National Institute of Standards and Technology (NIST)

Gambaran Umum

Kontrol keamanan National Institute of Standards and Technology (NIST) 800-53 secara umum berlaku untuk Sistem Informasi Federal AS. Sistem Informasi Federal biasanya harus melalui penilaian formal dan proses otorisasi untuk memastikan perlindungan yang cukup terhadap kerahasiaan, integritas, serta ketersediaan informasi dan sistem informasi.

NIST Cybersecurity Framework (CSF) didukung oleh pemerintah dan industri di seluruh dunia sebagai dasar yang direkomendasikan untuk digunakan oleh organisasi apa pun, terlepas dari sektor atau ukurannya. Menurut Gartner, pada tahun 2015 CSF digunakan oleh sekitar 30 persen organisasi AS dan penggunaannya diproyeksikan akan mencapai 50 persen pada tahun 2020. Sejak Tahun Fiskal 2016, metrik Federal Information Security Modernization Act (FISMA) lembaga federal telah diorganisir di sekitar CSF, dan lembaga sekarang diwajibkan untuk menerapkan CSF berdasarkan Cybersecurity Executive Order.

• Apakah AWS sesuai dengan kerangka kerja NIST 800-53?

  Ya, infrastruktur dan layanan AWS Cloud telah divalidasi oleh pengujian pihak ketiga yang dilakukan menurut kontrol NIST 800-53 Revision 4, serta persyaratan FedRAMP tambahan. AWS telah menerima FedRAMP Authorizations to Operate (ATO) dari berbagai lembaga pengotorisasi untuk AWS GovCloud (AS) dan Wilayah AS Timur/Barat. Untuk informasi lebih lanjut, lihat halaman web Kepatuhan AWS FedRAMP, atau halaman web FedRAMP Marketplace berikut:
  

  • Daftar lengkap lembaga pengotorisasi Wilayah AWS Timur/Barat

  • Daftar lengkap lembaga pengotorisasi AWS GovCloud (AS)

  • AWS GovCloud JAB P-ATO pada dasar tinggi

• Apa tanggung jawab pelanggan saya untuk menyelaraskan sistem AWS saya dengan kerangka kerja NIST?

  Meskipun beberapa kontrol Anda diwariskan dari AWS, banyak kontrol tersebut yang merupakan warisan bersama antara Anda sebagai pelanggan dan AWS. Tanggung jawab kontrol adalah sebagai berikut:

  • Tanggung Jawab Bersama: Anda akan memberikan keamanan dan konfigurasi komponen perangkat lunak Anda dan AWS akan memberikan keamanan untuk infrastrukturnya.
  • Tanggung Jawab Khusus Pelanggan: Anda sepenuhnya bertanggung jawab atas sistem operasi tamu, aplikasi yang diterapkan, dan sumber daya jaringan tertentu (misalnya, firewall). Lebih khusus lagi, Anda sepenuhnya bertanggung jawab untuk mengonfigurasi dan mengelola keamanan Anda di cloud.
  • Tanggung Jawab Khusus AWS: AWS mengelola infrastruktur cloud, termasuk jaringan, penyimpanan data, sumber daya sistem, pusat data, keamanan fisik, keandalan, serta perangkat keras dan perangkat lunak pendukung. Aplikasi yang dibangun di atas sistem AWS mewarisi fitur dan opsi yang dapat dikonfigurasi yang disediakan AWS. AWS bertanggung jawab sepenuhnya untuk mengonfigurasi dan mengelola keamanan dari cloud.

  Untuk tujuan otorisasi keamanan, kepatuhan terhadap persyaratan FedRAMP (berdasarkan kontrol dasar Rendah/Sedang/Tinggi NIST 800-53 rev 4) tergantung pada AWS yang sepenuhnya menerapkan kontrol Khusus AWS dan kontrol Bersama, dan Anda yang menerapkan kontrol Khusus Pelanggan dan kontrol Bersama. Organisasi penilaian pihak ketiga terakreditasi FedRAMP (3PAO) telah menilai dan mengesahkan implementasi tanggung jawab kontrol AWS. Bagian dari kontrol bersama yang menjadi tanggung jawab Anda, dan kontrol yang terkait dengan aplikasi yang Anda terapkan di atas infrastruktur AWS, harus dinilai dan diotorisasi secara terpisah oleh Anda, sesuai dengan NIST 800-37 dan kebijakan dan prosedur otorisasi keamanan spesifik Anda.
  

• Bagaimana AWS dapat membantu saya mencapai keselarasan dengan kerangka kerja NIST?

  Sistem yang memenuhi standar AWS FedRAMP telah diberikan otorisasi, telah menangani kontrol keamanan FedRAMP (NIST SP 800-53), menggunakan template FedRAMP yang diperlukan untuk paket keamanan yang diposting di Repositori FedRAMP aman, telah dinilai oleh organisasi penilaian pihak ketiga independen yang terakreditasi (3PAO) dan mempertahankan persyaratan pemantauan berkelanjutan dari FedRAMP.

  Menurut Model Tanggung Jawab Bersama AWS, AWS mengelola keamanan dari cloud dan Anda bertanggung jawab atas keamanan Anda di cloud. Untuk mendukung penerapan tanggung jawab bersama, AWS telah membuat solusi Quick Start (didukung oleh AWS CloudFormation) yang menggunakan sekali klik untuk mengautomasi deployment teknologi penting di AWS Cloud. Setiap Quick Start meluncurkan, mengonfigurasi, dan menjalankan komputasi, jaringan, penyimpanan, dan layanan AWS lainnya yang diperlukan untuk menerapkan beban kerja di AWS yang menangani persyaratan kepatuhan standar dan kerangka kerja keamanan seperti NIST 800-53.

  AWS Quick Start menyederhanakan, mengotomatisasi, dan menerapkan dasar aman dengan serangkaian aturan komprehensif yang dapat diterapkan secara sistematis. Misalnya Quick Start Arsitektur Standar untuk Kerangka Kerja Jaminan Berbasis NIST di AWS Cloud mencakup templat AWS CloudFormation. Templat ini dapat diintegrasikan dengan AWS Service Catalog untuk mengotomatisasi pembuatan beban kerja arsitektur dasar standar yang termasuk dalam lingkup NIST 800-53 Revision 4 dan NIST 800-171. Quick Start ini juga mencakup referensi kontrol keamanan, yang memetakan keputusan arsitektur kontrol keamanan, fitur, dan konfigurasi dasar. Quick Start dapat digunakan untuk mendukung upaya kepatuhan Anda dalam AWS dengan cara yang masuk akal untuk tujuan keamanan dan kepatuhan AWS Cloud di organisasi Anda.
  

• Bagaimana seharusnya saya menggunakan NIST CSF?

  Apakah Anda adalah organisasi sektor publik atau komersial, Anda dapat menggunakan whitepaper NIST Cybersecurity Framework (CSF) untuk menilai lingkungan AWS menurut NIST CSF, dan meningkatkan langkah-langkah keamanan yang Anda terapkan dan operasikan (bagian Anda dari Model Tanggung Jawab Bersama, juga dikenal sebagai keamanan di cloud). Untuk memfasilitasi keselarasan Anda dengan NIST CSF, kami memberikan deskripsi mendetail tentang layanan AWS Cloud serta tanggung jawab pelanggan dan AWS terkait. Whitepaper ini juga menyediakan surat auditor pihak ketiga yang membuktikan kesesuaian layanan AWS Cloud dengan praktik manajemen risiko NIST CSF (bagian kami dari Model Tanggung Jawab Bersama, juga dikenal sebagai keamanan dari cloud), yang memungkinkan organisasi melindungi data mereka secara tepat di seluruh AWS.

  Organisasi termasuk lembaga federal dan negara bagian, entitas yang diatur, dan perusahaan besar dapat menggunakan whitepaper ini sebagai panduan untuk menerapkan solusi AWS agar mencapai hasil manajemen risiko dalam NIST CSF.
  

Sumber Daya NIST