National Institute of Standards and Technology (NIST)

Ikhtisar

600x400_NIST_Logo

Kontrol keamanan National Institute of Standards and Technology (NIST) 800-53 secara umum berlaku untuk Sistem Informasi Federal AS. Sistem Informasi Federal biasanya harus melalui penilaian formal dan proses otorisasi untuk memastikan perlindungan yang cukup terhadap kerahasiaan, integritas, serta ketersediaan informasi dan sistem informasi.

NIST Cybersecurity Framework (CSF) didukung oleh pemerintah dan industri di seluruh dunia sebagai dasar yang direkomendasikan untuk digunakan oleh organisasi apa pun, terlepas dari sektor atau ukurannya. Menurut Gartner, pada tahun 2015 CSF digunakan oleh sekitar 30 persen organisasi AS dan penggunaannya diproyeksikan akan mencapai 50 persen pada tahun 2020. Sejak Tahun Fiskal 2016, metrik Federal Information Security Modernization Act (FISMA) lembaga federal telah diorganisir di sekitar CSF, dan lembaga sekarang diwajibkan untuk menerapkan CSF berdasarkan Cybersecurity Executive Order.

  • Apakah AWS sesuai dengan kerangka kerja NIST 800-53?

    Ya, infrastruktur dan layanan AWS Cloud telah divalidasi oleh pengujian pihak ketiga yang dilakukan menurut kontrol NIST 800-53 Revision 4, serta persyaratan FedRAMP tambahan. AWS telah menerima FedRAMP Authorizations to Operate (ATO) dari berbagai lembaga pengotorisasi untuk Wilayah AWS GovCloud (AS) dan Wilayah AS Timur/Barat. Untuk informasi lebih lanjut, lihat halaman web Kepatuhan AWS FedRAMP, atau halaman web FedRAMP Marketplace berikut:

  • Apa tanggung jawab pelanggan saya untuk menyelaraskan sistem AWS saya dengan kerangka kerja NIST?

    Meskipun beberapa kontrol Anda diwariskan dari AWS, banyak kontrol tersebut yang merupakan warisan bersama antara Anda sebagai pelanggan dan AWS. Berdasarkan NDA, AWS menyediakan template SSP AWS FedRAMP berdasarkan NIST 800-53 Rev. 4, yang diisi sebelumnya dengan dasar kontrol rendah/sedang/tinggi NIST 800-5 Rev. 4 yang berlaku. Tanggung jawab kontrol adalah sebagai berikut:

    • Tanggung Jawab Bersama: Anda akan memberikan keamanan dan konfigurasi komponen perangkat lunak Anda dan AWS akan memberikan keamanan untuk infrastrukturnya.
    • Tanggung Jawab Khusus Pelanggan: Anda sepenuhnya bertanggung jawab atas sistem operasi tamu, aplikasi yang diterapkan, dan sumber daya jaringan tertentu (misalnya, firewall). Lebih khusus lagi, Anda sepenuhnya bertanggung jawab untuk mengonfigurasi dan mengelola keamanan Anda di cloud.
    • Tanggung Jawab Khusus AWS: AWS mengelola infrastruktur cloud, termasuk jaringan, penyimpanan data, sumber daya sistem, pusat data, keamanan fisik, keandalan, serta perangkat keras dan perangkat lunak pendukung. Aplikasi yang dibangun di atas sistem AWS mewarisi fitur dan opsi yang dapat dikonfigurasi yang disediakan AWS. AWS bertanggung jawab sepenuhnya untuk mengonfigurasi dan mengelola keamanan dari cloud.

    Untuk tujuan otorisasi keamanan, kepatuhan terhadap persyaratan FedRAMP (berdasarkan kontrol dasar Rendah/Sedang/Tinggi NIST 800-53 rev 4) tergantung pada AWS yang sepenuhnya menerapkan kontrol Khusus AWS dan kontrol Bersama, dan Anda yang menerapkan kontrol Khusus Pelanggan dan kontrol Bersama. Organisasi penilaian pihak ketiga terakreditasi FedRAMP (3PAO) telah menilai dan mengesahkan implementasi tanggung jawab kontrol AWS. Bagian dari kontrol bersama yang menjadi tanggung jawab Anda, dan kontrol yang terkait dengan aplikasi yang Anda terapkan di atas infrastruktur AWS, harus dinilai dan diotorisasi secara terpisah oleh Anda, sesuai dengan NIST 800-37 dan kebijakan dan prosedur otorisasi keamanan spesifik Anda.

  • Bagaimana AWS dapat membantu saya mencapai keselarasan dengan kerangka kerja NIST?

    Sistem yang memenuhi standar AWS FedRAMP telah diberikan otorisasi, telah menangani kontrol keamanan FedRAMP (NIST SP 800-53), menggunakan template FedRAMP yang diperlukan untuk paket keamanan yang diposting di Repositori FedRAMP aman, telah dinilai oleh organisasi penilaian pihak ketiga independen yang terakreditasi (3PAO) dan mempertahankan persyaratan pemantauan berkelanjutan dari FedRAMP.

    Menurut Model Tanggung Jawab Bersama AWS, AWS mengelola keamanan dari cloud dan Anda bertanggung jawab atas keamanan Anda di cloud. Untuk mendukung penerapan tanggung jawab bersama, AWS telah membuat solusi Quick Start (didukung oleh AWS CloudFormation) yang menggunakan sekali klik untuk mengotomatisasi penerapan teknologi penting di AWS Cloud. Setiap Quick Start meluncurkan, mengonfigurasi, dan menjalankan komputasi, jaringan, penyimpanan, dan layanan AWS lainnya yang diperlukan untuk menerapkan beban kerja di AWS yang menangani persyaratan kepatuhan standar dan kerangka kerja keamanan seperti NIST 800-53.

    AWS Quick Start menyederhanakan, mengotomatisasi, dan menerapkan dasar aman dengan serangkaian aturan komprehensif yang dapat diterapkan secara sistematis. Misalnya, Quick Start Arsitektur Standar untuk Kerangka Kerja Jaminan Berbasis NIST di AWS Cloud mencakup template AWS CloudFormation. Template ini dapat diintegrasikan dengan Katalog Layanan AWS untuk mengotomatisasi pembuatan beban kerja arsitektur dasar standar yang termasuk dalam lingkup NIST 800-53 Revision 4 dan NIST 800-171. Quick Start ini juga mencakup referensi kontrol keamanan, yang memetakan keputusan arsitektur kontrol keamanan, fitur, dan konfigurasi dasar. Quick Start dapat digunakan untuk mendukung upaya kepatuhan Anda dalam AWS dengan cara yang masuk akal untuk tujuan keamanan dan kepatuhan AWS Cloud di organisasi Anda.

  • Bagaimana seharusnya saya menggunakan NIST CSF?

    Apakah Anda adalah organisasi sektor publik atau komersial, Anda dapat menggunakan whitepaper NIST Cybersecurity Framework (CSF) untuk menilai lingkungan AWS menurut NIST CSF, dan meningkatkan langkah-langkah keamanan yang Anda terapkan dan operasikan (bagian Anda dari Model Tanggung Jawab Bersama, juga dikenal sebagai keamanan di cloud). Untuk memfasilitasi keselarasan Anda dengan NIST CSF, kami memberikan deskripsi mendetail tentang layanan AWS Cloud serta tanggung jawab pelanggan dan AWS terkait. Whitepaper ini juga menyediakan surat auditor pihak ketiga yang membuktikan kesesuaian layanan AWS Cloud dengan praktik manajemen risiko NIST CSF (bagian kami dari Model Tanggung Jawab Bersama, juga dikenal sebagai keamanan dari cloud), yang memungkinkan organisasi melindungi data mereka secara tepat di seluruh AWS.

    Organisasi termasuk lembaga federal dan negara bagian, entitas yang diatur, dan perusahaan besar dapat menggunakan whitepaper ini sebagai panduan untuk menerapkan solusi AWS agar mencapai hasil manajemen risiko dalam NIST CSF.

compliance-contactus-icon
Ada Pertanyaan? Terhubung dengan Perwakilan Bisnis AWS
Menjelajahi peran kepatuhan?
Daftar sekarang »
Ingin mendapatkan info terbaru tentang Kepatuhan AWS?
Ikuti Kami di Twitter »