Ana İçeriğe Atla

AWS Bulut Güvenliği

Bulut Bilgi İşlem Uygunluk Kriterleri Kataloğu

(C5)

Genel Bakış

Bulut Bilgi İşlem Uygunluk Kriterleri Kataloğu (C5), Almanya'da Federal Bilgi Güvenliği Ofisi (BSI) tarafından uygulamaya konulan, Alman Hükümeti destekli bir onay programıdır. C5, Alman Hükümeti'nin "Bulut Sağlayıcıları İçin Güvenlik Önerileri" kapsamında kuruluşlara bulut hizmetlerini kullanırken yaygın siber saldırılara karşı operasyonel güvenlik sağlamalarında yardımcı olur.

AWS müşterileri ve bu müşterilerin uygunluk danışmanları, iş yüklerini buluta taşırken C5 gereksinimlerini karşılamak üzere AWS tarafından uygulanan güvenlik denetimlerini anlamak için C5 onayını kullanabilir. C5, IT-Grundschutz yönetmeliğine eş değer olan BT Güvenlik düzeyini tanımlayan mevzuata buluta özgü denetimleri ekler.

C5; veri konumu, hizmet sağlama, yargı yeri, mevcut sertifikalar, bilgi ifşası yükümlülükleri ve tam hizmet tanımıyla ilgili ek denetim gereksinimlerini kapsar. Müşteriler, bu bilgileri kullanarak yasal yönetmelikleri (ör. veri gizliliği), kendi ilkelerini veya bulut bilişim hizmetlerini kullanmalarıyla ilgili tehdit ortamını değerlendirebilir.

Missing alt text value

Sayfa konuları

C5 raporu, Avrupalı müşterilerimize C5 temel ve ek ölçütlerini karşılamak üzere tasarımın uygunluğuna ve denetimlerimizin operasyonel etkinliğine yönelik bağımsız bir üçüncü taraf onayı sunar. Özellikle Almanya'da müşteriler, C5 ölçütlerine karşı değerlendirilen bulut hizmetleri aramaya alışkındır. C5, müşterilere Bulut Bilgi İşleminin tüm BT Güvenliği yönlerini kapsayan IT-Grundschutz yönetmeliğine eş değer bir BT Güvenlik düzeyini belgeleyen çerçeve sunar. Federal yetkililer için C5 onayı, tedarik sürecinde temel bir gereksinimdir.

AWS'de C5 hakkındaki güncel bilgiler, ilgili AWS Güvenlik Blogu C5 gönderilerinden incelenebilir.

AWS C5 Raporu, AWS mevzuat uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulur. AWS Yönetim Konsolu’ndan AWS Artifact hizmetinde oturum açın veya AWS Artifact'i Kullanmaya Başlama bölümünden daha fazla bilgi edinin.

BSI, bu çalışmayı ANSSI ve yürürlüğe girecek olan SecNumCloud Etiketi ile uyumlu hâle getirmiştir. C5 standardı, ESCloud adı verilen yaygın bir etiket altında karşılıklı tanıma seçeneğine sahip olmaya yönelik açık hedefle Fransa'daki SecNumCloud standardından etkilenmiş ve karşılığında bu standardı etkilemiştir. Ayrıca Avrupa Ağ ve Bilgi Güvenliği Ajansı'nın (ENISA) Bulut Hizmetleri için Avrupa Birliği Siber Güvenlik Sertifika Şeması'nın (EUCS) taslak versiyonu da büyük ölçüde C5'in güvenlik standardından çekilir.

C5 kapsamına zaten girmiş olan AWS hizmetleri, Uygunluk Programı Kapsamındaki AWS Hizmetleri bağlantısında bulunabilir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız lütfen bize ulaşın.

C5 kapsamındaki AWS Bölgelerine Almanya, İrlanda, İngiltere, Fransa, Singapur, İsveç, İtalya, İspanya ve İsviçre'deki uç konumlarının yanı sıra Frankfurt, İrlanda, Londra, Paris, Milano, Stockholm, Singapur, Zürih ve İspanya dahildir.

