MPAA и безопасность для студий

Обзор

MPAAIcon

Американская ассоциация кинокомпаний (MPAA) определила набор рекомендаций по безопасному хранению, обработке и доставке защищенного мультимедийного контента. Медиакомпании используют эти рекомендации для оценки рисков и уровня безопасности своего контента и инфраструктуры.

MPAA не предлагает сертификацию как таковую, но чтобы усовершенствовать оценку рисков и контента MPAA в AWS, медиакомпании могут использовать руководство AWS для MPAA, демонстрирующее соответствие AWS рекомендациям MPAA.

AWS также предлагает стороннюю оценку платформы AWS и шаблон безопасности для студий на AWS. Запросить доступ к этому документу с помощью AWS Artifact.

  • Информированность руководства в отношении безопасности и контроль безопасности руководством

    Рекомендация

    Обеспечить контроль информационной безопасности руководством или владельцем (владельцами) посредством проведения регулярных проверок программ информационной безопасности и результатов оценки рисков.

    Реализация AWS

    Контроль среды Amazon начинается на самом высоком уровне компании. Исполнительные руководители и высшее руководство играют важную роль в формировании общей атмосферы и базовых ценностей компании. AWS формирует инфраструктуру и политики информационной безопасности, основанные на схеме System & Organization Control (SOC), и эффективно внедряет инфраструктуру, сертифицированную в соответствии со стандартом ISO 27001 на основе средств управления ISO 27002, PCI DSS v3.2 и публикацией 800-53, ред. 3 Национального института стандартов и технологий (NIST) (Рекомендуемые средства управления безопасностью для Федеральных информационных систем). В зависимости от выполняемых функций сотрудники AWS регулярно проходят обучение, которое включает обучение AWS по вопросам безопасности. Проверки соответствия требованиям проводятся таким образом, что сотрудники понимают установленные политики и следуют им.

  • Управление рисками

    Рекомендация

    Разработать формальный процесс оценки рисков по вопросам безопасности для рабочих процессов, связанных с контентом, и объектов, требующих конфиденциальности, чтобы выявить и расставить приоритеты с точки зрения рисков кражи и утечки контента для соответствующего объекта.

    Реализация AWS

    В AWS реализована формальная задокументированная политика оценки рисков, которая обновляется и пересматривается по крайней мере один раз в год. Политика устанавливает цели, область применения, права, обязанности и обязательства руководства.

    В соответствии с этой политикой группа AWS по обеспечению соответствия требований ежегодно проводит оценку рисков во сферах деятельности и регионах AWS. Оценка проверяется высшим руководством AWS. Такая оценка проводится в дополнение к сертификации, аттестации и отчетам, предоставляемым независимыми аудиторами. Целью оценки рисков является выявление уязвимостей и угроз для AWS, присвоение этим уязвимостям и угрозам категории риска, оформление документации и оценки и составление плана работы с рисками в отношении этих проблем. Высшее руководство AWS проверяет результаты оценки рисков. Такие проверки проводятся регулярно, а также в тех случаях, когда внедрение значительных изменений требует новой оценки рисков.

    Заказчики остаются владельцами данных (контента) и несут ответственность за оценку и управление рисками, связанными с рабочими процессами, а также за соответствие требованиям.

    Оценку инфраструктуры управления рисками AWS проводят независимые внешние аудиторы в рамках проверки соответствия требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Управление безопасности

    Рекомендация

    Назначить основного ответственного (ответственных) за безопасность и формально распределить права и обязанности по защите контента и объектов.

    Реализация AWS

    В AWS сформировано управление безопасности под руководством группы безопасности AWS и руководителя по информационной безопасности (CISO). AWS проводит обучение с целью повышения информированности в вопросах безопасности для всех пользователей информационных систем, связанных с AWS. Ежегодное обучение по вопросам безопасности охватывает следующие темы: цель обучения и повышения информированности в вопросах безопасности, расположение всех политик AWS, процедуры AWS по реагированию на чрезвычайные ситуации (включая инструкции по составлению отчетов о внутренних и внешних чрезвычайных ситуациях с точки зрения безопасности).

    Системы, работающие с AWS, оснащены многочисленными инструментами по отслеживанию основных эксплуатационных показателей и показателей безопасности. Если какой-то из основных показателей выходит за установленные пределы, срабатывают настроенные аварийные сигналы, автоматически оповещая операторов и руководителей. При превышении порогового значения показателя запускается процесс AWS по реагированию на инциденты. Группа Amazon по реагированию на инциденты применяет стандартные в отрасли процедуры диагностики, чтобы разрешить ситуацию, которая может оказать влияние для бизнеса. Работа над выявлением инцидентов и управлением последствиями ведется круглосуточно и без выходных.

    Права и обязанности AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Политики и процедуры

    Рекомендация

    Необходимо сформировать политики и процедуры в отношении безопасности объектов и контента. Политики должны охватывать по меньшей мере следующие вопросы:
    • политики по персоналу;
    • допустимое использование (например, социальные сети, Интернет, телефон и т. д.);
    • классификация объектов;
    • политики работы с объектами;
    • цифровые записывающие устройства (например, смартфоны, цифровые камеры, видеокамеры);
    • политика отклонений (например, процесс регистрации отклонений от политики);
    • управление паролями (например, минимальная длина пароля, экранные заставки);
    • запрет на вынос имущества клиентов с объекта;
    • управление изменениями в системе;
    • политика информирования о нарушениях;
    • политика мер ответственности (например, политика дисциплинарных взысканий).

    Реализация AWS

    AWS формирует инфраструктуру и политики информационной безопасности, основанные на схеме System & Organization Control (SOC), и эффективно внедряет инфраструктуру, сертифицированную в соответствии со стандартом ISO 27001 на основе средств управления ISO 27002, PCI DSS v3.2 и публикацией 800-53, ред. 3 Национального института стандартов и технологий (NIST) (Рекомендуемые средства управления безопасностью для Федеральных информационных систем).

    AWS проводит обучение с целью повышения информированности в вопросах безопасности для всех пользователей информационных систем, связанных с AWS. Ежегодное обучение по вопросам безопасности охватывает следующие темы: цель обучения и повышения информированности в вопросах безопасности, расположение всех политик AWS, процедуры AWS по реагированию на чрезвычайные ситуации (включая инструкции по составлению отчетов о внутренних и внешних чрезвычайных ситуациях с точки зрения безопасности).

    Политики, процедуры и соответствующие программы обучения AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Реагирование на чрезвычайные ситуации

    Рекомендация

    Сформировать план реагирования на инциденты, в котором будут описаны действия, необходимые в случае обнаружения инцидента или получения информации о нем.

    Реализация AWS

    AWS реализует формальную задокументированную политику и программу реагирования на чрезвычайные ситуации. Политика устанавливает цели, область применения, права, обязанности и обязательства руководства.

    Для управления чрезвычайными ситуациями AWS применяет подход, состоящий из трех этапов.

    1. Этап активации и оповещения. Для AWS чрезвычайная ситуация начинается с выявления события. Данные о событии могут поступать из нескольких источников, примеры которых перечислены ниже.

    a. Показатели и аварийные сигналы. AWS обеспечивает исключительные возможности по информированию о чрезвычайной ситуации. Большинство проблем быстро выявляются в рамках работ, которые ведутся круглосуточно и без выходных: мониторинга, отслеживания аварийных сигналов по показателям в реальном времени и панели состояния сервисов. Это позволяет выявлять большую часть чрезвычайных ситуаций. AWS использует аварийные сигналы для раннего оповещения по показателям, чтобы заранее выявлять проблемы, которые могут в конечном итоге повлиять на клиентов.
    b. Уведомление о неисправности, зарегистрированное сотрудником AWS.
    c. Звонок на круглосуточную линию технической поддержки.

    Если событие соответствует признакам чрезвычайной ситуации, соответствующий инженер службы технической поддержки начнет работу над устранением проблемы с помощью инструментов управления событиями AWS, позволяющими запустить процесс решения проблемы и назначить ответственных за решение в рамках программы. Ответственные за решение проанализируют чрезвычайную ситуацию, чтобы определить необходимость привлечения дополнительных ресурсов и выявить предполагаемую основную причину.

    2. Этап восстановления. Назначенные ответственные за решение выполняют устранение неисправности для чрезвычайной ситуации. После проведения поиска и устранения неисправностей, а также работы над самой неисправностью и поврежденными компонентами, инженер, ответственный за звонок, определяет действия на следующих этапах в отношении документирования контроля за исполнением и завершения работы с поступившим звонком.

    3. Воспроизведение. После завершения соответствующих работ по устранению неисправности ответственный за звонок объявляет завершение этапа восстановления. Соответствующей группе назначается задача по тщательному анализу устраненной чрезвычайной ситуации и ее главных причин. Результат анализа устраненной чрезвычайной ситуации проверяется соответствующим руководством; соответствующие действия, такие как конструкционные изменения, и т. д. отмечаются в документе по исправлению ошибок (Correction of Errors, COE) и отслеживаются до полного завершения.

    Помимо механизма внутренней коммуникации, подробно описанного выше, в AWS также реализованы разнообразные способы внешней коммуникации в целях поддержки клиентов и сообщества. Реализованы механизмы, позволяющие информировать группу поддержки клиентов об эксплуатационных проблемах, которые влияют на функционирование системы на стороне клиентов. Для информирования клиентов обо всех проблемах, которые могут иметь значительные последствия, в группе поддержки клиентов имеется обновляемая «Панель состояния сервиса».

    Программа управления инцидентами AWS проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

    Клиенты AWS несут ответственность за документирование рабочих процессов, связанных с контентом (данными), поскольку являются владельцами собственных гостевых операционных систем, программного обеспечения, приложений и данных и отвечают за управление ими.

  • Управление персоналом

    Рекомендация

    Выполнить проверку всех сотрудников компании и сторонних работников на предмет прошлых правонарушений.

    Реализация AWS

    В рамках проверки персонала перед приемом на работу AWS проводит проверки на наличие прошлых правонарушений в той степени, в которой это разрешено действующим законодательством, в соответствии с должностью и уровнем доступа на объекты AWS.

    Программа проверок на наличие правонарушений AWS проходит проверку независимыми внешними аудиторами в ходе оценки на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Соглашение о конфиденциальности

    Рекомендация

    Требовать, чтобы при приеме на работу и ежегодно в период работы все сотрудники компании и привлекаемые сотрудники сторонних организаций подписывали соглашение о конфиденциальности (т. е. соглашение о неразглашении информации), в котором указаны требования по работе с контентом и его защите.

    Реализация AWS

    Юрист Amazon управляет соглашением Amazon о неразглашении информации (NDA) и периодически пересматривает его, чтобы отразить в нем требования AWS по ведению бизнеса.

    Использование в AWS соглашений о неразглашении информации проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям ISO 27001 и FedRAMP.

  • Ведение журналов и мониторинг

    Рекомендация

    Регистрировать и анализировать электронный доступ к зонам с ограниченным доступом в случае подозрительной активности.

    Реализация AWS

    Контроль физического доступа осуществляется профессиональными охранниками как по периметру объекта, так и точках доступа в здания с помощью видеонаблюдения, систем обнаружения проникновения и прочих электронных средств.

    Все входы в центры обработки данных AWS, в том числе главный вход, погрузочная площадка и все расположенные на крыше двери и люки, защищены устройствами обнаружения проникновения, которые включают звуковую сигнализацию, а также подают сигнал в систему централизованного мониторинга безопасности AWS, если какая-либо из дверей была открыта или оставлена открытой.

    Помимо использования электронных механизмов, для обеспечения безопасности в центрах обработки данных AWS привлекаются также обученные сотрудники охраны, которые круглосуточно находятся в ЦОД. Посты охраны расположены как в самом здании, так и вокруг него. Все случаи срабатывания сигнализации расследуются сотрудником охраны, для любых чрезвычайных ситуаций документируются основные причины. Вся сигнализация настроена таким образом, что, если в течение времени, указанного в соглашении об уровне обслуживания, не поступает реакции на аварийный сигнал, сигнал передается на уровень выше.

    В точках физического доступа к расположениям серверов ведется видеорегистрация с помощью системы охранного видеонаблюдения (CCTV), как указано в «Политике AWS по обеспечению физической безопасности центров обработки данных». Изображения хранятся в течение 90 дней, если в соответствии с правовыми требованиями или требованиями договора такое хранение не ограничено сроком в 30 дней.

    Механизмы обеспечения физической безопасности AWS проходят проверку независимыми внешними аудиторами в ходе оценки на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Мониторинг объектов

    Рекомендация

    Реализовать систему управления контентными ресурсами, чтобы обеспечить подробное отслеживание физических объектов (например, для объектов клиента и новых объектов).

    Реализация AWS

    Заказчики AWS являются владельцами процессов управления контентом объектов и несут ответственность за их реализацию и использование. Заказчики несут ответственность за реализацию инвентаризации и отслеживания своих физических объектов.

    Для всех новых компонентов информационных систем для рабочей среды центров обработки данных, к которым, помимо прочего, относятся сервера, стойки, сетевые устройства, жесткие диски, компоненты аппаратного обеспечения систем и строительные материалы, отправленные в центр обработки данных и полученные им, требуется уведомление и предварительное утверждение руководителем центра обработки данных. Объекты доставляются на погрузочную площадку центра обработки данных AWS, где штатный сотрудник AWS проверяет их на отсутствие повреждений или вскрытия упаковки и подписывает их получение. После поступления объекты сканируются и регистрируются в системе управления объектами AWS и в системе инвентаризации и отслеживания устройств.

    После получения и до установки в центре обработки данных объекты размещают в помещении для хранения оборудования ЦОД, доступ к которому регулируется устройством, требующим сканирования пропуска и ввода PIN-кода. Прежде чем получить разрешение покинуть центр обработки данных, объекты должны пройти сканирование, отслеживание и санитарную обработку.

    Процессы управления объектами AWS проходят проверку независимыми внешними аудиторами в ходе оценки на соответствие требованиям PCI DSS, ISO 27001 и FedRAMP.

  • Интернет

    Рекомендация

    Запретить доступ в Интернет на системах (стационарных ПК и серверах), которые занимаются обработкой или хранением цифрового контента.

    Реализация AWS

    Устройства охраны территории объектов, работа которых включает использование наборов правил, списков контроля доступа (ACL) и настроек, создают поток информации в сетевой системе коммуникаций. Такие устройства настроены для работы в режиме полного запрета внешнего доступа, что требует установки утвержденного брандмауэра для обеспечения связи. Дополнительную информацию по управлению сетевыми брандмауэрами AWS можно найти в документе DS-2.0.

    Для объектов AWS не поддерживается возможность внутренней пересылки электронной почты, а порт 25 не используется. Клиент (например, студия, обрабатывающее предприятие и т. д.) может использовать систему с поддержкой пересылки электронных сообщений, однако в этом случае он несет ответственность за обеспечение соответствующей защиты входящей и исходящей почты от спама и вредоносного программного обеспечения, а также за обновление определений вредоносных программ при появлении новых выпусков.

    На объектах Amazon (например, на ноутбуках) настроено антивирусное программное обеспечение, которое включает фильтрацию электронной почты и определение вредоносного ПО.

    Управление сетевыми брандмауэрами AWS и антивирусными программами Amazon проходит проверку независимыми сторонними аудиторами в ходе регулярных проверок AWS на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Независимая оценка платформы AWS и шаблон безопасности для студий на AWS

    Помимо рекомендаций MPAA у большинства студий, создающих контент (таких как Disney/Marvel), есть собственный набор требований к безопасности, при этом им нужно, чтобы у поставщиков сервисов и дополнительных сервисов была облачная или локальная среда, проверенная одним или несколькими сторонними аудиторами. Хорошим примером является периодическое расширение в облако процессов рендеринга контента, содержащего визуальные спецэффекты/анимацию для предварительных версий фильма.

    AWS провела работу со сторонним аудитором для оценки возможностей среды рендеринга визуальных спецэффектов/анимации на платформе AWS. Сторонний аудитор также создал документ шаблона, который включает рекомендации по обеспечению безопасности соответствующими средствами AWS, основанные на требованиях большинства студий. Этот документ можно использовать для создания в AWS среды создания визуальных спецэффектов/анимации, одобренных для студий.

    Запросите доступ к документу, описывающему средства управления безопасностью AWS, предназначенные для обеспечения требований безопасности студий, с помощью AWS Artifact.

compliance-contactus-icon
Есть вопросы? Свяжитесь с представителем AWS по соответствию требованиям
Ищете работу в сфере соответствия требованиям?
Подайте заявку сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следите за новостями в Twitter »