Какво е CSA STAR Level 2 (CSA2) и защо е важно за българските компании?
Александър Свердлов
Анализатор по сигурността
💫 Ключови изводи
- CSA STAR Level 2 (CSA2) е одит от независима трета страна, който валидира облачната сигурност на вашата организация спрямо CCM матрицата на Cloud Security Alliance
- За разлика от Level 1 (самооценка), Level 2 изисква сертификация от акредитиран одитор — което я прави много по-ценна пред корпоративни клиенти
- Българските SaaS компании, които целят клиенти в Германия, Нидерландия, Скандинавия и останалия ЕС, все по-често срещат CSA STAR Level 2 като задължително изискване в RFP процеси
- CSA2 се интегрира с ISO 27001 и SOC 2, като добавя специфичен за облака слой на контроли, който стандартните рамки не покриват
- В контекста на NIS2 директивата и нейното транспониране в българското законодателство, CSA2 демонстрира проактивен подход към управлението на облачните рискове
- Средната инвестиция за CSA2 сертификация е между 25 000 и 80 000 EUR, но ROI-ът чрез спечелени сделки често надвишава разходите многократно
Ако управлявате българска технологична компания, която предоставя облачни услуги — SaaS платформа, инфраструктура като услуга или управлявани облачни решения — вероятно вече сте се сблъскали с въпроса: „Имате ли CSA STAR сертификация?“
Този въпрос идва все по-често от потенциални клиенти в Западна Европа — финансови институции в Германия, здравни организации в Нидерландия, публичния сектор в Скандинавия. И ако отговорът ви е „Не, но имаме ISO 27001“, може да забележите, че това вече не е достатъчно.
В тази статия ще разгледаме какво точно представлява CSA STAR Level 2, как се различава от Level 1, защо е особено релевантна за българския бизнес контекст и какво трябва да знаете, преди да започнете процеса по сертификация.
Основи
Какво е CSA STAR и как работи програмата
CSA STAR (Security, Trust, Assurance, and Risk) е програма на Cloud Security Alliance — глобалната организация, която дефинира стандартите за облачна сигурност. Програмата предоставя структурирана рамка за оценка на сигурността на облачните доставчици чрез три нива:
| Ниво | Тип | Описание | Доверие |
|---|---|---|---|
| Level 1 | Самооценка | Организацията попълва CAIQ (Consensus Assessments Initiative Questionnaire) самостоятелно | Базово |
| Level 2 | Одит от трета страна | Независим акредитиран одитор валидира контролите спрямо CCM (Cloud Controls Matrix) | Високо |
| Level 3 | Непрекъснат мониторинг | Автоматизирана, непрекъсната оценка на облачната сигурност (все още в развитие) | Най-високо |
CSA STAR Level 2 е нивото, което корпоративните клиенти и регулаторите считат за „златен стандарт“ за облачна сигурност. То изисква одит от акредитирана трета страна и се основава на две ключови компоненти:
- Cloud Controls Matrix (CCM) — матрица от 197 контролни цели, организирани в 17 домейна, покриващи всичко от управление на данни и идентичности до DevSecOps и управление на верижни доставчици
- CAIQ (Consensus Assessments Initiative Questionnaire) — подробен въпросник, който картографира как организацията изпълнява всяка контрола от CCM
При Level 2 одиторът не просто проверява отговорите ви — той извършва задълбочена проверка на доказателствата, интервюта с ключови служители и тестване на ефективността на внедрените контроли. Резултатът е публично достъпна сертификация в CSA STAR Registry, която всеки потенциален клиент може да провери.
Български контекст
Защо CSA STAR Level 2 е важна за българските компании
България се утвърждава като значим технологичен хъб в Югоизточна Европа. Според данни на Българската асоциация на софтуерните компании (БАСКОМ), ИКТ секторът генерира над 4% от БВП и расте с двуцифрени темпове годишно. Стотици български компании предоставят облачни услуги на клиенти в целия Европейски съюз.
Ето защо CSA STAR Level 2 е особено релевантна в българския бизнес контекст:
1. Достъп до корпоративни клиенти в ЕС
Големите европейски предприятия — банки, застрахователни компании, фармацевтични гиганти — все по-често включват CSA STAR Level 2 като задължително изискване в своите процеси за избор на доставчици. Ако вашата българска SaaS компания иска да продаде на Deutsche Bank, Philips или Volvo, CSA2 може да бъде разликата между участие в търга и изключване от него.
2. NIS2 директива и българското транспониране
Директивата NIS2 на ЕС, която България транспонира в националното си законодателство, поставя значително по-високи изисквания към управлението на рисковете по веригата на доставки. Организациите, попадащи в обхвата на NIS2, са длъжни да извършват оценка на сигурността на своите доставчици — включително облачните. CSA STAR Level 2 сертификацията предоставя готово, структурирано доказателство за съответствие с тези изисквания.
NIS2 и българските облачни доставчици
С транспонирането на NIS2, CERT България (към Министерство на електронното управление) ще засили надзора над доставчиците на критични дигитални услуги. Облачните доставчици, които вече имат CSA STAR Level 2, ще бъдат в значително по-добра позиция да демонстрират съответствие и да избегнат допълнителни проверки.
3. DORA и финансовият сектор
Регламентът DORA (Digital Operational Resilience Act), който влезе в сила за финансовия сектор в ЕС, изисква от банки, застрахователи и инвестиционни посредници да извършват задълбочена оценка на своите ИКТ доставчици. Българските компании, предоставящи облачни услуги на финансовия сектор, ще трябва да докажат, че техните контроли за сигурност отговарят на строги стандарти. CSA STAR Level 2 предоставя точно този вид независимо валидирана гаранция.
4. Защита на личните данни и КЗЛД
Комисията за защита на личните данни (КЗЛД) е българският надзорен орган по GDPR. При обработка на лични данни в облака, КЗЛД очаква от администраторите на данни да демонстрират, че техните обработващи (включително облачните доставчици) прилагат подходящи технически и организационни мерки. CSA STAR Level 2 сертификацията е един от най-силните начини да докажете това.
5. Публични поръчки и държавни проекти
Министерството на електронното управление и Държавна агенция „Електронно управление“ все по-активно залагат изисквания за облачна сигурност в обществените поръчки. Макар че CSA STAR Level 2 все още не е формално задължителна, тя дава значително конкурентно предимство при участие в търгове за държавни облачни проекти и проекти, финансирани по линия на Националния план за възстановяване и устойчивост.
Техническа рамка
Какво покрива CCM — Cloud Controls Matrix
Cloud Controls Matrix (CCM) е сърцето на CSA STAR програмата. Текущата версия — CCM v4.0 — съдържа 197 контролни цели, организирани в 17 домейна. Ето ключовите области:
| Домейн | Фокус | Примерни контроли |
|---|---|---|
| A&A | Одит и осигуряване | Независими одити, управление на одитни планове, отчетност |
| DSP | Сигурност на данните и поверителност | Класификация на данни, криптиране, управление на ключове, DLP |
| IAM | Управление на идентичности и достъп | MFA, принцип на минимални привилегии, федерация |
| IVS | Инфраструктура и виртуализация | Мрежова сигурност, сегментация, хардуерна сигурност |
| SEF | Управление на инциденти | План за реагиране, известяване, forensics, lessons learned |
| STA | Управление на веригата за доставки | Оценка на доставчици, договорни изисквания, мониторинг |
| DevSecOps | Сигурна разработка | SAST/DAST, управление на уязвимости, сигурен SDLC |
Критичното предимство на CCM е, че тя е специфично проектирана за облачни среди. За разлика от ISO 27001, която е универсална рамка за информационна сигурност, CCM адресира конкретни облачни рискове: multi-tenancy, споделена отговорност, виртуализация, API сигурност и контейнерна оркестрация.
