Разлика между CSA STAR Level 1 и CSA STAR Level 2 (CSA2)
Александър Свердлов
Анализатор по сигурността
💫 Ключови изводи
- CSA STAR Level 1 е безплатна самооценка чрез попълване на CAIQ — полезна за начално ниво на прозрачност, но без независима валидация
- CSA STAR Level 2 изисква одит от акредитирана трета страна — значително по-високо ниво на доверие и разпознаване от корпоративни клиенти
- Level 1 е подходящ за стартъпи и малки компании, които тепърва изграждат своята програма за сигурност
- Level 2 е необходим за компании, работещи с корпоративни клиенти, финансови институции и регулирани индустрии
- Разликата в разходите е значителна: Level 1 е безплатен (само вътрешно време), Level 2 струва 25 000–80 000 EUR
- Повечето български SaaS компании, продаващи в ЕС, рано или късно ще трябва да преминат от Level 1 към Level 2
Когато клиент попита „Имате ли CSA STAR?“, точният отговор има значение. Има голяма разлика между „Да, имаме Level 1 самооценка“ и „Да, имаме Level 2 сертификация от независим одитор“. Първото казва „Ние вярваме, че сме сигурни“. Второто казва „Независим експерт е потвърдил, че сме сигурни“.
И двете нива имат своето място в жизнения цикъл на една компания. Въпросът не е кое е „по-добро“ в абсолютен смисъл, а кое е правилното за вашата компания, в този момент, с тези клиенти.
В тази статия ще разгледаме детайлно разликите между Level 1 и Level 2, ще ви помогнем да определите кое ниво ви е необходимо и ще обясним как да планирате прехода от самооценка към сертификация.
Основно сравнение
CSA STAR Level 1 срещу Level 2: Пълна сравнителна таблица
| Параметър | Level 1 (Самооценка) | Level 2 (Одит от трета страна) |
|---|---|---|
| Тип оценка | Самооценка от организацията | Независим одит от акредитиран одитор |
| Основен документ | CAIQ (попълнен самостоятелно) | CAIQ + одиторски доклад + сертификат |
| Разход | Безплатен (само вътрешно време) | 25 000–80 000 EUR |
| Време за постигане | 2–6 седмици | 4–15 месеца |
| Ниво на доверие | Базово — „Ние казваме, че сме сигурни“ | Високо — „Независим експерт потвърждава“ |
| Валидност | Актуализация годишно | 3 години (с годишни наблюдателни одити) |
| CSA STAR Registry | Да — публикувана самооценка | Да — публикувана сертификация с одитор |
| Базова рамка | CAIQ (самостоятелно) | ISO 27001 + CCM или SOC 2 + CCM |
| Приемане от корпоративни клиенти | Като допълнение, не като заместител на одит | Широко прието като доказателство |
| NIS2 / DORA съответствие | Ограничена стойност | Силно доказателство за съответствие |
Анализ на Level 1
CSA STAR Level 1: Какво получавате (и какво не)
CSA STAR Level 1 е самооценка, при която вашата организация попълва CAIQ и го публикува в CSA STAR Registry. Няма одитор, няма независима верификация, няма сертификат.
Предимства на Level 1
- Нулев разход — регистрацията в CSA STAR Registry е безплатна
- Бърза реализация — 2–6 седмици за попълване и публикуване
- Прозрачност — показва на клиентите готовност за открито споделяне на информация
- Вътрешна полза — процесът на попълване е ценно упражнение за самооценка
- Подготовка за Level 2 — попълненият CAIQ е директно преизползваем
Критичното ограничение на Level 1
Level 1 е самодеклариран документ. Никой не е проверил дали написаното отговаря на реалността. За корпоративен клиент, който управлява риска на своите доставчици, Level 1 самооценката има приблизително същата тежест като вашата собствена презентация за сигурност — информативна, но не достатъчна за критичен доставчик.
- Без независима валидация — клиентите не могат да разчитат на нея като на обективно доказателство
- Не заменя vendor security assessment — повечето корпоративни клиенти все пак ще проведат собствена оценка
- Ограничена регулаторна стойност — КЗЛД, CERT България и европейските регулатори очакват независима верификация
- Не се приема в RFP процеси — когато клиентът изисква CSA STAR „сертификация“, той има предвид Level 2
Анализ на Level 2
CSA STAR Level 2: Какво получавате допълнително
CSA STAR Level 2 е независима сертификация от акредитирана трета страна. Одиторът извършва задълбочена оценка на вашите контроли спрямо CCM v4.0, включваща преглед на документация, интервюта с ключови служители и тестване на ефективността на контролите.
Какво добавя Level 2 над Level 1
- Независима верификация — одиторът потвърждава, че контролите реално функционират, не само съществуват на хартия
- Maturity scoring — Level 2 включва оценка на зрелостта на всяка контрола, давайки по-нюансирана картина от бинарното „да/не“
- Формален сертификат — документ, който може да бъде представен директно на клиенти и регулатори
- Публична регистрация с одиторска валидация — в CSA STAR Registry се вижда кой одитор е извършил оценката
- Правна тежест — при инцидент, наличието на Level 2 демонстрира „due diligence“ пред регулатори и съдилища
Maturity Model — уникалното предимство на Level 2
CSA STAR Level 2 използва maturity model за оценка на контролите по скала от 1 до 15 (в 5 нива: Ad-hoc, Repeatable, Defined, Managed, Optimized). Това позволява на клиентите ви да видят не просто дали имате контроли, а колко зрели са те. Компания с висок maturity score се отличава значително от конкуренти с минимално покритие.
Решаващ фактор
Кога Level 1 е достатъчен и кога се нуждаете от Level 2
Level 1 е достатъчен, когато:
- Вашата компания е стартъп или малка фирма на ранен етап на развитие
- Клиентите ви са предимно малки и средни компании, които не изискват формални сертификации
- Искате да демонстрирате прозрачност и ангажираност, без голям бюджет
- Нямате все още ISO 27001 и тепърва изграждате програмата си за сигурност
- Използвате CSA STAR като подготвителна стъпка преди Level 2
Level 2 е необходим, когато:
- Продавате на корпоративни клиенти в ЕС (банки, застрахователи, фармацевтика, публичен сектор)
- Клиентите ви изискват CSA STAR сертификация (не самооценка) в RFP процеси
- Вашите клиенти попадат в обхвата на NIS2 или DORA
- Обработвате чувствителни данни в облака
- Искате да се диференцирате от конкуренцията на международния пазар
- Участвате в обществени поръчки в България или ЕС
Пример от българската практика: Софийска FinTech компания има Level 1 самооценка от 2024 г. През 2026 г. кандидатства за договор с голяма австрийска банка. Банката изисква CSA STAR Level 2 поради DORA. Компанията трябва да премине от Level 1 към Level 2, което отнема 6 месеца и забавя сделката. Ако бяха започнали подготовката по-рано, щяха да спестят тези 6 месеца и да затворят сделката навреме.
Преход
Пътят от Level 1 към Level 2: Практическо ръководство
Ако вече имате Level 1 и планирате преход към Level 2, ето стъпките:
Стъпка 1: Осигурете базова рамка (ISO 27001 или SOC 2)
Level 2 изисква базова рамка. За европейски пазар, това означава ISO 27001. Ако нямате ISO 27001, това е първият приоритет.
Стъпка 2: Ревизирайте CAIQ
Вашият Level 1 CAIQ е добра отправна точка, но ще трябва да бъде значително подобрен. При Level 1 може да сте написали „Да, прилагаме криптиране“. При Level 2 одиторът ще иска конкретен тип криптиране, конфигурация, политика за управление на ключовете и доказателства.
Стъпка 3: Адресирайте облачно-специфичните пропуски
| Област | Типичен статус при Level 1 | Изисквания за Level 2 |
|---|---|---|
| Модел на споделена отговорност | Общо описание или липсва | Детайлна матрица за всяка CCM контрола |
| Multi-tenancy изолация | „Да, изолираме клиентите“ | Документирана архитектура + тестове |
| DevSecOps | „Правим code reviews“ | Документиран SDLC + SAST/DAST + доказателства |
| Управление на доставчици | Списък на доставчици | Risk assessment + договорни клаузи + мониторинг |
| Управление на инциденти | „Имаме план“ | Тестван план + логове от учения + интеграция с CERT България |
Стъпка 4: Pre-assessment
Преди формалния одит, препоръчваме предварителна оценка от консултант. Това ви позволява да идентифицирате и коригирате проблемите преди те да станат формални findings.
Стъпка 5: Интегриран одит
Ако планирате ISO 27001 ресертификация, координирайте я с CSA STAR Level 2. Интегрираният одит може да спести 20–30% от общите разходи.
