Национальный институт по стандартизации и технологии (NIST)

Обзор

600x400_NIST_Logo

Механизмы контроля безопасности 800-53 Национального института стандартов и технологий (NIST) обычно применяются к федеральным информационным системам США. Федеральные информационные системы, как правило, обязаны проходить процедуру официальной оценки и авторизации, чтобы гарантировать достаточную степень защиты конфиденциальности, целостности и доступности информации и используемых информационных систем.

Правительства и корпорации по всему миру поддерживают применение платформы кибербезопасности (CSF), разработанной (NIST), в качестве рекомендованных основных принципов для любой организации, независимо от сферы деятельности или размера. Согласно исследованиям Gartner, в 2015 году около 30 % американских компаний использовали CSF, а к 2020 году этот показатель должен достичь 50 %. С 2016 финансового года показатели Федерального закона США о модернизации систем информационной безопасности (FISMA) определяются в контексте CSF, и теперь организации обязаны внедрять CSF в соответствии с Распоряжением о применении систем кибербезопасности.

  • Соответствует ли AWS стандарту NIST 800-53?

    Да, облачная инфраструктура и сервисы AWS прошли сертификацию независимыми организациями на предмет соответствия стандартам NIST 800-53 (ред. 4), а также требованиям FedRAMP. AWS получила разрешение FedRAMP на ведение деятельности (ATO) в регионах AWS GovCloud (США) и AWS Восток/Запад США от нескольких уполномоченных агентств. Дополнительные сведения см. на странице соответствия AWS требованиям FedRAMP или на следующих страницах FedRAMP в Marketplace.

  • Какую ответственность несут клиенты AWS в плане обеспечения соответствия используемых систем AWS стандартам NIST?

    Хотя некоторые механизмы управления наследуются от AWS, многие прочие механизмы контроля разделены между клиентом и AWS. В соответствии с соглашением о неразглашении конфиденциальной информации AWS предоставляет шаблон AWS FedRAMP SSP на основе стандарта NIST 800-53 (версия 4) с готовыми актуальными базовыми показателями контроля NIST 800-5 (версия 4) для объектов с низким, средним и высоким уровнем риска. Ответственность за контроль распределяется следующим образом:

    • Общая ответственность: вы обеспечиваете безопасность и конфигурации своих программных компонентов, а AWS – безопасность своей инфраструктуры.
    • Ответственность клиента: вы несете полную ответственность за гостевые операционные системы, развернутые приложения и избранные сетевые ресурсы (например, брандмауэры). В частности, вы несете полную ответственность за настройку безопасности и управление ею в облаке.
    • Ответственность AWS: AWS управляет облачной инфраструктурой, включая сеть, носители данных, системные ресурсы, ЦОД, физическую безопасность, надежность и поддержку оборудования и программного обеспечения. Приложения, созданные на основе систем AWS, наследуют возможности и настраиваемые параметры, предоставленные AWS. AWS несет полную ответственность за настройку безопасности облака и управление таковой.

    В контексте авторизации в системах безопасности соблюдение требований FedRAMP (основанных на базовых показателях контроля NIST 800-53 (ред. 4) для объектов с низким, средним и высоким уровнем риска) зависит от полной реализации вами и AWS механизмов управления по модели общей ответственности и от полной реализации каждой стороной своих собственных механизмов управления. Аккредитованная FedRAMP независимая проверяющая организация (3PAO) оценила и санкционировала внедрение механизмов управления с нашей стороны. Механизмы контроля в зоне общей ответственности и механизмы контроля, связанные с приложениями, которые вы внедряете на инфраструктуре AWS, должны быть оценены и санкционированы отдельно в соответствии со стандартом NIST 800-37 и принятыми политиками и процедурами авторизации в системах безопасности.

  • Как AWS может помочь обеспечить соответствие стандартам NIST?

    Соответствующие требованиям FedRAMP системы AWS получили необходимые авторизации, внедрили механизмы контроля безопасности FedRAMP (NIST SP 800-53), используют обязательные шаблоны FedRAMP для пакетов безопасности, опубликованных в защищенном хранилище FedRAMP, они прошли оценку аккредитованными независимыми проверяющими организациями (3PAO) и ведут непрерывный мониторинг соответствия требованиям FedRAMP.

    Согласно модели общей ответственности AWS компания AWS управляет безопасностью облака, а вы несете ответственность за безопасность в облаке. Для поддержки действий клиентов в зоне общей ответственности, в AWS разработаны решения Quick Start (на базе AWS CloudFormation), которые позволяют за один щелчок автоматизировать развертывание важных технологий в облаке AWS. Каждое из этих решений позволяет запустить, настроить, а затем использовать хранилища, вычислительные, сетевые и прочие сервисы AWS, необходимые для развертывания рабочей нагрузки на AWS, которая будет соответствовать таким стандартам и требованиям безопасности, как NIST 800-53.

    Краткие руководства AWS позволяют оптимизировать, автоматизировать и внедрить базовые показатели безопасности с использованием комплексных наборов правил с возможностью систематического принудительного применения. К примеру, пакет Quick Start Стандартизированная архитектура для платформ безопасности на базе NIST в облаке AWS содержит шаблоны AWS CloudFormation. Эти шаблоны можно интегрировать в AWS Service Catalog, чтобы автоматизировать создание рабочей нагрузки со стандартизированной архитектурой базового уровня, которая входит в сферу регулирования стандартов NIST 800-53 (ред. 4) и NIST 800-171. Этот пакет Quick Start также содержит справочник по механизмам контроля безопасности, в котором сопоставляются архитектурные решения в этой сфере, возможности и конфигурация базового уровня. Краткие руководства можно использовать для обеспечения соответствия требованиям при работе в облаке AWS в рамках целей вашей организации в области безопасности и соответствия требованиям.

  • Как использовать NIST CSF?

    Если вы являетесь компанией государственного или коммерческого сектора, вы можете использовать техническое описание «Платформа кибербезопасности (CSF) NIST» для оценки соответствия вашей среды AWS стандарту NIST CSF. Это позволит оптимизировать меры безопасности, которые вы внедряете и используете (ваша часть в рамках модели общей ответственности, или безопасность в облаке). Чтобы облегчить переход к стандарту NIST CSF, мы составили подробное описание облачных сервисов AWS и связанных с ними набором обязательств как со стороны клиента, так и со стороны AWS. Данное техническое описание содержит заключение внешнего аудитора, подтверждающее соответствие облачных сервисов AWS рекомендациям NIST CSF по управлению рисками (наша часть в модели общей ответственности, или безопасность облака). Это позволяет организациям должным образом защитить свои данные при любых вариантах использования AWS.

    Организации, включая федеральные и региональные агентства, организации с жесткими нормативными требованиями и крупные корпораций, могут использовать это техническое описание в качестве инструкции по применению решений AWS и достижению уровня управления рисками в соответствии с требованиями NIST CSF.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »