المعهد الوطني للمعايير والتكنولوجيا (NIST)
نظرة عامة
/automating-security-best-practices-solution-icon%20(1).df6223b44fcba437b74f2170677baf86832ef22d.png)
بصفة عامة، تنطبق وحدات التحكم الأمنية رقم 800-53 الخاصة بالمعهد الوطني للمعايير والتكنولوجيا (NIST) على نظم المعلومات الفيدرالية الأمريكية. وفي الأساس، يجب أن تخضع نظم المعلومات الفيدرالية لعملية تقييم واعتماد رسمية لضمان كفاية حماية سرية المعلومات ونظم المعلومات وسلامتهما وتوافرهما.
يحظى الإطار العام للأمن السيبراني (CSF) التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST) بدعم الحكومات والصناعات في مختلف أنحاء العالم باعتباره متطلبًا أساسيًا موصى باستخدامه من قِبل أي منظمة، بصرف النظر عن قطاعها أو حجمها. وفقًا لـ Gartner، استُخدم CSF في عام 2015 من قِبل ما يقرب من 30% من المنظمات الأمريكية، ومن المتوقع أن يبلغ الاستخدام 50% بحلول عام 2020. منذ السنة المالية 2016، عكفت وكالة فيدرالية على تنظيم مقاييس قانون تحديث أمن المعلومات الفيدرالي (FISMA) استنادًا إلى CSF، والآن أصبحت الوكالات مطالبة بتطبيق CSF بموجب الأمر التنفيذي للأمن السيبراني.
-
هل تمتثل AWS للإطار العام NIST 800-53؟
نعم، لقد تمت المصادقة على البنية الأساسية والخدمات الخاصة بسحابة AWS عن طريق اختبار أجراه طرف ثالث للتحقق من الامتثال لوحدات التحكم NIST 800-53 Revision 4، فضلًا عن متطلبات أخرى خاصة بالبرنامج الفيدرالي لإدارة المخاطر والتفويضات (FedRAMP). لقد حصلت AWS على تفويضات تشغيلية (ATO) من FedRAMP من عدة وكالات مانحة لهذه التفويضات للمنطقتين AWS GovCloud (US)، وAWS US East/West. لمزيد من المعلومات، يرجى زيارة صفحة الويب "امتثال AWS FedRAMP" أو صفحات الويب التالية الخاصة بـ FedRAMP Marketplace:
-
ما مسؤوليات عملائي لمواءمة أنظمة AWS الخاصة بي مع الأطر العامة للمعهد الوطني للمعايير والتكنولوجيا (NIST)؟
على الرغم من حصولك على بعض وحدات تحكُّمك من AWS، فإن الكثير من وحدات التحكم تُعد ميراثًا مشتركًا بينك - بصفتك عميلاً - وبين AWS. تتمثل مسؤولية التحكم فيما يلي:
- المسؤولية المشتركة: أنت مسؤول عن توفير الأمن والتكوينات لمكونات برامجك، في حين ستوفر AWS حماية أمنية لبنيتها الأساسية.
- مسئولية العملاء فقط: أنت مسؤول مسؤولية كاملة عن أنظمة التشغيل الضيف، والتطبيقات المنشورة، واختيار موارد الشبكات (على سبيل المثال، جدران الحماية). وبشكل أكثر إيضاحًا، أنت المسؤول الوحيد عن تكوين أمنك في السحابة وإدارته.
- مسؤولية AWS وحدها: تنظم AWS إدارة البنية الأساسية للسحابة، بما في ذلك الشبكة، وتخزين البيانات، وموارد النظام، ومراكز البيانات، والأمن المادي، والموثوقية، والأجهزة والبرمجيات الداعمة. تحصل التطبيقات المستندة إلى نظام AWS على الميزات والخيارات القابلة للتكوين التي توفرها AWS. AWS مسؤولة وحدها عن تكوين أمن السحابة وإدارته.
ولأغراض الحصول على اعتماد أمني، فإن الامتثال لمتطلبات FedRAMP (القائمة على أساس NIST 800-53 rev 4؛ خط أساس التحكم المنخفض/المعتدل/المرتفع) يتوقف على تطبيق AWS الكامل لوحدات التحكم التي تخصها وحدها بالإضافة إلى تلك المشتركة مع العميل، وعلى تطبيقك لوحدات التحكم التي تخص العميل وحده، بالإضافة إلى وحدات التحكم المشتركة مع AWS. وقد خضع تطبيق AWS لمسؤولية التحكم للتقييم والتصديق من قِبل منظمة تقييم خارجية (3PAO) معتمدة من FedRAMP. يجب أن يخضع الجزء من وحدات التحكم المشتركة التي أنت مسؤول عنها، ووحدات التحكم المتصلة بالتطبيقات التي تقوم بتنفيذها على بنية AWS الأساسية، للتقييم على نحو منفصل، وأن يتم التصريح به من جانبك، وذلك من خلال اتفاقية مبرمة مع المعهد الوطني للمعايير والتكنولوجيا NIST 800-37 وسياساتك وإجراءاتك المحددة المتعلقة بالاعتماد الأمني.
-
كيف يمكن أن تساعدني AWS في تحقيق المواءمة مع الأطر العامة للمعهد الوطني للمعايير والتكنولوجيا (NIST)؟
لقد مُنحت الأنظمة الممتثلة لـ AWS FedRAMP اعتمادات، وعالجت وحدات التحكم الأمنية لبرنامج FedRAMP (NIST SP 800-53)، واستخدمت نماذج FedRAMP المطلوبة للحزم الأمنية المنشورة في مستودع FedRAMP الآمن، وتم تقييمها من قِبل منظمة تقييم خارجية (3PAO) مستقلة ومعتمدة والمحافظة على متطلبات المراقبة المستمرة لبرنامج FedRAMP.
وفقًا لنموذج المسؤولية المشتركة من AWS، تدير AWS أمان السحابة وأنت مسؤول عن أمنك داخل السحابة. ولدعم تنفيذك للمسؤوليات المشتركة، أنشأت AWS مسرّع منطقة الأساس على AWS (المدعوم من AWS CloudFormation). ينشر مسرّع منطقة الأساس على AWS أساسًا سحابيًا تم تصميمه ليتوافق مع أفضل ممارسات AWS وأطر عمل الامتثال العامة المتعددة بما في ذلك الأطر المستندة إلى NIST. باستخدام هذا الحل، يمكن للعملاء الذين لديهم أعباء عمل منظمة للغاية ومتطلبات الامتثال المعقدة إدارة بيئة الحسابات المتعددة الخاصة بهم والتحكم فيها بشكل أفضل. عند استخدامها بالتنسيق مع خدمات AWS الأخرى، فإنها توفر حلاً شاملاً منخفض التعليمات البرمجية عبر أكثر من 35 خدمة من خدمات AWS. يساعدك مسرّع منطقة الأساس على AWS على النشر السريع لأساس سحابة آمن ومرن وقابل للتطوير ومؤتمت بالكامل يعمل على تسريع استعدادك لبرنامج الامتثال السحابي الخاص بك. ملاحظة: هذا الحل بحد ذاته لن يجعلك متوافقًا. إنه يوفر البنية التحتية التأسيسية التي يمكن من خلالها دمج الحلول التكميلية الإضافية.
-
كيف يمكنني استخدام الإطار العام للأمن السيبراني التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST CSF)؟
سواء كنت تمثل منظمة في القطاع العام أو التجاري، بإمكانك استخدام المستند الفني للإطار العام للأمن السيبراني (CSF) التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST) من أجل تقييم بيئة AWS الخاصة بك مقابل CSF التابع للمعهد الوطني للمعايير والتكنولوجيا وتحسين التدابير الأمنية التي تطبقها وتشغلها (الجزء الخاص بك من نموذج المسؤولية المشتركة، المعروف أيضًا باسم الأمن داخل السحابة). وتيسيرًا لمواءمتك مع CSF التابع للمعهد الوطني للمعايير والتكنولوجيا، فإننا نقدم وصفًا مفصلًا لخدمات AWS السحابية والمسؤوليات المرتبطة بها. يُقدِّم المستند الفني أيضًا رسالة المدققين التابعين لأطراف ثالثة، وتشهد هذه الرسالة على مطابقة خدمات AWS السحابية لممارسات إدارة المخاطر ذات الصلة بـ CSF التابع للمعهد الوطني للمعايير والتكنولوجيا (الجزء الخاص بنا من نموذج المسؤولية المشتركة، المعروف أيضًا باسم أمن السحابة)، وهو ما يسمح للمنظمات بحماية بياناتها عبر AWS على أكمل وجه.
ويمكن للمنظمات، بما في ذلك الوكالات الفيدرالية ووكالات الدولة، والكيانات الخاضعة للتنظيم، والمؤسسات الكبيرة، أن تستخدم هذا المستند الفني بوصفه دليلاً لتطبيق حلول AWS من أجل تحقيق نتائج إدارة المخاطر المبينة في CSF التابع للمعهد الوطني للمعايير والتكنولوجيا.
