NIST

Обзор

600x400_NIST_Logo

Механизмы контроля безопасности 800-53 Национального института стандартов и технологий (NIST), как правило, применяются к федеральным информационным системам. Обычно это системы, подвергающиеся формальной оценке и авторизации с целью обеспечить надежную защиту и гарантировать конфиденциальность, целостность и доступность информации и информационных систем с учетом категорий безопасности и уровня риска системы (низкий. средний или высокий), а также определений рисков.

Правительства и корпорации по всему миру поддерживают применение платформы кибербезопасности (CSF), разработанной Национальным институтом стандартов и технологий (NIST), в качестве рекомендованных основных принципов для любой организации, независимо от сферы деятельности или размера. Согласно исследованиям Gartner, около 30 % американских компаний используют CSF, а к 2020 году этот показатель должен достичь 50 %. С 2016 финансового года показатели Федерального закона США о модернизации систем информационной безопасности (FISMA) определяются в контексте CSF, и теперь организации обязаны внедрять CSF в соответствии с Распоряжением о применении систем кибербезопасности.

  • AWS соответствует стандарту NIST 800-53?

    Соответствие требованиям NIST облачных сервисов инфраструктуры AWS было подтверждено в ходе выполненного третьими сторонами тестирования на соответствие требованиям FedRAMP и нормативам в отношении механизмов контроля NIST 800-53 (версия 4). AWS получила разрешение FedRAMP на ведение деятельности (ATO) в регионах AWS GovCloud (США) и AWS Восток/Запад США от многих уполномоченных агентств. Дополнительные сведения см. по следующим ссылкам:

    • Полный список уполномоченных агентств для регионов AWS Восток/Запад см. здесь
    • Полный список уполномоченных агентств для регионов AWS GovCloud см. здесь
    • Разрешение на ведение деятельности JAB P-ATO с высокими базовыми стандартами в регионе AWS GovCloud см. здесь

    Дополнительные сведения о программе AWS FedRAMP см. на нашей странице FedRAMP.

  • Что для меня, клиента AWS, означает соответствие AWS общепринятым стандартам NIST, когда я создаю системы и приложения в AWS?

    Несмотря на то что некоторые механизмы контроля наследуются от AWS, наследование многих других механизмов контроля разделено между вами и AWS. В соответствии с соглашением о неразглашении конфиденциальной информации AWS предоставляет шаблон AWS FedRAMP SSP на основе стандарта NIST 800-53 (версия 4) с готовыми актуальными базовыми показателями контроля NIST 800-5 (версия 4) для объектов с низким, средним и высоким уровнем риска. Ответственность за контроль распределяется следующим образом:

    • Общая ответственность: вы обеспечиваете безопасность и конфигурации своих программных компонентов, а AWS – безопасность своей инфраструктуры.
    • Ответственность клиента: вы несете полную ответственность за гостевые операционные системы, развернутые приложения и избранные сетевые ресурсы (например, брандмауэры). В частности, вы несете единоличную ответственность за настройку безопасности и управление ею «в облаке».
    • Ответственность AWS: AWS управляет облачной инфраструктурой, включая сеть, носители данных, системные ресурсы, ЦОД, физическую безопасность, надежность и поддержку оборудования и программного обеспечения. Приложения, созданные на основе системы AWS, наследуют функции и настраиваемые параметры, предоставляемые AWS. AWS несет единоличную ответственность за настройку безопасности «облака» и управление этой безопасностью.

    В контексте авторизации в системах безопасности соблюдение требований FedRAMP (основанных на базовых показателях контроля NIST 800-53 (версия 4) для объектов с низким, средним и высоким уровнем риска) зависит от полной реализации вами и AWS механизмов управления в сфере общей ответственности и от полной реализации каждой стороной своих собственных механизмов управления. Аккредитованная FedRAMP стороння организация по оценке (3PAO) оценила и санкционировала выполнение AWS своих обязанностей в отношении механизмов контроля. Механизмы контроля в сфере общей ответственности и механизмы контроля, связанные с приложениями, которые вы внедряете поверх инфраструктуры AWS, должны быть оценены и санкционированы вами отдельно в соответствии со стандартом NIST 800-37 и принятыми у клиента политиками и процедурами авторизации в системах безопасности.

  • Как AWS помогает своим клиентам обеспечить соответствие распространенным нормативным требованиям NIST?

    Соответствующие требованиям AWS FedRAMP системы получили авторизации, внедрили механизмы контроля безопасности FedRAMP (NIST SP 800-53), используют обязательные шаблоны FedRAMP для пакетов безопасности, опубликованных в защищенном хранилище FedRAMP, они оценены аккредитованными независимыми сторонними специалистами по оценке (3PAO) и выполняют требования FedRAMP о непрерывном мониторинге.

    Согласно модели общей ответственности AWS компания AWS управляет безопасностью облака, а вы несете ответственность за безопасность в облаке. Чтобы помочь вам в выполнении общих обязанностей, мы предоставляем руководства AWS Quick Start (на базе AWS CloudFormation), которые позволяют одним щелчком автоматически развертывать ключевые технологии в облаке AWS. Каждое краткое руководство позволяет запустить, настроить и эксплуатировать вычислительные, сетевые сервисы, сервисы хранения и прочие сервисы AWS, необходимые для развертывания рабочей нагрузки в AWS, которая обеспечит соответствие распространенным стандартам и требованиям безопасности, таким как PCI DSS и NIST 800-53.

    Краткие руководства позволяют оптимизировать, автоматизировать и внедрить базовые показатели безопасности с использованием комплексных наборов правил с возможностью систематического принудительного применения. К примету, руководство Стандартизированная архитектура для платформ безопасности на базе NIST в облаке AWS содержит шаблоны AWS CloudFormation. Эти шаблоны можно интегрировать в каталог сервисов AWS Service Catalog, чтобы автоматизировать создание рабочей нагрузки со стандартизированной архитектурой базового уровня, которая входит в сферу регулирования стандартов NIST 800-53 (версия 4) и NIST 800-171. Это краткое руководство также содержит справочник по механизмам контроля безопасности, в котором сопоставляются архитектурные решения в этой сфере, функции и конфигурация базового уровня. Все это можно использовать для обеспечения соответствия вашей работы в AWS стандартам и достижения целей в области безопасности и соответствия облака AWS вашей организации.

  • Как использовать NIST CSF?

    Как государственные, так и коммерческие организации могут использовать это техническое описание для доступа к среде AWS в соответствии с требованиями NIST CSF и тем самым улучшить реализованные и используемые меры безопасности (иными словами, повысить безопасность в облаке). Мы предоставляем подробное описание всех предложений облака AWS и соответствующих обязанностей со стороны AWS и самих клиентов в целях обеспечения соответствия требованиям NIST CSF. Данное техническое описание содержит заключение внешнего аудитора, подтверждающее соответствие предложений облака AWS рекомендациям NIST CSF по управлению рисками (иными словами, по обеспечению безопасности в облаке). Это позволяет организациям должным образом защитить свои данные при любых вариантах использования AWS.

    Организации любого уровня – от федеральных и региональных агентств до организаций с жесткими нормативными требованиями и крупных корпораций – могут использовать это техническое описание в качестве инструкции по применению решений AWS и достижению уровня управления рисками в соответствии с требованиями NIST CSF.

compliance-contactus-icon
Есть вопросы? Свяжитесь с представителем AWS по соответствию требованиям
Ищете работу в сфере соответствия требованиям?
Подайте заявку сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следите за новостями в Twitter »