Руководство по решениям AWS для соответствия требованиям

Для доступа к отчетам о соответствии AWS лучше всего использовать консоль в AWS Artifact. AWS Artifact по требованию предоставляет клиентам доступ к последним отчетам AWS о соответствии. Выпущенные AWS новые отчеты сразу становятся доступными для загрузки в AWS Artifact. Помимо доступа по требованию, использование AWS Artifact имеет три преимущества:

1. не требуется ввод кредитной карты. Плата за создание аккаунта или использование портала AWS Artifact не взимается;
2. вы получаете возможность настройки аккаунтов для других пользователей через IAD;
3. обеспечивается удобный переход по NDA.

Обратите внимание, что для всех сторонних аттестаций, сертификаций, отчетов Service Organization Controls (SOC) и других отчетов о соответствии требуется Соглашение о неразглашении информации (NDA). Исключением является сертификация AWS по стандарту ISO 27001 и отчеты AWS SOC 3, которые доступны для общественности.

Если у вас есть аккаунт AWS и вы готовы начать использовать AWS Artifact, вы можете использовать перечисленные ниже ресурсы для ознакомления с этой функцией на консоли. Если у вас еще нет аккаунта AWS, вы можете его создать, выполнив следующие шаги.

Веб-сайт AWS Artifact. Этот веб-сайт предоставит вам основную информацию об Artifact, в том числе краткое руководство по началу работы с пошаговыми инструкциями по входу в консоль и загрузке отчета, а также вопросы и ответы по AWS Artifact с исчерпывающим списком часто задаваемых вопросов.

Ниже приведены некоторые из наиболее распространенных сценариев, которые вызывают вопросы:

Если вам потребуется помощь в заполнении анкеты по безопасности, которая описывает системы AWS по обеспечению безопасности и соответствия требованиям, AWS рекомендует использовать специально разработанный процесс, позволяющий получить все нужные ресурсы для правильных ответов на вопросы о безопасности и соответствию требованиям в контексте облачных технологий и бизнес-модели AWS. Эта процедура позволяет предоставлять всем нашим клиентам стандартизированные ответы, утвержденные нашими независимыми аудиторами.

Начинать работу следует с AWS Artifact, где размещены все отчеты по соответствию. AWS ежегодно проходит несколько аудитов сторонними организациями, большинство из которых выполняются по требованиям международных стандартов безопасности, таких как ISO 27001, PCI и SOC. Эти отчеты помогут вам ответить на любые анкеты по безопасности, которые вы можете получить.

Кроме того, в Интернете размещены несколько дополнительных ресурсов для ответов на наиболее распространенные вопросы. Для ответов на анкеты чаще всего используются два следующих документа:

Опросник CSA для оценки состояния безопасности облачной среды. Альянс облачной безопасности (CSA) представляет собой некоммерческую организацию, которая ставит своей задачей развитие передовых методик создания гарантий безопасности в отрасли облачных вычислений. Опросник CSA для оценки состояния безопасности облачной среды предоставляет набор вопросов, которые по мнению CSA чаще всего задаются клиентами и аудиторами поставщикам облачных систем. Сюда входят вопросы по безопасности, управлению и процессам, которые можно применить для самых разнообразных целей, в том числе для выбора поставщиков и оценки уровня безопасности. В этом документе собраны ответы AWS на вопросы из анкеты CSA.

Техническое описание «Риски и соответствие требованиям». В этом документе содержится информация, призванная помочь клиентам AWS в вопросах интеграции платформы AWS в существующие инфраструктуры управления, поддерживающие ИТ-среду. В нем содержится базовый подход к оценке элементов управления AWS и предлагается информация, призванная помочь клиентам в вопросах интеграции управляющих сред. В этом документе также есть специальная информация AWS по распространенным вопросам, возникающих в процессе обеспечения соответствия требованиям для облачных вычислений. Документ содержит подробные описания сертификаций, программ и отчетов AWS, а также аттестаций сторонними организациями. Исходная анкета CSA включена в приложение к этому документу.

Если вам потребуется помощь для ответа на вопросы, обратитесь к представителю отдела продаж AWS, чтобы он предоставил вам ссылки на необходимые ресурсы.

Здесь описан ряд типичных трудностей, возникающих при работе с HIPAA BAA. Чтобы получить дополнительные ресурсы по BAA, в том числе полный список вопросов и ответов по HIPAA, видео с инструкциями по BAA, технические описания и т. п., перейдите на основную страницуСоответствия требованиям HIPAA для AWS.

Вопрос: Могу ли я получить бумажную версию действующих BAA?

Ответ: Версии BAA, размещенные в Artifact и напечатанные на бумаге, ничем не различаются. В Artifact вы всегда можете скачать копию текущей версии BAA, как до, так и после подтверждения согласия. Если вы работаете по ранее подтвержденным бумажным версиям BAA, копию соглашения можно получить у торгового представителя.

Вопрос: Мне требуется подтверждение Exhibit A того, что аккаунты включены в существующее BAA или условия BAA распространяются на определенные аккаунты.

A: AWS не выпускает дополнительное подтверждение Exhibit A для дополнительных аккаунтов, которые включаются в уже существующие BAA. При работе с Artifact вы сможете мгновенно добавить новые аккаунты через консоль самостоятельного обслуживания. После того, как BAA будет подтверждено в Artifact, вы всегда можете войти в консоль с идентификатором нужного аккаунта и проверить его состояние. Если потребуется добавить новый аккаунт, воспользуйтесь интерфейсом самостоятельного обслуживания.  Чтобы подтвердить состояние и применимость BAA или передать его аудиторам или регламентирующим органам, скачайте его в PDF-формате. Указанное здесь состояние служит одновременно подтверждением применимости.

Вопрос: Я не могу подтвердить согласие для BAA или установить флажки, подтверждающие NDA.

Ответ. Такие проблемы возникают при неправильно настроенных разрешениях. Чтобы устранить их, сотрудник или команда, отвечающие за обработку запросов IAM для вашего аккаунта AWS, должны предоставить вам необходимые разрешения. Дополнительные сведения о настройке аккаунтов IAM вы можете найти здесь.