CSA2 срещу ISO 27001: Кой стандарт за сигурност е подходящ за вашата организация?
Александър Свердлов
Анализатор по сигурността
💫 Ключови изводи
- ISO 27001 е фундаментът — широко признат стандарт за управление на информационната сигурност, задължителен в много регулаторни рамки в ЕС
- CSA STAR Level 2 надгражда ISO 27001 с облачно-специфични контроли — идеален за облачни доставчици
- За български компании, продаващи облачни услуги на международни клиенти, комбинацията от двата стандарта е най-силната позиция
- ISO 27001 първоначална сертификация: 15 000–50 000 EUR; CSA STAR Level 2 допълнително: 12 000–35 000 EUR
- Ако не сте облачен доставчик, ISO 27001 сам по себе си е достатъчен за повечето регулаторни и клиентски изисквания
- Новите регулации NIS2 и DORA увеличават значимостта и на двата стандарта за български компании в критични сектори
Ако сте ръководител на технологична компания в България, вероятно сте изправени пред познат въпрос: „Кой стандарт за сигурност да изберем?“ Клиентите ви искат доказателства за сигурност. Регулаторите затягат изискванията. А бюджетът ви не е безграничен.
ISO 27001 и CSA STAR Level 2 са два от най-разпознаваемите стандарти за информационна сигурност, но обслужват различни нужди. Разбирането на техните разлики, припокривания и идеални случаи за употреба е критично за вземането на правилно решение.
В тази статия ще направим детайлно сравнение — от обхват и процес на сертификация до цени и пазарно признание — специално от перспективата на български компании, работещи на европейския и глобалния пазар.
Преглед
ISO 27001 и CSA STAR Level 2: Какво представляват?
ISO 27001 е международен стандарт, публикуван от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC). Той определя изискванията за създаване, внедряване, поддържане и непрекъснато подобряване на Система за управление на информационната сигурност (СУИС / ISMS). Последната версия е ISO/IEC 27001:2022.
CSA STAR Level 2 е програма на Cloud Security Alliance, която надгражда ISO 27001 с допълнителни облачно-специфични контроли от Cloud Controls Matrix (CCM). Тя е създадена специално за оценка на сигурността на облачни услуги и доставчици.
| Характеристика | ISO 27001 | CSA STAR Level 2 |
|---|---|---|
| Издател | ISO / IEC | Cloud Security Alliance (CSA) |
| Обхват | Цялостна информационна сигурност | Облачна сигурност (надстройка на ISO 27001) |
| Контроли | 93 контроли в 4 теми (Annex A, 2022) | 197 контроли в 17 домена (CCM v4) |
| Тип оценка | Независим одит от акредитиран орган | Независим одит от CSA-одобрен орган |
| Валидност | 3 години (годишни надзорни одити) | 3 години (годишни надзорни одити) |
| Предпоставка | Няма | ISO 27001 сертификация |
| Публичен регистър | Не (зависи от сертификационния орган) | Да — CSA STAR Registry |
Ключово разграничение
CSA STAR Level 2 не заменя ISO 27001 — той го допълва. Не можете да получите CSA STAR Level 2 без ISO 27001. Мислете за ISO 27001 като за фундамента, а CSA STAR Level 2 като за специализираната надстройка за облачна сигурност.
Обхват
Какво покрива всеки стандарт?
ISO 27001 е хоризонтален стандарт — приложим за всяка организация, независимо от индустрията или технологичния модел. Той покрива:
- Организационни контроли (политики, роли, отговорности)
- Контроли за хора (обучение, проверка на служители, напускане)
- Физически контроли (достъп до обекти, защита на оборудване)
- Технологични контроли (управление на достъпа, криптография, логове)
CSA STAR Level 2 е вертикален стандарт — специализиран за облачни услуги. Той добавя контроли, които ISO 27001 не адресира достатъчно подробно:
- Споделена отговорност — как се разпределят контролите между доставчик и клиент
- Виртуализация и мултитенантност — изолация между клиентите в облака
- Преносимост на данни — възможност за миграция между облачни доставчици
- Автоматизация на DevSecOps — сигурност в CI/CD пайплайни
- Управление на контейнери и serverless — сигурност на съвременни архитектури
На практика, ако сте SaaS компания от София, която хоства приложения в AWS или Azure и обслужва клиенти от ЕС, ISO 27001 ще покрие вашата обща програма за сигурност, а CSA STAR Level 2 ще демонстрира, че облачната ви среда конкретно е защитена по най-високите стандарти.
Български контекст
Как стоят нещата в България?
Българският IT сектор е един от най-бързо развиващите се в Централна и Източна Европа. С над 40 000 IT специалисти и растящ брой компании, предоставящи облачни услуги на европейски клиенти, въпросът за сертификация става все по-актуален.
ISO 27001 в България:
- Добре познат и широко приет стандарт — стотици организации вече имат сертификация
- Няколко местни сертификационни органа (РАБО — Регистър на акредитираните български организации), както и международни (Bureau Veritas, SGS, TUV)
- Изисква се от много обществени поръчки и от клиенти в банковия и финансовия сектор
- БДС ISO/IEC 27001 е официално приетият български стандарт
CSA STAR Level 2 в България:
- Все още сравнително нов и по-малко познат на местния пазар
- Няма местни акредитирани одиторски фирми за CSA STAR — одитът се провежда от международни органи
- Нарастващо търсене от клиенти в Западна Европа, Скандинавия и Великобритания
- Особено релевантен за компании, участващи в програми като European Cloud Code of Conduct
Типичният път за българска компания
Повечето български технологични компании следват тази последователност: (1) ISO 27001 като основа — това отваря повечето врати на европейския пазар; (2) SOC 2, ако целят клиенти от Северна Америка; (3) CSA STAR Level 2, когато облачните им услуги достигнат зрялост и корпоративните клиенти изискват специализирано облачно доказателство.
Разходи
Сравнение на разходите (в EUR)
Ето реалистично сравнение на разходите за средна българска компания (50–250 служители), базирано на актуални пазарни цени:
| Разходен елемент | ISO 27001 | CSA STAR Level 2 (допълнително) |
|---|---|---|
| Консултантска подготовка | 10 000 – 30 000 EUR | 8 000 – 25 000 EUR |
| Сертификационен одит | 5 000 – 20 000 EUR | 12 000 – 35 000 EUR |
| Годишна поддръжка (надзорни одити) | 3 000 – 10 000 EUR / год. | 5 000 – 15 000 EUR / год. |
| Вътрешни ресурси (човекочасове) | 200 – 500 часа | 100 – 300 часа (ако вече има ISO 27001) |
| Общо (първа година) | 15 000 – 50 000 EUR | 20 000 – 60 000 EUR (допълнително) |
Комбинираният подход спестява значително. Ако планирате и двете сертификации, провеждането на комбиниран одит (ISO 27001 + CSA STAR Level 2 едновременно) може да спести 20–30% от общите разходи за одит, тъй като одиторът проверява припокриващите се контроли еднократно.
Бюджетен съвет за български компании
За стартъпи и средни компании с ограничен бюджет: започнете с ISO 27001, който е по-евтин и по-широко изискван. Когато клиентската база и приходите оправдаят инвестицията, добавете CSA STAR Level 2. Типично, компаниите достигат тази точка при годишни приходи над 1–2 милиона EUR от облачни услуги.
Времеви рамки
Колко време отнема всяка сертификация?
| Сценарий | ISO 27001 | CSA STAR Level 2 |
|---|---|---|
| От нулата (без съществуващи системи) | 9 – 15 месеца | 12 – 18 месеца (включва ISO 27001) |
| С действащ ISO 27001 | N/A (вече сертифицирана) | 3 – 6 месеца |
| Комбиниран одит (едновременно) | 10 – 16 месеца за двете заедно | |
За българска компания с вече изградена ISO 27001 система, добавянето на CSA STAR Level 2 е относително бърз процес. Основните усилия се концентрират върху:
- Попълване на CAIQ (2–4 седмици при добра документация)
- Имплементация на облачно-специфичните контроли, липсващи от ISO 27001 (4–8 седмици)
- Предварителен и сертификационен одит (2–3 седмици)
- Издаване на сертификат (2–4 седмици)
Регулаторна среда
NIS2, DORA и европейската регулаторна рамка
Регулаторният пейзаж в ЕС се промени драстично през последните години. Две ключови регулации оказват пряко влияние върху решението за сертификация:
NIS2 (Network and Information Security Directive 2)
Влезе в сила в ЕС и се транспонира в българското законодателство. NIS2 разширява обхвата на организациите, които трябва да прилагат мерки за киберсигурност. Засяга „съществени“ и „важни“ субекти в сектори като енергетика, транспорт, здравеопазване, цифрова инфраструктура и ICT услуги. И ISO 27001, и CSA STAR Level 2 значително улесняват демонстрирането на съответствие с NIS2.
DORA (Digital Operational Resilience Act)
DORA се отнася за финансовия сектор и неговите ICT доставчици. Ако вашата българска компания предоставя облачни услуги на банки, застрахователни компании или финансови институции в ЕС, DORA изисква доказателства за управление на ICT риска, реагиране при инциденти и устойчивост. CSA STAR Level 2, комбиниран с ISO 27001, покрива голяма част от тези изисквания.
| Регулация / Изискване | ISO 27001 | CSA STAR Level 2 |
|---|---|---|
| GDPR (чл. 32) | ✅ Силно покритие | ✅ Силно покритие + облачна специфика |
| NIS2 | ✅ Добро покритие | ✅ Добро покритие + верига на доставки |
| DORA (за ICT доставчици) | ✅ Частично покритие | ✅ По-пълно покритие на облачните аспекти |
| Обществени поръчки в ЕС | ✅ Широко признат | ✅ Допълнително предимство за облачни услуги |
| EU Cybersecurity Certification Scheme | ⭕ Очаква се интеграция | ✅ CSA STAR е в основата на EUCS |
Решение
Кой стандарт е подходящ за вас?
Въз основа на нашия опит с български компании, ето ясни насоки за избор:
Изберете само ISO 27001, ако:
- Предоставяте IT услуги (аутсорсинг, консултации, разработка), но не хоствате облачни решения
- Клиентите ви изискват ISO 27001, но не споменават CSA STAR
- Работите предимно в регулирани сектори (банков, здравеопазване), където ISO 27001 е стандартното изискване
- Бюджетът ви е ограничен и трябва да изберете една сертификация
Добавете CSA STAR Level 2 към ISO 27001, ако:
- Предоставяте SaaS, PaaS или IaaS услуги
- Корпоративните ви клиенти изрично изискват CSA STAR или попълвате Security Questionnaires, които питат за CCM
- Целите си включват международна експанзия на пазари, където CSA STAR е разпознаваем (Западна Европа, Великобритания, Близък Изток, Азия)
- Предоставяте облачни услуги на финансови институции (DORA контекст)
- Искате да се диференцирате от конкуренцията чрез публичен STAR Registry запис
Обмислете само CSA STAR Level 1 (самооценка), ако:
- Сте в ранен етап и нямате бюджет за пълна сертификация
- Искате да демонстрирате ангажимент към облачната сигурност, преди да инвестирате в Level 2
- Клиентите ви приемат самооценка като достатъчна (обикновено по-малки клиенти)
Честа грешка на български компании
Някои компании инвестират в CSA STAR Level 2 преди да имат солидна ISO 27001 система. Тъй като CSA STAR Level 2 се базира на ISO 27001, слабата ISMS основа означава проблеми и при двата одита. Уверете се, че вашата ISO 27001 система реално функционира — а не е само „на хартия“ — преди да добавите CSA STAR.
Пазарно признание
Кой стандарт ви отваря повече врати?
| Пазар / Ситуация | По-влиятелен стандарт |
|---|---|
| Обществени поръчки в България и ЕС | ISO 27001 |
| Корпоративни клиенти (облачни услуги) | ISO 27001 + CSA STAR Level 2 |
| Финансов сектор (банки, застраховане) | ISO 27001 (+ CSA STAR за облачни доставчици) |
| Стартъпи, набиращи инвестиции | ISO 27001 (по-разпознаваем от инвеститорите) |
| Пазар в Северна Америка | SOC 2 (+ CSA STAR за облачни компании) |
| Пазар в Азия и Близък Изток | ISO 27001 + CSA STAR Level 2 |
Практиката показва, че ISO 27001 е „must-have“, докато CSA STAR Level 2 е „nice-to-have“ с нарастващо значение. За облачни доставчици обаче, CSA STAR Level 2 бързо преминава от „nice-to-have“ към „must-have“, особено когато клиентите провеждат формални процеси за оценка на доставчици.
Често задавани въпроси
FAQ: CSA STAR Level 2 срещу ISO 27001
Може ли CSA STAR Level 2 да замени ISO 27001?
Не. CSA STAR Level 2 изисква ISO 27001 като предпоставка. Двата стандарта са комплементарни, не взаимозаменяеми. ISO 27001 осигурява общата рамка за управление на информационната сигурност, а CSA STAR Level 2 добавя облачно-специфичните контроли.
Колко допълнителна работа е CSA STAR Level 2, ако вече имам ISO 27001?
Значително по-малко, отколкото да започнете от нулата. Очаквайте 100–300 допълнителни човекочаса и 3–6 месеца подготовка. Основните усилия са в попълване на CAIQ, документиране на облачно-специфичните контроли (споделена отговорност, мултитенантност, преносимост) и подготовка на доказателства за домените, които ISO 27001 не покрива в детайли.
Кой стандарт помага повече за GDPR съответствие?
ISO 27001 е по-широко признат като доказателство за „подходящи технически и организационни мерки“ по чл. 32 от GDPR. CSA STAR Level 2 добавя стойност специфично за облачни среди — например домейнът Data Security & Privacy (DSP) директно адресира въпроси за обработка на лични данни в облака, класификация и преносимост на данни.
Как се отнася SOC 2 към тези два стандарта?
SOC 2 е най-разпространен в Северна Америка и се базира на Trust Service Criteria на AICPA. Той не е свързан с ISO 27001 или CSA STAR, но има значително припокриване в контролите. За български компании: ако целите ви включват и американския пазар, може да имате нужда от SOC 2 + ISO 27001, а не от CSA STAR Level 2.
Колко организации в България имат CSA STAR Level 2?
Към март 2026 броят е много ограничен. CSA STAR Registry показва само няколко организации с български произход. Това е едновременно предизвикателство (малко местна експертиза) и възможност (ранните сертифицирани компании се отличават от конкуренцията).
Може ли един и същ одитор да направи ISO 27001 и CSA STAR Level 2 одит?
Да, ако одиторският орган е акредитиран и за двата стандарта. Комбинираният одит е силно препоръчителен, тъй като спестява значително време и разходи. BSI, Bureau Veritas и TUV Rheinland са примери за организации, които предлагат комбинирани одити.
Как CSA STAR Level 2 помага при NIS2 съответствие?
NIS2 изисква от субектите да прилагат мерки за управление на риска, включващи управление на инциденти, управление на веригата на доставки и криптография. CSA STAR Level 2 покрива тези области в детайли чрез домените SEF, STA и CEK. Въпреки че не е формално признат заместител на NIS2 съответствие, той предоставя солидна рамка за демонстриране на съответствие пред регулатора.
Какъв е ROI от добавянето на CSA STAR Level 2 към ISO 27001?
ROI зависи от пазара ви. Ако повечето ви приходи идват от облачни услуги за корпоративни клиенти, CSA STAR Level 2 може да скъси цикъла на продажби с 2–4 месеца (чрез елиминиране на дълги security questionnaires), да отвори нови пазарни сегменти и да намали риска от загуба на сделки поради липса на облачна сертификация. За компания с 500 000 EUR средна стойност на договор, дори едно по-бързо затворена сделка оправдава инвестицията.
Последна актуализация: Март 2026 · Автор: Екип на Atlant Security
Тази статия е с информационна цел. Atlant Security предоставя консултантски услуги за подготовка за ISO 27001 и CSA STAR сертификация. Организациите трябва да проведат собствено проучване при избора на стандарт и сертификационен партньор. Цените са ориентировъчни и могат да варират в зависимост от конкретната ситуация.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.