Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5)

Genel Bakış

Bulut Bilgi İşlem Uygunluk Denetimleri Kataloğu (C5), Federal Bilgi Güvenliği Ofisi (BSI) tarafından Almanya'da tanıtılan Alman Devleti destekli bir onaylama planıdır. C5, kuruluşlara Alman Hükûmeti’nin "Bulut Sağlayıcıları için Güvenlik Önerileri" bağlamında bulut hizmetlerini kullanırken yaygın siber saldırılara karşı operasyonel güvenlik göstermeleri için yardımcı olur.

C5 onayı, iş yüklerini buluta taşırken C5 gereksinimlerini karşılamak üzere AWS tarafından uygulanan güvenlik denetimlerini anlamak için AWS müşterileri ve bu müşterilerin uyumluluk danışmanları tarafından kullanılabilir. C5, IT-Grundschutz yönetmeliğine eş değer olan düzenleme tanımlı BT Güvenlik düzeyini buluta özgü denetimlerle ekler.

C5 veri konumu, hizmet sağlama, yargı yeri, mevcut sertifikalar, bilgi ifşası yükümlülükleri ve tam hizmet açıklamasıyla ilgili ek denetim gereksinimlerini kapsar. Müşteriler, bu bilgileri kullanarak yasal yönetmeliklerin (diğer deyişle, veri gizliliğinin), kendi ilkelerinin veya tehdit ortamının bulut bilişim hizmetleri kullanımlarıyla ilişkisinin ne olduğunu değerlendirebilirler.

• C5 nedir?

  C5 (Bulut Bilişim Uyumluluğu Denetimler Kataloğu), Almanya'daki "bulut bilişim BT Güvenliği" standardıdır. Şubat 2016 tarihinde BSI tarafından tasarlanıp yayımlanan C5 denetim kümesi, Almanya'daki müşteriler kompleks ve yönetmeliklere tabi iş yüklerini AWS gibi Bulut Bilişim Hizmeti sağlayıcılarına taşırken ilave teminat sunar. C5, aşağıdaki uluslararası standartları kapsar:

  • ISO/IEC 27001:2017 (ISO – Uluslararası Standart Örgütü)
  • CSA Bulut Denetimleri Matrisi 3.01 (CSA – Bulut Güvenlik Birliği)
  • AICPA Trust Service Principles Criteria 2017 (AICPA – Amerika Sertifikalı Kamu Muhasebecileri Enstitüsü)
  • Güvenli Bulut Verisi Koruma Profili (TCDP)  – Sürüm 1
  • ISO/IEC 27017:2015
  • ISO/IEC 27-18:2014
  • BSI IT-Grundschutz Kompendium – Sürüm 2019
    

• C5 standardını kim oluşturdu?

  Almanya'nın ulusal siber güvenlik yetkilisi Bundesamt für Sicherheit in der Informationstechnik (BSI), 2016'da C5 standardını geliştirmiştir. BSI, tüm hükûmet sistemleri için BT Güvenliği gereksinimlerini tanımlar ve çoğu Alman şirketi, BT Güvenliği stratejisini BSI standartlarına uyumlu hâle getirir. BSI, 2019'da C5 kataloğu üzerinde yeniden çalıştı ve bu kataloğu güncelledi. Ocak 2020'de yeni bir versiyon (C5:2020) son hâline getirildi. 

• Bu standardın müşteriye sunduğu avantajlar nelerdir?

  C5 raporu, Avrupalı müşterilerimize C5 temel ve ek ölçütlerini karşılamak üzere tasarımın uygunluğuna ve denetimlerimizin operasyonel etkinliğine yönelik bağımsız bir üçüncü taraf onayı sunar. Özellikle Almanya'da müşteriler, C5 ölçütlerine karşı değerlendirilen bulut hizmetleri aramaya alışkındır. C5, müşterilere Bulut Bilişimin tüm BT Güvenliği yönlerini kapsayan IT-Grundschutz yönetmeliğine eş değer bir BT Güvenlik düzeyini belgeleyen çerçeve sunar. Federal yetkililer için C5 onayı, tedarik sürecinde temel bir gereksinimdir.

  AWS'de C5 hakkındaki güncel bilgiler, ilgili AWS Güvenlik Blogu C5 gönderilerinden incelenebilir.
  

• Hangi AWS Bölgeleri C5 kapsamındadır?

  C5 kapsamındaki AWS Bölgelerine Almanya, İrlanda, İngiltere, Fransa, Singapur, İsveç, İtalya, İspanya ve İsviçre'deki uç konumlarının yanı sıra Frankfurt, İrlanda, Londra, Paris, Milano, Stockholm, Singapur, Zürih ve İspanya dahildir.

• Hangi hizmetler kapsam dâhilindedir?

  C5 kapsamına zaten girmiş olan AWS hizmetleri, Uygunluk Programı Kapsamındaki AWS Hizmetleri bağlantısında bulunabilir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız lütfen bize ulaşın.
  

• C5 ile IT-Grundschutz standartları arasındaki fark nedir?

  IT-Grundschutz, bir kurumun bilgilerinin doğru şekilde korunmasını sağlamaya ve sürdürmeye yönelik bir standarttır. IT-Grundschutz Katalogları tipik kurum işlemleri, BT sistemleri ve uygulamalar için korumaları tanımlar ve bir kurumun kendi bilgilerin korunmasıyla ilgilenir. C5, bulut hizmeti sağlayıcısının (CSP) sunduklarıyla ilgili rehberlik sağlar.

• Bu standardın uluslararası bir etkisi var mı?

  BSI, bu çalışmayı ANSSI ve yürürlüğe girecek olan SecNumCloud Etiketi ile uyumlu hâle getirmiştir. C5 standardı, ESCloud adı verilen yaygın bir etiket altında karşılıklı tanıma seçeneğine sahip olmaya yönelik açık hedefle Fransa'daki SecNumCloud standardından etkilenmiş ve karşılığında bu standardı etkilemiştir. Ayrıca Avrupa Ağ ve Bilgi Güvenliği Ajansı'nın (ENISA) Bulut Hizmetleri için Avrupa Birliği Siber Güvenlik Sertifika Şeması'nın (EUCS) taslak versiyonu da büyük ölçüde C5'in güvenlik standardından çekilir.
  

• Sertifika ve onay arasındaki fark nedir?

  Sertifika, resmi onaylı özel bir şirket tarafından verilir ve genelde bir ila üç yıl devam eder. Onay ise nitelikli personel tarafından bir uyumluluk denetimi veya bir muhasebe denetimi sırasında alınabilir. Onay, devamlı uygulama olmasına daha çok odaklanır; diğer deyişle, yeniden denetim döngüsü çok daha kısadır ve 6 aya kadar düşebilir. ISAE 3000 / 3402 standardına göre denetim süreci, geçmiş bir zaman aralığındaki uygunluğun ve etkililiğin kanıtını sunar. Sertifika yalnızca zaman içinde anlık durum görüntüsüdür.