Национальный институт по стандартизации и технологии (NIST)

Обзор


Механизмы контроля безопасности 800-53 Национального института стандартов и технологий (NIST), как правило, применяются к федеральным информационным системам США. Федеральные информационные системы, как правило, обязаны проходить процедуру официальной оценки и авторизации, чтобы гарантировать достаточную степень защиты конфиденциальности, целостности и доступности информации и используемых информационных систем.

Правительства и корпорации по всему миру поддерживают применение платформы кибербезопасности (CSF), разработанной (NIST), в качестве рекомендованных основных принципов для любой организации, независимо от сферы деятельности или размера. Согласно исследованиям Gartner, в 2015 году около 30 % американских компаний использовали CSF, а к 2020 году этот показатель должен достичь 50 %. С 2016 финансового года показатели Федерального закона США о модернизации систем информационной безопасности (FISMA) определяются в контексте CSF, и теперь организации обязаны внедрять CSF в соответствии с Распоряжением о применении систем кибербезопасности.

Вопросы и ответы


  • Да, облачная инфраструктура и сервисы AWS прошли сертификацию независимыми организациями на предмет соответствия стандартам NIST 800-53 (ред. 4), а также требованиям FedRAMP. AWS получила разрешение FedRAMP на ведение деятельности (ATO) в регионах AWS GovCloud (США) и AWS Восток/Запад США от нескольких уполномоченных агентств. Дополнительные сведения см. на странице соответствия AWS требованиям FedRAMP или на следующих страницах FedRAMP на сайте Marketplace.

  • Хотя некоторые механизмы управления наследуются от AWS, многие прочие механизмы контроля разделены между клиентом и AWS. Ответственность за контроль распределяется следующим образом:

    • Общая ответственность: вы обеспечиваете безопасность и конфигурации своих программных компонентов, а AWS – безопасность своей инфраструктуры.
    • Ответственность клиента: вы несете полную ответственность за гостевые операционные системы, развернутые приложения и избранные сетевые ресурсы (например, брандмауэры). В частности, вы несете единоличную ответственность за настройку безопасности и управление ею «в облаке».
    • Ответственность AWS: AWS управляет облачной инфраструктурой, включая сеть, носители данных, системные ресурсы, ЦОД, физическую безопасность, надежность и поддержку оборудования и программного обеспечения. Приложения, созданные на основе систем AWS, наследуют возможности и настраиваемые параметры, предоставленные AWS. AWS несет единоличную ответственность за настройку безопасности «облака» и управление этой безопасностью.

    В контексте авторизации в системах безопасности соблюдение требований FedRAMP (основанных на базовых показателях контроля NIST 800-53 (ред. 4) для объектов с низким, средним и высоким уровнем риска) зависит от полной реализации вами и AWS механизмов управления по модели общей ответственности и от полной реализации каждой стороной своих собственных механизмов управления. Аккредитованная FedRAMP независимая проверяющая организация (3PAO) оценила и санкционировала внедрение механизмов управления с нашей стороны. Механизмы контроля в зоне общей ответственности и механизмы контроля, связанные с приложениями, которые вы внедряете на инфраструктуре AWS, должны быть оценены и санкционированы отдельно в соответствии со стандартом NIST 800-37 и принятыми политиками и процедурами авторизации в системах безопасности.

  • Соответствующие требованиям FedRAMP системы AWS получили необходимые авторизации, внедрили механизмы контроля безопасности FedRAMP (NIST SP 800-53), используют обязательные шаблоны FedRAMP для пакетов безопасности, опубликованных в защищенном хранилище FedRAMP, они прошли оценку аккредитованными независимыми проверяющими организациями (3PAO) и ведут непрерывный мониторинг соответствия требованиям FedRAMP.

    Согласно модели общей ответственности AWS компания AWS управляет безопасностью облака, а вы несете ответственность за свою безопасность в облаке. Чтобы помочь вам в реализации общих обязанностей, AWS создала решение Ускоритель целевой зоны для AWS (на базе AWS CloudFormation). Ускоритель целевой зоны для AWS использует облачную платформу, разработанную на основе рекомендаций AWS и в соответствии с многочисленными глобальными платформами обеспечения соответствия требованиям, включая платформы на базе NIST. Благодаря этому решению клиенты с жестко регулируемыми рабочими нагрузками и сложными нормативными требованиями могут лучше управлять средой с несколькими аккаунтами и контролировать ее. При использовании совместно с другими сервисами AWS он представляет собой комплексное решение с минимальным количеством кода для более чем 35 сервисов AWS. Ускоритель целевой зоны для AWS помогает быстро развернуть безопасную, отказоустойчивую, масштабируемую и полностью автоматизированную облачную платформу, которая ускоряет обеспечение соответствия облачным нормативным требованиям. Примечание. Это решение само по себе не обеспечит соответствие требованиям. Оно обеспечивает базовую инфраструктуру на основе которой можно интегрировать дополнительные решения.

  • Если вы являетесь компанией из государственного или коммерческого сектора, вы можете использовать техническое описание «Платформа кибербезопасности (CSF) NIST» для оценки соответствия вашей среды AWS стандарту NIST CSF. Это позволит оптимизировать меры безопасности, которые вы внедряете и используете (ваша часть в рамках модели общей ответственности или безопасность в облаке). Чтобы облегчить переход к стандарту NIST CSF, мы составили подробное описание облачных сервисов AWS и связанных с ними набором обязательств как со стороны клиента, так и со стороны AWS. Данное техническое описание содержит заключение внешнего аудитора, подтверждающее соответствие облачных сервисов AWS рекомендациям NIST CSF по управлению рисками (наша часть в модели общей ответственности, или безопасность облака). Это позволяет организациям должным образом защитить свои данные при любых вариантах использования AWS.

    Организации, включая федеральные и региональные агентства, организации с жесткими нормативными требованиями и крупные корпораций, могут использовать это техническое описание в качестве инструкции по применению решений AWS и достижению уровня управления рисками в соответствии с требованиями NIST CSF.

Ресурсы NIST


 Платформа кибербезопасности NIST (CSF)  Сервисы AWS и матрица ответственности клиента за соответствие CSF [загрузить]  Партнеры платформы кибербезопасности NIST  Cloud Audit Academy для рабочих нагрузок федерального правительства и Министерства обороны (DoD) в AWS
Automate NIST Compliance in AWS GovCloud (US) with AWS Quick Start Tools (видео)
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »