Я хочу получать информацию об MPAA в облаке

Американская ассоциация кинокомпаний (MPAA) определила набор рекомендаций по безопасному хранению, обработке и доставке защищенного мультимедийного контента http://www.mpaa.org/content-security-program/. Медиакомпании используют эти рекомендации для оценки рисков и безопасности своего контента и инфраструктуры.

Несмотря на то что MPAA не поддерживает полноценную сертификацию, медиакомпании могут использовать руководство AWS для MPAA, демонстрирующее соответствие AWS рекомендациям MPAA, чтобы усовершенствовать оценку рисков и контента MPAA в AWS.

Дополнительную информацию по решениям для цифрового контента можно найти на странице:

https://aws.amazon.com/digital-media/


AWS предоставляет гибкие инструменты для безопасного расширения нашего центра обработки данных благодаря облачным технологиям и функционалу Virtual Private Cloud (VPC). Мы можем использовать существующее аппаратное обеспечение, а также политики и процедуры на базе безопасной, эффективной и масштабируемой вычислительной среды, управление которой требует очень небольшого количества ресурсов.

Тереза Миллер Исполнительный вице-президент отдела информационных технологий, LIONSGATE

Рекомендации
Необходимо обеспечить контроль информационной безопасности руководством или владельцем (владельцами) посредством проведения регулярных проверок программ информационной безопасности и результатов оценки рисков.
 
Реализация AWS      
Контроль среды Amazon начинается на самом высоком уровне компании. Исполнительные руководители и высшее руководство играют важную роль в формировании общей атмосферы и базовых ценностей компании. AWS формирует инфраструктуру и политики информационной безопасности, основанные на инфраструктуре задач управления для информационных и смежных технологий (COBIT), и эффективно внедряет инфраструктуру, сертифицированную в соответствии со стандартом ISO 27001 на основе средств управления ISO 27002, основными положениями по предоставлению трастовых услуг Американского института присяжных бухгалтеров (AICPA), PCI DSS v3.1 и публикацией 800-53, ред. 3, Национального института стандартов и технологий (NIST). В зависимости от выполняемых функций сотрудники AWS регулярно проходят обучение, которое включает обучение AWS по вопросам безопасности. Проверки соответствия требованиям проводятся таким образом, что сотрудники понимают установленные политики и следуют им.      
       
Рекомендации
     
Необходимо разработать формальный процесс оценки рисков по вопросам безопасности для рабочих процессов, связанных с контентом, и объектов, требующих конфиденциальности, чтобы выявить и расставить приоритеты для рисков кражи и утечки контента для соответствующего объекта.      
       
Реализация AWS      
В AWS реализована формальная задокументированная политика оценки рисков, которая обновляется и пересматривается по крайней мере один раз в год. Политика устанавливает цели, область применения, права, обязанности и обязательства руководства.

В соответствии с этой политикой группа AWS по обеспечению соответствия требований ежегодно проводит оценку рисков во сферах деятельности и регионах AWS. Оценка проверяется высшим руководством AWS. Такая оценка проводится в дополнение к сертификации, аттестации и отчетам, предоставляемым независимыми аудиторами. Целью оценки рисков является выявление уязвимостей и угроз для AWS, присвоение этим уязвимостям и угрозам категории риска, оформление документации и оценки и составление плана работы с рисками в отношении этих проблем. Высшее руководство AWS проверяет результаты оценки рисков. Такие проверки проводятся ежегодно, а также в тех случаях, когда внедрение значительных изменений требует новой оценки рисков.

Заказчики остаются владельцами данных (контента) и несут ответственность за оценку и управление рисками, связанными с рабочими процессами, и выполнение требований.

Оценку инфраструктуры управления рисками AWS проводят независимые внешние аудиторы в рамках проверки соответствия требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.
     
       
Рекомендации
Необходимо назначить основного ответственного (ответственных) за безопасность и формально определить права и обязанности по защите контента и объектов.
 
Реализация AWS      
В AWS сформировано управление безопасности под руководством группы безопасности AWS и руководителя по информационной безопасности (CISO). AWS проводит обучение с целью повышения информированности в вопросах безопасности для всех пользователей информационных систем, связанных с AWS. Ежегодное обучение по вопросам безопасности охватывает следующие темы: цель обучения и повышения информированности в вопросах безопасности, расположение всех политик AWS, процедуры AWS по реагированию на чрезвычайные ситуации (включая инструкции по составлению отчетов о внутренних и внешних чрезвычайных ситуациях с точки зрения безопасности).

Системы, работающие с AWS, оснащены многочисленными инструментами по отслеживанию основных эксплуатационных показателей и показателей безопасности. Если какой-то из основных показателей выходит за установленные пределы, срабатывают настроенные аварийные сигналы, автоматически оповещая операторов и руководителей. При превышении порогового значения показателя запускается процесс AWS по реагированию на чрезвычайные ситуации.Группа Amazon по реагированию на чрезвычайные ситуации применяет стандартные в отрасли процедуры диагностики, чтобы разрешить ситуацию, которая может иметь последствия для бизнеса. Работа над выявлением чрезвычайных ситуаций и управлением последствиями ведется круглосуточно и без выходных.

Права и обязанности AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.
     
       
Рекомендации      
Необходимо сформировать политики и процедуры в отношении безопасности объектов и контента. Политики должны охватывать по меньшей мере следующие вопросы:
• политики по персоналу;
• допустимое использование (например, социальные сети, Интернет, телефон и т. д.);
• классификация объектов;
• политики работы с объектами;
• цифровые записывающие устройства (например, смартфоны, цифровые камеры, видеокамеры);
• политика отклонений (например, процесс регистрации отклонений от политики);
• управление паролями (например, минимальная длина пароля, экранные заставки);
• запрет на вынос имущества клиентов с объекта;
• управление изменениями в системе;
• политика информирования о нарушениях;
• политика мер ответственности (например, политика дисциплинарных взысканий).
     
       
Реализация AWS      
AWS формирует инфраструктуру и политики информационной безопасности, основанные на инфраструктуре задач управления для информационных и смежных технологий (COBIT), и эффективно внедряет инфраструктуру, сертифицированную в соответствии со стандартом ISO 27001 на основе средств управления ISO 27002, основными положениями по предоставлению трастовых услуг Американского института присяжных бухгалтеров (AICPA), PCI DSS v3.1 и публикацией 800-53, ред. 3, Национального института стандартов и технологий (NIST).

AWS проводит обучение с целью повышения информированности в вопросах безопасности для всех пользователей информационных систем, связанных с AWS. Ежегодное обучение по вопросам безопасности охватывает следующие темы: цель обучения и повышения информированности в вопросах безопасности, расположение всех политик AWS, процедуры AWS по реагированию на чрезвычайные ситуации (включая инструкции по составлению отчетов о внутренних и внешних чрезвычайных ситуациях с точки зрения безопасности).

Политики, процедуры и соответствующие программы обучения AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.
     
Рекомендации      
Необходимо сформировать план реагирования на чрезвычайные ситуации, в котором будут описаны действия, необходимые в случае обнаружения чрезвычайной ситуации или сообщения о ней.      
Реализация AWS

AWS реализует формальную задокументированную политику и программу реагирования на чрезвычайные ситуации. Политика устанавливает цели, область применения, права, обязанности и обязательства руководства.

Для управления чрезвычайными ситуациями AWS применяет подход, состоящий из трех этапов.
1. Этап активации и оповещения. Для AWS чрезвычайная ситуация начинается с выявления события. Для выявления события могут быть задействованы несколько источников, в том числе следующие.
a. Показатели и аварийные сигналы. AWS обеспечивает исключительные возможности по информированию о чрезвычайной ситуации. Большинство проблем быстро выявляются в рамках работ, которые ведутся круглосуточно и без выходных: мониторинга, отслеживания аварийных сигналов по показателям в реальном времени и панели состояния сервисов. Это позволяет выявлять большую часть чрезвычайных ситуаций. AWS использует аварийные сигналы для раннего оповещения по показателям, чтобы заранее выявлять проблемы, которые могут в конечном итоге повлиять на клиентов.
b. Уведомление о неисправности, зарегистрированное сотрудником AWS.
c. Звонок на круглосуточную линию технической поддержки.

Если событие соответствует признакам чрезвычайной ситуации, соответствующий инженер службы технической поддержки начнет работу над устранением проблемы с помощью системы AWS Event Management Tool, которая позволяет запустить процесс решения проблемы и назначить ответственных за решение в рамках программы (например, группу безопасности). Ответственные за решение проанализируют чрезвычайную ситуацию, чтобы определить необходимость привлечения дополнительных ресурсов и выявить предполагаемую основную причину.

2. Этап восстановления. Назначенные ответственные за решение выполняют устранение неисправности для чрезвычайной ситуации. После проведения поиска и устранения неисправностей, а также работы над самой неисправностью и поврежденными компонентами, инженер, ответственный за звонок, определяет действия на следующих этапах в отношении документирования контроля за исполнением и завершения работы с поступившим звонком.

3. Воспроизведение. После завершения соответствующих работ по устранению неисправности ответственный за звонок объявляет завершение этапа восстановления. Соответствующей группе назначается задача по тщательному анализу устраненной чрезвычайной ситуации и ее главных причин. Результат анализа устраненной чрезвычайной ситуации проверяется соответствующим руководством; соответствующие действия, такие как конструкционные изменения, и т. д. отмечаются в документе по исправлению ошибок (Correction of Errors, COE) и отслеживаются до полного завершения.

Помимо механизма внутренней коммуникации, подробно описанного выше, в AWS также реализованы разнообразные способы внешней коммуникации в целях поддержки клиентов и сообщества. Реализованы механизмы, позволяющие информировать группу поддержки клиентов об эксплуатационных проблемах, которые влияют на функционирование системы на стороне клиентов. Для информирования клиентов обо всех проблемах, которые могут иметь значительные последствия, в группе поддержки клиентов имеется обновляемая «Панель состояния сервиса».


Программа управления чрезвычайными ситуациями AWS проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.

Клиенты AWS несут ответственность за документирование рабочих процессов, связанных с контентом (данными), поскольку являются владельцами собственных гостевых операционных систем, программного обеспечения, приложений и данных и отвечают за управление ими.

Рекомендации      

Необходимо выполнить проверку на наличие правонарушений для всех сотрудников компании и сторонних работников.

     
       
Реализация AWS      
В рамках проверки персонала перед приемом на работу AWS проводит проверки на наличие правонарушений в той степени, в которой это разрешено действующим законодательством, для персонала в соответствии с должностью и уровнем доступа на объекты AWS.

Программа проверок на наличие правонарушений AWS проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.
     
       
Рекомендации      
Необходимо, чтобы при приеме на работу, а также ежегодно после приема на работу все сотрудники компании и сторонние работники подписывали соглашение о конфиденциальности (т. е. соглашение о неразглашении информации), в котором указаны требования по работе с контентом и его защите.      
       
Реализация AWS      
Юрист Amazon управляет соглашением Amazon о неразглашении информации (NDA) и периодически пересматривает его, чтобы отразить в нем требования AWS по ведению бизнеса.

Использование в AWS соглашений о неразглашении информации проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям ISO 27001 и FedRAMPsm.
     
       
Рекомендации      
Необходимо регистрировать и анализировать электронный доступ к зонам с ограниченным доступом в случае подозрительной активности.      
       
Реализация AWS      

Контроль физического доступа осуществляется профессиональными охранниками как по периметру объекта, так и точках доступа в здания с помощью видеонаблюдения, систем обнаружения проникновения и прочих электронных средств.
Все входы в центры обработки данных AWS, в том числе главный вход, погрузочная площадка и все расположенные на крыше двери и люки, защищены устройствами обнаружения проникновения, которые включают звуковую сигнализацию, а также подают сигнал в систему централизованного мониторинга безопасности AWS, если какая-либо из дверей была открыта или оставлена открытой.

Помимо использования электронных механизмов, для обеспечения безопасности в центрах обработки данных AWS привлекаются также обученные сотрудники охраны, которые круглосуточно находятся в ЦОД. Посты охраны расположены как в самом здании, так и вокруг него. Все случаи срабатывания сигнализации расследуются сотрудником охраны, для любых чрезвычайных ситуаций документируются основные причины. Вся сигнализация настроена таким образом, что, если в течение времени, указанного в соглашении об уровне обслуживания, не поступает реакции на аварийный сигнал, сигнал передается на уровень выше.

В точках физического доступа к расположениям серверов ведется видеорегистрация с помощью системы охранного видеонаблюдения (CCTV), как указано в «Политике AWS по обеспечению физической безопасности центров обработки данных». Изображения хранятся в течение 90 дней, если в соответствии с правовыми требованиями или требованиями договора такое хранение не ограничено сроком в 30 дней.

Механизмы обеспечения физической безопасности AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.

     
       
Рекомендации      

Необходимо реализовать систему управления контентом объектов, чтобы обеспечить подробное отслеживание физических объектов (например, для объектов клиента и новых объектов).

     
       
Реализация AWS      
Заказчики AWS являются владельцами процессов управления контентом объектов и несут ответственность за их реализацию и использование. Заказчики несут ответственность за реализацию инвентаризации и отслеживания своих физических объектов.

Для всех новых компонентов информационных систем для рабочей среды центров обработки данных, к которым, помимо прочего, относятся сервера, стойки, сетевые устройства, жесткие диски, компоненты аппаратного обеспечения систем и строительные материалы, отправленные в центр обработки данных и полученные им, требуется уведомление и предварительное утверждение руководителем центра обработки данных. Объекты доставляются на погрузочную площадку центра обработки данных AWS, где штатный сотрудник AWS проверяет их на отсутствие повреждений или вскрытия упаковки и подписывает их получение. После поступления объекты сканируются и регистрируются в системе управления объектами AWS и в системе инвентаризации и отслеживания устройств.

После получения и до установки в центре обработки данных объекты размещают в помещении для хранения оборудования ЦОД, доступ к которому регулируется устройством, требующим сканирования пропуска и ввода PIN-кода. Прежде чем получить разрешение покинуть центр обработки данных, объекты должны пройти сканирование, отслеживание и санитарную обработку.        

Процессы управления объектами AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям PCI DSS, ISO 27001 и FedRAMPsm.
     
       
Рекомендации      
Необходимо запретить доступ в Интернет на системах (стационарных ПК и серверах), которые занимаются обработкой или хранением цифрового контента.      
       
Реализация AWS      
Устройства охраны территории объектов, работа которых включает использование наборов правил, списков контроля доступа (ACL) и настроек, создают поток информации в сетевой системе коммуникаций. Такие устройства настроены для работы в режиме полного запрета внешнего доступа, что требует установки утвержденного брандмауэра для обеспечения связи. Дополнительную информацию по управлению сетевыми брандмауэрами AWS можно найти в документе DS-2.0.

Для объектов AWS не поддерживается возможность внутренней пересылки электронной почты, а порт 25 не используется. Клиент (например, студия, обрабатывающее предприятие и т. д.) может использовать систему с поддержкой пересылки электронных сообщений, однако в этом случае он несет ответственность за обеспечение соответствующей защиты входящей и исходящей почты от спама и вредоносного программного обеспечения, а также за обновление определений вредоносных программ при появлении новых выпусков.

На объектах Amazon (например, на ноутбуках) настроено антивирусное программное обеспечение, которое включает фильтрацию электронной почты и определение вредоносного ПО.

Управление сетевыми брандмауэрами AWS и антивирусными программами Amazon проходит проверку независимыми сторонними аудиторами в ходе регулярных проверок AWS на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMPsm.
     
       
blank
blank
Облако AWS для MPAA
AWS MPAA
Соответствие требованиям MPAA

 

Свяжитесь с нами