MPAA и безопасность для студий

Обзор

MPAAIcon

Американская ассоциация кинокомпаний (MPAA) определила набор рекомендаций по безопасному хранению, обработке и доставке защищенного мультимедийного контента. Медиакомпании используют эти рекомендации для оценки рисков и уровня безопасности своего контента и инфраструктуры.

MPAA не предлагает сертификацию как таковую, но чтобы усовершенствовать оценку рисков и принципов работы с мультимедийным контентом в AWS, медиакомпании могут использовать руководство AWS для MPAA, демонстрирующее соответствие AWS рекомендациям MPAA.

AWS также предлагает стороннюю оценку платформы AWS и шаблон безопасности для студий на AWS. Запросить доступ к этому документу с помощью AWS Artifact.

  • Осведомленность о безопасности и надзор за ее соблюдением со стороны руководства

    Рекомендация

    Обеспечение надзора за соблюдением информационной безопасности со стороны руководства или владельца (владельцев) компании посредством регулярного проведения проверок программ информационной безопасности и результатов оценки рисков.

    Реализация AWS

    Среда контроля Amazon начинается на самом высоком уровне компании. Исполнительные руководители и высшее руководство играют важную роль в формировании общей атмосферы и базовых ценностей компании. AWS формирует инфраструктуру и политики информационной безопасности, основанные на схеме System & Organization Control (SOC), и эффективно внедряет инфраструктуру, сертифицированную в соответствии со стандартом ISO 27001 на основе средств управления ISO 27002, PCI DSS v3.2 и публикацией 800‑53, ред. 3 Национального института стандартов и технологий (NIST) (Рекомендуемые средства управления безопасностью для Федеральных информационных систем). В зависимости от выполняемых функций сотрудники AWS регулярно проходят обучение, которое включает обучение AWS по вопросам безопасности. Проверки соответствия требованиям проводятся таким образом, что сотрудники понимают установленные политики и следуют им.

  • Управление рисками

    Рекомендация

    Разработка формального процесса оценки рисков безопасности для рабочих процессов, связанных с контентом, и объектов, требующих конфиденциальности, чтобы выявить и расставить приоритеты с точки зрения рисков кражи и утечки контента для соответствующего объекта.

    Реализация AWS

    В AWS реализована формальная задокументированная политика оценки рисков, которая обновляется и пересматривается по крайней мере один раз в год. Политика устанавливает цели, область применения, права, обязанности и сферу участия руководства.

    В соответствии с этой политикой группа AWS по обеспечению соответствия требований ежегодно проводит оценку рисков во сферах деятельности и регионах AWS. Оценка проверяется высшим руководством AWS. Такая оценка проводится в дополнение к сертификации, аттестации и отчетам, составляемым независимыми аудиторами. Целью оценки рисков является выявление уязвимостей и угроз для AWS, присвоение этим уязвимостям и угрозам категории риска, оформление документации и оценки и составление плана работы с рисками в отношении этих проблем. Высшее руководство AWS проверяет результаты оценки рисков. Такие проверки проводятся на ежегодной основе, а также в тех случаях, когда внедрение значительных изменений требует досрочной оценки рисков.

    Заказчики остаются владельцами данных (контента) и несут ответственность за управление рисками, связанными с рабочими процессами, за оценку таких рисков, а также за соответствие требованиям.

    Оценку инфраструктуры управления рисками AWS проводят независимые внешние аудиторы в рамках проверки соответствия требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Управление безопасности

    Рекомендация

    Назначение основного ответственного (ответственных) за безопасность и формальное распределение прав и обязанностей по защите контента и объектов.

    Реализация AWS

    В AWS сформировано управление безопасности под руководством группы безопасности AWS и руководителя по информационной безопасности (CISO). AWS проводит обучение с целью повышения информированности в вопросах безопасности для всех пользователей информационных систем, связанных с AWS. Ежегодное обучение по вопросам безопасности охватывает следующие темы: цель обучения и повышения информированности в вопросах безопасности, расположение всех политик AWS, процедуры AWS по реагированию на чрезвычайные ситуации (включая инструкции по составлению отчетов о внутренних и внешних чрезвычайных ситуациях с точки зрения безопасности).

    Системы, работающие с AWS, оснащены многочисленными инструментами по отслеживанию основных эксплуатационных метрик и метрик безопасности. Если какая‑то из основных метрик выходит за установленные пределы, срабатывают настроенные аварийные сигналы, автоматически оповещая операторов и руководителей. При превышении порогового значения метрики запускается процесс AWS по реагированию на инциденты. Группа Amazon по реагированию на инциденты применяет стандартные отраслевые процедуры диагностики, чтобы разрешить ситуацию, которая может оказать влияние на бизнес. Работа над выявлением инцидентов и управлением последствиями ведется круглосуточно и без выходных.

    Права и обязанности AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Политики и процедуры

    Рекомендация

    Формирование политик и процедур в отношении безопасности объектов и контента. Политики (как минимум) должны охватывать следующие вопросы:
    • политики по персоналу;
    • допустимое использование (например, социальные сети, Интернет, телефон и т. д.);
    • классификация объектов;
    • политики работы с объектами;
    • цифровые записывающие устройства (например, смартфоны, цифровые камеры, видеокамеры);
    • политика отклонений (например, процесс регистрации отклонений от политики);
    • управление паролями (например, минимальная длина пароля, экранные заставки);
    • запрет на вынос имущества клиентов с объекта;
    • управление изменениями в системе;
    • политика информирования о нарушениях;
    • политика мер ответственности (например, политика дисциплинарных взысканий).

    Реализация AWS

    AWS формирует инфраструктуру и политики информационной безопасности, основанные на схеме System & Organization Control (SOC), и эффективно внедряет инфраструктуру, сертифицированную в соответствии со стандартом ISO 27001 на основе средств управления ISO 27002, PCI DSS v3.2 и публикацией 800‑53, ред. 3 Национального института стандартов и технологий (NIST) (Рекомендуемые средства управления безопасностью для Федеральных информационных систем).

    AWS проводит обучение с целью повышения информированности в вопросах безопасности для всех пользователей информационных систем, связанных с AWS. Ежегодное обучение по вопросам безопасности охватывает следующие темы: цель обучения и повышения информированности в вопросах безопасности, расположение всех политик AWS, процедуры AWS по реагированию на чрезвычайные ситуации (включая инструкции по составлению отчетов о внутренних и внешних чрезвычайных ситуациях с точки зрения безопасности).

    Политики, процедуры и соответствующие программы обучения AWS проходят проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Реагирование на чрезвычайные ситуации

    Рекомендация

    Формирование плана реагирования на инциденты, в котором будут описаны действия, необходимые в случае обнаружения инцидента или получения информации о нем.

    Реализация AWS

    AWS реализует формальную задокументированную политику и программу реагирования на инциденты. Политика устанавливает цели, область применения, права, обязанности и сферу участия руководства.

    Для управления чрезвычайными ситуациями AWS применяет подход, состоящий из трех этапов.

    1. Этап активации и оповещения. Для AWS инцидент начинается с выявления события. Данные о событии могут поступать из нескольких источников, примеры которых перечислены ниже.

    а) Показатели и аварийные сигналы. AWS обеспечивает исключительные возможности по информированию об инциденте. Большинство проблем быстро выявляются в рамках работ, которые ведутся круглосуточно и без выходных: мониторинга, отслеживания аварийных сигналов по показателям в реальном времени и панели состояния сервисов. Это позволяет выявлять большую часть инцидентов. AWS использует аварийные сигналы для раннего оповещения по индикаторам, чтобы заранее выявлять проблемы, которые могут в конечном итоге повлиять на клиентов.
    b) Уведомление о неисправности, зарегистрированное сотрудником AWS.
    c) Звонок на круглосуточную линию технической поддержки.

    Если событие соответствует признакам инцидента, соответствующий инженер службы технической поддержки начнет работу над устранением проблемы с помощью инструментов управления событиями AWS, позволяющими запустить процесс решения проблемы и назначить ответственных за решение в рамках программы. Ответственные за решение проанализируют инцидент, чтобы определить необходимость привлечения дополнительных ресурсов и установить предполагаемую основную причину.

    2. Этап восстановления. Назначенные ответственные за решение выполняют устранение неисправности для разрешения инцидента. После проведения поиска и устранения неисправностей, а также работы над самой неисправностью и поврежденными компонентами, инженер, ответственный за звонок, определяет действия на следующих этапах в отношении документирования контроля за исполнением и завершения работы с поступившим звонком.

    3. Воспроизведение. После завершения соответствующих работ по устранению неисправности ответственный за звонок объявляет завершение этапа восстановления. Соответствующей группе назначается задача по тщательному анализу устраненного инцидента и его главных причин. Результат анализа устраненного инцидента проверяется руководством направления; соответствующие действия, такие как конструкционные изменения, и т. д. отмечаются в документе по исправлению ошибок (Correction of Errors, COE) и отслеживаются до полного завершения.

    Помимо механизма внутренней коммуникации, подробно описанного выше, в AWS также реализованы разнообразные способы внешней коммуникации в целях поддержки клиентов и сообщества. Реализованы механизмы, позволяющие информировать группу поддержки клиентов об эксплуатационных проблемах, которые влияют на функционирование системы на стороне клиентов. Для информирования клиентов обо всех проблемах, которые могут иметь значительные последствия, в группе поддержки клиентов имеется обновляемая «Панель состояния сервиса».

    Программа управления инцидентами AWS проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

    Клиенты AWS несут ответственность за документирование рабочих процессов, связанных с контентом (данными), поскольку являются владельцами собственных гостевых операционных систем, программного обеспечения, приложений и данных и отвечают за управление ими.

  • Управление персоналом

    Рекомендация

    Проверка всех сотрудников компании и сторонних работников на предмет прошлых правонарушений.

    Реализация AWS

    В рамках проверки персонала перед приемом на работу AWS проводит проверки на наличие прошлых правонарушений в той степени, в которой это разрешено действующим законодательством, в соответствии с должностью и уровнем доступа на объекты AWS.

    Программа проверок на наличие правонарушений AWS проходит проверку независимыми внешними аудиторами в ходе оценки на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Соглашение о конфиденциальности

    Рекомендация

    Требовать, чтобы при приеме на работу и в период работы все сотрудники компании и привлекаемые сотрудники сторонних организаций ежегодно подписывали соглашение о конфиденциальности (т. е. соглашение о неразглашении информации), в котором указаны требования по работе с контентом и его защите.

    Реализация AWS

    Юрист Amazon управляет соглашением Amazon о неразглашении информации (NDA) и периодически пересматривает его, чтобы отразить в нем требования AWS по ведению бизнеса.

    Использование в AWS соглашений о неразглашении информации проходит проверку независимыми внешними аудиторами в ходе проверок на соответствие требованиям ISO 27001 и FedRAMP.

  • Ведение журналов и мониторинг

    Рекомендация

    Регистрация и анализ электронного доступа к зонам с ограниченным доступом в случае подозрительной активности.

    Реализация AWS

    Контроль физического доступа осуществляется профессиональными охранниками как по периметру объекта, так и в точках доступа в здания с помощью видеонаблюдения, систем обнаружения проникновения и прочих электронных средств.

    Все входы в центры обработки данных AWS, в том числе главный вход, погрузочная площадка и все расположенные на крыше двери и люки, защищены устройствами обнаружения проникновения, которые включают звуковую сигнализацию, а также подают сигнал в систему централизованного мониторинга безопасности AWS, если какая‑либо из дверей была открыта или оставлена открытой.

    Помимо использования электронных механизмов для обеспечения безопасности в центрах обработки данных AWS также привлекаются обученные сотрудники охраны, которые круглосуточно находятся в ЦОД. Посты охраны расположены как в самом здании, так и вокруг него. Все случаи срабатывания сигнализации расследуются сотрудником охраны, для любых чрезвычайных ситуаций документируются основные причины. Вся сигнализация настроена таким образом, что если в течение времени, указанного в соглашении об уровне обслуживания, не поступает реакции на аварийный сигнал, сигнал автоматически передается на уровень выше.

    В точках физического доступа к расположениям серверов ведется видеорегистрация с помощью системы охранного видеонаблюдения (CCTV), как указано в «Политике AWS по обеспечению физической безопасности центров обработки данных». Изображения хранятся в течение 90 дней, если в соответствии с правовыми требованиями или требованиями договора такое хранение не ограничено сроком в 30 дней.

    Механизмы обеспечения физической безопасности AWS проходят проверку независимыми внешними аудиторами в ходе оценки на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Мониторинг объектов

    Рекомендация

    Реализация системы управления контентными ресурсами с целью обеспечить подробное отслеживание физических объектов (например, для объектов клиента и новых объектов).

    Реализация AWS

    Клиенты AWS являются владельцами процессов управления контентом объектов и несут ответственность за их реализацию и использование. Клиенты несут ответственность за реализацию инвентаризации и отслеживания своих физических объектов.

    Для всех новых компонентов информационных систем для рабочей среды центров обработки данных, к которым, помимо прочего, относятся сервера, стойки, сетевые устройства, жесткие диски, компоненты аппаратного обеспечения систем и строительные материалы, отправленные в центр обработки данных и полученные им, требуется уведомление и предварительное утверждение руководителем центра обработки данных. Объекты доставляются на погрузочную площадку центра обработки данных AWS, где штатный сотрудник AWS проверяет их на отсутствие повреждений или вскрытия упаковки и подписывает их получение. После поступления объекты сканируются и регистрируются в системе управления объектами AWS и в системе инвентаризации и отслеживания устройств.

    После получения и до установки в центре обработки данных объекты размещают в помещении для хранения оборудования ЦОД, доступ к которому регулируется устройством, требующим сканирования пропуска и ввода PIN‑кода. Прежде чем получить разрешение покинуть центр обработки данных, объекты должны пройти сканирование, отслеживание и санитарную обработку.

    Процессы управления объектами AWS проходят проверку независимыми внешними аудиторами в ходе оценки на соответствие требованиям PCI DSS, ISO 27001 и FedRAMP.

  • Интернет

    Рекомендация

    Запрет доступа в Интернет на системах (стационарных ПК и серверах), которые занимаются обработкой или хранением цифрового контента.

    Реализация AWS

    Устройства охраны территории объектов, работа которых включает использование наборов правил, списков контроля доступа (ACL) и настроек, создают поток информации в сетевой системе коммуникаций. Такие устройства настроены для работы в режиме полного запрета внешнего доступа, что требует установки утвержденного брандмауэра для обеспечения связи. Дополнительную информацию по управлению сетевыми брандмауэрами AWS можно найти в документе DS‑2.0.

    Для объектов AWS не поддерживается возможность внутренней пересылки электронной почты, порт 25 не используется. Клиент (например, студия, обрабатывающее предприятие и т. д.) может использовать систему с поддержкой пересылки электронных сообщений, однако в этом случае он несет ответственность за обеспечение соответствующей защиты входящей и исходящей почты от спама и вредоносного программного обеспечения, а также за обновление определений вредоносных программ при появлении новых выпусков.

    На оборудовании Amazon (например, на ноутбуках) настроено антивирусное программное обеспечение, которое включает фильтрацию электронной почты и определение вредоносного ПО.

    Управление сетевыми брандмауэрами AWS и антивирусными программами Amazon проходит проверку независимыми сторонними аудиторами в ходе регулярных проверок AWS на соответствие требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

  • Независимая оценка платформы AWS и шаблон безопасности для студий на AWS

    Помимо рекомендаций MPAA у большинства студий, создающих контент (таких как Disney / Marvel), есть собственный набор требований безопасности, при этом им нужно, чтобы у поставщиков сервисов и дополнительных сервисов была облачная или локальная среда, проверенная одним или несколькими сторонними аудиторами. Хорошим примером является периодическое расширение в облако процессов рендеринга контента, содержащего визуальные спецэффекты / анимацию для предварительных версий фильма.

    AWS провела работу со сторонним аудитором для оценки возможностей среды рендеринга визуальных спецэффектов / анимации на платформе AWS. Сторонний аудитор также создал документ шаблона, который включает рекомендации по обеспечению безопасности соответствующими средствами AWS, основанные на требованиях большинства студий. Этот документ можно использовать для создания в AWS среды создания визуальных спецэффектов / анимации, одобренных для студий.

    Запросите доступ к документу, описывающему средства управления безопасностью AWS, предназначенные для обеспечения требований безопасности студий, с помощью AWS Artifact.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »