Federal Bilgi Güvenliği Dairesi (BSI), bu Salı günü güvenli bulut bilişime yönelik kriter kataloğunun güncellenmiş bir versiyonunu yayınladı. Bu, güvenli çalışma için minimum standartların nerede olması gerektiğini belirler.
Reklamdan sonra devamını okuyun
C5:2026 bir yandan 2020 sürümünün yerini alırken diğer yandan AB bulut sertifikasyon planının Almanca yorumunu da getiriyor. BSI spesifikasyonları birçok hizmet sağlayıcı için yasal bir gereklilik olarak kabul edilir – Dijital Alman sağlık sistemi için Tip 2 sertifikası gereklidir, ancak C5 ayrıca dijital finansal hizmetler ve bankacılık sektörü, pasaport fotoğrafları veya devlet kurumları için de genellikle belirleyici olarak kabul edilir.
Planın arkasındaki temel fikir: Tüm terimlerin ve operasyonel süreçlerin güvenilir bir tanımını sağlamak ve böylece kastedilenin dahil edilmesini sağlamak. Bu, bulut operasyonlarında ortak bölgenin ne olduğu, bölümün ne olduğu ve konumun ne olduğu sorusu gibi görünüşte basit şeylerle başlar ve ardından gerçek temel kriterler ve hizmetlerin C5 uyumlu olması için nasıl çalıştırılması gerektiğine ilişkin ek, ek kriterler gelir.
C5 kriterleri, diğer şeylerin yanı sıra, sağlayıcının kendisinin ve ana şirketlerinin hangi yasaya tabi olduğunu, ayrıca bölgelerin nasıl bölündüğünü ve müşteri verilerinin nerede bulunduğunu açıklamayı gerektirir. Resmi kurumların müşteri bulut verilerine ilişkin taleplerine yanıt vermek için de kapsamlı bilgilerin sağlanması gerekir.
Yeni sürüm, organizasyonel ve yasal gerekliliklerin yanı sıra müşteri verilerinin güvenliğinden olay yönetimine kadar pek çok klasik güvenlik sorusunu da içeriyor. C5:2026 ile her şey değişmedi ancak konteyner yönetimi gibi bireysel özellikler önemli ölçüde iyileştirildi. Yeni yineleme, öncekine göre çok daha kesin spesifikasyonlar içeriyor.
Kuantum sonrası kripto C5'e geliyor
BSI, yeni sürümü geliştirirken diğer standartlarla uyumluluk ve birlikte çalışabilirliğin yanı sıra, topluluğun 2020 sürümünden bu yana Bonn BT güvenlik otoritesine neler getirdiğine de özellikle dikkat ettiğini belirtiyor. Kuantum sonrası kriptografiye ilişkin giderek artan acil sorular göz önüne alındığında, Bölüm 5.8 aynı zamanda C5'e göre bulut sağlayıcılarının etkili şifreleme için uyması gereken kriterler hakkında da kapsamlı bilgiler içermektedir. Diğer şeylerin yanı sıra bu, zayıf olması muhtemel süreçleri güçlendirmek için hibrit süreçlerin kullanımını da içerir.
BSI Başkanı Claudia Plattner bu nedenle güncellenen kataloğun “bulut hizmetlerini kullanan, kontrol eden, sunan veya satın alan herkes için çağdaş ve pratik bir referans” olarak anlaşılmasını istiyor. Aslında gereksinimlerin çoğu, son aylarda BSI ile Avrupalı ve ABD'li şirketler de dahil olmak üzere çeşitli sağlayıcılar arasındaki çeşitli bulut işbirliklerinde belirtilen güvenli operasyon gerekliliklerini anımsatıyor.
Reklamdan sonra devamını okuyun
BSI makine tarafından okunabilirliğe güveniyor
Yeni C5 kataloğu aynı zamanda kullanıcılara daha iyi kullanılabilirlik sağlamalıdır. BSI Başkan Yardımcısı Thomas Caspers, “Alt kriterlerin ve daha katı veya tamamlayıcı ek kriterlerin yer aldığı revize edilmiş yapı, test, atama ve değerlendirmede daha fazla netlik sağlıyor” diye açıklıyor. Katalog yakında ilk kez makine tarafından okunabilir bir formatta kullanıma sunulacak. Bu, ilgili süreçlerin otomatikleştirilmesine yardımcı olacaktır.
Yeni katalog, resmi sertifikasyonun kapsamlı, dolayısıyla pahalı ve dolayısıyla daha köklü şirketler için özellikle zor olması şeklindeki temel sorunu değiştiremez. Hatta C5:2026'ya alışanlar bile tartışmaları takip etmeye devam etmeli. Federal BT güvenlik yetkilisine göre, C5'te açıklanan bulut hizmetlerine yönelik güvenlik kriterlerine ek olarak BSI, bulut bilişim çözümleri için genel egemenlik kriterlerini kısa süre içinde yayınlamayı planlıyor.
(akşam)
Bir yanıt yazın