Соответствие требованиям NIST облачных сервисов инфраструктуры AWS было подтверждено в ходе выполненного третьими сторонами тестирования на соответствие требованиям FedRAMP и нормативам в отношении механизмов контроля NIST 800-53 (версия 4). AWS получила разрешение FedRAMP на ведение деятельности (ATO) в регионах AWS GovCloud (США) и AWS Восток/Запад США от многих уполномоченных агентств. Дополнительные сведения см. по следующим ссылкам:

•   Полный список уполномоченных агентств для регионов AWS Восток/Запад см. здесь

•   Полный список уполномоченных агентств для регионов AWS GovCloud см. здесь

•   Разрешение на ведение деятельности JAB P-ATO с высокими базовыми стандартами в регионе AWS GovCloud см. здесь

Дополнительные сведения о программе AWS FedRAMP см. на нашей странице FedRAMP.

Несмотря на то что некоторые механизмы контроля наследуются от AWS, наследование многих других механизмов контроля разделено между вами и AWS. В соответствии с соглашением о неразглашении конфиденциальной информации AWS предоставляет шаблон AWS FedRAMP SSP на основе стандарта NIST 800-53 (версия 4) с готовыми актуальными базовыми показателями контроля NIST 800-5 (версия 4) для объектов с низким, средним и высоким уровнем риска. Ответственность за контроль распределяется следующим образом:

• Общая ответственность: вы обеспечиваете безопасность и конфигурации своих программных компонентов, а AWS – безопасность своей инфраструктуры.

• Ответственность клиента: вы несете полную ответственность за гостевые операционные системы, развернутые приложения и избранные сетевые ресурсы (например, брандмауэры). В частности, вы несете единоличную ответственность за настройку безопасности и управление ею «в облаке».

• Ответственность AWS: AWS управляет облачной инфраструктурой, включая сеть, носители данных, системные ресурсы, ЦОД, физическую безопасность, надежность и поддержку оборудования и программного обеспечения. Приложения, созданные на основе системы AWS, наследуют функции и настраиваемые параметры, предоставляемые AWS. AWS несет единоличную ответственность за настройку безопасности «облака» и управление этой безопасностью.

В контексте авторизации в системах безопасности соблюдение требований FedRAMP (основанных на базовых показателях контроля NIST 800-53 (версия 4) для объектов с низким, средним и высоким уровнем риска) зависит от полной реализации вами и AWS механизмов управления в сфере общей ответственности и от полной реализации каждой стороной своих собственных механизмов управления. Аккредитованная FedRAMP стороння организация по оценке (3PAO) оценила и санкционировала выполнение AWS своих обязанностей в отношении механизмов контроля. Механизмы контроля в сфере общей ответственности и механизмы контроля, связанные с приложениями, которые вы внедряете поверх инфраструктуры AWS, должны быть оценены и санкционированы вами отдельно в соответствии со стандартом NIST 800-37 и принятыми у клиента политиками и процедурами авторизации в системах безопасности.

Соответствующие требованиям AWS FedRAMP системы получили авторизации, внедрили механизмы контроля безопасности FedRAMP (NIST SP 800-53), используют обязательные шаблоны FedRAMP для пакетов безопасности, опубликованных в защищенном хранилище FedRAMP, они оценены аккредитованными независимыми сторонними специалистами по оценке (3PAO) и выполняют требования FedRAMP о непрерывном мониторинге.

Согласно модели общей ответственности AWS компания AWS управляет безопасностью облака, а вы несете ответственность за безопасность в облаке. Чтобы помочь вам в выполнении общих обязанностей, мы предоставляем вам краткие руководства AWS (на базе AWS CloudFormation), которые позволяют одним щелчком автоматически развернуть ключевые технологии в облаке AWS. Каждое краткое руководство позволяет запустить, настроить и эксплуатировать вычислительные, сетевые сервисы, сервисы хранения и прочие сервисы AWS, необходимые для развертывания рабочей нагрузки в AWS, которая обеспечит соответствие распространенным стандартам и требованиям безопасности, таким как PCI DSS и NIST 800-53.

Краткие руководства позволяют оптимизировать, автоматизировать и внедрить базовые показатели безопасности с использованием комплексных наборов правил с возможностью систематического принудительного применения. Так, краткое руководство Стандартизированная архитектура для платформ безопасности на базе NIST в облаке AWS содержит шаблоны AWS CloudFormation. Эти шаблоны можно интегрировать в каталог сервисов AWS Service Catalog, чтобы автоматизировать создание рабочей нагрузки со стандартизированной архитектурой базового уровня, которая входит в сферу регулирования стандартов NIST 800-53 (версия 4) и NIST 800-171. Это краткое руководство также содержит справочник по механизмам контроля безопасности, в котором сопоставляются архитектурные решения в этой сфере, функции и конфигурация базового уровня. Все это можно использовать для обеспечения соответствия вашей работы в AWS стандартам и достижения целей в области безопасности и соответствия облака AWS вашей организации.

Как государственные, так и коммерческие организации могут использовать это техническое описание для доступа к среде AWS в соответствии с требованиями NIST CSF и тем самым улучшить реализованные и используемые меры безопасности (иными словами, повысить безопасность в облаке). Мы предоставляем подробное описание всех предложений облака AWS и соответствующих обязанностей со стороны AWS и самих клиентов в целях обеспечения соответствия требованиям NIST CSF. Данное техническое описание содержит заключение внешнего аудитора, подтверждающее соответствие предложений облака AWS рекомендациям NIST CSF по управлению рисками (иными словами, по обеспечению безопасности в облаке). Это позволяет организациям должным образом защитить свои данные при любых вариантах использования AWS.

Организации любого уровня – от федеральных и региональных агентств до организаций с жесткими нормативными требованиями и крупных корпораций – могут использовать это техническое описание в качестве инструкции по применению решений AWS и достижению уровня управления рисками в соответствии с требованиями NIST CSF.