National Institute of Standards and Technology (NIST)

Panoramica

I controlli di sicurezza 800-53 del National Institute of Standards and Technology (NIST) sono generalmente applicabili ai sistemi di informazione federali degli Stati Uniti. In genere i sistemi informativi federali devono passare attraverso una valutazione formale e un processo di autorizzazione per garantire una protezione sufficiente di riservatezza, integrità e disponibilità di informazioni e sistemi di informazione.

Il Cybersecurity Framework (CSF) del NIST è supportato da governi e aziende in tutto il mondo in quanto framework di base consigliato per qualsiasi tipo di organizzazione, indipendentemente da settore o dimensioni. Secondo Gartner, il CSF è stato adottato da circa il 30% delle aziende statunitensi nel 2015 e raggiungerà il 50% nel 2020. A partire dall'esercizio fiscale 2016, i parametri dell'agenzia federale FISMA (Federal Information Security Modernization Act) sono stati gestiti secondo il CSF e le agenzie devono implementare il framework in base al Cybersecurity Executive Order.

• AWS è conforme al framework NIST 800-53?

  Sì, l'infrastruttura e i servizi di AWS Cloud sono stati convalidati con test eseguiti da terze parti a confronto con i controlli NIST 800-53 Rev. 4 e con i requisiti aggiuntivi di FedRAMP. AWS ha ricevuto le autorizzazioni operative (ATO, Authorizations to Operate) di FedRAMP da diverse agenzie di autorizzazione sia per la regione AWS GovCloud (Stati Uniti) sia per le regioni degli Stati Uniti orientali e Stati Uniti occidentali di AWS. Per ulteriori informazioni, consulta la pagina relativa alla Conformità a FedRAMP di AWS o le pagine Web FedRAMP del Marketplace:
  

  • Elenco completo delle agenzie di autorizzazione delle regioni AWS orientale e occidentale

  • Elenco completo delle agenzie di autorizzazione per AWS GovCloud (Stati Uniti)

  • AWS GovCloud JAB P-ATO con baseline alta

• Quali sono le responsabilità dei miei clienti nell'allineare i miei sistemi AWS con i framework NIST?

  Mentre alcuni controlli sono specificamente ereditati da AWS, molti altri presentano un'ereditarietà condivisa tra il cliente e AWS. La responsabilità dei controlli si articola come segue:

  • Responsabilità condivisa: il cliente si occupa della sicurezza e delle configurazioni dei componenti software e AWS si occupa della sicurezza della sua infrastruttura.
  • Esclusiva responsabilità del cliente: il cliente è totalmente responsabile dei sistemi operativi guest, delle applicazioni distribuite e delle risorse di rete (ad esempio, i firewall). Più specificamente, il cliente è l'unico responsabile della configurazione e della gestione della sicurezza nel cloud.
  • Esclusiva responsabilità di AWS: AWS gestisce l'infrastruttura cloud, tra cui la rete, lo storage dei dati, le risorse di sistema, i data center, la sicurezza fisica, l'affidabilità e il supporto dell'hardware e del software. Le applicazioni create sul sistema AWS ereditano le caratteristiche e le opzioni configurabili che fornisce AWS. AWS è l'unico responsabile della configurazione e della gestione della sicurezza del cloud.

  Ai fini dell'autorizzazione sulla sicurezza, la conformità ai requisiti FedRAMP (in base alla baseline di controllo bassa/moderata/alta di NIST 800-53 Rev. 4) è subordinata alla completa implementazione da parte di AWS dei controlli condivisi e dei controlli esclusivi di AWS e all'implementazione da parte del cliente dei controlli condivisi e dei controlli esclusivi del cliente. La 3PAO, un´entità di valutazione di terze parti accreditata FedRAMP ha valutato e autorizzato l'implementazione AWS della nostra responsabilità di controllo. La parte dei controlli condivisi di cui è responsabile il cliente e i controlli relativi alle applicazioni che il cliente implementa nell'infrastruttura AWS devono essere valutati e autorizzati separatamente dal cliente in base a NIST 800-37 e alle specifiche policy e procedure di autorizzazione della sicurezza del cliente.
  

• In che modo AWS può aiutarmi a raggiungere l'allineamento con i framework NIST?

  I sistemi AWS conformi a FedRAMP hanno ricevuto autorizzazioni, sono stati sottoposti ai controlli di sicurezza FedRAMP (NIST SP 800-53), utilizzano i modelli FedRAMP necessari per i pacchetti di sicurezza pubblicati nel repository sicuro di FedRAMP, sono stati valutati da un'entità di controllo di terze parti indipendente accreditata (3PAO) e mantengono i requisiti di monitoraggio continuo di FedRAMP.

  Secondo il Modello di responsabilità condivisa AWS, AWS gestisce la sicurezza del cloud e il cliente è responsabile della propria sicurezza nel cloud. Per supportare l'implementazione di responsabilità condivise, AWS ha creato la soluzione Landing Zone Accelerator su AWS (basata su AWS CloudFormation). La soluzione Landing Zone Accelerator su AWS implementa una base cloud progettata per allinearsi alle best practice di AWS e a diversi framework di conformità globali, inclusi i framework basati su NIST. Con questa soluzione, i clienti con carichi di lavoro altamente regolamentati e requisiti di conformità complessi possono gestire e controllare meglio il loro ambiente multi-account. Se utilizzato insieme ad altri servizi AWS, offre una soluzione completa senza codice per oltre 35 servizi AWS. La soluzione Landing Zone Accelerator su AWS aiuta il cliente a implementare rapidamente una base cloud sicura, resiliente, scalabile e completamente automatizzata che accelera la sua preparazione per il programma di conformità cloud. Nota: questa soluzione, di per sé, non renderà il cliente conforme. Fornisce l'infrastruttura base da cui possono essere integrate soluzioni aggiuntive gratuite.

• In che modo si deve impiegare il framework CSF del NIST?

  Che si tratti di un'organizzazione del settore pubblico o commerciale, è possibile utilizzare il whitepaper Cybersecurity Framework (CSF) del NIST per valutare l'ambiente AWS rispetto al CSF del NIST e migliorare le misure di sicurezza implementate e gestite (secondo il Modello di responsabilità condivisa, noto anche come sicurezza nel cloud.) Per facilitare l'allineamento con il CSF del NIST, forniamo una descrizione dettagliata dei servizi di AWS Cloud e delle responsabilità associate a clienti e AWS. Il whitepaper fornisce inoltre la lettera dell'entità di controllo di terze parti che attesta la conformità dei servizi di AWS Cloud alle pratiche di gestione dei rischi previste dal framework CSF del NIST (secondo il Modello di responsabilità condivisa, nota anche come sicurezza del cloud) consentendo alle organizzazioni di proteggere al meglio i propri dati in AWS.

  Questo whitepaper potrà essere utilizzato da aziende di ogni tipo (agenzie federali o statali, grandi aziende anche in settori regolamentati) come guida all'implementazione delle soluzioni AWS per ottenere il livello di gestione del rischio richiesto dal framework del CSF del NIST.
  

Risorse NIST