Ich hätte gern Informationen über MPAA in der Cloud

Die Motion Picture Association of America (MPAA) hat bewährte Methoden für das sichere Speichern, Verarbeiten und Übermitteln geschützter Medien und Inhalte definiert (http://www.fightfilmtheft.org/facility-security-program.html/). Medienunternehmen nutzen diese bewährten Vorgehensweisen als Möglichkeit zum Bewerten von Risiken und Sicherheit ihrer Inhalte und Infrastruktur.

Wenngleich die MPAA keine "Zertifizierung" bietet, können Kunden aus der Medienbranche die AWS MPAA-Richtlinien verwenden, die beschreiben, wie AWS die bewährten MPAA-Vorgehensweisen befolgt, um ihre Risikoanalyse und Überprüfung von MPAA-Inhalten in AWS zu verbessern.

Zusätzliche Informationen zu Lösungen für digitale Medien finden Sie unter:

https://aws.amazon.com/digital-media/


AWS hat in Form seines VPC-Angebots (Virtual Private Cloud) ein flexibles Verfahren zum sicheren Erweitern des eigenen Rechenzentrums in die Cloud bereitgestellt. Wir können bestehende Hardware, Richtlinien und Verfahren nutzen, um eine sichere, nahtlose und skalierbare Rechenumgebung zu schaffen, deren Verwaltung nur wenig Ressourcen in Anspruch nimmt.

Theresa Miller stellvertretende Leiterin Information Technology bei LIONSGATE

Bewährte Methode
Stellen Sie die Aufsicht der Geschäftsleitung bzw. der Eigentümer über die Informationssicherheit sicher, indem Sie regelmäßige Prüfungen des Programms zur Informationssicherheit und der Ergebnisse der Risikoanalyse verlangen.
 
AWS-Implementierung      
Das Kontrollumfeld von Amazon setzt auf der Führungsebene des Unternehmens ein. Die Geschäftsleitung und die leitenden Angestellten spielen bei der Bestimmung der Firmenphilosophie und bei der Festlegung der Grundwerte des Unternehmens eine entscheidende Rolle. Die Compliance- und Sicherheitsteams von AWS haben ein Rahmenwerk für die Informationssicherheit und dazugehörige Richtlinien entwickelt. Es basiert auf dem COBIT-Rahmenwerk (Control Objectives for Information and related Technology) und ist wirksam integriert mit dem auf ISO 27002-Kontrollfunktionen basierenden zertifizierbaren ISO 27001-Rahmenwerk, den Prinzipien des American Institute of Certified Public Accountants (AICPA) Trust Services, PCI DSS v3.1 und National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems). AWS-Mitarbeiter nehmen an regelmäßigen funktionsbasierten Schulungen, einschließlich AWS-Sicherheitsschulungen, teil. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen.      
       
Bewährte Methode
     
Entwickeln Sie ein formelles Beurteilungsverfahren zur Risikoanalyse und setzen Sie dabei den Schwerpunkt auf den Workflow bei Inhalten und sensiblen Komponenten, um Risiken des Diebstahls und der Weitergabe von Inhalten, die für die Einrichtung relevant sind, zu identifizieren und zu priorisieren.      
       
AWS-Implementierung      
AWS besitzt eine formelle, dokumentierte Risikoanalyserichtlinie, die mindestens einmal jährlich aktualisiert und überprüft wird. Diese Richtlinie umfasst Zweck, Umfang, Rollen, Verantwortlichkeiten und Verpflichtung des Managements.

