Руководство по решениям AWS для соответствия требованиям


Репозиторий часто используемых ресурсов и технологий для выполнения своих обязанностей по соответствию требованиям на AWS

Ознакомьтесь с руководством по решениям AWS для соответствия требованиям! Это руководство предназначено для того, чтобы предоставить вам репозиторий часто используемых ресурсов и технологий для выполнения своих обязанностей по соответствию требованиям на AWS.

Безопасность в AWS — главный приоритет. Сегодня AWS защищает миллионы активных клиентов по всему миру, от крупных предприятий и государственных организаций до стартапов и некоммерческих организаций. Благодаря такому взаимодействию мы разработали лучшие в своем классе ресурсы, которые позволят клиентам из любой отрасли быстро понять, как добиться соответствия требованиям в облаке AWS. Наш опыт позволяет предоставить клиентам AWS много полезного, в том числе рекомендации по безопасности, архитектуре и операционным процессам, проверенные на соответствие внешними платформами сертификации.

AWS передает информацию о своей среде безопасности и контроля для разных клиентов следующими методами:

  • Сертификация по отраслевым стандартам и независимые аттестации, перечисленные ниже
  • Размещение информации о методах обеспечения безопасности и контроля AWS в технических описаниях и веб-контенте
  • Сертификаты, отчеты и другая документация, предоставляемая напрямую клиентам AWS в соответствии с соглашением о неразглашении конфиденциальной информации

Решения для соответствия требованиям


Для доступа к отчетам о соответствии AWS лучше всего использовать консоль в AWS Artifact. AWS Artifact по требованию предоставляет клиентам доступ к последним отчетам AWS о соответствии. Выпущенные AWS новые отчеты сразу становятся доступными для загрузки в AWS Artifact. Помимо доступа по требованию, использование AWS Artifact имеет три преимущества:

  1. не требуется ввод кредитной карты. Плата за создание аккаунта или использование портала AWS Artifact не взимается;
  2. вы получаете возможность настройки аккаунтов для других пользователей через IAD;
  3. обеспечивается удобный переход по NDA.

Обратите внимание, что для всех сторонних аттестаций, сертификаций, отчетов Service Organization Controls (SOC) и других отчетов о соответствии требуется Соглашение о неразглашении информации (NDA). Исключением является сертификация AWS по стандарту ISO 27001 и отчеты AWS SOC 3, которые доступны для общественности.

Если у вас есть аккаунт AWS и вы готовы начать использовать AWS Artifact, вы можете использовать перечисленные ниже ресурсы для ознакомления с этой функцией на консоли. Если у вас еще нет аккаунта AWS, вы можете его создать, выполнив следующие шаги.

Веб-сайт AWS Artifact. Этот веб-сайт предоставит вам основную информацию об Artifact, в том числе краткое руководство по началу работы с пошаговыми инструкциями по входу в консоль и загрузке отчета, а также вопросы и ответы по AWS Artifact с исчерпывающим списком часто задаваемых вопросов.

Ниже приведены некоторые из наиболее распространенных сценариев, которые вызывают вопросы:

Если вам потребуется помощь в заполнении анкеты по безопасности, которая описывает системы AWS по обеспечению безопасности и соответствия требованиям, AWS рекомендует использовать специально разработанный процесс, позволяющий получить все нужные ресурсы для правильных ответов на вопросы о безопасности и соответствию требованиям в контексте облачных технологий и бизнес-модели AWS. Эта процедура позволяет предоставлять всем нашим клиентам стандартизированные ответы, утвержденные нашими независимыми аудиторами.

Начинать работу следует с AWS Artifact, где размещены все отчеты по соответствию. AWS ежегодно проходит несколько аудитов сторонними организациями, большинство из которых выполняются по требованиям международных стандартов безопасности, таких как ISO 27001, PCI и SOC. Эти отчеты помогут вам ответить на любые анкеты по безопасности, которые вы можете получить.

Кроме того, в Интернете размещены несколько дополнительных ресурсов для ответов на наиболее распространенные вопросы. Для ответов на анкеты чаще всего используются два следующих документа:

Опросник CSA для оценки состояния безопасности облачной среды. Альянс облачной безопасности (CSA) представляет собой некоммерческую организацию, которая ставит своей задачей развитие передовых методик создания гарантий безопасности в отрасли облачных вычислений. Опросник CSA для оценки состояния безопасности облачной среды предоставляет набор вопросов, которые по мнению CSA чаще всего задаются клиентами и аудиторами поставщикам облачных систем. Сюда входят вопросы по безопасности, управлению и процессам, которые можно применить для самых разнообразных целей, в том числе для выбора поставщиков и оценки уровня безопасности. В этом документе собраны ответы AWS на вопросы из анкеты CSA.

Техническое описание «Риски и соответствие требованиям». В этом документе содержится информация, призванная помочь клиентам AWS в вопросах интеграции платформы AWS в существующие инфраструктуры управления, поддерживающие ИТ-среду. В нем содержится базовый подход к оценке элементов управления AWS и предлагается информация, призванная помочь клиентам в вопросах интеграции управляющих сред. В этом документе также есть специальная информация AWS по распространенным вопросам, возникающих в процессе обеспечения соответствия требованиям для облачных вычислений. Документ содержит подробные описания сертификаций, программ и отчетов AWS, а также аттестаций сторонними организациями. Исходная анкета CSA включена в приложение к этому документу.

