Выберите регион

Адыгея республика Алтай республика Алтайский край Амурская область Архангельская область Астраханская область Башкортостан республика Белгородская область Брянская область Бурятия республика Волгоградская область Вологодская область Воронежская область Дагестан республика Еврейская автономная область Забайкальский край Ивановская область Ингушетия республика Иркутская область Кабардино-Балкарская республика Калининградская область Калмыкия республика Калужская область Камчатский край Карачаево-Черкесская республика Карелия республика Кемеровская область /Кузбас/ Кировская область Коми республика Костромская область Краснодарский край Красноярский край Крым республика Курская область Ленинградская область Липецкая область Марий Эл республика Мордовия республика Москва Московская область Мурманская область Ненецкий автономный округ Нижегородская область Новгородская область Новосибирская область Омская область Оренбургская область Орловская область Пензенская область Пермский край Приморский край Псковская область Ростовская область Рязанская область Самарская область Санкт-Петербург Саратовская область Саха (Якутия) республика Сахалинская область Свердловская область Севастополь Северная Осетия - Алания республика Смоленская область Ставропольский край Тамбовская область Татарстан республика Тверская область Томская область Тульская область Тыва республика Тюменская область Удмуртская республика Ульяновская область Хабаровский край Хакасия республика Ханты-Мансийский автономный округ - Югра Челябинская область Чеченская республика Чувашская республика Ямало-Ненецкий автономный округ Ярославская область

Фраза дня: аудит облака

Что такое облачный аудит?
Облачный аудит - это периодическая проверка, которую организация проводит для оценки и документирования работы поставщика облачных услуг. Цель такого аудита - увидеть, насколько хорошо поставщик облачных услуг соблюдает набор установленных элементов управления и передовых методов.

Cloud Security Alliance (CSA) предоставляет аудиторские документы, руководства и средства контроля, которые ИТ-организация может использовать для проверки своих поставщиков облачных услуг. Сторонние аудиторы также могут использовать материалы аудита CSA. Ресурсы CSA считаются основными инструментами аудита для выполнения и оптимизации комплексного облачного аудита.

Термин CloudAudit относится к спецификации, разработанной CSA в 2019 году для представления информации о том, как поставщик облачных услуг обращается к структурам управления. Цель CloudAudit состояла в том, чтобы предоставить поставщикам облачных услуг способ сделать их данные о производительности и безопасности доступными для потенциальных клиентов.

Как провести облачный аудит?
Аудит облачной среды аналогичен ИТ-аудиту. Оба исследуют различные операционные, административные средства контроля, управления безопасностью и производительностью. Средства контроля облачного аудита аналогичны средствам контроля ИТ-аудита, но с упором на нюансы облачных сред.

Поставщики облачных услуг предлагают несколько ресурсов по запросу в виде услуги, таких как программное обеспечение как услуга и платформа как услуга. Аудиты помогают гарантировать, что эти предложения поставляются с должным вниманием к конкретным элементам управления, особенно связанным с политиками безопасности и управлением рисками. Аудиты служб облачных вычислений ищут доказательства того, что поставщик облачных услуг использует передовые методы, соблюдает соответствующие стандарты и соответствует определенным критериям при предоставлении своих услуг.

При выполнении облачного аудита выполните следующие основные шаги:

  • Соберите доказательства. Соберите соответствующие документы и другие доказательства, например скриншоты.
  • Интервью. Спросите у персонала поставщика облачных услуг, как поставщик работает и предоставляет свои услуги. В CSA есть вопросы и контрольные списки для облачного аудита, которые могут быть полезны как внешним, так и внутренним аудиторам. CSA сотрудничает с ISACA, чтобы определить, что составляет соответствующие знания облачного аудита, и предоставить ресурсы аккредитации для профессионалов облачного аудита.
  • Анализируйте. Посмотрите, насколько хорошо процессы поставщика соответствуют элементам управления CSA и ISACA.
  • Скомпилируйте результаты. Объедините анализ с доказательствами из документации и интервью в рабочие документы, которые используются для подготовки окончательного отчета и рекомендаций.
  • Подготовить итоговый отчет. Отправьте его руководству организации, обычно во время официального брифинга по аудиту.
  • Действовать. Руководство устанавливает даты для ответов на рекомендуемые действия и назначает команду для ответа на отчет об аудите.

Инструменты облачного аудита
CSA предоставляет инструменты и рекомендации, необходимые аудиторам для проведения облачного аудита. В таблице ниже перечислены эти элементы и их наличие.

Инструмент Описание Ссылка
Матрица управления облаком (CCM) v4 Система контроля кибербезопасности для облачных вычислений в соответствии с передовой практикой CSA Анкета для СКК и инициативы по оценке консенсуса (CAIQ) v4 (загружаемый документ)
Анкета безопасности, доверия, уверенности и рисков (STAR) Инструмент контрольного списка, чтобы спросить поставщиков облачных услуг о мерах безопасности Анкета безопасности STAR уровня 1 (загружаемый документ)
Реестр STAR Список поставщиков облачных услуг в области безопасности и соответствия нормативным требованиям Список реестра STAR
Лучшие практики CSA Руководство по облачной безопасности, производительности и аудиту Руководство CSA по безопасности (загружаемый документ)
Сопоставление с другими стандартами Сопоставление CCM v4 с другими отраслевыми стандартами, такими как серия 27000 Международной организации по стандартизации и Стандарт безопасности данных индустрии платежных карт Включено в CCM и CAIQ v4
Матрица применимости средств управления Помощь аудиторам в выборе наиболее подходящих средств контроля для конкретного поставщика Включено в CCM и CAIQ v4
Показатели CCM Сборник показателей безопасности для облаков для поддержки управления, управления рисками и соблюдения нормативных требований Включено в CCM и CAIQ v4
Рекомендации по внедрению CCM v4 Рекомендации по использованию стандартов аудита CCM v4 Входит в CCM и CAIQ
Каталог показателей непрерывного аудита Руководство по планированию и осуществлению непрерывного аудита облачных вычислений Метрики непрерывного аудита (загружаемый документ)
Рекомендации по аудиту CCM v4 Руководство по планированию, организации и проведению аудита облачных вычислений с использованием CCM v4 Доступно Q4 2021 г.

Профессиональные данные об облачном аудите
CSA и ISACA совместно предлагают следующие учетные данные облачного аудита:

Сертификат знаний об облачной безопасности - это совокупность знаний в областях облачных технологий, включая облачную обработку и безопасность. Это первый шаг в подготовке к сопутствующей сертификации в области облачного аудита.
Сертификат знаний облачного аудита обучает кандидатов тому, как проводить аудит облачных платформ и безопасности.
Оба сертификата дополняют учетные данные ISACA. Они предоставляют свидетельство знания аудитором облачной инфраструктуры и систем, безопасности и уязвимостей, а также показывают, что аудитор знает, как проводить облачный аудит.