Назад към блога
Анализи14 мин четене

CSA2 срещу ISO 27001: Кой стандарт за сигурност е подходящ за вашата компания?

А

Александър Свердлов

Анализатор по сигурността

28.03.2026 г.
CSA2 срещу ISO 27001: Кой стандарт за сигурност е подходящ за вашата компания?

Сравнителен анализ · Сертификации · Март 2026

CSA STAR Level 2 или ISO 27001? Двата стандарта не са конкуренти - те са допълващи се. Но коя сертификация трябва да бъде приоритет за вашата компания? Подробно сравнение с фокус върху българския и европейския контекст.

💫 Ключови изводи

  • ISO 27001 е фундаментът - широко признат стандарт за управление на информационната сигурност, задължителен в много регулаторни рамки в ЕС
  • CSA STAR Level 2 надгражда ISO 27001 с облачно-специфични контроли - идеален за облачни доставчици
  • За български компании, продаващи облачни услуги на международни клиенти, комбинацията от двата стандарта е най-силната позиция
  • ISO 27001 първоначална сертификация: 15 000-50 000 EUR; CSA STAR Level 2 допълнително: 12 000-35 000 EUR
  • Ако не сте облачен доставчик, ISO 27001 сам по себе си е достатъчен за повечето регулаторни и клиентски изисквания
  • Новите регулации NIS2 и DORA увеличават значимостта и на двата стандарта за български компании в критични сектори

Ако сте ръководител на технологична компания в България, вероятно сте изправени пред познат въпрос: „Кой стандарт за сигурност да изберем?“ Клиентите ви искат доказателства за сигурност. Регулаторите затягат изискванията. А бюджетът ви не е безграничен.

ISO 27001 и CSA STAR Level 2 са два от най-разпознаваемите стандарти за информационна сигурност, но обслужват различни нужди. Разбирането на техните разлики, припокривания и идеални случаи за употреба е критично за вземането на правилно решение.

В тази статия ще направим детайлно сравнение - от обхват и процес на сертификация до цени и пазарно признание - специално от перспективата на български компании, работещи на европейския и глобалния пазар.

📈

Преглед

ISO 27001 и CSA STAR Level 2: Какво представляват?

ISO 27001 е международен стандарт, публикуван от Международната организация по стандартизация (ISO) и Международната електротехническа комисия (IEC). Той определя изискванията за създаване, внедряване, поддържане и непрекъснато подобряване на Система за управление на информационната сигурност (СУИС / ISMS). Последната версия е ISO/IEC 27001:2022.

CSA STAR Level 2 е програма на Cloud Security Alliance, която надгражда ISO 27001 с допълнителни облачно-специфични контроли от Cloud Controls Matrix (CCM). Тя е създадена специално за оценка на сигурността на облачни услуги и доставчици.

Характеристика ISO 27001 CSA STAR Level 2
Издател ISO / IEC Cloud Security Alliance (CSA)
Обхват Цялостна информационна сигурност Облачна сигурност (надстройка на ISO 27001)
Контроли 93 контроли в 4 теми (Annex A, 2022) 197 контроли в 17 домена (CCM v4)
Тип оценка Независим одит от акредитиран орган Независим одит от CSA-одобрен орган
Валидност 3 години (годишни надзорни одити) 3 години (годишни надзорни одити)
Предпоставка Няма ISO 27001 сертификация
Публичен регистър Не (зависи от сертификационния орган) Да - CSA STAR Registry

Ключово разграничение

CSA STAR Level 2 не заменя ISO 27001 - той го допълва. Не можете да получите CSA STAR Level 2 без ISO 27001. Мислете за ISO 27001 като за фундамента, а CSA STAR Level 2 като за специализираната надстройка за облачна сигурност.

🔍

Обхват

Какво покрива всеки стандарт?

ISO 27001 е хоризонтален стандарт - приложим за всяка организация, независимо от индустрията или технологичния модел. Той покрива:

  • Организационни контроли (политики, роли, отговорности)
  • Контроли за хора (обучение, проверка на служители, напускане)
  • Физически контроли (достъп до обекти, защита на оборудване)
  • Технологични контроли (управление на достъпа, криптография, логове)

CSA STAR Level 2 е вертикален стандарт - специализиран за облачни услуги. Той добавя контроли, които ISO 27001 не адресира достатъчно подробно:

  • Споделена отговорност - как се разпределят контролите между доставчик и клиент
  • Виртуализация и мултитенантност - изолация между клиентите в облака
  • Преносимост на данни - възможност за миграция между облачни доставчици
  • Автоматизация на DevSecOps - сигурност в CI/CD пайплайни
  • Управление на контейнери и serverless - сигурност на съвременни архитектури

На практика, ако сте SaaS компания от София, която хоства приложения в AWS или Azure и обслужва клиенти от ЕС, ISO 27001 ще покрие вашата обща програма за сигурност, а CSA STAR Level 2 ще демонстрира, че облачната ви среда конкретно е защитена по най-високите стандарти.

🇧🇬

Български контекст

Как стоят нещата в България?

Българският IT сектор е един от най-бързо развиващите се в Централна и Източна Европа. С над 40 000 IT специалисти и растящ брой компании, предоставящи облачни услуги на европейски клиенти, въпросът за сертификация става все по-актуален.

ISO 27001 в България:

  • Добре познат и широко приет стандарт - стотици организации вече имат сертификация
  • Няколко местни сертификационни органа (РАБО - Регистър на акредитираните български организации), както и международни (Bureau Veritas, SGS, TUV)
  • Изисква се от много обществени поръчки и от клиенти в банковия и финансовия сектор
  • БДС ISO/IEC 27001 е официално приетият български стандарт

CSA STAR Level 2 в България:

  • Все още сравнително нов и по-малко познат на местния пазар
  • Няма местни акредитирани одиторски фирми за CSA STAR - одитът се провежда от международни органи
  • Нарастващо търсене от клиенти в Западна Европа, Скандинавия и Великобритания
  • Особено релевантен за компании, участващи в програми като European Cloud Code of Conduct

Типичният път за българска компания

Повечето български технологични компании следват тази последователност: (1) ISO 27001 като основа - това отваря повечето врати на европейския пазар; (2) SOC 2, ако целят клиенти от Северна Америка; (3) CSA STAR Level 2, когато облачните им услуги достигнат зрялост и корпоративните клиенти изискват специализирано облачно доказателство.

💰

Разходи

Сравнение на разходите (в EUR)

Ето реалистично сравнение на разходите за средна българска компания (50-250 служители), базирано на актуални пазарни цени:

Разходен елемент ISO 27001 CSA STAR Level 2 (допълнително)
Консултантска подготовка 10 000 - 30 000 EUR 8 000 - 25 000 EUR
Сертификационен одит 5 000 - 20 000 EUR 12 000 - 35 000 EUR
Годишна поддръжка (надзорни одити) 3 000 - 10 000 EUR / год. 5 000 - 15 000 EUR / год.
Вътрешни ресурси (човекочасове) 200 - 500 часа 100 - 300 часа (ако вече има ISO 27001)
Общо (първа година) 15 000 - 50 000 EUR 20 000 - 60 000 EUR (допълнително)

Комбинираният подход спестява значително. Ако планирате и двете сертификации, провеждането на комбиниран одит (ISO 27001 + CSA STAR Level 2 едновременно) може да спести 20-30% от общите разходи за одит, тъй като одиторът проверява припокриващите се контроли еднократно.

Бюджетен съвет за български компании

За стартъпи и средни компании с ограничен бюджет: започнете с ISO 27001, който е по-евтин и по-широко изискван. Когато клиентската база и приходите оправдаят инвестицията, добавете CSA STAR Level 2. Типично, компаниите достигат тази точка при годишни приходи над 1-2 милиона EUR от облачни услуги.

Времеви рамки

Колко време отнема всяка сертификация?

Сценарий ISO 27001 CSA STAR Level 2
От нулата (без съществуващи системи) 9 - 15 месеца 12 - 18 месеца (включва ISO 27001)
С действащ ISO 27001 N/A (вече сертифицирана) 3 - 6 месеца
Комбиниран одит (едновременно) 10 - 16 месеца за двете заедно

За българска компания с вече изградена ISO 27001 система, добавянето на CSA STAR Level 2 е относително бърз процес. Основните усилия се концентрират върху:

  • Попълване на CAIQ (2-4 седмици при добра документация)
  • Имплементация на облачно-специфичните контроли, липсващи от ISO 27001 (4-8 седмици)
  • Предварителен и сертификационен одит (2-3 седмици)
  • Издаване на сертификат (2-4 седмици)
⚖️