Если вам потребуется помощь для ответа на вопросы, обратитесь к представителю отдела продаж AWS, чтобы он предоставил вам ссылки на необходимые ресурсы.

Примеры анкет по безопасности

Надстройка Вопрос Ответ Соответствующий документ AWS
Шифрование Поддерживают ли предоставленные сервисы шифрование?

Да. AWS позволяет клиентам применять собственные средства шифрования почти в любых сервисах, в том числе S3, EBS, SimpleDB, и EC2. Туннели IPSec к VPC также шифруются. Кроме того, Amazon S3 предоставляет клиентам опциональное шифрование на стороне сервера. Клиенты могут применять для шифрования технологические решения сторонних организаций.

Техническое описание по безопасности AWS
Физические настройки и настройки среды

Управление физическими надстройками и надстройками среды выполняет указанный поставщик облачных услуг?

Да. Это условие отдельно включается в отчет SOC 1 Type II. Кроме того, другие поддерживаемые AWS сертификации, например ISO 27001 и FedRAMPsm, требуют соблюдения определенных рекомендаций по физическим надстройкам и надстройкам среды.

Пакет FedRAMP, отчет ISO 27001, SOC 1
Обучение персонала и осведомленность

Организованы ли официальные программы с применением ролевого подхода и с учетом аспектов безопасности для обучения по вопросам доступа к данным и управления данными в облачной среде для всех сотрудников, которые имеют доступ к данным клиентов? (Например, модель распределения обязанностей и конфликта интересов для предоставления облачных сервисов нескольким клиентам в разных регионах мира.)

Да. В соответствии со стандартом ISO 27001 все сотрудники AWS периодически проходят обучение по информационной безопасности с обязательным подтверждением усвоенного материала. Периодически проводятся проверки соответствия требованиям для подтверждения того, что сотрудники понимают установленные политики и следуют им.

См. отчеты по соответствию требованиям SOC, PCI DSS, ISO 27001 и FedRAMP.

Здесь описан ряд типичных трудностей, возникающих при работе с HIPAA BAA. Чтобы получить дополнительные ресурсы по BAA, в том числе полный список вопросов и ответов по HIPAA, видео с инструкциями по BAA, технические описания и т. п., перейдите на основную страницуСоответствия требованиям HIPAA для AWS.

Вопрос: Могу ли я получить бумажную версию действующих BAA?

Ответ: Версии BAA, размещенные в Artifact и напечатанные на бумаге, ничем не различаются. В Artifact вы всегда можете скачать копию текущей версии BAA, как до, так и после подтверждения согласия. Если вы работаете по ранее подтвержденным бумажным версиям BAA, копию соглашения можно получить у торгового представителя.

Вопрос: Мне требуется подтверждение Exhibit A того, что аккаунты включены в существующее BAA или условия BAA распространяются на определенные аккаунты.

A: AWS не выпускает дополнительное подтверждение Exhibit A для дополнительных аккаунтов, которые включаются в уже существующие BAA. При работе с Artifact вы сможете мгновенно добавить новые аккаунты через консоль самостоятельного обслуживания. После того, как BAA будет подтверждено в Artifact, вы всегда можете войти в консоль с идентификатором нужного аккаунта и проверить его состояние. Если потребуется добавить новый аккаунт, воспользуйтесь интерфейсом самостоятельного обслуживания.  Чтобы подтвердить состояние и применимость BAA или передать его аудиторам или регламентирующим органам, скачайте его в PDF-формате. Указанное здесь состояние служит одновременно подтверждением применимости.

Вопрос: Я не могу подтвердить согласие для BAA или установить флажки, подтверждающие NDA.

Ответ. Такие проблемы возникают при неправильно настроенных разрешениях. Чтобы устранить их, сотрудник или команда, отвечающие за обработку запросов IAM для вашего аккаунта AWS, должны предоставить вам необходимые разрешения. Дополнительные сведения о настройке аккаунтов IAM вы можете найти здесь.

Дополнительные ресурсы об обеспечении соответствия AWS


header-icon_apn-partner-programs-orange

Страница сервисов, соответствующих стандартам содержит подробное описание сервисов, на которые действие распространяется в настоящий момент, и которые будут включены в будущем. Вы всегда можете обратиться к персональному менеджеру по продажам AWS и (или) архитектору систем, чтобы обсудить конкретные потребности по отдельным сервисам.

header-icon_apn-partner-programs-orange

Блог AWS по безопасности дает отличную возможность следить за всеми новинками в программах AWS по безопасности.

header-icon_apn-partner-programs-orange

Сведения о свежем опыте некоторых клиентов AWS вы можете найти на странице отзывов и рекомендаций клиентов, где собраны примеры использования в разных отраслях.

header-icon_apn-partner-programs-orange

Если вам нужна информация о конкретном режиме соответствия, воспользуйтесь вопросами и ответами на следующих страницах:

header-icon_apn-partner-programs-orange

Учебная программа AWS для аудиторов — это ресурс, специально разработанный для специалистов, ответственных за аудит и соответствие требованиям, и юристов, которые хотят узнать, как с помощью платформы AWS продемонстрировать соответствие их компании нормативным требованиям.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »