Выберите регион

Санкт-Петербург Ленинградская область Коми республика Архангельская область Вологодская область Мурманская область Новгородская область Псковская область Калининградская область Ненецкий автономный округ Крым республика Севастополь Днепропетровская область Алтайский край Чеченская республика Ханты-Мансийский автономный округ Карелия республика Марий Эл республика Самарская область Татарстан республика Тыва республика Ульяновская область Ямало-Ненецкий автономный округ Камчатский край город Киев Сахалинская область Еврейская автономная область Алтай республика Одесская область Амурская область Хабаровский край Приморский край Саха (Якутия) республика Красноярский край Бурятия республика Брянская область Дагестан республика Забайкальский край Карагандинская область Новосибирская область Калмыкия республика Астраханская область Кабардино-Балкарская республика Карачаево-Черкесская республика Адыгея республика Ингушетия республика Башкортостан республика Белгородская область Хакасия республика Ивановская область Северная Осетия - Алания республика Костромская область Мордовия республика Курская область Орловская область Смоленская область Калужская область Чувашская республика Челябинская область Иркутская область Поморское воеводство Кировская область Кемеровская область /Кузбас/ Краснодарский край Липецкая область город Клайпеда Тамбовская область Нижегородская область Омская область Оренбургская область Пензенская область Пермский край Ростовская область Рязанская область Саратовская область Ставропольский край Свердловская область Тюменская область Томская область Тульская область Тверская область Удмуртская республика Волгоградская область Воронежская область Ярославская область Московская область Москва

Фраза дня: аудит облака

30 ноября 2021

Что такое облачный аудит?
Облачный аудит - это периодическая проверка, которую организация проводит для оценки и документирования работы поставщика облачных услуг. Цель такого аудита - увидеть, насколько хорошо поставщик облачных услуг соблюдает набор установленных элементов управления и передовых методов.

Cloud Security Alliance (CSA) предоставляет аудиторские документы, руководства и средства контроля, которые ИТ-организация может использовать для проверки своих поставщиков облачных услуг. Сторонние аудиторы также могут использовать материалы аудита CSA. Ресурсы CSA считаются основными инструментами аудита для выполнения и оптимизации комплексного облачного аудита.

Термин CloudAudit относится к спецификации, разработанной CSA в 2019 году для представления информации о том, как поставщик облачных услуг обращается к структурам управления. Цель CloudAudit состояла в том, чтобы предоставить поставщикам облачных услуг способ сделать их данные о производительности и безопасности доступными для потенциальных клиентов.

Как провести облачный аудит?
Аудит облачной среды аналогичен ИТ-аудиту. Оба исследуют различные операционные, административные средства контроля, управления безопасностью и производительностью. Средства контроля облачного аудита аналогичны средствам контроля ИТ-аудита, но с упором на нюансы облачных сред.

Поставщики облачных услуг предлагают несколько ресурсов по запросу в виде услуги, таких как программное обеспечение как услуга и платформа как услуга. Аудиты помогают гарантировать, что эти предложения поставляются с должным вниманием к конкретным элементам управления, особенно связанным с политиками безопасности и управлением рисками. Аудиты служб облачных вычислений ищут доказательства того, что поставщик облачных услуг использует передовые методы, соблюдает соответствующие стандарты и соответствует определенным критериям при предоставлении своих услуг.

При выполнении облачного аудита выполните следующие основные шаги:

  • Соберите доказательства. Соберите соответствующие документы и другие доказательства, например скриншоты.
  • Интервью. Спросите у персонала поставщика облачных услуг, как поставщик работает и предоставляет свои услуги. В CSA есть вопросы и контрольные списки для облачного аудита, которые могут быть полезны как внешним, так и внутренним аудиторам. CSA сотрудничает с ISACA, чтобы определить, что составляет соответствующие знания облачного аудита, и предоставить ресурсы аккредитации для профессионалов облачного аудита.
  • Анализируйте. Посмотрите, насколько хорошо процессы поставщика соответствуют элементам управления CSA и ISACA.
  • Скомпилируйте результаты. Объедините анализ с доказательствами из документации и интервью в рабочие документы, которые используются для подготовки окончательного отчета и рекомендаций.
  • Подготовить итоговый отчет. Отправьте его руководству организации, обычно во время официального брифинга по аудиту.
  • Действовать. Руководство устанавливает даты для ответов на рекомендуемые действия и назначает команду для ответа на отчет об аудите.

Инструменты облачного аудита
CSA предоставляет инструменты и рекомендации, необходимые аудиторам для проведения облачного аудита. В таблице ниже перечислены эти элементы и их наличие.

Инструмент Описание Ссылка
Матрица управления облаком (CCM) v4 Система контроля кибербезопасности для облачных вычислений в соответствии с передовой практикой CSA Анкета для СКК и инициативы по оценке консенсуса (CAIQ) v4 (загружаемый документ)
Анкета безопасности, доверия, уверенности и рисков (STAR) Инструмент контрольного списка, чтобы спросить поставщиков облачных услуг о мерах безопасности Анкета безопасности STAR уровня 1 (загружаемый документ)
Реестр STAR Список поставщиков облачных услуг в области безопасности и соответствия нормативным требованиям Список реестра STAR
Лучшие практики CSA Руководство по облачной безопасности, производительности и аудиту Руководство CSA по безопасности (загружаемый документ)
Сопоставление с другими стандартами Сопоставление CCM v4 с другими отраслевыми стандартами, такими как серия 27000 Международной организации по стандартизации и Стандарт безопасности данных индустрии платежных карт Включено в CCM и CAIQ v4
Матрица применимости средств управления Помощь аудиторам в выборе наиболее подходящих средств контроля для конкретного поставщика Включено в CCM и CAIQ v4
Показатели CCM Сборник показателей безопасности для облаков для поддержки управления, управления рисками и соблюдения нормативных требований Включено в CCM и CAIQ v4
Рекомендации по внедрению CCM v4 Рекомендации по использованию стандартов аудита CCM v4 Входит в CCM и CAIQ
Каталог показателей непрерывного аудита Руководство по планированию и осуществлению непрерывного аудита облачных вычислений Метрики непрерывного аудита (загружаемый документ)
Рекомендации по аудиту CCM v4 Руководство по планированию, организации и проведению аудита облачных вычислений с использованием CCM v4 Доступно Q4 2021 г.

Профессиональные данные об облачном аудите
CSA и ISACA совместно предлагают следующие учетные данные облачного аудита:

Сертификат знаний об облачной безопасности - это совокупность знаний в областях облачных технологий, включая облачную обработку и безопасность. Это первый шаг в подготовке к сопутствующей сертификации в области облачного аудита.
Сертификат знаний облачного аудита обучает кандидатов тому, как проводить аудит облачных платформ и безопасности.
Оба сертификата дополняют учетные данные ISACA. Они предоставляют свидетельство знания аудитором облачной инфраструктуры и систем, безопасности и уязвимостей, а также показывают, что аудитор знает, как проводить облачный аудит.