المعهد الوطني للمعايير والتكنولوجيا (NIST)

نظرة عامة

automating-security-best-practices-solution-icon (1)

بصفة عامة، تنطبق وحدات التحكم الأمنية رقم 800-53 الخاصة بالمعهد الوطني للمعايير والتكنولوجيا (NIST) على نظم المعلومات الفيدرالية الأمريكية. وفي الأساس، يجب أن تخضع نظم المعلومات الفيدرالية لعملية تقييم واعتماد رسمية لضمان كفاية حماية سرية المعلومات ونظم المعلومات وسلامتهما وتوافرهما.

يحظى الإطار العام للأمن السيبراني (CSF) التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST) بدعم الحكومات والصناعات في مختلف أنحاء العالم باعتباره متطلبًا أساسيًا موصى باستخدامه من قِبل أي منظمة، بصرف النظر عن قطاعها أو حجمها. وفقًا لـ Gartner، استُخدم CSF في عام 2015 من قِبل ما يقرب من 30% من المنظمات الأمريكية، ومن المتوقع أن يبلغ الاستخدام 50% بحلول عام 2020. منذ السنة المالية 2016، عكفت وكالة فيدرالية على تنظيم مقاييس قانون تحديث أمن المعلومات الفيدرالي (FISMA) استنادًا إلى CSF، والآن أصبحت الوكالات مطالبة بتطبيق CSF بموجب الأمر التنفيذي للأمن السيبراني.

  • هل تمتثل AWS للإطار العام NIST 800-53؟

    نعم، لقد تمت المصادقة على البنية الأساسية والخدمات الخاصة بسحابة AWS عن طريق اختبار أجراه طرف ثالث للتحقق من الامتثال لوحدات التحكم NIST 800-53 Revision 4، فضلًا عن متطلبات أخرى خاصة بالبرنامج الفيدرالي لإدارة المخاطر والتفويضات (FedRAMP). لقد حصلت AWS على تفويضات تشغيلية (ATO) من FedRAMP من عدة وكالات مانحة لهذه التفويضات للمنطقتين AWS GovCloud (US)، وAWS US East/West. لمزيد من المعلومات، يرجى زيارة صفحة الويب "امتثال AWS FedRAMP" أو صفحات الويب التالية الخاصة بـ FedRAMP Marketplace:

  • ما مسؤوليات عملائي لمواءمة أنظمة AWS الخاصة بي مع الأطر العامة للمعهد الوطني للمعايير والتكنولوجيا (NIST)؟

    على الرغم من حصولك على بعض وحدات تحكُّمك من AWS، فإن الكثير من وحدات التحكم تُعد ميراثًا مشتركًا بينك - بصفتك عميلاً - وبين AWS. تتمثل مسؤولية التحكم فيما يلي:

    • المسؤولية المشتركة: أنت مسؤول عن توفير الأمن والتكوينات لمكونات برامجك، في حين ستوفر AWS حماية أمنية لبنيتها الأساسية.
    • مسئولية العملاء فقط: أنت مسؤول مسؤولية كاملة عن أنظمة التشغيل الضيف، والتطبيقات المنشورة، واختيار موارد الشبكات (على سبيل المثال، جدران الحماية). وبشكل أكثر إيضاحًا، أنت المسؤول الوحيد عن تكوين أمنك في السحابة وإدارته.
    • مسؤولية AWS وحدها: تنظم AWS إدارة البنية الأساسية للسحابة، بما في ذلك الشبكة، وتخزين البيانات، وموارد النظام، ومراكز البيانات، والأمن المادي، والموثوقية، والأجهزة والبرمجيات الداعمة. تحصل التطبيقات المستندة إلى نظام AWS على الميزات والخيارات القابلة للتكوين التي توفرها AWS. AWS مسؤولة وحدها عن تكوين أمن السحابة وإدارته.

    ولأغراض الحصول على اعتماد أمني، فإن الامتثال لمتطلبات FedRAMP (القائمة على أساس NIST 800-53 rev 4؛ خط أساس التحكم المنخفض/المعتدل/المرتفع) يتوقف على تطبيق AWS الكامل لوحدات التحكم التي تخصها وحدها بالإضافة إلى تلك المشتركة مع العميل، وعلى تطبيقك لوحدات التحكم التي تخص العميل وحده، بالإضافة إلى وحدات التحكم المشتركة مع AWS. وقد خضع تطبيق AWS لمسؤولية التحكم للتقييم والتصديق من قِبل منظمة تقييم خارجية (3PAO) معتمدة من FedRAMP. يجب أن يخضع الجزء من وحدات التحكم المشتركة التي أنت مسؤول عنها، ووحدات التحكم المتصلة بالتطبيقات التي تقوم بتنفيذها على بنية AWS الأساسية، للتقييم على نحو منفصل، وأن يتم التصريح به من جانبك، وذلك من خلال اتفاقية مبرمة مع المعهد الوطني للمعايير والتكنولوجيا NIST 800-37 وسياساتك وإجراءاتك المحددة المتعلقة بالاعتماد الأمني.

  • كيف يمكن أن تساعدني AWS في تحقيق المواءمة مع الأطر العامة للمعهد الوطني للمعايير والتكنولوجيا (NIST)؟

    لقد مُنحت الأنظمة الممتثلة لـ AWS FedRAMP اعتمادات، وعالجت وحدات التحكم الأمنية لبرنامج FedRAMP (NIST SP 800-53)، واستخدمت نماذج FedRAMP المطلوبة للحزم الأمنية المنشورة في مستودع FedRAMP الآمن، وتم تقييمها من قِبل منظمة تقييم خارجية (3PAO) مستقلة ومعتمدة والمحافظة على متطلبات المراقبة المستمرة لبرنامج FedRAMP.

    وفقًا لنموذج المسؤولية المشتركة الخاص بـ AWS، تدير AWS أمن السحابة وأنت مسؤول عن أمنك داخل السحابة. لدعم تطبيقك للمسؤوليات المشتركة، أنشأت AWS حلول البداية السريعة (المشغلة بواسطة AWS CloudFormation) التي تستخدم نقرة واحدة لأتمتة نشرك للتقنيات المهمة في سحابة AWS. تطلق البدايات السريعة وتكوِّن وتشغل حوسبة AWS والشبكة والتخزين وغير ذلك من الخدمات اللازمة لنشر عبء العمل في AWS، وذلك بهدف معالجة متطلبات الامتثال للمعايير والأطر العامة الأمنية مثل NIST 800-53.

    تبسِّط البدايات السريعة في AWS خطوط الأساس الآمنة وتقوم بأتمتتها وتطبيقها من خلال مجموعة شاملة من القواعد التي يمكن إنفاذها بصورة منهجية. على سبيل المثال، البداية السريعة: البنية الهندسية الموحدة للأطر العامة للضمان القائمة على المعهد الوطني للمعايير والتكنولوجيا (NIST) بشأن سحابة AWS تتضمن نماذج AWS CloudFormation. ويمكن دمج هذه النماذج مع AWS Service Catalog من أجل أتمتة عملية إنشاء عبء عمل بنية هندسية لخط أساس معياري يقع في نطاق الامتثال لـ NIST 800-53 Revision 4، وNIST 800-171. تتضمن هذه البداية السريعة أيضًا مرجعًا لوحدات التحكم الأمنية يشرح القرارات المتعلقة بالبنية الهندسية لوحدات التحكم، وميزاتها، وتكوين خط الأساس. يمكن استخدام البدايات السريعة لدعم جهود الامتثال التي تبذلها في AWS بشكل يتناسب مع أهداف منظمتك المتعلقة بالأمن والامتثال في AWS.

  • ما الطريقة التي يتوجب عليَّ استخدام NIST CSF بها؟

    سواء كنت تمثل منظمة في القطاع العام أو التجاري، بإمكانك استخدام المستند الفني للإطار العام للأمن السيبراني (CSF) التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST) من أجل تقييم بيئة AWS الخاصة بك مقابل CSF التابع للمعهد الوطني للمعايير والتكنولوجيا وتحسين التدابير الأمنية التي تطبقها وتشغلها (الجزء الخاص بك من نموذج المسؤولية المشتركة، المعروف أيضًا باسم الأمن داخل السحابة). وتيسيرًا لمواءمتك مع CSF التابع للمعهد الوطني للمعايير والتكنولوجيا، فإننا نقدم وصفًا مفصلًا لخدمات AWS السحابية والمسؤوليات المرتبطة بها. يُقدِّم المستند الفني أيضًا رسالة المدققين التابعين لأطراف ثالثة، وتشهد هذه الرسالة على مطابقة خدمات AWS السحابية لممارسات إدارة المخاطر ذات الصلة بـ CSF التابع للمعهد الوطني للمعايير والتكنولوجيا (الجزء الخاص بنا من نموذج المسؤولية المشتركة، المعروف أيضًا باسم أمن السحابة)، وهو ما يسمح للمنظمات بحماية بياناتها عبر AWS على أكمل وجه.

    ويمكن للمنظمات، بما في ذلك الوكالات الفيدرالية ووكالات الدولة، والكيانات الخاضعة للتنظيم، والمؤسسات الكبيرة، أن تستخدم هذا المستند الفني بوصفه دليلاً لتطبيق حلول AWS من أجل تحقيق نتائج إدارة المخاطر المبينة في CSF التابع للمعهد الوطني للمعايير والتكنولوجيا.

موارد المعهد الوطني للمعايير والتكنولوجيا

أتمتة امتثال المعهد الوطني للمعايير والتكنولوجيا (NIST) في منطقة AWS GovCloud (US) باستخدام أدوات AWS Quick Start (فيديو)
compliance-contactus-icon
هل لديك أي أسئلة؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد التعرف على قواعد الامتثال؟
التقديم اليوم »
هل ترغب في الحصول على التحديثات الخاصة بالامتثال إلى AWS؟
تابعنا على تويتر »