Dieser Richtlinie folgend wird vom AWS-Compliance-Team eine jährliche Risikoanalyse durchgeführt, die alle AWS-Regionen und Branchen abdeckt und vom leitenden AWS-Management geprüft wird. Diese Vorgänge erfolgen zusätzlich zu Zertifizierung, Bescheinigungen und Berichten, die von unabhängigen Prüfern durchgeführt bzw. erstellt werden. Zweck der Risikoanalyse ist es, Bedrohungen und Schwachstellen von AWS zu identifizieren, sie einer Risikobewertung zu unterziehen, die Prüfung zu dokumentieren und einen Risikobehandlungsplan zur Problembehebung zu erstellen. Die Ergebnisse der Risikoanalyse werden jährlich von leitenden AWS-Mitarbeitern geprüft. Wenn nach signifikanten Änderungen eine neue Risikoanalyse erforderlich ist, kann diese auch vor Ablauf eines Jahres durchgeführt werden.

Die Kunden bleiben Eigentümer ihrer Daten (Inhalte) und sind verantwortlich für die Beurteilung und das Management der Risiken in Verbindung mit den Workflows ihrer Daten, um ihre Compliance-Anforderungen zu erfüllen.

Das AWS-Risikomanagement-Framework wird von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.
     
       
Bewährte Methode
Identifizieren Sie wichtige Kontaktpunkte für die Sicherheit und führen Sie eine formelle Definition von Rollen und Verantwortlichkeiten für den Schutz von Inhalten und Komponenten durch.
 
AWS-Implementierung      
AWS hat eine Organisation für die Informationssicherheit eingerichtet, die vom AWS Security-Team verwaltet und vom AWS Chief Information Security Officer (CISO) geleitet wird. AWS bietet allen Benutzern von Informationssystemen, die AWS unterstützen, Schulungen zur Förderung des Sicherheitsbewusstseins an. Diese jährlich durchgeführten Schulungen des Sicherheitsbewusstseins umfassen folgende Themen: Zweck von Sicherheitsbewusstseins-Schulungen, Speicherorte aller AWS-Richtlinien, AWS-Verfahren zur Reaktion bei Vorfällen (einschließlich Anweisungen zum Berichten interner und externer Sicherheitsvorfälle).

Die Systeme innerhalb von AWS sind umfassend ausgestattet, um wichtige Betriebs- und Sicherheitsmetriken überwachen zu können. Alarme werden konfiguriert, um das Betriebspersonal und die Geschäftsleitung zu benachrichtigen, wenn Frühwarnschwellen wichtiger Metriken überschritten wurden. Wenn ein Schwellenwert überschritten wurde, wird der AWS-Prozess zur Reaktion auf Vorfälle gestartet.  Das Amazon-Vorfallreaktionsteam befolgt branchenübliche Diagnoseverfahren zur Entwicklung und Umsetzung von Problemlösungen. Mitarbeiter sind das ganze Jahr über – 24 Stunden am Tag, 7 Tage in der Woche – bereit, Störungen festzustellen, deren Auswirkungen einzudämmen und Lösungen zu finden.

AWS-Rollen und Verantwortlichkeiten werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.
     
       
Bewährte Methode      
Etablieren Sie Richtlinien und Verfahren im Hinblick auf die Sicherheit von Komponenten und Inhalten. Richtlinien sollten mindestens folgende Themen behandeln:
• Personalrichtlinien
• Akzeptable Verwendung (beispielsweise soziale Netzwerke, Internet, Telefon usw.)
• Komponentenklassifizierung
• Richtlinien für die Komponentenbehandlung
• Geräte für digitale Aufnahmen (beispielsweise Smartphones, Digitalkameras, Camcorder)
• Ausnahmeregelungen (z. B. Prozess zur Dokumentation von Richtlinienabweichungen)
• Kennwortkontrollen (beispielsweise Mindestlänge von Kennwörtern, Bildschirmschoner)
• Verbot der Mitnahme von Komponenten des Kunden aus der Einrichtung
• Management von Systemänderungen
• Richtlinien für Whistleblower
• Sanktionsrichtlinien (z. B. Richtlinien für disziplinarische Maßnahmen)
     
       
AWS-Implementierung      
AWS hat ein Rahmenwerk mit Richtlinien für die Informationssicherheit entwickelt. Es basiert auf dem COBIT-Rahmenwerk (Control Objectives for Information and related Technology) und ist wirksam integriert mit dem auf ISO 27002-Kontrollfunktionen basierenden zertifizierbaren DIN ISO/IEC 27001-Rahmenwerk, den Prinzipien des American Institute of Certified Public Accountants (AICPA) Trust Services, PCI DSS v3.0 und National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems).

AWS bietet allen Benutzern von Informationssystemen, die AWS unterstützen, Schulungen zur Förderung des Sicherheitsbewusstseins an. Diese jährlich durchgeführten Schulungen des Sicherheitsbewusstseins umfassen folgende Themen: Zweck von Sicherheitsbewusstseins-Schulungen, Speicherorte aller AWS-Richtlinien, AWS-Verfahren zur Reaktion bei Vorfällen (einschließlich Anweisungen zum Berichten interner und externer Sicherheitsvorfälle).

AWS-Richtlinien, Verfahren und entsprechende Schulungsprogramme werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.
     
Bewährte Methode      
Stellen Sie einen formellen Plan zur Vorfallreaktion auf, in dem die Aktionen beschrieben werden, die bei der Entdeckung und Meldung eines Sicherheitsvorfalls zu unternehmen sind.      
AWS-Implementierung

AWS hat eine formelle, dokumentierte Vorfallreaktionsrichtlinie und ein entsprechendes Programm implementiert. Die Richtlinie umfasst Zweck, Umfang, Rollen, Verantwortlichkeiten und Verpflichtung des Managements.

AWS setzt auf einen dreistufigen Ansatz für den Umgang mit Vorfällen:
1. Aktivierung und Benachrichtigung: AWS-Vorfälle beginnen mit der Erkennung eines Ereignisses. Die Erkennung eines Vorfalls kann aus u. a. auf folgenden Wegen übermittelt werden:
a. Metriken und Alarme – AWS verfügt über erstklassige Situationseinschätzungsfunktionen. Die meisten Probleme werden schnell im Rahmen eines rund um die Uhr laufenden Systems von Echtzeit-Überwachungs- und Alarmmetriken und Service-Dashboards erkannt. Die Mehrzahl der Vorfälle wird auf diese Weise erkannt. AWS verwendet Frühindikatoren für die proaktive Identifikation von Problemen, die negative Auswirkungen für die Kunden haben können.
b. Von einem AWS-Mitarbeiter eingegebene Trouble-Tickets.
c. Anrufe bei der rund um die Uhr verfügbaren Hotline des technischen Supports.

Wenn das Ereignis die Kriterien für einen Vorfall erfüllt, startet der zuständige verfügbare Support-Techniker einen Support-Fall mithilfe des AWS Event Management Tools und zieht relevante Lösungsspezialisten hinzu (z. B. Sicherheitsteam). Die Lösungsspezialisten führen eine Analyse des Vorfalls durch, um zu ermitteln, ob weitere Spezialisten einbezogen werden sollten und um die Ursache zu ermitteln bzw. einzugrenzen.

2. Wiederherstellung – Die zuständigen Lösungsspezialisten führen Fehlerbehebungen durch, um den Vorfall zu beheben. Nach Abschluss der Fehlersuche und der Fehlerbehebung der betroffenen Komponenten legt der Fehlbehebungsleiter die nächsten Schritte für nachfolgende Dokumentation und Aktionen fest und schließt den Support-Fall ab.

3. Wiedereinsetzung – Wenn die relevanten Behebungsaktivitäten abgeschlossen sind, erklärt der Fehlerbehebungsleiter, dass die Wiederherstellung abgeschlossen ist. Eine Ursachenanalyse des Vorfalls wird dem zuständigen Team zugewiesen. Das Ergebnis der Analyse wird von zuständigen Führungskräften geprüft und relevante Aktionen, wie etwa Designänderungen usw., werden in einem Fehlerkorrekturdokument (Correction of Errors, COE) erfasst und bis zu ihrem Abschluss nachverfolgt.

Zusätzlich zu den oben beschriebenen Kommunikationsmechanismen hat AWS auch verschiedene Methoden für die externe Kommunikation implementiert, um seine Kundenbasis und Community zu unterstützen. Das Kunden-Support-Team wird mithilfe bestimmter Methoden über Betriebsprobleme informiert, die die Kundenzufriedenheit in Mitleidenschaft ziehen. Ein verfügbares Service Health Dashboard wird vom Kundensupportteam gepflegt und genutzt, um Kunden auf sämtliche Probleme aufmerksam zu machen, die weitreichende Konsequenzen nach sich ziehen könnten.


Ein AWS-Vorfallmanagementprogramm umfasst Untersuchungen von unabhängigen externen Prüfern im Rahmen von Audits, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.

Die Workflow-Dokumentation von Inhalten (Daten) ist die Verantwortung von AWS-Kunden, da die Kunden weiterhin Besitzer ihrer eigenen Gastbetriebssysteme, Software, Anwendungen und Daten sind und die Kontrolle über diese behalten.

Bewährte Methode      

Führen Sie Hintergrundprüfungen für alle Mitarbeiter des Unternehmens und alle externen Mitarbeiter durch.

     
       
AWS-Implementierung      
AWS führt vor einer Einstellung von Mitarbeitern gemäß geltendem Recht im Rahmen seiner Prüfpraktiken Untersuchungen auf Vorstrafen durch. Diese Prüfungen orientieren sich an der Position des Mitarbeiters und des Grads seines Zugangs zu AWS-Einrichtungen.

Die AWS-Prüfpraktiken werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.
     
       
Bewährte Methode      
Verlangen Sie von allen Mitarbeitern des Unternehmens und allen externen Mitarbeitern die Unterzeichnung einer Vertraulichkeitsvereinbarung (zum Beispiel Geheimhaltungsvereinbarung). Diese Vereinbarungen sind bei der Einstellung und danach jährlich zu unterzeichnen und umfassen Regelungen für die Behandlung und den Schutz von Inhalten.      
       
AWS-Implementierung      
Die Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) von Amazon wird vom Rechtsbeistand von Amazon verwaltet und entsprechend den geschäftlichen Anforderungen von AWS regelmäßig überarbeitet.

Die Verwendung von AWS-Vertraulichkeitsvereinbarungen werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere ISO 27001- und FedRAMPsm-Compliance zu ermitteln.
     
       
Bewährte Methode      
Überwachen Sie den elektronischen Zugang zu beschränkten Bereichen auf verdächtige Ereignisse und protokollieren Sie diese.      
       
AWS-Implementierung      

Der physische Zugang wird durch professionelles Sicherheitspersonal kontrolliert, sowohl an der Geländegrenze als auch an den Gebäudeeingängen. Dabei werden Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Vorrichtungen eingesetzt.
Alle Eingänge zu AWS-Rechenzentren, einschließlich Haupteingang, Laderampe und Dachzugänge/-luken, sind durch Einbruchmeldeanlagen gesichert, die akustische Alarmsignale abgeben und außerdem einen Alarm im zentralisierten AWS-Überwachungssystem erzeugen, wenn eine Tür gewaltsam geöffnet oder offen gehalten wird.

Zusätzlich zu den elektronischen Mechanismen setzen AWS-Rechenzentren ausgebildetes Wachpersonal rund um die Uhr ein, sowohl innerhalb als auch außerhalb des Gebäudes. Alle Alarme werden von einem Wachdienstmitarbeiter überprüft, der für alle Vorfälle die jeweilige Ursache dokumentiert. Alle Alarme werden automatisch eskaliert, wenn innerhalb der festgelegten SLA-Zeit keine Antwort erfolgt.

Physische Zugangspunkte zu Serverstandorten werden von CCTV-Kameras gemäß der AWS Data Center Physical Security Policy aufgezeichnet. Die Aufnahmen werden 90 Tage aufbewahrt, sofern die Frist nicht durch gesetzliche oder vertragliche Bestimmungen auf 30 Tage verkürzt ist.

Die physischen AWS-Sicherheitsmechanismen werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.

     
       
Bewährte Methode      

Implementieren Sie ein Managementsystem für Inhaltskomponenten, um detaillierte Aufzeichnungen physischer Komponenten (kundeneigene und neu erstellte) zu erstellen.

     
       
AWS-Implementierung      
Das Inhalts- und Asset Management wird von den AWS-Kunden bereitgestellt, implementiert und durchgeführt. Die Kunden sind dafür verantwortlich, die Bestandsverfolgung ihrer physischen Komponenten zu implementieren.

Alle neuen Informationssystemkomponenten für AWS-Rechenzentrumsumgebungen, etwa Server, Racks, Netzwerkgeräte, Festplatten, Systemhardwarekomponenten und Baumaterialien, die an ein Rechenzentrum gesendet und von diesem empfangen werden, müssen vorab vom Rechenzentrumsmanager genehmigt und ihm gemeldet werden. Die Komponenten werden an die Laderampe des jeweiligen AWS-Rechenzentrums geliefert und auf etwaige Beschädigungen oder Manipulationen an der Verpackung überprüft. Ihr Empfang wird von einem Vollzeitmitarbeiter von AWS mit seiner Unterschrift bestätigt. Wenn die Lieferung eintrifft, werden die Artikel gescannt und innerhalb des Asset-Management-Systems und des Bestandsverfolgungssystems von AWS erfasst.

Empfangene Artikel werden in einen Gerätelagerraum des Rechenzentrums platziert, für dessen Zutritt eine Magnetkarte und eine PIN-Kombination erforderlich sind, außer diese werden bereits für das Rechenzentrum selbst verwendet. Artikel müssen vor dem Verlassen des Rechenzentrums gescannt, nachverfolgt und gesäubert werden.        

Die AWS-Asset-Management-Prozesse werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere PCI DSS-, ISO 27001- und FedRAMPsm-Compliance zu ermitteln.
     
       
Bewährte Methode      
Untersagen Sie den Internet-Zugriff auf Systemen (Desktop-PCs/Server), auf denen digitale Inhalte verarbeitet oder gespeichert werden.      
       
AWS-Implementierung      
Geräte mit Regelsätzen für den Schutz von Grenzen, Zugriffskontrolllisten (Access Control Lists, ACL) und Konfigurationen setzen den Informationsfluss zwischen Netzwerkstrukturen durch. Diese Geräte sind im Modus "Kein Zugriff" konfiguriert und erfordern, dass eine genehmigte Firewall die Verbindung zulässt. Weitere Informationen zur Verwaltung von AWS-Netzwerk-Firewalls finden Sie in der Dokumentation zu DS-2.0.

Es gibt keine inhärente E-Mail-Funktion für AWS-Komponenten und Port 25 wird nicht verwendet. Ein Kunde (z. B. Studio, Verarbeitungsbetrieb usw.) kann ein System zum Hosten von E-Mail-Funktionen verwenden. In diesem Fall liegt es jedoch in der Verantwortung des Kunden, einen geeigneten Spam- und Malware-Schutz für den E-Mail-Eingang und -Ausgang zu verwenden und Spam- und Malware-Definitionen jeweils zu aktualisieren, wenn neue Versionen verfügbar sind.

Amazon-Komponenten (z. B. Notebooks) werden mit Antivirus-Software konfiguriert, die E-Mail-Filter und Malware-Erkennungsfunktionen enthält.

Das AWS Netzwerk-Firewall-Management und das Antivirus-Programm von Amazon werden von unabhängigen externen Prüfern untersucht, um unsere Compliance mit SOC, PCI DSS-, ISO 27001- und FedRAsm zu ermitteln.
     
       
blank
blank
MPAA AWS Cloud
AWS MPAA
MPAA-Compliance

 

Kontakt