Federal Bilgi Güvenliği Dairesi (BSI), Salı günü güvenli bulut bilişime yönelik kriterler kataloğunun güncellenmiş bir versiyonunu yayınladı. Bu, güvenli çalışma için minimum standartların nerede olması gerektiğini belirler.
Duyurudan sonra devamını okuyun
C5:2026, bir yandan 2020 sürümünün yerini alırken diğer yandan AB bulut sertifikasyon planının Almanca yorumunu da getiriyor. BSI spesifikasyonları birçok hizmet sağlayıcı için yasal bir gereklilik olarak kabul edilmektedir: Alman dijital sağlık sistemi için Tip 2 sertifikası gereklidir, ancak C5 genellikle dijital finansal hizmetler ve bankacılık, pasaport fotoğrafları veya devlet kurumları için de belirleyici olarak kabul edilir.
Sistemin arkasındaki temel fikir: Tüm operasyonel terimlerin ve süreçlerin güvenilir bir tanımını sağlamak ve böylece kastedilenin dahil edilmesini sağlamak. Bulut operasyonlarında ortak bölgenin ne olduğu, bölümün ne olduğu ve konumun ne olduğu gibi basit görünen sorularla başlar ve ardından gerçek temel kriterler ve hizmetlerin C5 uyumlu olması için nasıl yönetilmesi gerektiğine ilişkin ek kriterler gelir.
C5 kriterleri, diğer şeylerin yanı sıra, sağlayıcının kendisinin ve ana şirketlerinin hangi haklara tabi olduğunun yanı sıra bölgelerin nasıl bölündüğünün ve müşteri verilerinin nerede bulunduğunun açıklanmasını gerektirir. Ayrıca resmi kurumların müşteri bulut verileriyle ilgili taleplerine yanıt vermek için kapsamlı bilgi sağlamanız gerekir.
Yeni sürüm, organizasyonel ve yasal gerekliliklerin yanı sıra müşteri verilerinin korunmasından olay yönetimine kadar pek çok klasik güvenlik sorusunu da içeriyor. C5:2026 ile her şey değişmedi ancak konteyner yönetimi gibi bireysel yönler önemli ölçüde iyileştirildi. Yeni yineleme, öncekine göre çok daha kesin spesifikasyonlar içeriyor.
Kuantum sonrası kriptografi C5'e geliyor
BSI, yeni sürümü geliştirirken, diğer standartlarla uyumluluk ve birlikte çalışabilirliğin yanı sıra, topluluğun 2020 sürümünden bu yana Bonn Siber Güvenlik Otoritesine neler getirdiğine de özellikle dikkat ettiğini söylüyor. Kuantum sonrası kriptografiye ilişkin giderek artan acil sorular göz önüne alındığında, bölüm 5.8 ayrıca C5'e göre bulut sağlayıcılarının etkili şifreleme için uyması gereken kriterler hakkında ayrıntılı bilgi içermektedir. Bu, diğer şeylerin yanı sıra, zayıf olabilecek süreçleri güçlendirmek için hibrit süreçlerin kullanımını da içerir.
BSI Başkanı Claudia Plattner bu nedenle güncellenen kataloğun “bulut hizmetlerini kullanan, kontrol eden, sunan veya satın alan herkes için çağdaş ve pratik bir referans noktası” olarak anlaşılmasını istiyor. Gereksinimlerin birçoğu aslında son aylarda BSI ile Avrupalı ve ABD'li şirketler de dahil olmak üzere çeşitli tedarikçiler arasındaki çeşitli bulut işbirliklerinde tanımlanmış olan güvenli operasyon gerekliliklerini anımsatıyor.
Duyurudan sonra devamını okuyun
BSI makine tarafından okunabilirliğe güveniyor
Yeni C5 kataloğu aynı zamanda kullanıcılara daha iyi kullanılabilirlik sağlamalıdır. BSI Başkan Yardımcısı Thomas Caspers, “Daha sıkı veya ek alt kriterler ve ek kriterler içeren revize edilmiş yapı, test, atama ve değerlendirmede daha fazla netlik sağlıyor” diye açıklıyor. Katalog yakında ilk kez makine tarafından okunabilir bir formatta kullanıma sunulacak. Bu, ilgili süreçlerin otomatikleştirilmesi için faydalı olmalıdır.
Yeni katalog, resmi sertifikasyonun kapsamlı, dolayısıyla pahalı ve dolayısıyla daha köklü şirketler için özellikle zor olduğu şeklindeki temel sorunu değiştiremez. C5:2026'dan memnun olanlar bile tartışmaları takip etmeye devam etmeli. Federal Siber Güvenlik Otoritesi'ne göre, C5 maddesinde açıklanan bulut hizmetlerine yönelik güvenlik kriterlerine ek olarak BSI, yakında bulut bilişim çözümleri için genel egemenlik kriterlerini de yayınlamayı planlıyor.
(yardımcı)
Bir yanıt yazın