Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5)

Genel Bakış

AWSC5Logo

Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5), Alman Hükûmetinin "Bulut Sağlayıcıları için Güvenlik Önerileri" bağlamında bulut hizmetlerini kullanırken kuruluşların sık görülen siber saldırılara karşı operasyonel güvenlik sağlamalarına yardımcı olmak amacıyla Bilgi Güvenliği Federal Ofisi (BSI) tarafından Almanya'da kullanıma sunulan, Alman Hükûmeti destekli bir onay şemasıdır.

C5 onayı, iş yüklerini buluta taşırken C5 gereksinimlerini karşılamak üzere AWS tarafından uygulanan güvenlik denetimlerini anlamak için AWS müşterileri ve bu müşterilerin uyumluluk danışmanları tarafından kullanılabilir. C5, IT-Grundschutz yönetmeliğine eş değer olan düzenleme tanımlı BT Güvenlik düzeyini buluta özgü denetimlerle ekler.

C5 veri konumu, hizmet sağlama, yargı yeri, mevcut sertifikalar, bilgi ifşası yükümlülükleri ve tam hizmet açıklamasıyla ilgili ek denetim gereksinimlerini kapsar. Müşteriler, bu bilgileri kullanarak yasal yönetmeliklerin (diğer deyişle, veri gizliliğinin), kendi ilkelerinin veya tehdit ortamının bulut bilişim hizmetleri kullanımlarıyla ilişkisinin ne olduğunu değerlendirebilirler.

  • C5 nedir?

    C5 (Bulut Bilişim Uyumluluğu Denetimler Kataloğu), Almanya'daki "bulut bilişim BT Güvenliği" standardıdır. Şubat 2016 tarihinde BSI tarafından tasarlanıp yayımlanan C5 denetim kümesi, Almanya'daki müşteriler kompleks ve yönetmeliklere tabi iş yüklerini AWS gibi Bulut Bilişim Hizmeti sağlayıcılarına taşırken ilave teminat sunar. C5, aşağıdaki uluslararası standartları kapsar:

    • ISO/IEC 27001:2013 (ISO – Uluslararası Standart Örgütü)
    • CSA Bulut Denetimleri Matrisi 3.01 (CSA – Bulut Güvenlik Birliği)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – Amerika Sertifikalı Kamu Muhasebecileri Enstitüsü)
    • ANSSI Référentiel Güvenli Bulut 2.0 (Taslak) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (muhasebeyle ilgili bildirimin taslağı: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Bulut bilişim dahil muhasebeyle ilgili hizmetlerde dış kaynak kullanımında genel kabul gören muhasebe ilkeleri"], 4 Kasım, 2014 Versiyonu)
    • BSI IT-Grundschutz Katalogları, 14. Versiyon 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Güvenlik Profilleri 2014]
  • Bu standardın müşteriye sunduğu avantajlar nelerdir?

    AWS, C5 bilgi güvenliği ve uygunluk programına karşı 2020 değerlendirmesini tamamlamıştır ve C5 raporu AWS Artifact'ten indirilebilir. AWS'nin 2021 C5 onay raporu, 2021'in sonlarında kullanıma sunulacaktır. 

    C5 raporu, Avrupalı müşterilerimize C5 temel ve ek ölçütlerini karşılamak üzere tasarımın uygunluğuna ve denetimlerimizin operasyonel etkinliğine yönelik bağımsız bir üçüncü taraf onayı sunar. Özellikle Almanya'da müşteriler, C5 ölçütlerine karşı değerlendirilen bulut hizmetleri aramaya alışkındır. C5, müşterilere Bulut Bilişimin tüm BT Güvenliği yönlerini kapsayan IT-Grundschutz yönetmeliğine eş değer bir BT Güvenlik düzeyini belgeleyen çerçeve sunar. Federal yetkililer için C5 onayı, tedarik sürecinde temel bir gereksinimdir.

  • Hangi AWS Bölgeleri C5 kapsamındadır?

    C5 kapsamındaki AWS bölgelerine, Almanya, İrlanda, İngiltere, Fransa ve Singapur'daki Uç konumlarının yanı sıra Frankfurt, İrlanda, Londra, Paris, Milano, Stockholm ve Singapur dâhildir.

  • Hangi hizmetler kapsam dâhilindedir?

    C5 kapsamına zaten girmiş olan AWS hizmetleri, Uygunluk Programı Kapsamındaki AWS Hizmetleri bağlantısında bulunabilir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız lütfen bize ulaşın.

  • C5 standardını kim oluşturdu?

    Almanya'nın ulusal siber güvenlik yetkilisi Bundesamt für Sicherheit in der Informationstechnik (BSI) 2016'da C5 standardını geliştirmiştir. BSI, 2019'da C5 kataloğu üzerinde yeniden çalıştı ve bu kataloğu güncelledi. Ocak 2020'de yeni bir versiyon (C5:2020) son hâline getirildi. BSI, değerlendirme süreleri 15 Şubat 2021'de veya ondan sonra sona eren denetimler için C5:2020 uygulanmasını önemle önerir. BSI, tüm hükûmet sistemleri için BT Güvenliği gereksinimlerini tanımlar ve çoğu Alman şirketi, BT Güvenliği stratejisini BSI standartlarına uyumlu hâle getirir.

  • BSI'nın C5 ve IT-Grundschutz standartları arasındaki fark nedir?

    IT-Grundschutz, bir kurumun bilgilerinin doğru şekilde korunmasını sağlamaya ve sürdürmeye yönelik bir standarttır. IT-Grundschutz Katalogları tipik kurum işlemleri, BT sistemleri ve uygulamalar için korumaları tanımlar ve bir kurumun kendi bilgilerin korunmasıyla ilgilenir. C5, bulut hizmeti sağlayıcısının (CSP) sunduklarıyla ilgili rehberlik sağlar.

  • SaaS ve PaaS uygulamalarım için C5 onayı almamda AWS bana nasıl destek olacak?

    C5, öncelikli olarak profesyonel bulut hizmeti sağlayıcıları, denetçileri ve bulut hizmeti sağlayıcılarının müşterileri için oluşturulmuştur. Bu standart, bulut sağlayıcılarının hangi gereksinimlere (denetimler olarak da adlandırılır) uymaları gerektiğini tanımlar.

    AWS, Kasım 2016'da Almanya'da altyapı düzeyinde C5 onayı alan ilk Bulut Hizmeti Sağlayıcısı olmuştur. Almanya'daki ve diğer Avrupa ülkelerindeki müşteriler, C5 çerçevesinin yerel güvenlik gereksinimlerini karşılamalarına yardımcı olması için AWS'nin onay raporunu kullanabilirler. AWS'nin C5 onayı, bu müşterilerin, denetçilerinden gelen bulut uygulamalarına yönelik kendi C5 onaylarını elde etmeleri için temel oluşturur. Özellikle müşteriler, bireysel denetimleri kapsamında veri merkezlerinin fiziksel güvenliğini sağlama veya bulutun altyapı kısmını yönetme ihtiyacı olmadan kendi C5 onaylarını alma fırsatına sahiptir. Hizmet olarak yazılım (SaaS) ve Hizmet olarak platform (PaaS) şeklinde dağıtılan uygulamalar da C5 çerçeve gereksinimlerine karşı değerlendirilebilir. AWS'nin desteği, müşterilerinize tüm katmanlarda BSI'nın standart BT güvenliği düzeyini etkili bir şekilde uygulamakta olduğunuzu göstermenize yardımcı olur.

  • Bu standardın uluslararası bir etkisi var mı?

    BSI, bu çalışmayı ANSSI ve yürürlüğe girecek olan SecNumCloud Etiketi ile uyumlu hâle getirmiştir. C5 standardı, ESCloud adı verilen yaygın bir etiket altında karşılıklı tanıma seçeneğine sahip olmaya yönelik açık hedefle Fransa'daki SecNumCloud standardından etkilenmiş ve karşılığında bu standardı etkilemiştir. Ayrıca Avrupa Ağ ve Bilgi Güvenliği Ajansı'nın (ENISA) Bulut Hizmetleri için Avrupa Birliği Siber Güvenlik Sertifika Şeması'nın (EUCS) taslak versiyonu da büyük ölçüde C5'in güvenlik standardından çekilir.

  • Sertifika ve onay arasındaki fark nedir?

    Sertifika, resmi onaylı özel bir şirket tarafından verilir ve genelde bir ila üç yıl devam eder. Onay ise nitelikli personel tarafından bir uyumluluk denetimi veya bir muhasebe denetimi sırasında alınabilir. Onay, devamlı uygulama olmasına daha çok odaklanır; diğer deyişle, yeniden denetim döngüsü çok daha kısadır ve 6 aya kadar düşebilir. ISAE 3000 / 3402 standardına göre denetim süreci, geçmiş bir zaman aralığındaki uygunluğun ve etkililiğin kanıtını sunar. Sertifika yalnızca zaman içinde anlık durum görüntüsüdür.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »