CSA STAR Nedir?
CSA STAR (Security, Trust, Assurance and Risk), Cloud Security Alliance (CSA) tarafından yürütülen ve bulut hizmet sağlayıcılarının güvenlik duruşunu değerlendiren, şeffaflaştıran bir güvence programıdır. Program, sağlayıcıların güvenlik kontrollerini ortak bir çerçeveye göre belgelemesini sağlar ve müşterilerin bu bilgilere halka açık bir kayıt üzerinden erişmesine olanak tanır.
Özetle:
- CSA STAR, Cloud Security Alliance'ın bulut güvenliği güvence programıdır.
- Temelini Cloud Controls Matrix (CCM) adlı bulut güvenlik kontrol çerçevesi ve CAIQ öz değerlendirme anketi oluşturur.
- İki ana güvence seviyesi vardır: Level 1 (öz değerlendirme) ve Level 2 (bağımsız üçüncü taraf denetimi).
- Level 2'de iki seçenek bulunur: STAR Certification (ISO/IEC 27001 üzerine inşa edilir) ve STAR Attestation (SOC 2 üzerine inşa edilir).
- Sonuçlar, halka açık ve ücretsiz erişilebilen STAR Registry üzerinde yayımlanır.
- Program, bulut güvenliği şeffaflığı ve tedarikçi güveni için kullanılır.
CSA STAR'ın Amacı ve Kapsamı
Bulut hizmetlerinin yaygınlaşmasıyla birlikte kuruluşlar, verilerini ve iş yüklerini üçüncü taraf sağlayıcılara emanet etmek zorunda kaldı. Bu durum, "Kullandığım bulut sağlayıcısı verilerimi gerçekten ne kadar güvenli koruyor?" sorusunu kritik hale getirdi. CSA STAR, tam olarak bu güven ve şeffaflık ihtiyacını karşılamak için tasarlanmıştır.
Program, sağlayıcıların güvenlik uygulamalarını ortak ve karşılaştırılabilir bir dille açıklamasını sağlar. Böylece müşteriler, farklı sağlayıcıları aynı kontrol çerçevesi üzerinden değerlendirebilir ve tedarikçi seçim süreçlerinde daha bilinçli kararlar verebilir.
CSA STAR'ın Temel Bileşenleri
CSA STAR programının değerlendirmeleri iki temel araca dayanır:
| Bileşen | Açılımı | İşlevi |
|---|---|---|
| CCM | Cloud Controls Matrix | Buluta özgü güvenlik kontrollerini tanımlayan kapsamlı kontrol çerçevesi |
| CAIQ | Consensus Assessments Initiative Questionnaire | CCM kontrollerini esas alan, sağlayıcının yanıtladığı öz değerlendirme anketi |
Cloud Controls Matrix (CCM), bulut bilişime özgü güvenlik gereksinimlerini alanlara göre düzenleyen bir kontrol çerçevesidir. Kimlik yönetiminden veri güvenliğine, olay müdahalesinden tedarik zinciri yönetimine kadar geniş bir alanı kapsar.
CAIQ ise CCM'deki kontrollere karşılık gelen sorulardan oluşan bir ankettir. Sağlayıcı bu anketi yanıtlayarak hangi kontrolleri nasıl uyguladığını beyan eder. CAIQ, özellikle Level 1 öz değerlendirmesinin temel çıktısıdır.
CSA STAR Seviyeleri
CSA STAR, güvence düzeyine göre kademeli bir yapı sunar. Sağlayıcı, ihtiyacına ve olgunluk seviyesine göre uygun seviyeyi seçebilir.
| Seviye | Adı | Güvence Türü | Dayandığı Temel | Maliyet / Erişim |
|---|---|---|---|---|
| Level 1 | STAR Self-Assessment | Öz değerlendirme (sağlayıcının kendi beyanı) | CCM + CAIQ | Ücretsiz; STAR Registry'de halka açık yayımlanır |
| Level 2 | STAR Certification | Bağımsız üçüncü taraf denetimi | ISO/IEC 27001 üzerine inşa edilir | Denetim gerektirir |
| Level 2 | STAR Attestation | Bağımsız üçüncü taraf denetimi | SOC 2 üzerine inşa edilir | Denetim gerektirir |
Level 1 — STAR Self-Assessment
Level 1, programın giriş seviyesidir. Sağlayıcı, CCM ve CAIQ kullanarak kendi güvenlik kontrollerini değerlendirir ve sonuçları beyan eder. Bu seviye ücretsizdir ve sonuçlar halka açık STAR Registry'de yayımlanır. Üçüncü taraf bir denetim içermediği için güvence düzeyi, sağlayıcının kendi beyanına dayanır.
Level 2 — Üçüncü Taraf Bağımsız Denetim
Level 2, bağımsız bir denetçinin değerlendirmesini gerektirir ve bu nedenle Level 1'e göre daha yüksek bir güvence sunar. İki seçeneği vardır:
- STAR Certification: ISO/IEC 27001 bilgi güvenliği yönetim sistemi standardının üzerine inşa edilir. Kuruluşun mevcut ISO 27001 yapısıyla uyumlu çalışmak isteyenler için uygundur.
- STAR Attestation: SOC 2 raporlama çerçevesinin üzerine inşa edilir. SOC 2 ekosistemini benimsemiş, özellikle Kuzey Amerika odaklı kuruluşlar için pratik bir yoldur.
Size Uygun Eğitimi Bulun
Bireysel mi yoksa kurumsal mı eğitim arıyorsunuz?
STAR Registry: Halka Açık Güven Kaydı
CSA STAR'ı ayırt eden en önemli özelliklerden biri STAR Registry'dir. Bu kayıt, halka açık ve ücretsiz erişilebilen bir dizindir. Sağlayıcıların öz değerlendirme veya denetim sonuçları burada yayımlanır.
Müşteriler, tedarikçi adaylarının güvenlik durumunu bu kayıt üzerinden inceleyebilir; sözleşme öncesi durum tespiti (due diligence) süreçlerini hızlandırabilir. Bu şeffaflık, sağlayıcı ile müşteri arasındaki güven ilişkisini güçlendirir.
CSA STAR'ın Faydaları
| Fayda | Açıklama |
|---|---|
| Şeffaflık | Güvenlik kontrolleri ortak bir çerçeveyle açık biçimde belgelenir |
| Karşılaştırılabilirlik | Farklı sağlayıcılar aynı kontrol seti üzerinden değerlendirilebilir |
| Güven | Halka açık kayıt, müşteri güvenini ve tedarikçi itibarını artırır |
| Verimlilik | Müşterilerin durum tespiti ve değerlendirme süreçleri kısalır |
| Mevcut sertifikalarla uyum | ISO 27001 ve SOC 2 üzerine inşa edilerek çift çabayı azaltır |
ISO 27001 ve SOC 2 ile İlişkisi
CSA STAR, sıfırdan bir denetim çerçevesi icat etmez; bunun yerine yaygın olarak kabul görmüş standartların üzerine bulut odaklı bir katman ekler. STAR Certification, ISO/IEC 27001 ile bütünleşik şekilde yürütülür ve buluta özgü CCM kontrollerini bu yapıya katar. STAR Attestation ise SOC 2 raporlamasını esas alır.
Bu yaklaşım, halihazırda ISO 27001 belgesi veya SOC 2 raporu bulunan kuruluşlar için CSA STAR'a geçişi kolaylaştırır; mevcut uyum çalışmalarının üzerine inşa edilebilir.
İlgili Konular
Sık Sorulan Sorular
Bu konuda en çok merak edilenler
CSA STAR, "Security, Trust, Assurance and Risk" ifadesinin kısaltmasıdır. Cloud Security Alliance tarafından yürütülen ve bulut hizmet sağlayıcılarının güvenlik duruşunu değerlendirip şeffaflaştıran bir güvence programını ifade eder.
Level 1, sağlayıcının kendi beyanına dayanan bir öz değerlendirmedir (STAR Self-Assessment); ücretsizdir ve CCM ile CAIQ'e dayanır. Level 2 ise bağımsız bir üçüncü tarafın denetimini içerir ve bu nedenle daha yüksek bir güvence düzeyi sunar.
Her ikisi de Level 2 kapsamındaki bağımsız denetimlerdir. STAR Certification ISO/IEC 27001 üzerine inşa edilirken, STAR Attestation SOC 2 üzerine inşa edilir. Kuruluşun benimsediği mevcut standart, hangi seçeneğin daha uygun olduğunu belirler.
CCM (Cloud Controls Matrix), Cloud Security Alliance'ın bulut bilişime özgü güvenlik kontrollerini tanımlayan kontrol çerçevesidir. CSA STAR değerlendirmelerinin temelini oluşturur ve CAIQ anketi bu kontrollere dayanır.
Program öncelikle bulut hizmet sağlayıcıları için tasarlanmıştır; güvenlik duruşlarını şeffaf biçimde göstermek isteyen sağlayıcılar STAR'a katılır. Aynı zamanda bulut tedarikçilerini değerlendiren müşteriler de STAR Registry üzerinden bu bilgilerden yararlanır.