Регулаторна среда

NIS2, DORA и европейската регулаторна рамка

Регулаторният пейзаж в ЕС се промени драстично през последните години. Две ключови регулации оказват пряко влияние върху решението за сертификация:

NIS2 (Network and Information Security Directive 2)

Влезе в сила в ЕС и се транспонира в българското законодателство. NIS2 разширява обхвата на организациите, които трябва да прилагат мерки за киберсигурност. Засяга „съществени“ и „важни“ субекти в сектори като енергетика, транспорт, здравеопазване, цифрова инфраструктура и ICT услуги. И ISO 27001, и CSA STAR Level 2 значително улесняват демонстрирането на съответствие с NIS2.

DORA (Digital Operational Resilience Act)

DORA се отнася за финансовия сектор и неговите ICT доставчици. Ако вашата българска компания предоставя облачни услуги на банки, застрахователни компании или финансови институции в ЕС, DORA изисква доказателства за управление на ICT риска, реагиране при инциденти и устойчивост. CSA STAR Level 2, комбиниран с ISO 27001, покрива голяма част от тези изисквания.

Регулация / Изискване ISO 27001 CSA STAR Level 2
GDPR (чл. 32) ✅ Силно покритие ✅ Силно покритие + облачна специфика
NIS2 ✅ Добро покритие ✅ Добро покритие + верига на доставки
DORA (за ICT доставчици) ✅ Частично покритие ✅ По-пълно покритие на облачните аспекти
Обществени поръчки в ЕС ✅ Широко признат ✅ Допълнително предимство за облачни услуги
EU Cybersecurity Certification Scheme ⭕ Очаква се интеграция ✅ CSA STAR е в основата на EUCS
🎯

Решение

Кой стандарт е подходящ за вас?

Въз основа на нашия опит с български компании, ето ясни насоки за избор:

Изберете само ISO 27001, ако:

  • Предоставяте IT услуги (аутсорсинг, консултации, разработка), но не хоствате облачни решения
  • Клиентите ви изискват ISO 27001, но не споменават CSA STAR
  • Работите предимно в регулирани сектори (банков, здравеопазване), където ISO 27001 е стандартното изискване
  • Бюджетът ви е ограничен и трябва да изберете една сертификация

Добавете CSA STAR Level 2 към ISO 27001, ако:

  • Предоставяте SaaS, PaaS или IaaS услуги
  • Корпоративните ви клиенти изрично изискват CSA STAR или попълвате Security Questionnaires, които питат за CCM
  • Целите си включват международна експанзия на пазари, където CSA STAR е разпознаваем (Западна Европа, Великобритания, Близък Изток, Азия)
  • Предоставяте облачни услуги на финансови институции (DORA контекст)
  • Искате да се диференцирате от конкуренцията чрез публичен STAR Registry запис

Обмислете само CSA STAR Level 1 (самооценка), ако:

  • Сте в ранен етап и нямате бюджет за пълна сертификация
  • Искате да демонстрирате ангажимент към облачната сигурност, преди да инвестирате в Level 2
  • Клиентите ви приемат самооценка като достатъчна (обикновено по-малки клиенти)

Честа грешка на български компании

Някои компании инвестират в CSA STAR Level 2 преди да имат солидна ISO 27001 система. Тъй като CSA STAR Level 2 се базира на ISO 27001, слабата ISMS основа означава проблеми и при двата одита. Уверете се, че вашата ISO 27001 система реално функционира - а не е само „на хартия“ - преди да добавите CSA STAR.

🌐

Пазарно признание

Кой стандарт ви отваря повече врати?

Пазар / Ситуация По-влиятелен стандарт
Обществени поръчки в България и ЕС ISO 27001
Корпоративни клиенти (облачни услуги) ISO 27001 + CSA STAR Level 2
Финансов сектор (банки, застраховане) ISO 27001 (+ CSA STAR за облачни доставчици)
Стартъпи, набиращи инвестиции ISO 27001 (по-разпознаваем от инвеститорите)
Пазар в Северна Америка SOC 2 (+ CSA STAR за облачни компании)
Пазар в Азия и Близък Изток ISO 27001 + CSA STAR Level 2

Практиката показва, че ISO 27001 е „must-have“, докато CSA STAR Level 2 е „nice-to-have“ с нарастващо значение. За облачни доставчици обаче, CSA STAR Level 2 бързо преминава от „nice-to-have“ към „must-have“, особено когато клиентите провеждат формални процеси за оценка на доставчици.

Често задавани въпроси

FAQ: CSA STAR Level 2 срещу ISO 27001

Може ли CSA STAR Level 2 да замени ISO 27001?

Не. CSA STAR Level 2 изисква ISO 27001 като предпоставка. Двата стандарта са комплементарни, не взаимозаменяеми. ISO 27001 осигурява общата рамка за управление на информационната сигурност, а CSA STAR Level 2 добавя облачно-специфичните контроли.

Колко допълнителна работа е CSA STAR Level 2, ако вече имам ISO 27001?

Значително по-малко, отколкото да започнете от нулата. Очаквайте 100-300 допълнителни човекочаса и 3-6 месеца подготовка. Основните усилия са в попълване на CAIQ, документиране на облачно-специфичните контроли (споделена отговорност, мултитенантност, преносимост) и подготовка на доказателства за домените, които ISO 27001 не покрива в детайли.

Кой стандарт помага повече за GDPR съответствие?

ISO 27001 е по-широко признат като доказателство за „подходящи технически и организационни мерки“ по чл. 32 от GDPR. CSA STAR Level 2 добавя стойност специфично за облачни среди - например домейнът Data Security & Privacy (DSP) директно адресира въпроси за обработка на лични данни в облака, класификация и преносимост на данни.

Как се отнася SOC 2 към тези два стандарта?

SOC 2 е най-разпространен в Северна Америка и се базира на Trust Service Criteria на AICPA. Той не е свързан с ISO 27001 или CSA STAR, но има значително припокриване в контролите. За български компании: ако целите ви включват и американския пазар, може да имате нужда от SOC 2 + ISO 27001, а не от CSA STAR Level 2.

Колко организации в България имат CSA STAR Level 2?

Към март 2026 броят е много ограничен. CSA STAR Registry показва само няколко организации с български произход. Това е едновременно предизвикателство (малко местна експертиза) и възможност (ранните сертифицирани компании се отличават от конкуренцията).

Може ли един и същ одитор да направи ISO 27001 и CSA STAR Level 2 одит?

Да, ако одиторският орган е акредитиран и за двата стандарта. Комбинираният одит е силно препоръчителен, тъй като спестява значително време и разходи. BSI, Bureau Veritas и TUV Rheinland са примери за организации, които предлагат комбинирани одити.

Как CSA STAR Level 2 помага при NIS2 съответствие?

NIS2 изисква от субектите да прилагат мерки за управление на риска, включващи управление на инциденти, управление на веригата на доставки и криптография. CSA STAR Level 2 покрива тези области в детайли чрез домените SEF, STA и CEK. Въпреки че не е формално признат заместител на NIS2 съответствие, той предоставя солидна рамка за демонстриране на съответствие пред регулатора.

Какъв е ROI от добавянето на CSA STAR Level 2 към ISO 27001?

ROI зависи от пазара ви. Ако повечето ви приходи идват от облачни услуги за корпоративни клиенти, CSA STAR Level 2 може да скъси цикъла на продажби с 2-4 месеца (чрез елиминиране на дълги security questionnaires), да отвори нови пазарни сегменти и да намали риска от загуба на сделки поради липса на облачна сертификация. За компания с 500 000 EUR средна стойност на договор, дори едно по-бързо затворена сделка оправдава инвестицията.

Не сте сигурни кой стандарт е подходящ за вас?

Atlant Security помага на български компании да изберат правилния път за сертификация - ISO 27001, CSA STAR Level 2 или и двете. Свържете се с нас за безплатна консултация и ще ви помогнем да направите информиран избор.

Последна актуализация: Март 2026 · Автор: Екип на Atlant Security

Тази статия е с информационна цел. Atlant Security предоставя консултантски услуги за подготовка за ISO 27001 и CSA STAR сертификация. Организациите трябва да проведат собствено проучване при избора на стандарт и сертификационен партньор. Цените са ориентировъчни и могат да варират в зависимост от конкретната ситуация.

Александър Свердлов

Александър Свердлов

Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.