландия, Лондон, Париж, Милан, Стокгольм, Сингапур, Цюрих и Испанию, а также периферийные местоположения в Австрии, Бельгии, Болгарии, Хорватии, Чешской Республике, Дании, Эстонии, Финляндии, Франции, Германии, Греции, Венгрии, Ирландии, Италии, Нидерландах, Норвегии, Польше, Португалии, Румынии, Сингапуре, Испании, Швеции, Швейцарии и Великобритании.
Список сервисов AWS, на которые распространяется аттестация С5, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и (или) задать вопросы о других сервисах, свяжитесь с нами.
IT‑Grundschutz – это стандарт для организации и поддержания надлежащей защиты информации учреждения. В каталогах IT‑Grundschutz описаны средства защиты для типовых бизнес‑процессов, ИТ‑систем и приложений, а также требования к защите собственной информации предприятия. C5 служит руководством по предложениям поставщиков облачных услуг (CSP).
Отчет AWS C5 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.
В январе 2026 года мы объявили о всеобщей доступности AWS European Sovereign Cloud – нового независимого облака для Европы, полностью расположенного на территории Европейского союза (ЕС), физически и логически отделенного от всех других регионов AWS. Специальный отчет C5 о AWS European Sovereign Cloud предоставляет нашим клиентам независимую стороннюю оценку соответствия элементов управления AWS базовым и дополнительным критериям C5.
Чтобы узнать больше об отчете C5 о AWS European Sovereign Cloud и ознакомиться с его содержанием, посетите сайт https://aws.eu/compliance/.