National Institute of Standards and Technology (NIST)

Panoramica

600x400_NIST_Logo

I controlli di sicurezza 800-53 del National Institute of Standards and Technology (NIST) sono generalmente applicabili ai sistemi di informazione federali. In genere i sistemi informativi federali devono passare attraverso una valutazione formale e un processo di autorizzazione per garantire una protezione sufficiente di riservatezza, integrità e disponibilità di informazioni e sistemi di informazione.

Il Cybersecurity Framework (CSF) del NIST è supportato da governi e aziende in tutto il mondo in quanto framework di base consigliato per qualsiasi tipo di organizzazione, indipendentemente da settore o dimensioni. Secondo Gartner, il CSF è stato adottato da circa il 30% delle aziende statunitensi nel 2015 e raggiungerà il 50% nel 2020. A partire dall'esercizio fiscale 2016, i parametri dell'agenzia federale FISMA (Federal Information Security Modernization Act) sono stati gestiti secondo il CSF e le agenzie devono implementare il framework in base al Cybersecurity Executive Order.

  • AWS è conforme al framework NIST 800-53?

    Sì, l'infrastruttura ei servizi di AWS Cloud sono stati convalidati da test di terze parti eseguiti rispetto ai controlli NIST 800-53 Rev. 4 e ai requisiti aggiuntivi di FedRAMP. AWS ha ricevuto le autorizzazioni operative (ATO, Authorizations to Operate) di FedRAMP da diverse agenzie di autorizzazione sia per la regione AWS GovCloud (Stati Uniti) sia per le regioni degli Stati Uniti orientali Stati Uniti occidentali di AWS. Per ulteriori informazioni, consulta lapagina web di conformità FedRAMP di AWSo segui le pagine web di marketplace di FedRAMP:

  • Quali sono le responsabilità dei miei clienti nell'allineare i miei sistemi AWS con i framework NIST?

    Mentre alcuni controlli sono specificamente ereditati da AWS, molti altri presentano un'ereditarietà condivisa tra il cliente e AWS. Ai sensi dell'accordo di riservatezza, AWS fornisce un modello AWS FedRAMP SSP basato su NIST 800-53 Rev. 4 e precompilato con la baseline di controllo bassa/moderata/alta di NIST 800-5 Rev. 4. La responsabilità dei controlli si articola come segue:

    • Responsabilità condivisa: il cliente si occupa della sicurezza e delle configurazioni dei componenti software e AWS si occupa della sicurezza della sua infrastruttura.
    • Esclusiva responsabilità del cliente: il cliente è totalmente responsabile dei sistemi operativi guest, delle applicazioni distribuite e delle risorse di rete (ad esempio, i firewall). Più specificamente, il cliente è l'unico responsabile della configurazione e della gestione della sicurezzacloud.
    • Esclusiva responsabilità di AWS: AWS gestisce l'infrastruttura cloud, tra cui la rete, lo storage dei dati, le risorse di sistema, i data center, la sicurezza fisica, l'affidabilità e il supporto dell'hardware e del software. Le applicazioni create sul sistema AWS ereditano le caratteristiche e le opzioni configurabili che fornisce AWS. AWS è l'unico responsabile della configurazione e della gestione della sicurezzadelcloud.

    Ai fini dell'autorizzazione sulla sicurezza, la conformità ai requisiti FedRAMP (in base alla baseline di controllo bassa/moderata/alta di NIST 800-53 Rev. 4) è subordinata alla completa implementazione da parte di AWS dei controlli condivisi e dei controlli esclusivi di AWS e all'implementazione da parte del cliente dei controlli condivisi e dei controlli esclusivi del cliente. La 3PAO, un´entità di valutazione di terze parti accreditata FedRAMP ha valutato e autorizzato l'implementazione AWS della nostra responsabilità di controllo. La parte dei controlli condivisi di cui è responsabile il cliente e i controlli relativi alle applicazioni che il cliente implementa nell'infrastruttura AWS devono essere valutati e autorizzati separatamente dal cliente in base a NIST 800-37 e alle specifiche policy e procedure di autorizzazione della sicurezza del cliente.

  • In che modo AWS può aiutarmi a raggiungere l'allineamento con i framework NIST?

    I sistemi AWS conformi a FedRAMP hanno ricevuto autorizzazioni, sono stati sottoposti ai controlli di sicurezza FedRAMP (NIST SP 800-53), utilizzano i modelli FedRAMP necessari per i pacchetti di sicurezza pubblicati nel repository sicuro di FedRAMP, sono stati valutati da un'entità di controllo di terze parti indipendente accreditata (3PAO) e mantengono i requisiti di monitoraggio continuo di FedRAMP.

    Secondo il modello di responsabilità condivisa di AWS, AWS gestisce la sicurezzadelcloud e il cliente è responsabile della sicurezzanelcloud. Per un supporto durante l´implementazione delle responsabilità condivise, AWS ha creatodelle soluzioni Quick Start(offerte da AWS CloudFormation) che ricorrono a un singolo clic per automatizzare la distribuzione di importanti tecnologie nel cloud AWS. Ciascuna Quick Start lancia, configura ed esegue servizi di calcolo, rete, storage e altri servizi AWS necessari per distribuire un carico di lavoro su AWS, per rispondere alla necessità di ottenere compliance con i comuni standard e framework di sicurezza come NIST 800-53.

    Le guide Quick Start semplificano, automatizzano e implementano baseline sicure con set di regole completi che possono essere applicati in modo sistematico. Ad esempio, l'architettura standardizzata Quick Startwork per i framework di sicurezza basati su NIST del cloud AWS include i modelli di AWS CloudFormation. Questi modelli possono essere integrati con AWS Service Catalog per automatizzare la creazione di un carico di lavoro su architettura di baseline standardizzata nell'ambito di NIST 800-53 (Rev. 4) e NIST 800-171. La guida Quick Start include inoltre un riferimento per i controlli di sicurezza, che mappa le decisioni sull'architettura relative ai controlli di sicurezza, le caratteristiche e la configurazione della baseline. Questi elementi possono essere utilizzati per supportare le attività di compliance in AWS, in base agli obiettivi di sicurezza e compliance del cloud AWS dell'organizzazione.

  • In che modo è necessario impiegare il framework CSF del NIST?

    Sia che si tratti di un'organizzazione del settore pubblico sia commerciale, è possibile utilizzare il whitepaper Cybersecurity Framework (CSF) del NIST per valutare l'ambiente AWS rispetto al CSF del NIST e migliorare le misure di sicurezza implementate e operare (secondo il Modello di responsabilità condivisa, noto anche come sicurezza nelcloud.) Per facilitare l'allineamento con il CSF del NIST, forniamo una descrizione dettagliata dei servizi di AWS Cloud e delle responsabilità associate a clienti e AWS. Il whitepaper fornisce inoltre la lettera dell'entità di controllo di terze parti che attesta la conformità dell'offerta del cloud AWS alle pratiche di gestione del rischio previste dal framework CSF del NIST (Modello di responsabilità condivisa, nota anche come "sicurezzanelcloud", consentendo alle aziende di proteggere al meglio i propri dati in AWS.

    Questo whitepaper potrà essere utilizzato da aziende di ogni tipo (agenzie federali o statali, grandi aziende anche in settori regolamentati) come guida all'implementazione delle soluzioni AWS per ottenere il livello di gestione del rischio richiesto dal framework del CSF del NIST.

compliance-contactus-icon
Hai domande? Contatta un rappresentante di conformità di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »