CSA2 сертификация: Пълно ръководство за облачната сигурност
Александър Свердлов
Анализатор по сигурността
💫 Ключови изводи
- CSA STAR Level 2 сертификацията изисква одит от акредитирана от CSA одиторска фирма спрямо CCM v4.0 (197 контролни цели в 17 домейна)
- Има два пътя: CSA STAR Certification (базирана на ISO 27001 + CCM) и CSA STAR Attestation (базирана на SOC 2 + CCM)
- Типичната подготовка отнема 4–8 месеца за компания с ISO 27001, или 9–15 месеца без предходна сертификация
- Общите разходи (консултации + одит) варират между 25 000 и 80 000 EUR в зависимост от сложността
- Сертификацията е валидна 3 години с годишни наблюдателни одити
- Най-ефективният подход за български компании е интегриран одит заедно с ISO 27001 ресертификация
Решението е взето — вашата компания се нуждае от CSA STAR Level 2 сертификация. Може би голям европейски клиент го е поставил като изискване. Може би искате да се позиционирате по-силно на пазара. Или може би транспонирането на NIS2 в България ви е накарало да преосмислите подхода си към облачната сигурност.
Каквато и да е причината, следващият въпрос е: „Как точно да го направим?“
Това ръководство ви дава конкретен, практически план — от началния gap анализ до деня на одита и отвъд него. Базирано е на нашия опит в работата с десетки компании, преминаващи през облачни сертификации, и е адаптирано за специфичния контекст на българския пазар.
Пътища за сертификация
Два пътя към CSA STAR Level 2
Преди да планирате процеса, трябва да изберете правилната пътека. CSA STAR Level 2 предлага два варианта, в зависимост от това коя базова рамка използвате:
| Характеристика | CSA STAR Certification | CSA STAR Attestation |
|---|---|---|
| Базова рамка | ISO 27001 + CCM | SOC 2 + CCM |
| Одитор | Акредитиран CSA сертификационен орган | Лицензиран CPA одитор с CSA квалификация |
| Резултат | Сертификат + регистрация в CSA STAR Registry | SOC 2 + CSA STAR доклад + регистрация |
| Валидност | 3 години (годишни наблюдателни одити) | 12 месеца (годишно подновяване) |
| По-подходящ за | Европейски пазар (ISO 27001 е стандарт в ЕС) | Американски пазар (SOC 2 е стандарт в САЩ) |
| Типичен разход | 25 000–60 000 EUR | 30 000–80 000 EUR |
Препоръка за български компании
За компании, продаващи предимно на европейския пазар, пътят CSA STAR Certification (ISO 27001 + CCM) е по-логичният избор. ISO 27001 вече е широко разпространена в България и ЕС, което означава по-ниски разходи и по-голямо разпознаване от клиентите. Ако обаче целите ви включват и американския пазар, CSA STAR Attestation (SOC 2 + CCM) покрива и двата региона.
Стъпка по стъпка
Фаза 1: Gap анализ и планиране (Месец 1–2)
Първата стъпка е да разберете къде се намирате спрямо изискванията на CCM v4.0. Това означава систематичен gap анализ, който картографира текущото ви състояние срещу всяка от 197-те контролни цели.
Определяне на обхвата
Определете точно кои облачни услуги ще бъдат в обхвата на сертификацията. Можете да сертифицирате конкретна SaaS платформа, определена облачна среда (напр. production environment в AWS) или набор от услуги за определен тип клиенти. Практически съвет: Започнете с най-критичната услуга — тази, за която клиентите най-често искат доказателства за сигурност.
CCM Gap анализ
За всеки от 17-те домейна на CCM v4.0, оценете текущото състояние на контролите:
| Статус | Описание | Действие |
|---|---|---|
| Изпълнена | Контролата е внедрена, документирана и има доказателства | Подгответе доказателствената база за одитора |
| Частично | Контролата съществува, но липсва документация или е непълна | Допълнете внедряването и документацията |
| Липсваща | Контролата не е внедрена | Проектиране, внедряване, документиране и тестване |
| Неприложима | Контролата не е релевантна за вашия обхват | Документирайте обосновката за изключване |
Модел на споделена отговорност
Един от най-критичните документи за CSA STAR Level 2 е матрицата на споделена отговорност. За всяка CCM контрола трябва ясно да определите: коя е отговорност на облачния доставчик (напр. AWS отговаря за физическата сигурност), коя е ваша (напр. конфигурацията на Security Groups) и коя е споделена.
Внедряване
Фаза 2: Внедряване на контроли (Месец 2–6)
За типична българска SaaS компания с ISO 27001, ключовите области, изискващи допълнителна работа, обикновено са:
Облачна инфраструктура и виртуализация (IVS)
- Документирана мрежова архитектура с clear network segmentation
- Контроли за multi-tenancy изолация с доказателства
- Процеси за управление на облачна конфигурация (Infrastructure as Code)
- Контроли за сигурност на контейнери (ако използвате Kubernetes, Docker)
DevSecOps и управление на уязвимости
- Сигурен SDLC процес с code review, SAST и DAST интегрирани в CI/CD
- Управление на уязвимости с определени SLA за различни нива на критичност
- Процес за управление на зависимости (dependency scanning)
- Penetration testing на облачната инфраструктура (поне веднъж годишно)
Управление на данни и поверителност (DSP)
- Класификация на данните с поне 3–4 нива
- Криптиране at rest и in transit с документирано управление на ключовете
- Data Loss Prevention (DLP) контроли
- Процеси за data retention и secure deletion, съобразени с GDPR и КЗЛД изискванията
Бюджет за фаза 2 (българска SaaS компания, 30–100 служители, с ISO 27001)
Консултантска помощ: 15 000–30 000 EUR | Инструменти и технологии: 3 000–8 000 EUR годишно | Вътрешни ресурси: 0,5–1 FTE за 4–6 месеца. Без ISO 27001, добавете допълнителни 10 000–20 000 EUR и 3–6 месеца.
Управление на верижни доставчици (STA)
Област, която често изненадва българските компании с обхвата си. CCM изисква: инвентаризация на всички трети страни с достъп до данни, оценка на риска за всеки доставчик, договорни клаузи за сигурност и поверителност, и периодичен мониторинг.
Документация
Фаза 3: CAIQ и доказателствена база (Месец 5–7)
CAIQ (Consensus Assessments Initiative Questionnaire) е детайлният въпросник, който картографира как вашата организация изпълнява всяка контрола от CCM. При Level 2 одиторът го използва като основа за планиране на одита.
Ключови принципи за попълване на CAIQ
- Бъдете конкретни. Вместо „Използваме криптиране“, напишете „AES-256 криптиране at rest за всички бази данни чрез AWS KMS с customer-managed keys, ротация на всеки 90 дни“
- Свържете с доказателства. За всяка контрола посочете конкретния документ, screenshot или конфигурация
- Документирайте изключенията. Ако контрола е неприложима, обяснете защо
- Използвайте модела на споделена отговорност. Ясно разграничете какво правите вие и какво прави облачният ви доставчик
Доказателствена база — какво очаква одиторът
| Тип доказателство | Примери | Типичен брой |
|---|---|---|
| Политики и процедури | Политика за сигурност, процедура за управление на инциденти, план за непрекъсваемост | 15–25 документа |
| Технически конфигурации | Screenshots от AWS Console, Terraform файлове, security group rules | 50–100 артефакта |
| Логове и записи | Access reviews, change management records, incident logs | 20–40 записа |
| Доклади от тестове | Penetration test report, vulnerability scan results, BCP/DR test results | 5–10 доклада |
Одит
Фаза 4: Избор на одитор и провеждане на одита (Месец 6–8)
Критерии за избор на одиторска фирма
- CSA акредитация — одиторската фирма трябва да бъде акредитирана от CSA за провеждане на STAR Level 2 одити
- Опит с CCM v4.0 — не всички одитори са преминали към новата версия
- Индустриален опит — одитор с опит в SaaS е по-ефективен от такъв, специализиран в производствения сектор
- Логистика — може ли одитът да бъде проведен дистанционно или е необходимо присъствие в България
- Интеграция с ISO 27001 — ако планирате интегриран одит, одиторът трябва да е акредитиран и за ISO 27001
Ориентировъчни одиторски такси (2026)
| Размер на компанията | Само CSA2 | Интегриран одит (ISO 27001 + CSA2) |
|---|---|---|
| Малка (10–50 служители) | 10 000–18 000 EUR | 15 000–25 000 EUR |
| Средна (50–200 служители) | 18 000–28 000 EUR | 25 000–40 000 EUR |
| Голяма (200+ служители) | 25 000–45 000 EUR | 35 000–60 000 EUR |
Хронология на одита
- Ден 1–2: Преглед на документацията и CAIQ, планиране на интервюта
- Ден 3–5: Интервюта с ключови служители (CISO, DevOps lead, DPO, HR), преглед на технически доказателства
- Ден 6–7: Технически тестове и верификация на конфигурации
- Ден 8–10: Заключителна среща, представяне на findings
- Седмица 3–4: Коригиращи действия (ако е необходимо) и издаване на сертификат
След одита
Фаза 5: Поддръжка и непрекъснато подобрение
Получаването на сертификата не е краят — това е началото на непрекъснат цикъл на поддръжка:
- Годишни наблюдателни одити — по-кратък преглед, фокусиран върху промените от предходния одит
- Актуализация на CAIQ — при значителни промени в инфраструктурата или услугите
- Мониторинг на CCM промени — CSA периодично актуализира CCM матрицата
- Вътрешни одити — поне веднъж между наблюдателните одити
- Ресертификация на всеки 3 години — пълен одит, подобен на първоначалния
Интеграция с NIS2 и DORA
За българските компании в обхвата на NIS2 или DORA, процесът на поддръжка на CSA STAR Level 2 може да бъде интегриран с регулаторните задължения. Годишните вътрешни одити по CSA2 могат да покриват голяма част от изискванията за периодична оценка по NIS2, което намалява общата тежест за съответствие.
Често задавани въпроси
FAQ: CSA STAR Level 2 сертификация
Можем ли да проведем одита изцяло дистанционно?
Да. Повечето CSA STAR Level 2 одити се провеждат изцяло или частично дистанционно, особено за компании с облачна инфраструктура. Одиторът може да прегледа документацията, да проведе интервюта и да верифицира технически конфигурации през видеоконференция. Това е особено удобно за български компании, работещи с международни одитори.
Колко вътрешни ресурси са необходими?
Планирайте минимум 0,5 FTE от CISO или Information Security Manager за 4–6 месеца, плюс участие на DevOps, Legal/DPO и HR на part-time база. С външен консултант натоварването на вътрешния екип може да се намали значително.
Какво се случва при несъответствия?
Несъответствията се категоризират като major или minor. Minor findings обикновено могат да бъдат коригирани в рамките на 30–90 дни, без да блокират сертификацията. Major findings изискват преработка на контроли и повторна проверка. Добрият gap анализ преди одита минимизира риска от major findings.
Може ли CSA2 да се комбинира с EU Cloud Code of Conduct?
CSA STAR Level 2 и EU Cloud Code of Conduct имат значително припокриване, но не са идентични. CSA2 покрива повечето технически изисквания на Cloud Code of Conduct. Препоръчваме да започнете с CSA2 и след това да допълните специфичните GDPR-свързани изисквания на Code of Conduct.
Има ли субсидии за CSA2 сертификация в България?
Към 2026 г. няма специфична субсидия за CSA STAR в България. Въпреки това, някои програми по линия на Националния план за възстановяване и устойчивост и оперативните програми на ЕС покриват разходи за цифрова трансформация и киберсигурност, които могат да включват сертификационни разходи. Проверете актуалните програми на Министерство на иновациите и растежа.
Трябва ли ни CSA2, ако вече имаме SOC 2 Type II?
Зависи от пазара ви. SOC 2 е стандартът в Северна Америка, докато европейските клиенти предпочитат ISO 27001 + CSA STAR. Ако продавате на и двата пазара, CSA STAR Attestation (SOC 2 + CCM) ви дава и двете с един одит.
Публикувано: Март 2026 · Автор: Александър Свердлов
Тази статия е с информативен характер и не представлява правен или професионален съвет. Разходите и времевите рамки са ориентировъчни и могат да варират в зависимост от спецификите на вашата организация.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.