CCM и ISO 27001: Допълващи се, не конкурентни
CSA STAR Level 2 е проектирана да надгражда ISO 27001. Ако вече имате ISO 27001 сертификация, значителна част от контролите вече са на място. CCM добавя специфичните за облака изисквания, които ISO 27001 не адресира директно. Това означава, че българска компания с ISO 27001 може да постигне CSA STAR Level 2 за значително по-кратко време и с по-малко ресурси.
Бизнес стойност
ROI на CSA STAR Level 2 за български компании
Инвестицията в CSA STAR Level 2 не е просто разход за съответствие — тя е стратегическо бизнес решение. Ето конкретните ползи за българските компании:
Ускоряване на продажбения цикъл
Средният цикъл на продажба на B2B SaaS продукт към корпоративен клиент в ЕС включва 2–6 месеца за оценка на сигурността на доставчика. С CSA STAR Level 2 тази фаза може да бъде съкратена до 2–4 седмици, тъй като клиентът може да разчита на независимата сертификация вместо да провежда собствена задълбочена оценка.
Намаляване на „security questionnaire fatigue“
Всяка българска SaaS компания, която работи с корпоративни клиенти, знае болката от безкрайните въпросници за сигурност. CSA STAR Level 2 сертификацията и попълненият CAIQ заменят или значително съкращават 80% от типичните vendor security assessments.
Конкурентно предимство на европейския пазар
Към 2026 г. повечето западноевропейски конкуренти все още нямат CSA STAR Level 2. Българска компания с тази сертификация се позиционира наравно или над конкуренцията от сигурностна гледна точка, което компенсира евентуалните притеснения на клиентите относно работата с доставчик от Югоизточна Европа.
Реален пример: Българска SaaS компания за HR автоматизация кандидатства за договор с голяма скандинавска банка. Конкуренти от Ирландия и Естония предлагат подобни решения. Българската компания е единствената с CSA STAR Level 2 сертификация — и печели сделката, защото банката може да я включи в списъка на одобрени доставчици без допълнителен одит, спестявайки 4 месеца от процеса.
Интеграция
CSA STAR Level 2, ISO 27001 и SOC 2 — как се допълват
Една от най-честите грешки е да се гледа на CSA STAR Level 2 като на отделна, изолирана сертификация. В действителност тя е проектирана да работи заедно с вече съществуващите рамки за сигурност:
| Рамка | Фокус | Връзка с CSA STAR Level 2 |
|---|---|---|
| ISO 27001 | Обща информационна сигурност | CSA2 надгражда ISO 27001 с облачно-специфични контроли. Двата одита могат да се проведат едновременно |
| SOC 2 | Trust Service Criteria | CSA STAR Attestation (вариант на Level 2) се основава на SOC 2 + CCM контроли |
| GDPR | Защита на личните данни | CCM домейнът DSP директно адресира GDPR изисквания за технически мерки |
| NIS2 | Мрежова и информационна сигурност | CSA2 демонстрира изпълнение на мерките за управление на риска, изисквани от NIS2 |
| EU Cloud Code of Conduct | GDPR за облачни доставчици | Значително припокриване с CCM; CSA2 покрива повечето изисквания |
Практически съвет за български компании: Ако вече имате ISO 27001, най-ефективният път към CSA STAR Level 2 е да планирате интегриран одит — когато ISO 27001 наблюдателният одит и CSA STAR Level 2 сертификацията се извършват от един и същ одитор в едно и също посещение. Това може да намали общите разходи с 20–30%.
Типични грешки
Пет грешки, които българските компании допускат при CSA STAR
Въз основа на нашия опит в работата с български и европейски компании, ето най-честите грешки:
Грешка 1: Подценяване на обхвата на CCM
Много компании мислят, че „щом имаме ISO 27001, CSA STAR ще е лесна“. Въпреки че ISO 27001 покрива 40–50% от CCM контролите, облачно-специфичните области — multi-tenancy изолация, контейнерна сигурност, API governance — изискват значителна допълнителна работа.
Грешка 2: Непопълване на CAIQ преди одита
CAIQ не е формалност — това е документът, по който одиторът структурира проверката си. Ако не е попълнен подробно и точно преди одита, рискувате несъответствия и допълнителни посещения, което увеличава разходите.
Грешка 3: Избор на неопитен одитор
Не всеки ISO 27001 одитор е квалифициран за CSA STAR Level 2. Уверете се, че одиторската фирма е акредитирана от CSA и има конкретен опит с CCM v4.0. На българския пазар изборът е ограничен — може да се наложи да работите с международна одиторска фирма.
Грешка 4: Липса на документация на модела на споделена отговорност
CCM изисква ясна дефиниция на това кои контроли са ваша отговорност и кои — на вашия облачен доставчик (AWS, Azure, GCP). Много български компании пропускат да документират този модел формално, което е автоматичен „finding“ при одита.
Грешка 5: Третиране на сертификацията като еднократен проект
CSA STAR Level 2 сертификацията е валидна 3 години, но с годишни наблюдателни одити. Ако не поддържате контролите и доказателствената база непрекъснато, рискувате загуба на сертификацията при следващия одит.
Често задавани въпроси
FAQ: CSA STAR Level 2 за български компании
Колко време отнема постигането на CSA STAR Level 2?
Ако вече имате ISO 27001, процесът обикновено отнема 4–8 месеца. Без съществуваща сертификация, планирайте 9–15 месеца. Най-времеемката част е внедряването на облачно-специфичните контроли от CCM, които ISO 27001 не покрива.
Колко струва CSA STAR Level 2 сертификацията?
Общите разходи варират между 25 000 и 80 000 EUR, в зависимост от размера на организацията, сложността на облачната инфраструктура и дали имате съществуваща ISO 27001. Това включва консултантска помощ за подготовка (15 000–45 000 EUR) и одиторски такси (10 000–35 000 EUR).
Има ли акредитирани CSA STAR одитори в България?
Към 2026 г. броят на акредитираните CSA STAR одитори с офис в България е ограничен. Повечето български компании работят с международни одиторски фирми (Big 4, BSI, Schellman и др.), които провеждат одита дистанционно или с кратко присъствено посещение. Консултантската подготовка обаче може да се извърши изцяло от местни специалисти.
CSA STAR Level 2 задължителна ли е по българското законодателство?
Не, CSA STAR Level 2 не е законово задължителна в България. Тя е доброволна сертификация. Въпреки това, с транспонирането на NIS2 и прилагането на DORA, организациите в обхвата на тези регулации все по-често я изискват от своите облачни доставчици като де факто изискване.
Може ли CSA STAR Level 2 да замени ISO 27001?
Не. CSA STAR Level 2 надгражда, а не заменя ISO 27001. Всъщност една от пътеките за CSA STAR Level 2 е именно CSA STAR Certification, която изисква ISO 27001 като основа. Най-силната позиция е да имате и двете сертификации.
Как CSA STAR Level 2 помага при работа с КЗЛД?
КЗЛД очаква от обработващите лични данни да прилагат подходящи технически мерки съгласно чл. 32 от GDPR. CSA STAR Level 2 сертификацията е силно доказателство, че вашата организация прилага такива мерки в облачна среда. При евентуална проверка от КЗЛД, наличието на CSA2 значително укрепва вашата позиция.
Публикувано: Март 2026 · Автор: Александър Свердлов
Тази статия е с информативен характер и не представлява правен или професионален съвет. За конкретни въпроси относно CSA STAR Level 2 сертификация, моля свържете се с квалифициран консултант по облачна сигурност.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.