Регулаторен контекст
NIS2 и DORA: Как регулациите влияят на избора
Регулаторната среда в България и ЕС прави избора между Level 1 и Level 2 все по-ясен:
NIS2 и веригата на доставки
С транспонирането на NIS2 в българското законодателство, организациите в обхвата на директивата (енергетика, транспорт, здравеопазване, банков сектор, публична администрация) са длъжни да извършват оценка на рисковете по веригата на доставки. CERT България, като компетентен орган, ще очаква независимо потвърждение, а не самодекларация.
DORA и финансовият сектор
DORA е още по-категорична. Финансовите институции трябва да извършват задълбочена due diligence на своите ИКТ доставчици. Level 1 самооценка не е достатъчна за DORA compliance — банките ще изискват минимум Level 2.
Практическа препоръка
Ако вашите клиенти са (или вероятно ще бъдат) в обхвата на NIS2 или DORA, не чакайте те да ви поискат Level 2. Започнете подготовката сега. Компанията, която вече има CSA STAR Level 2 когато клиентът я поиска, печели сделката. Компанията, която казва „Ще я имаме след 12 месеца“, я губи.
Разходи
Сравнение на разходите: Level 1 срещу Level 2
| Категория | Level 1 | Level 2 |
|---|---|---|
| CSA регистрация | Безплатна | Безплатна |
| Одиторски такси | 0 EUR | 10 000–45 000 EUR |
| Консултантска помощ | 0–5 000 EUR | 15 000–45 000 EUR |
| Вътрешни ресурси | 40–120 човекочаса | 400–1200 човекочаса |
| Годишна поддръжка | 10–20 човекочаса | 8 000–20 000 EUR |
| Общо (първа година) | 0–5 000 EUR | 25 000–80 000 EUR |
Важно за ROI: Един корпоративен договор с европейски клиент на стойност 100 000–500 000 EUR годишно покрива инвестицията в Level 2 сертификацията многократно. А без Level 2, тази сделка може изобщо да не се случи.
Често задавани въпроси
FAQ: Level 1 срещу Level 2
Мога ли да прескоча Level 1 и да отида директно на Level 2?
Да, абсолютно. Level 1 не е предпоставка за Level 2. Много компании отиват директно на Level 2, особено ако вече имат ISO 27001. Level 1 може да бъде полезно като временна мярка, докато се подготвяте.
Трябва ли да поддържам Level 1, ако имам Level 2?
Не е задължително. Level 2 сертификацията покрива функционалността на Level 1 в CSA STAR Registry. Въпреки това, някои компании поддържат актуален CAIQ, тъй като клиентите понякога го искат като бързо справочно средство.
Как реагират европейските клиенти на Level 1 срещу Level 2?
МСП обикновено приемат Level 1 като достатъчно. Корпоративните клиенти — особено в регулираните индустрии (банки, здравеопазване, енергетика) — почти винаги изискват Level 2. За тях Level 1 е като „Ние сами си проверихме домашното“ — те предпочитат „Учителят провери и потвърди“.
КЗЛД приема ли Level 1 като доказателство за технически мерки?
КЗЛД не е издала специфично становище относно CSA STAR. По аналогия с практиката по чл. 32 GDPR, Level 2 има значително по-голяма доказателствена стойност. При проверка, Level 2 сертификат от акредитиран одитор е много по-убедително доказателство за „подходящи технически мерки“.
Колко време отнема преходът от Level 1 към Level 2?
С Level 1 и ISO 27001, преходът обикновено отнема 4–8 месеца. Без ISO 27001, добавете допълнителни 6–9 месеца. Основното време отива за адресиране на облачно-специфичните контроли от CCM и подготовка на доказателствената база.
Какво е CSA STAR Level 3 и трябва ли да го планирам?
CSA STAR Level 3 (Continuous Monitoring) все още е в развитие и не е широко достъпен. Той предвижда автоматизирана, непрекъсната оценка на облачната сигурност. Към 2026 г. не е необходимо да го планирате — фокусирайте се върху Level 2.
Публикувано: Март 2026 · Автор: Александър Свердлов
Тази статия е с информативен характер и не представлява правен или професионален съвет. За конкретни въпроси относно CSA STAR сертификация, моля свържете се с квалифициран консултант по облачна сигурност.
Александър Свердлов
Основател на Atlant Security. Автор на 2 книги за информационна сигурност, лектор по киберсигурност на най-големите конференции по киберсигурност в Азия и панелист на конференция на ООН. Бивш член на екипа за консултации по сигурността на Microsoft, външен консултант по киберсигурност в Емиратската корпорация за ядрена енергия.