Danh mục Biện pháp kiểm soát tuân thủ điện toán đám mây (C5)

Tổng quan

Danh mục Biện pháp kiểm soát tuân thủ điện toán đám mây (C5) là một chương trình chứng thực được Chính phủ Đức hỗ trợ, do Cơ quan liên bang về Bảo mật thông tin (BSI) đưa ra ở Đức. C5 giúp các tổ chức chứng tỏ mức độ bảo mật vận hành trước những hình thức tấn công mạng phổ biến khi sử dụng các dịch vụ đám mây trong bối cảnh "Đề xuất về bảo mật cho các nhà cung cấp dịch vụ đám mây" của Chính phủ Đức.

Chứng thực C5 có thể được khách hàng AWS và cố vấn tuân thủ của họ sử dụng để hiểu rõ các biện pháp kiểm soát bảo mật mà AWS triển khai nhằm đáp ứng các yêu cầu C5 khi họ đưa khối lượng công việc của mình lên đám mây. C5 bổ sung thêm mức độ IT-Security theo quy định tương đương với IT-Grundschutz với việc bổ sung các biện pháp kiểm soát đám mây cụ thể.

C5 bao gồm thêm các yêu cầu kiểm soát liên quan tới vị trí dữ liệu, cung cấp dịch vụ, vị trí lãnh thổ pháp lý, chứng nhận hiện tại, nghĩa vụ tiết lộ thông tin và mô tả đầy đủ dịch vụ. Sử dụng thông tin này, khách hàng có thể đánh giá các quy định pháp lý (như quyền riêng tư về dữ liệu), các chính sách của họ, hoặc môi trường đe dọa có liên quan như thế nào tới việc họ sử dụng dịch vụ điện toán đám mây.

  • C5 (Danh mục Biện pháp kiểm soát tuân thủ điện toán đám mây) là một tiêu chuẩn “Bảo mật CNTT điện toán đám mây” ở Đức. Được thiết kế và ban hành bởi BSI vào tháng 02/2016, nhóm biện pháp kiểm soát trong C5 giúp khách hàng ở Đức an tâm hơn khi họ chuyển khối lượng công việc phức tạp và có điều chỉnh sang các nhà cung cấp Dịch vụ Điện toán đám mây như AWS. C5 áp dụng cho các tiêu chuẩn quốc tế sau:

    • ISO/IEC 27001:2017 (ISO - Tổ chức Chuẩn hóa Quốc tế)
    • Ma trận kiểm soát đám mây 3.01 của CSA (CSA - Liên minh Bảo mật Đám mây)
    • Tiêu chí nguyên tắc dịch vụ tin cậy AICPA 2017 (AICPA - Viện Kế toán viên Công Chứng Hoa Kỳ)
    • Bộ tiêu chuẩn bảo vệ dữ liệu đám mây (TCDP)  – Phiên bản 1
    • ISO/IEC 27017:2015
    • ISO/IEC 27-18:2014
    • BSI IT-Grundschutz Kompendium – Phiên bản 2019

  • Cơ quan quản lý an ninh mạng quốc gia của Đức, Bundesamt für Sicherheit in der Informationstechnik (BSI) là tổ chức phát triển tiêu chuẩn C5 năm 2016. BSI xác định yêu cầu về Bảo mật CNTT cho tất cả các hệ thống của chính phủ và hầu hết các công ty của Đức phải điều chỉnh chiến lược Bảo mật CNTT của mình theo tiêu chuẩn của BSI. BSI đã sửa đổi và cập nhật danh mục C5 vào năm 2019. Một phiên bản mới (C5:2020) đã hoàn tất và tháng 1 năm 2020. 

  • Báo cáo C5 cung cấp cho khách hàng châu Âu của chúng tôi chứng thực độc lập của bên thứ ba về tính phù hợp của thiết kế và hiệu quả hoạt động của các biện pháp kiểm soát của chúng tôi nhằm đáp ứng các tiêu chí cơ bản và bổ sung của C5. Cụ thể, những khách hàng ở Đức thường tìm kiếm các dịch vụ đám mây đã được đánh giá theo các tiêu chí của C5. C5 cung cấp cho khách hàng một khung ghi lại  cấp Bảo mật CNTT tương đương với IT-Grundschutz, áp dụng cho tất cả khía cạnh Bảo mật CNTT cho Điện toán đám mây. Đối với các cơ quan liên bang, chứng thực C5 là một yêu cầu cơ bản trong quá trình mua sắm.

    Bạn có thể xem lại thông tin hiện tại về C5 tại AWS trên các bài đăng về C5 trên Blog bảo mật AWS tương ứng.

  • Các Khu vực AWS nằm trong phạm vi C5 gồm có Frankfurt, Ireland, London, Paris, Milan, Stockholm và Singapore, cũng như các vị trí Biên ở Đức, Ireland, Anh, Pháp và Singapore.

  • Bạn có thể tìm thấy những dịch vụ AWS được áp dụng nằm trong phạm vi cho C5 ở Dịch vụ AWS trong phạm vi của chương trình tuân thủ. Nếu bạn muốn tìm hiểu thêm về việc sử dụng những dịch vụ này và/hoặc quan tâm tới các dịch vụ khác, vui lòng liên hệ với chúng tôi.

  • IT-Grundschutz là một tiêu chuẩn về thiết lập và duy trì bảo vệ thích hợp đối với thông tin của một tổ chức. Danh mục IT-Grundschutz mô tả biện pháp bảo vệ cho các quy trình kinh doanh, hệ thống CNTT và ứng dụng điển hình, đồng thời giải quyết vấn đề bảo vệ thông tin riêng của doanh nghiệp. C5 đưa ra hướng dẫn về gói dịch vụ của nhà cung cấp dịch vụ đám mây (CSP).

  • BSI đã liên kết công việc này với ANSSI và Nhãn SecNumCloud sắp tới của họ. Tiêu chuẩn C5 bị ảnh hưởng bởi và có ảnh hưởng tới tiêu chuẩn SecNumCloud ở Pháp, với mục tiêu rõ ràng là để có một phương án công nhận chung theo một nhãn chung gọi là ESCloud. Ngoài ra, phiên bản nháp về Sơ đồ chứng nhận an ninh mạng của Liên minh Châu Âu (EUCS) thuộc Cơ quan an ninh mạng của Liên minh Châu Âu (ENISA) rút ra chủ yếu từ tiêu chuẩn bảo mật của C5.

  • Chứng nhận được cấp bởi một công ty chuyên môn được công nhận và thường kéo dài từ một đến ba năm. Bạn có thể nhận được chứng thực khi được kiểm toán tuân thủ hoặc kiểm tra kế toán bởi người có đủ trình độ. Chứng thực thiên về khía cạnh thực hiện liên tục, có nghĩa rằng chu kỳ kiểm toán lại ngắn hơn nhiều – giảm còn 6 tháng. Theo ISAE 3000 / 3402, quá trình kiểm toán cung cấp bằng chứng về sự phù hợp và tính hiệu quả trong một khoảng thời gian trước đó. Chứng nhận chỉ bao quát được một thời điểm.

Tài nguyên C5

Amazon Web Services: Phương pháp tốt nhất cho Bảo mật, định danh và tuân thủ
Amazon Web Services: Rủi ro và Tuân thủ
Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »