สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST)

ภาพรวม

automating-security-best-practices-solution-icon (1)

โดยปกติการควบคุมความปลอดภัยมาตรฐาน 800-53 ของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) จะใช้กับระบบสารสนเทศของรัฐบาลกลางสหรัฐฯ โดยทั่วไประบบสารสนเทศของรัฐบาลกลางจะต้องผ่านการประเมินอย่างเป็นทางการและผ่านกระบวนการให้สิทธิ์อนุญาต เพื่อให้แน่ใจว่ามีการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูลและระบบข้อมูลที่เพียงพอ

เฟรมเวิร์กด้านความมั่นคงปลอดภัยทางไซเบอร์ของ NIST (CSF) ได้รับการสนับสนุนจากรัฐบาลและอุตสาหกรรมต่างๆ ทั่วโลกในฐานะที่เป็นบรรทัดฐานที่แนะนำสำหรับให้องค์กรต่างๆ นำไปใช้ ไม่ว่าจะเป็นภาคส่วนใดหรือมีขนาดเท่าใด จากข้อมูลของ Gartner ในปี 2015 องค์กรในสหรัฐฯ ประมาณ 30 เปอร์เซ็นต์ใช้ CSF และคาดว่าการใช้งานจะเพิ่มขึ้นเป็น 50 เปอร์เซ็นต์ในปี 2020 ตั้งแต่ปีงบประมาณ 2016 มีการนำตัววัด Federal Information Security Modernization Act (FISMA) ของรัฐบาลกลางมาใช้จัดการ CSF และขณะนี้หน่วยงานของรัฐบาลต้องใช้ CFS ภายใต้ Cybersecurity Executive Order

  • AWS ปฏิบัติตามข้อกำหนดของเฟรมเวิร์ก NIST 800-53 หรือไม่

    ใช่ โครงสร้างพื้นฐานและบริการของ AWS Cloud ได้รับการตรวจสอบด้วยการทดสอบจากภายนอกโดยเปรียบเทียบกับการควบคุมมาตรฐาน NIST 800-53 Revision 4 รวมถึงข้อกำหนดของ FedRAMP อื่นๆ ด้วย AWS ได้รับ FedRAMP Authorizations to Operate (ATO) จากหน่วยงานที่ได้รับอนุญาตหลายแห่งสำหรับทั้ง AWS GovCloud (US) และ AWS US ภูมิภาคตะวันออก/ตะวันตก สำหรับข้อมูลเพิ่มเติม ดูที่เว็บเพจการปฏิบัติตามข้อกำหนดของ AWS FedRAMP หรือเว็บเพจ FedRAMP Marketplace ดังต่อไปนี้

  • ความรับผิดชอบต่อลูกค้าเพื่อให้ระบบ AWS เป็นไปตามเฟรมเวิร์ก NIST คืออะไร

    ขณะที่การควบคุมบางส่วนได้รับมาจาก AWS การควบคุมส่วนใหญ่จะเป็นการรับช่วงร่วมกันระหว่างคุณในฐานะที่เป็นลูกค้ากับ AWS AWS มีเทมเพลต AWS FedRAMP SSP ที่อิงตามมาตรฐาน NIST 800-53 Rev. 4 ซึ่งมีการคำนวณไว้ล่วงหน้าด้วยบรรทัดฐานการควบคุมระดับต่ำ/ปานกลาง/สูงของมาตรฐาน NIST 800-5 Rev. 4 ที่ปรับใช้ภายใต้ NDA ความรับผิดชอบในการควบคุมมีดังต่อไปนี้

    • ความรับผิดชอบร่วมกัน คือ คุณจะทำให้องค์ประกอบของซอฟต์แวร์มีความปลอดภัยและมีการกำหนดค่า ส่วน AWS จะมอบการรักษาความปลอดภัยในด้านโครงสร้างพื้นฐานของระบบ
    • ความรับผิดชอบเฉพาะฝั่งลูกค้า คือ คุณจะมีหน้าที่รับผิดชอบต่อระบบปฏิบัติการเยือน การปรับใช้แอปพลิเคชัน และการเลือกทรัพยากรเครือข่าย (เช่น ไฟร์วอลล์) กล่าวโดยเจาะจง คุณจะมีหน้าที่รับผิดชอบต่อการกำหนดค่าและการจัดการความปลอดภัยในระบบคลาวด์ของคุณแต่เพียงผู้เดียว
    • ความรับผิดชอบเฉพาะฝั่ง AWS คือ AWS จะจัดการโครงสร้างพื้นฐานระบบคลาวด์ ซึ่งรวมถึงเครือข่าย การเก็บข้อมูล ทรัพยากรระบบ ศูนย์ข้อมูล ความปลอดภัยทางกายภาพ ความเชื่อถือได้ และการรองรับฮาร์ดแวร์กับซอฟต์แวร์ แอปพลิเคชันที่สร้างขึ้นเพิ่มเติมจากระบบของ AWS จะได้รับคุณสมบัติและตัวเลือกที่กำหนดค่าได้ที่ AWS มีให้บริการ AWS จะรับผิดชอบต่อการกำหนดค่าและการจัดการความปลอดภัยของระบบคลาวด์แต่เพียงผู้เดียว

    สำหรับวัตถุประสงค์ด้านการให้สิทธิ์อนุญาตความปลอดภัย การปฏิบัติตามข้อกำหนดของ FedRAMP (อิงตามบรรทัดฐานการควบคุมระดับต่ำ/ปานกลาง/สูงของมาตรฐาน NIST 800-53 Rev 4) จะเป็นไปตามที่ AWS ใช้ความรับผิดชอบเฉพาะฝั่ง AWS และการควบคุมร่วมกันทั้งหมด และคุณใช้ความรับผิดชอบเฉพาะฝั่งลูกค้าและการควบคุมร่วมกันทั้งหมด องค์กรประเมินจากภายนอกที่ผ่านการรับรองจาก FedRAMP (3PAO) ได้ประเมินและอนุญาตการใช้ความรับผิดชอบในการควบคุมของ AWS แล้ว คุณต้องทำการประเมินและอนุญาตสัดส่วนของการควบคุมร่วมกันที่คุณรับผิดชอบ และการควบคุมที่เกี่ยวข้องกับแอปพลิเคชันที่คุณใช้นอกเหนือจากโครงสร้างพื้นฐานของ AWS แยกกันตามข้อตกลงมาตรฐาน NIST 800-37 รวมถึงนโยบายและขั้นตอนการอนุญาตเพื่อความปลอดภัยเฉพาะของคุณ

  • AWS จะช่วยให้ฉันปฏิบัติตามเฟรมเวิร์ก NIST ได้อย่างไร

    ระบบที่สอดคล้องกับ FedRAMP ของ AWS ได้รับสิทธิ์อนุญาตแล้ว มีการจัดการควบคุมความปลอดภัยของ FedRAMP (NIST SP 800-53) ใช้เทมเพลตที่กำหนดโดย FedRAMP สำหรับแพ็กเกจความปลอดภัยบน FedRAMP Repository ที่ปลอดภัย ได้รับการประเมินโดยองค์กรประเมินจากภายนอกที่ผ่านการรับรอง (3PAO) รวมถึงมีการปฏิบัติตามข้อกำหนดในการตรวจสอบของ FedRAMP อย่างต่อเนื่อง

    โมเดลความรับผิดชอบร่วมกันของ AWS ระบุว่า AWS จะบริหารจัดการความปลอดภัยของระบบคลาวด์ ส่วนคุณมีหน้าที่รับผิดชอบต่อความปลอดภัยของคุณในระบบคลาวด์ เพื่อรองรับการใช้ความรับผิดชอบร่วมกัน AWS ได้สร้าง Quick Start solutions (ให้บริการโดย AWS CloudFormation) ที่ใช้การคลิกเพียงครั้งเดียวเพื่อให้คุณใช้เทคโนโลยีที่สำคัญใน AWS Cloud ได้โดยอัตโนมัติ Quick Start แต่ละรายการจะเปิดใช้ กำหนดค่า และรันการคำนวณ เครือข่าย พื้นที่จัดเก็บ และบริการอื่นๆ ของ AWS ที่ต้องใช้ปริมาณงานใน AWS ที่ระบุถึงการปฏิบัติตามข้อกำหนดของมาตรฐานความปลอดภัยและเฟรมเวิร์ก เช่น NIST 800-53

    AWS Quick Start จะปรับปรุงประสิทธิภาพ ทำให้เป็นอัตโนมัติ และใช้บรรทัดฐานด้านความปลอดภัยด้วยชุดกฎแบบครอบคลุมที่สามารถบังคับใช้ได้อย่างเป็นระบบ ตัวอย่างเช่น Quick Start Standardized Architecture สำหรับเฟรมเวิร์กการรับประกันที่อิงมาตรฐาน NIST เป็นหลักบน AWS Cloud จะมีเทมเพลต AWS CloudFormation เทมเพลตเหล่านี้สามารถผสานการทำงานกับ AWS Service Catalog เพื่อสร้างปริมาณงานด้านสถาปัตยกรรมพื้นฐานที่มีมาตรฐานตามขอบข่ายของ NIST 800-53 Revision 4 และ NIST 800-171 โดยอัตโนมัติ Quick Start นี้ยังมีข้อมูลอ้างอิงการควบคุมความปลอดภัย ซึ่งจะแมปการตัดสินใจ คุณสมบัติ และการกำหนดค่าของสถาปัตยกรรมด้านการรักษาความปลอดภัยของพื้นฐานนี้ Quick Start ยังสามารถใช้เพื่อสนับสนุนความพยายามในการปฏิบัติตามข้อกำหนดของ AWS ในลักษณะที่เข้ากับวัตถุประสงค์ด้านความปลอดภัยและการปฏิบัติตามข้อกำหนดของ AWS Cloud ขององค์กร

  • ฉันจะใช้ NIST CSF ได้อย่างไร

    ไม่ว่าคุณจะเป็นองค์กรภาครัฐหรือพาณิชย์ คุณสามารถใช้รายงานของเฟรมเวิร์กด้านความมั่นคงปลอดภัยทางไซเบอร์ของ NIST (CSF) เพื่อประเมินสภาพแวดล้อมของ AWS โดยเปรียบเทียบกับ NIST CSF และปรับปรุงการวัดประสิทธิภาพความปลอดภัยที่คุณใช้และนำไปปฏิบัติ (ส่วนของคุณในโมเดลความรับผิดชอบร่วมกัน หรือที่เรียกว่าความปลอดภัยในระบบคลาวด์) เพื่ออำนวยความสะดวกให้แก่คุณในการปฏิบัติตาม NIST CSF เรามีคำอธิบายโดยละเอียดของ AWS Cloud services และลูกค้าที่เกี่ยวข้องกับความรับผิดชอบของ AWS รายงานนี้ยังมีหนังสือจากผู้ตรวจสอบภายนอกที่ยืนยันความสอดคล้องกันของ AWS Cloud services กับแนวทางปฏิบัติด้านการจัดการความเสี่ยงใน NIST CSF (ส่วนของเราในโมเดลความรับผิดชอบร่วมกัน หรือที่เรียกว่าความปลอดภัยของระบบคลาวด์) ซึ่งช่วยให้องค์กรปกป้องข้อมูลของตนใน AWS ได้อย่างเหมาะสม

    องค์กรต่างๆ รวมถึงหน่วยงานภาครัฐ หน่วยงานที่มีการกำกับดูแล และบริษัทขนาดใหญ่สามารถใช้รายงานนี้เป็นคู่มือสำหรับการนำ AWS Solutions ไปใช้เพื่อให้ได้ผลลัพธ์ด้านการจัดการความเสี่ยงใน NIST CSF ที่ประสบความสำเร็จ

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »