Национальный институт по стандартизации и технологии (NIST)

Обзор

Механизмы контроля безопасности 800-53 Национального института стандартов и технологий (NIST), как правило, применяются к федеральным информационным системам США. Федеральные информационные системы, как правило, обязаны проходить процедуру официальной оценки и авторизации, чтобы гарантировать достаточную степень защиты конфиденциальности, целостности и доступности информации и используемых информационных систем.

Правительства и корпорации по всему миру поддерживают применение платформы кибербезопасности (CSF), разработанной (NIST), в качестве рекомендованных основных принципов для любой организации, независимо от сферы деятельности или размера. Согласно исследованиям Gartner, в 2015 году около 30 % американских компаний использовали CSF, а к 2020 году этот показатель должен достичь 50 %. С 2016 финансового года показатели Федерального закона США о модернизации систем информационной безопасности (FISMA) определяются в контексте CSF, и теперь организации обязаны внедрять CSF в соответствии с Распоряжением о применении систем кибербезопасности.

• Соответствует ли AWS стандарту NIST 800-53?

  Да, облачная инфраструктура и сервисы AWS прошли сертификацию независимыми организациями на предмет соответствия стандартам NIST 800-53 (ред. 4), а также требованиям FedRAMP. AWS получила разрешение FedRAMP на ведение деятельности (ATO) в регионах AWS GovCloud (США) и AWS Восток/Запад США от нескольких уполномоченных агентств. Дополнительные сведения см. на странице соответствия AWS требованиям FedRAMP или на следующих страницах FedRAMP на сайте Marketplace.
  

  • Полный список уполномоченных агентств для регионов AWS Восток/Запад

  • Полный список уполномоченных агентств для региона AWS GovCloud (US)

  • Разрешение на ведение деятельности JAB P-ATO с высокими базовыми стандартами в регионе AWS GovCloud

• Какую ответственность несут клиенты AWS в плане обеспечения соответствия используемых систем AWS стандартам NIST?

  Хотя некоторые механизмы управления наследуются от AWS, многие прочие механизмы контроля разделены между клиентом и AWS. Ответственность за контроль распределяется следующим образом:

  • Общая ответственность: вы обеспечиваете безопасность и конфигурации своих программных компонентов, а AWS – безопасность своей инфраструктуры.
  • Ответственность клиента: вы несете полную ответственность за гостевые операционные системы, развернутые приложения и избранные сетевые ресурсы (например, брандмауэры). В частности, вы несете единоличную ответственность за настройку безопасности и управление ею «в облаке».
  • Ответственность AWS: AWS управляет облачной инфраструктурой, включая сеть, носители данных, системные ресурсы, ЦОД, физическую безопасность, надежность и поддержку оборудования и программного обеспечения. Приложения, созданные на основе систем AWS, наследуют возможности и настраиваемые параметры, предоставленные AWS. AWS несет единоличную ответственность за настройку безопасности «облака» и управление этой безопасностью.

  В контексте авторизации в системах безопасности соблюдение требований FedRAMP (основанных на базовых показателях контроля NIST 800-53 (ред. 4) для объектов с низким, средним и высоким уровнем риска) зависит от полной реализации вами и AWS механизмов управления по модели общей ответственности и от полной реализации каждой стороной своих собственных механизмов управления. Аккредитованная FedRAMP независимая проверяющая организация (3PAO) оценила и санкционировала внедрение механизмов управления с нашей стороны. Механизмы контроля в зоне общей ответственности и механизмы контроля, связанные с приложениями, которые вы внедряете на инфраструктуре AWS, должны быть оценены и санкционированы отдельно в соответствии со стандартом NIST 800-37 и принятыми политиками и процедурами авторизации в системах безопасности.
  

• Как AWS может помочь обеспечить соответствие стандартам NIST?

  Соответствующие требованиям FedRAMP системы AWS получили необходимые авторизации, внедрили механизмы контроля безопасности FedRAMP (NIST SP 800-53), используют обязательные шаблоны FedRAMP для пакетов безопасности, опубликованных в защищенном хранилище FedRAMP, они прошли оценку аккредитованными независимыми проверяющими организациями (3PAO) и ведут непрерывный мониторинг соответствия требованиям FedRAMP.

  Согласно модели общей ответственности AWS компания AWS управляет безопасностью облака, а вы несете ответственность за свою безопасность в облаке. Чтобы помочь вам в реализации общих обязанностей, AWS создала решение Ускоритель целевой зоны для AWS (на базе AWS CloudFormation). Ускоритель целевой зоны для AWS использует облачную платформу, разработанную на основе рекомендаций AWS и в соответствии с многочисленными глобальными платформами обеспечения соответствия требованиям, включая платформы на базе NIST. Благодаря этому решению клиенты с жестко регулируемыми рабочими нагрузками и сложными нормативными требованиями могут лучше управлять средой с несколькими аккаунтами и контролировать ее. При использовании совместно с другими сервисами AWS он представляет собой комплексное решение с минимальным количеством кода для более чем 35 сервисов AWS. Ускоритель целевой зоны для AWS помогает быстро развернуть безопасную, отказоустойчивую, масштабируемую и полностью автоматизированную облачную платформу, которая ускоряет обеспечение соответствия облачным нормативным требованиям. Примечание. Это решение само по себе не обеспечит соответствие требованиям. Оно обеспечивает базовую инфраструктуру на основе которой можно интегрировать дополнительные решения.

• Как использовать NIST CSF?

  Если вы являетесь компанией из государственного или коммерческого сектора, вы можете использовать техническое описание «Платформа кибербезопасности (CSF) NIST» для оценки соответствия вашей среды AWS стандарту NIST CSF. Это позволит оптимизировать меры безопасности, которые вы внедряете и используете (ваша часть в рамках модели общей ответственности или безопасность в облаке). Чтобы облегчить переход к стандарту NIST CSF, мы составили подробное описание облачных сервисов AWS и связанных с ними набором обязательств как со стороны клиента, так и со стороны AWS. Данное техническое описание содержит заключение внешнего аудитора, подтверждающее соответствие облачных сервисов AWS рекомендациям NIST CSF по управлению рисками (наша часть в модели общей ответственности, или безопасность облака). Это позволяет организациям должным образом защитить свои данные при любых вариантах использования AWS.

  Организации, включая федеральные и региональные агентства, организации с жесткими нормативными требованиями и крупные корпораций, могут использовать это техническое описание в качестве инструкции по применению решений AWS и достижению уровня управления рисками в соответствии с требованиями NIST CSF.
  

Ресурсы NIST