Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5)

Genel Bakış

AWSC5Logo

Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5), Alman Hükümetinin "Bulut Sağlayıcıları İçin Güvenlik Önerileri" bağlamında kuruluşların sık görülen siber saldırılara karşı operasyonel güvenlik sağlamalarına yardımcı olmak amacıyla Bilgi Güvenliği Federal Ofisi (BSI) tarafından Almanya'da uygulanan, Alman Hükümeti destekli bir onaylama şemasıdır.

C5 onayı, AWS müşterileri ve bu müşterilerin uyumluluk danışmanları tarafından iş yüklerini buluta taşırken AWS'nin sunduğu BT Güvenlik teminatı hizmetlerinin kapsamını anlamak için kullanılabilir. C5, IT-Grundschutz yönetmeliğine eşdeğer olan BT Güvenlik düzeyini tanımlayan mevzuata buluta özgü denetimleri ekler.

C5, veri konumu, hizmet sağlama, yargı yeri, mevcut sertifika, bilgi ifşası yükümlülükleri ve tam hizmet açıklamasıyla ilgili bilgiler sağlayan ilave denetimler ekler. Müşteriler, bu bilgileri kullanarak yasal yönetmelikleri (ör. veri gizliliği), kendi ilkelerini veya bulut bilişim hizmetlerini kullanmalarıyla ilgili tehdit ortamını değerlendirebilir.

SaaS ve PaaS Uygulamalarınız İçin C5 Onayı

AWS müşterileri, AWS altyapısında çalışan bulut uygulamaları için C5 onayını alabilir. AWS, Kasım 2016 tarihi itibarıyla Almanya'da altyapı düzeyinde C5 onayı alan ilk Bulut Hizmeti Sağlayıcısı olmuştur. C5 raporuyla birlikte AWS, bir Hizmet olarak altyapı (IaaS) sağlayıcısı olarak C5 uyumluluğunu belgeleme temelini oluşturmuştur.

AWS müşterileri, veri merkezlerinin fiziksel güvenliğini veya bulutun altyapısını denetlemelerine gerek olmadan bulut uygulamaları için C5 uyumluluğunu elde edebilir. Ayrıca müşteriler, Hizmet olarak yazılım (SaaS) ve Hizmet olarak platform (PaaS) şeklinde dağıtılan uygulamalarını C5 onay entegrasyonunda onaylatabilir. Onların müşterileri de böylece tüm katmanlarda BSI'nın standart BT güvenliği düzeyini etkili bir şekilde uyguladıklarının kanıtını elde etmiş olur.

C5 Müşteri Görüşleri

BSI Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5), güvenli şekilde çalıştırılan bir Bulut Hizmetinin tüm yönlerini kapsar. Mevcut AWS müşterileri için, Güvenlik ve Uyumluluk Yöneticisiyle olan dahili tartışmalar büyük ölçüde kolaylaşır. Olası müşteriler için ise Kullanım Senaryolarını AWS'ye aktarmak çok daha kolay olacaktır. İki durumda da onayın, Hizmet Kullanımını büyük ölçüde artıracağına inanıyoruz.

Computacenter AG & Co oHG

BSI C5 onayı, Box Cloud'un Kurum İçeriği Yönetimi için güvenli bir bulut çözümü olduğunun kanıtıdır. Box şirketinin mevzuat uyumluluğuna olan bağlılığı ve bu alanda hem Almanya hem de Avrupa'da yaptığı yatırımlar, bu pazarlara ne kadar önem verdiğini gösteriyor. Box, diğerlerinin yanında Frankfurt bölgesinde de C5 uyumluluğu olan AWS altyapısını kullanmaktadır.

Box, Inc.

"Altyapıyı yönetmek için tasarlanmış bir şema olan AWS C5 onayı, veri merkezi, sunucu, ağ ve veriler açısından bizim ve müşterilerimiz için bilgi güvenliğinin önemli bir kanıtıdır. AWS'nin itibarlı güvenliği sayesinde, kendinden emin ellerde olduğumuzu bilerek enerjimizi ve dikkatimizi işimize verebiliriz."

e-Spirit AG

Aşağıdaki SSS kaynaklarının, SaaS ve PaaS uygulamalarınız için C5 onayı alma konusunda rehberlik etmesi amaçlanmıştır. C5 hakkında daha fazla bilgi ve "Bulut Bilişim Uyumluluğu Denetimler Kataloğu (C5) – Bulut hizmetlerinin bilgi güvenliğini değerlendirme ölçütleri" BSI web sitesinde bulunabilir.

  • Hangi AWS hizmetleri C5'in kapsamındadır?

    C5 kapsamına zaten girmiş olan AWS hizmetleri, Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri bağlantısında bulunabilir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız lütfen bize ulaşın.

  • C5 nedir?

    C5 (Bulut Bilişim Uyumluluğu Denetimler Kataloğu), Almanya'daki "bulut bilişim BT Güvenliği" standardıdır. Şubat 2016 tarihinde BSI tarafından tasarlanıp yayımlanan C5 denetim kümesi, Almanya'daki müşteriler kompleks ve yönetmeliklere tabi iş yüklerini AWS gibi Bulut Bilişim Hizmeti sağlayıcılarına taşırken ilave teminat sunar. C5, aşağıdaki uluslararası standartları kapsar:

    • ISO/IEC 27001:2013 (ISO – Uluslararası Standart Örgütü)
    • CSA Bulut Denetimleri Matrisi 3.01 (CSA – Bulut Güvenlik Birliği)
    • AICPA Trust Service Principles Criteria 2014 (AICPA – Amerika Sertifikalı Kamu Muhasebecileri Enstitüsü)
    • ANSSI Référentiel Güvenli Bulut 2.0 (Taslak) (ANSSI – Agence nationale de la sécurité des systèmes d'information)
    • IDW ERS FAIT 5 04.11.201 (muhasebeyle ilgili bildirimin taslağı: "Grundsätze ordnungsmäßiger Buchführung bei Auslagerung von rechnungslegungsrelevanten Dienstleistungen einschließlich Cloud Computing" ["Bulut bilişim dahil muhasebeyle ilgili hizmetlerde dış kaynak kullanımında genel kabul gören muhasebe ilkeleri"], 4 Kasım, 2014 Versiyonu)
    • BSI IT-Grundschutz Katalogları, 14. Versiyon 2014
    • BSI SaaS Sicherheitsprofile 2014 [BSI SaaS Güvenlik Profilleri 2014]
  • Bu yeni standardı kim oluşturmuştur?

    Almanya'nın ulusal siber güvenlik yetkilisi Bundesamt für Sicherheit in der Informationstechnik (BSI) C5 standardını oluşturmuştur. BSI, tüm hükümet sistemleri için BT güvenliği gereksinimlerini tanımlar ve birçok Alman şirketi, BT güvenliği stratejisini BSI standartlarına uyumlu hale getirir.

  • Neden yeni bir standart oluşturulmuştur?

    Yukarıda bahsedilen standartlardaki denetimler toplanıp özellikle Bulut Bilişim kapsamı için bir araya getirilmiştir. Paylaşılan Sorumluluk Modeli'nde CSP'nin ve müşterinin rollerinin daha iyi anlaşılmasını sağlayarak CSP'ye ve müşteriye avantaj sağlar.

  • BSI'nın IT-Grundschutz ve C5 standartları arasındaki fark nedir?

    IT-Grundschutz, bir kurumun bilgilerinin doğru şekilde korunmasını sağlamak ve sürdürmek ile ilgili bir standarttır. IT-Grundschutz Katalogları, tipik kurum işlemleri, BT sistemleri ve uygulamaları için koruma önlemlerini tanımlar, bir kurumun sahip olduğu bilgilerin korunmasıyla ilgilidir. C5, bulut hizmeti sağlayıcısının (CSP) sunduklarıyla ilgili rehberlik sağlar.

  • Sertifika ve onay arasındaki fark nedir?

    Sertifika, resmi onaylı özel bir şirket tarafından verilir ve genelde bir ile üç yıl devam eder. Onay ise nitelikli personel tarafından bir uyumluluk denetimi veya düzenlemesi sırasında verilir. Onay, devamlı uygulama olmasına daha çok odaklanır; yani, yeniden denetim çevrimi çok daha kısadır ve 6 aya kadar düşebilir. ISAE 3000 / 3402 standardına göre denetim süreci, geçmiş belli bir zaman aralığındaki uyumluluğun ve etkililiğin kanıtını sunar. Sertifika yalnızca zaman içinde anlık durum görüntüsüdür.

  • Bu standardın müşteriye sunduğu avantajlar nelerdir?

    Özellikle Almanya'da müşteriler, BSI'nın tanımladığı Alman IT-Grundschutz (BT temel güvenliği) sertifikalı olan hizmetler arar. IT-Grundschutz, kurum içindeki veya geleneksel dış kaynak kullanma ilişkileri için idealdir ancak Bulut Bilişime uygun değildir. C5, müşterilerine Bulut Bilişimin tüm BT Güvenliği yönlerini kapsayan IT-Grundschutz yönetmeliğine eşdeğer bir BT Güvenlik düzeyini belgeleyen rapor sunar. Yetkililer için C5 onayı, tedarik sürecinde temel bir gereksinimdir.

  • SaaS ve PaaS uygulamalarınız için C5 onayı almam için AWS bana nasıl destek olacak?

    C5, öncelikli olarak bulut hizmeti sağlayıcıları, denetçileri ve bulut hizmeti sağlayıcılarının müşterileri için oluşturulmuştur. Bulut sağlayıcılarının hangi gereksinimlere (denetimler olarak da geçer) uyması gerektiğini veya hangi minimum gereksinimleri sağlamaları gerektiğini belirtir. AWS müşterileri, kendilerinin SaaS/PaaS katmanlı uygulamalarının onayına odaklanmalarını sağlayan altyapı (IaaS) katmanı için C5 onayından avantaj sağlar.

    AWS, Kasım 2016'da Almanya'da altyapı düzeyinde C5 onayı alan ilk Bulut Hizmeti Sağlayıcısı olmuştur. C5 onayımız sayesinde denetçinizden bulut uygulamalarınız için C5 onayı alabilmenizin temelini oluşturduk. Bu, AWS müşterilerine, kendi denetimleri kapsamında veri merkezlerinin fiziksel güvenliğini sağlama veya bulutun altyapı kısmını yönetmelerine kendi C5 onaylarını alma fırsatı sağlıyor. Hizmet olarak yazılım (SaaS) ve Hizmet olarak platform (PaaS) şeklinde dağıtılan uygulamalar da C5 onay entegrasyonunda onaylatılabilir. Müşterileriniz de böylece tüm katmanlarda BSI'nın standart BT güvenliği düzeyini etkili bir şekilde uyguladığınızın kanıtını elde etmiş olur.

  • Nasıl C5 onayı alırım?

    Uyumluluk denetimleri kataloğu, genel bir denetçinin uluslararası boyutta tanınan bir prosedüre göre incelenen bulut hizmetleri için onay yayınlamasının ayrıntılarını belirtir. Bu onayın temel dayanağı, denetçinin gereksinimlerin karşılanıp karşılanmadığını ve etkili bir şekilde uygulanıp uygulanmadığını belirttiği denetim raporudur.

    C5 denetiminin hazırlanması ve yürütülmesiyle ilgili sorular için lütfen denetçinizle iletişime geçin.

  • Bir denetçi seçerken hangi ölçütlere dikkat etmem gerekir?

    Yıllık denetim, genellikle genel bir denetçi yerine bir ekip tarafından gerçekleştirilir. Bu ekipte BT uzmanları da yer alır. Ekip üyeleri, uyumluluk denetimleri kataloğuna göre onay vermek için nitelikli olduklarını doğrulamalıdır (bkz. Bölüm 3.5.1). ISACA (CISA, CISM, CRISC), CSA (CCSK) veya ISO 27001 ve IT-Grundschutz denetçileri tarafından sağlanan sertifikalar örnek olarak verilebilir. Bu niteliklerin, onayda belirtilmesi ve doğrulanması gerekir.

  • C5 onayı almak için yapılan denetleme süreci ne kadar sürüyor?

    Denetim sürecinin uzunluğu, şirketinizdeki mevcut sertifikalara bağlıdır. ISO 27001 gibi bir sertifika, denetim sürecini kısaltır. ISO IEC 27001 standardı gereksinimlerinin hepsi, uyumluluk denetimleri kataloğunda da belirtildiği için, onayı bir sertifikayla birlikte almanız önerilir.

  • Bu standardın uluslararası bir etkisi var mı?

    BSI, bu çalışmayı ANSSI ve yürürlüğe girecek olan Güvenli Bulut Etiketi ile uyumlu hale getirmiştir. C5 standardı, ESCloud adı verilen yaygın kullanılan etiket altında karşılıklı tanınma seçeneğine sahip olmak için açık bir hedefe sahip olan, Fransa'daki Güvenli Bulut standardını etkiledi ve ondan etkilendi.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »