Какво включва одитът по CSA2 стандарт?
Александър Свердлов
Анализатор по сигурността
💫 Ключови изводи
- CSA STAR Level 2 изисква независим одит от трета страна — самооценката от Level 1 вече не е достатъчна
- Одитът обхваща 17 контролни домена от Cloud Controls Matrix (CCM) v4 — от управление на идентичности до реагиране при инциденти
- Българските компании могат да използват съществуващата си ISO 27001 сертификация като основа за CSA STAR Level 2
- CAIQ (Consensus Assessments Initiative Questionnaire) е задължителен инструмент — 261 въпроса, които трябва да бъдат документирани с доказателства
- Подготовката обикновено отнема 3–6 месеца за организации с вече изградена система за управление на информационната сигурност
- Одитът се провежда от акредитирани сертификационни органи — в ЕС работят такива като BSI, TUV Rheinland и Bureau Veritas
Ако вашата организация предоставя облачни услуги на европейски или международни клиенти, вероятно вече сте срещнали въпроса: „Имате ли CSA STAR сертификация?“ Все повече корпоративни клиенти, особено в банковия сектор, здравеопазването и публичния сектор, изискват тази сертификация като условие за партньорство.
За българските технологични компании — от SaaS доставчици в София до аутсорсинг фирми в Пловдив и Варна — CSA STAR Level 2 се превръща в конкурентно предимство, което отваря врати към пазари, където самооценката просто не е достатъчна.
В тази статия ще разгледаме какво точно проверява одитът по CSA STAR Level 2, как е структуриран процесът, какви доказателства се изискват и как да подготвите екипа си — стъпка по стъпка.
Основи
Какво представлява CSA STAR Level 2?
CSA STAR (Security, Trust, Assurance and Risk) е програма на Cloud Security Alliance, създадена специално за оценка на сигурността на облачни доставчици. Програмата има три нива:
| Ниво | Тип оценка | Описание |
|---|---|---|
| Level 1 | Самооценка | Организацията попълва CAIQ самостоятелно и го публикува в STAR Registry |
| Level 2 | Независим одит от трета страна | Акредитиран сертификационен орган провежда одит на базата на ISO 27001 + CCM |
| Level 3 | Непрекъснат мониторинг | Автоматизирано наблюдение на контролите в реално време (все още в разработка) |
Level 2 е златният стандарт за повечето организации. Той комбинира изискванията на ISO 27001 с допълнителните облачно-специфични контроли на CCM (Cloud Controls Matrix), като крайният резултат е сертификация, която доказва на клиентите ви, че облачните ви услуги отговарят на най-високите стандарти за сигурност.
Защо Level 2, а не Level 1?
Level 1 е самооценка — полезна за начало, но не предоставя независимо потвърждение. Корпоративните клиенти в ЕС, особено тези, подлежащи на регулации като NIS2 и DORA, все по-често изискват Level 2, защото той предлага одиторска гаранция, а не само декларация за съответствие.
Контролни домени
17-те домена на Cloud Controls Matrix (CCM) v4
Cloud Controls Matrix е рамката, върху която се базира целият одит по CSA STAR Level 2. Версия 4 съдържа 197 контролни цели, разпределени в 17 домена. Ето пълният списък с обяснение какво проверява одиторът във всеки от тях:
| # | Домен (CCM v4) | Какво проверява одиторът |
|---|---|---|
| 1 | Audit & Assurance (A&A) | Процеси за вътрешен и външен одит, планиране на одити, независимост на одиторите |
| 2 | Application & Interface Security (AIS) | Сигурност на приложения и API-та, SDLC практики, управление на уязвимости в кода |
| 3 | Business Continuity & Operational Resilience (BCR) | Планове за непрекъсваемост, DR стратегии, тестване на резервни копия |
| 4 | Change Control & Configuration (CCC) | Управление на промените, контрол на конфигурациите, baseline настройки |
| 5 | Cryptography, Encryption & Key Management (CEK) | Криптографски политики, управление на ключове, шифроване при покой и при пренос |
| 6 | Datacenter Security (DCS) | Физическа сигурност на центровете за данни, контрол на достъпа, мониторинг |
| 7 | Data Security & Privacy (DSP) | Класификация на данните, защита на лични данни (GDPR съответствие), политики за запазване и унищожаване |
| 8 | Governance, Risk & Compliance (GRC) | Корпоративно управление на сигурността, оценка на рисковете, регулаторно съответствие |
| 9 | Human Resources Security (HRS) | Проверка на служители, обучения по сигурност, процедури при напускане |
| 10 | Identity & Access Management (IAM) | Управление на идентичности, MFA, принцип на минимални привилегии, прегледи на достъпа |
| 11 | Interoperability & Portability (IPY) | Преносимост на данни, API стандарти, избягване на заключване при доставчик |
| 12 | Infrastructure & Virtualization Security (IVS) | Сигурност на мрежовата инфраструктура, виртуализация, сегментация |
| 13 | Logging & Monitoring (LOG) | Журнални записи, централизиран мониторинг, SIEM интеграция, съхранение на логове |
| 14 | Security Incident Management (SEF) | Планове за реагиране при инциденти, класификация, ескалация, уведомяване |
| 15 | Supply Chain Management (STA) | Управление на доставчици, оценка на риска по веригата, договорни изисквания |
| 16 | Threat & Vulnerability Management (TVM) | Сканиране за уязвимости, управление на заплахи, пачове, penetration тестване |
| 17 | Universal Endpoint Management (UEM) | Управление на крайни устройства, MDM политики, защита на мобилни устройства |
Важно е да разберете, че одиторът не просто проверява дали имате политика за всеки домен. Той изисква доказателства за реална имплементация: логове, конфигурации, записи от обучения, резултати от тестове и прегледи на достъпа.
Въпросник за оценка
Ролята на CAIQ в одитния процес
CAIQ (Consensus Assessments Initiative Questionnaire) е стандартизиран въпросник, разработен от CSA, който съдържа 261 въпроса, организирани по 17-те домена на CCM. Той служи като основен инструмент както за самооценка (Level 1), така и за независимия одит (Level 2).
При Level 2 одита, CAIQ не е просто документ за попълване — той е структурата, по която одиторът организира своята проверка. За всеки въпрос от CAIQ, вашата организация трябва да предостави:
- Отговор „Да/Не/Неприложимо“ — с обосновка за всяко „Неприложимо“
- Описание на контрола — как конкретно е имплементиран
- Доказателства — документи, скрийншоти, логове, конфигурационни файлове
- Отговорно лице — кой от екипа отговаря за поддържането на контрола
Практически съвет за български компании
Ако вече имате ISO 27001 сертификация, значителна част от CAIQ въпросите вече имат покритие. Нашият опит показва, че ISO 27001-сертифицирани организации в България обикновено могат да покрият 60–70% от CAIQ без допълнителна работа. Фокусирайте усилията си върху облачно-специфичните контроли, които ISO 27001 не адресира директно.
Доказателства
Какви доказателства изисква одиторът?
Едно от най-честите предизвикателства за българските организации е подценяването на обема доказателства, които одиторът очаква. CSA STAR Level 2 не е „хартиен“ одит — одиторите искат да видят, че контролите реално функционират.
Ето типичните категории доказателства по ключови домени:
| Домен | Примерни доказателства |
|---|---|
| Identity & Access Management | Скрийншоти на MFA конфигурация, логове от прегледи на достъпа, политика за привилегировани акаунти |
| Cryptography & Key Mgmt | Конфигурация на TLS/SSL, политика за управление на ключове, доказателство за ротация на ключовете |
| Logging & Monitoring | SIEM конфигурация, примерни алерти, политика за съхранение на логове (мин. 12 месеца) |
| Security Incident Mgmt | План за реагиране при инциденти, записи от проведени учения, доклади от реални инциденти |
| Data Security & Privacy | Регистър на обработките (по GDPR), политика за класификация на данните, DPA с подизпълнители |
| Change Control | Записи от change management системата, одобрения за промени, rollback процедури |
| Supply Chain Mgmt | Регистър на доставчици, оценки на риска, договори с клаузи за сигурност |
Често допускана грешка
Много български организации подготвят перфектни политики, но не могат да покажат, че те реално се прилагат. Одиторът ще поиска конкретни примери: „Покажете ми последния преглед на достъпа. Кога беше проведен? Какви промени бяха направени?“ Ако отговорът е „имаме политика, но не сме я прилагали“, това е несъответствие.
