Фраза дня: аудит облака
Что такое облачный аудит?
Облачный аудит - это периодическая проверка, которую организация проводит для оценки и документирования работы поставщика облачных услуг. Цель такого аудита - увидеть, насколько хорошо поставщик облачных услуг соблюдает набор установленных элементов управления и передовых методов.
Cloud Security Alliance (CSA) предоставляет аудиторские документы, руководства и средства контроля, которые ИТ-организация может использовать для проверки своих поставщиков облачных услуг. Сторонние аудиторы также могут использовать материалы аудита CSA. Ресурсы CSA считаются основными инструментами аудита для выполнения и оптимизации комплексного облачного аудита.
Термин CloudAudit относится к спецификации, разработанной CSA в 2019 году для представления информации о том, как поставщик облачных услуг обращается к структурам управления. Цель CloudAudit состояла в том, чтобы предоставить поставщикам облачных услуг способ сделать их данные о производительности и безопасности доступными для потенциальных клиентов.
Как провести облачный аудит?
Аудит облачной среды аналогичен ИТ-аудиту. Оба исследуют различные операционные, административные средства контроля, управления безопасностью и производительностью. Средства контроля облачного аудита аналогичны средствам контроля ИТ-аудита, но с упором на нюансы облачных сред.
Поставщики облачных услуг предлагают несколько ресурсов по запросу в виде услуги, таких как программное обеспечение как услуга и платформа как услуга. Аудиты помогают гарантировать, что эти предложения поставляются с должным вниманием к конкретным элементам управления, особенно связанным с политиками безопасности и управлением рисками. Аудиты служб облачных вычислений ищут доказательства того, что поставщик облачных услуг использует передовые методы, соблюдает соответствующие стандарты и соответствует определенным критериям при предоставлении своих услуг.
При выполнении облачного аудита выполните следующие основные шаги:
- Соберите доказательства. Соберите соответствующие документы и другие доказательства, например скриншоты.
- Интервью. Спросите у персонала поставщика облачных услуг, как поставщик работает и предоставляет свои услуги. В CSA есть вопросы и контрольные списки для облачного аудита, которые могут быть полезны как внешним, так и внутренним аудиторам. CSA сотрудничает с ISACA, чтобы определить, что составляет соответствующие знания облачного аудита, и предоставить ресурсы аккредитации для профессионалов облачного аудита.
- Анализируйте. Посмотрите, насколько хорошо процессы поставщика соответствуют элементам управления CSA и ISACA.
- Скомпилируйте результаты. Объедините анализ с доказательствами из документации и интервью в рабочие документы, которые используются для подготовки окончательного отчета и рекомендаций.
- Подготовить итоговый отчет. Отправьте его руководству организации, обычно во время официального брифинга по аудиту.
- Действовать. Руководство устанавливает даты для ответов на рекомендуемые действия и назначает команду для ответа на отчет об аудите.
Инструменты облачного аудита
CSA предоставляет инструменты и рекомендации, необходимые аудиторам для проведения облачного аудита. В таблице ниже перечислены эти элементы и их наличие.
| Инструмент | Описание | Ссылка |
|---|---|---|
| Матрица управления облаком (CCM) v4 | Система контроля кибербезопасности для облачных вычислений в соответствии с передовой практикой CSA | Анкета для СКК и инициативы по оценке консенсуса (CAIQ) v4 (загружаемый документ) |
| Анкета безопасности, доверия, уверенности и рисков (STAR) | Инструмент контрольного списка, чтобы спросить поставщиков облачных услуг о мерах безопасности | Анкета безопасности STAR уровня 1 (загружаемый документ) |
| Реестр STAR | Список поставщиков облачных услуг в области безопасности и соответствия нормативным требованиям | Список реестра STAR |
| Лучшие практики CSA | Руководство по облачной безопасности, производительности и аудиту | Руководство CSA по безопасности (загружаемый документ) |
| Сопоставление с другими стандартами | Сопоставление CCM v4 с другими отраслевыми стандартами, такими как серия 27000 Международной организации по стандартизации и Стандарт безопасности данных индустрии платежных карт | Включено в CCM и CAIQ v4 |
| Матрица применимости средств управления | Помощь аудиторам в выборе наиболее подходящих средств контроля для конкретного поставщика | Включено в CCM и CAIQ v4 |
| Показатели CCM | Сборник показателей безопасности для облаков для поддержки управления, управления рисками и соблюдения нормативных требований | Включено в CCM и CAIQ v4 |
| Рекомендации по внедрению CCM v4 | Рекомендации по использованию стандартов аудита CCM v4 | Входит в CCM и CAIQ |
| Каталог показателей непрерывного аудита | Руководство по планированию и осуществлению непрерывного аудита облачных вычислений | Метрики непрерывного аудита (загружаемый документ) |
| Рекомендации по аудиту CCM v4 | Руководство по планированию, организации и проведению аудита облачных вычислений с использованием CCM v4 | Доступно Q4 2021 г. |
Профессиональные данные об облачном аудите
CSA и ISACA совместно предлагают следующие учетные данные облачного аудита:
Сертификат знаний об облачной безопасности - это совокупность знаний в областях облачных технологий, включая облачную обработку и безопасность. Это первый шаг в подготовке к сопутствующей сертификации в области облачного аудита.
Сертификат знаний облачного аудита обучает кандидатов тому, как проводить аудит облачных платформ и безопасности.
Оба сертификата дополняют учетные данные ISACA. Они предоставляют свидетельство знания аудитором облачной инфраструктуры и систем, безопасности и уязвимостей, а также показывают, что аудитор знает, как проводить облачный аудит.
Вход через Google-аккаунт