Sertifika, resmi onaylı özel bir şirket tarafından verilir ve genelde bir ila üç yıl devam eder. Onay ise nitelikli personel tarafından bir uyumluluk denetimi veya bir muhasebe denetimi sırasında alınabilir. Onay, devamlı uygulama olmasına daha çok odaklanır; diğer deyişle, yeniden denetim döngüsü çok daha kısadır ve 6 aya kadar düşebilir. ISAE 3000 / 3402 standardına göre denetim süreci, geçmiş bir zaman aralığındaki uygunluğun ve etkililiğin kanıtını sunar. Sertifika yalnızca zaman içinde anlık durum görüntüsüdür.

IT-Grundschutz, bir kurumun bilgilerinin doğru şekilde korunmasını sağlamaya ve sürdürmeye yönelik bir standarttır. IT-Grundschutz Katalogları tipik kurum işlemleri, BT sistemleri ve uygulamalar için korumaları tanımlar ve bir kurumun kendi bilgilerin korunmasıyla ilgilenir. C5, bulut hizmeti sağlayıcısının (CSP) sunduklarıyla ilgili rehberlik sağlar.

C5 (Bulut Bilgi İşlem Uyumluluk Kriterleri Kataloğu), Almanya'daki "bulut bilgi işlem BT Güvenliği" standardıdır. Şubat 2016 tarihinde BSI tarafından tasarlanıp yayımlanan C5 denetim kümesi, Almanya'daki müşteriler kompleks ve yönetmeliklere tabi iş yüklerini AWS gibi Bulut Bilgi İşlem Hizmeti sağlayıcılarına taşırken ilave teminat sunar.

Mevcut C5 2020'de piyasaya sürüldü ve aşağıdaki standartlardan ve yayınlardan gelen gereksinimleri içerir:

  • ISO/IEC 27001:2013 – Bilgi güvenliği yönetim sistemleri - Gereksinimler
  • ISO/IEC 27002:2016 – BT güvenlik prosedürleri - Bilgi güvenliği önlemleri için yönergeler
  • ISO/IEC 27017:2015 – Güvenlik teknikleri - Bulut hizmetleri için ISO/IEC 27002'ye dayalı bilgi güvenliği kontrolleri için uygulama kuralları
  • BSI – IT-Grundschutz Kompendium – 2. Sürüm 2019
  • CSA – Bulut Denetimleri Matrisi 3.0.1 (CSA – Bulut Güvenlik Birliği)
  • AICPA Trust Service Principles Criteria 2017 (AICPA – Amerika Sertifikalı Kamu Muhasebecileri Enstitüsü)
  • ANSSI (Agence nationale de la securité des systèmes d'information, Fransa Ulusal Siber Güvenlik Ajansı) - Bulut bilgi işlem hizmetleri sağlayıcıları v. 3.1 (SecNumCloud)
  • IDW (Institut der Wirtschaftsprüfer, Alman Serbest Muhasebeciler Enstitüsü) RS FAIT 5 - Finansal Raporlama Bildirimi: "Bulut Bilgi İşlem de dahil olmak üzere Finansal Raporlamayla İlgili Hizmetlerin Dış Kaynak Kullanımı için Düzenli Muhasebe İlkeleri", 4 Kasım 2015 itibarıyla

Almanya'nın ulusal siber güvenlik yetkilisi Bundesamt für Sicherheit in der Informationstechnik (BSI), 2016'da C5 standardını geliştirmiştir. BSI, tüm hükûmet sistemleri için BT Güvenliği gereksinimlerini tanımlar ve çoğu Alman şirketi, BT Güvenliği stratejisini BSI standartlarına uyumlu hâle getirir. BSI, 2019'da C5 kataloğu üzerinde yeniden çalıştı ve bu kataloğu güncelledi. Ocak 2020'de yeni bir versiyon (C5:2020) son hâline getirildi.