Процес
Одитният процес стъпка по стъпка
CSA STAR Level 2 одитът следва структуриран процес, който типично протича в пет фази:
Фаза 1: Предварителна оценка (Pre-Assessment) — 2–4 седмици
Сертификационният орган провежда предварителен преглед, за да оцени готовността на организацията. Това включва преглед на документацията, идентифициране на пропуски и планиране на одита. На този етап се определя и обхватът — кои облачни услуги ще бъдат покрити.
Фаза 2: Подготовка на доказателствата — 4–12 седмици
Организацията попълва CAIQ, подготвя документацията и събира доказателствата за всеки контролен домен. Тук е критично важно да има определен екип и ясно разпределение на отговорностите. За българските компании, които вече имат ISO 27001, тази фаза е значително по-кратка.
Фаза 3: Одит на етап 1 (Stage 1 Audit) — 1–2 дни
Одиторът преглежда документацията и CAIQ отговорите, проверява готовността за пълния одит и идентифицира зони, които изискват допълнително внимание. Този етап може да се проведе дистанционно.
Фаза 4: Одит на етап 2 (Stage 2 Audit) — 3–5 дни
Пълният одит на място (или хибриден — дистанционно + на място). Одиторът интервюира ключови служители, преглежда доказателства, тества контроли и оценява ефективността на имплементацията. За български компании, работещи с европейски сертификационни органи, одитът често включва дистанционен компонент.
Фаза 5: Издаване на сертификат — 2–4 седмици
След успешен одит, сертификационният орган издава CSA STAR Level 2 сертификат и организацията се вписва в публичния STAR Registry. Сертификатът е валиден за 3 години с годишни надзорни одити.
Времеви рамки за български организации
За компания с действаща ISO 27001 сертификация, целият процес — от решението до сертификата — обикновено отнема 3–6 месеца. Без предварителна ISO 27001, очаквайте 9–15 месеца, тъй като ще трябва първо да изградите системата за управление на информационната сигурност.
Сертификационни органи
Кой може да проведе одита в България?
CSA STAR Level 2 одитът трябва да се проведе от акредитиран сертификационен орган, одобрен от CSA. В България няма местен акредитиран орган специално за CSA STAR, но няколко международни сертификационни тела работят активно на българския пазар:
| Сертификационен орган | Присъствие в ЕС | Бележки |
|---|---|---|
| BSI Group | Офиси в цяла Европа | Един от най-опитните CSA STAR одитори глобално |
| TUV Rheinland | Германия, активен в Югоизточна Европа | Силно присъствие в региона, провежда одити на български компании |
| Bureau Veritas | Присъствие в България | Офис в София, предлага комбинирани ISO 27001 + CSA STAR одити |
| SGS | Офис в София | Глобална мрежа, възможност за комбиниран одит с други стандарти |
| EY CertifyPoint | Нидерландия, дистанционни одити за ЕС | Популярен избор за технологични компании |
Ключов момент: Ако вече имате ISO 27001 от конкретен сертификационен орган, най-ефективно е да проведете CSA STAR Level 2 одита със същия орган. Това намалява дублирането на усилия и позволява комбиниран одит, който спестява време и разходи.
Подготовка на екипа
Как да подготвите екипа си за одита
Успешният CSA STAR Level 2 одит не е само технически проект — той изисква координирани усилия от различни отдели. Ето практически стъпки за подготовка:
1. Назначете вътрешен проектен мениджър
Определете едно лице, което ще координира целия процес. В българските технологични компании това обикновено е CISO, IT мениджърът или DPO (длъжностното лице по защита на данните). Ключовото е да има ясен мандат от ръководството и достъп до всички отдели.
2. Идентифицирайте собственици на контроли
За всеки от 17-те домена трябва да има определено отговорно лице. В практиката за средна българска IT компания (50–200 служители), това обикновено означава 5–8 човека, тъй като един човек може да отговаря за няколко домена.
3. Проведете вътрешен gap анализ
Преди да ангажирате сертификационен орган, направете вътрешна оценка на готовността. Попълнете CAIQ самостоятелно и идентифицирайте областите, където липсват контроли или доказателства. Това ще ви даде реалистична представа за обема работа.
4. Подгответе служителите за интервюта
Одиторът ще интервюира ключови служители — системни администратори, DevOps инженери, HR отговорници, ръководители на екипи. Уверете се, че всеки разбира своите конкретни отговорности в рамките на системата за сигурност и може да обясни как прилага контролите на практика.
5. Организирайте доказателствата предварително
Създайте структурирана папка (физическа или в облака) с доказателства, организирани по CCM домени. Нашата препоръка: използвайте номерацията на CCM контролите за именуване на файловете. Това значително ускорява одитния процес и оставя добро впечатление.
Разходи
Колко струва CSA STAR Level 2 одитът?
Разходите варират значително в зависимост от размера на организацията, обхвата на облачните услуги и избрания сертификационен орган. Ето ориентировъчни стойности за българския пазар:
| Компонент | Ориентировъчна цена (EUR) |
|---|---|
| Консултантска подготовка (gap анализ + имплементация) | 8 000 – 25 000 EUR |
| Такса за сертификационен одит (Level 2) | 12 000 – 35 000 EUR |
| Годишен надзорен одит | 5 000 – 15 000 EUR |
| CSA STAR Registry такса | 500 – 2 000 EUR / годишно |
| Общо (първоначална сертификация) | 20 500 – 62 000 EUR |
Комбинираният одит с ISO 27001 може да спести 20–30% от общите разходи, тъй като значителна част от проверките се припокриват. За български компании, които вече поддържат ISO 27001, допълнителната инвестиция за CSA STAR Level 2 е значително по-ниска.
Често задавани въпроси
FAQ: Одит по CSA STAR Level 2
Каква е разликата между CSA STAR Level 1 и Level 2?
Level 1 е самооценка — организацията попълва CAIQ самостоятелно и го публикува в STAR Registry. Level 2 изисква независим одит от акредитиран сертификационен орган, базиран на ISO 27001 + CCM. Level 2 предоставя значително по-висока степен на доверие и е изискван от повечето корпоративни клиенти.
Трябва ли да имам ISO 27001, за да получа CSA STAR Level 2?
Да. CSA STAR Level 2 сертификацията се базира на ISO 27001 като основа, надградена с облачно-специфичните контроли на CCM. Ако нямате ISO 27001, можете да преминете и двата одита едновременно чрез комбиниран одит, което е по-ефективно от гледна точка на време и разходи.
Колко време е валиден сертификатът по CSA STAR Level 2?
Сертификатът е валиден за 3 години, но с годишни надзорни одити. Надзорният одит проверява дали контролите продължават да функционират ефективно и дали организацията е адресирала евентуалните препоръки от предходния одит.
Може ли одитът да се проведе изцяло дистанционно?
Частично. Stage 1 одитът обикновено се провежда дистанционно. Stage 2 може да бъде хибриден — част дистанционен, част на място. Конкретният формат зависи от сертификационния орган и обхвата на одита. За облачни компании без физически центрове за данни, по-голямата част от одита може да бъде дистанционна.
Как CSA STAR Level 2 се отнася към GDPR и NIS2?
CSA STAR Level 2 не е регулаторно изискване, но значително подпомага съответствието с GDPR (чрез домена Data Security & Privacy) и NIS2 (чрез домените за управление на инциденти, верига на доставки и управление на рисковете). Много одитори и регулатори в ЕС признават CSA STAR като доказателство за адекватни технически и организационни мерки.
Какво се случва, ако одитът открие несъответствия?
Несъответствията се класифицират като „major“ (основни) и „minor“ (незначителни). При minor несъответствия обикновено получавате срок за коригиращи действия (60–90 дни). При major несъответствия сертификацията се отлага, докато проблемите не бъдат отстранени и проверени от одитора.
Имам SOC 2 — нуждая ли се и от CSA STAR Level 2?
Зависи от пазара ви. SOC 2 е стандартът в Северна Америка, докато CSA STAR Level 2 е по-разпознаваем в Европа и Азия. Ако обслужвате европейски клиенти или участвате в обществени поръчки в ЕС, CSA STAR Level 2 може да бъде по-подходящ. Много организации поддържат и двете сертификации.
Може ли консултант да помогне с подготовката за одита?
Да, и това е силно препоръчително, особено ако организацията ви преминава през CSA STAR Level 2 за първи път. Консултантът може да проведе gap анализ, да помогне с попълването на CAIQ, да подготви доказателствата и да проведе вътрешен пробен одит. Важно: консултантът и сертификационният орган трябва да бъдат различни организации.
Последна актуализация: Март 2026 · Автор: Екип на Atlant Security
Тази статия е с информационна цел. Atlant Security предоставя консултантски услуги за подготовка за CSA STAR сертификация, но не е сертификационен орган. Организациите трябва да проведат собствено проучване при избора на сертификационен партньор.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.