MPAA ve Stüdyo Güvenliği

Genel Bakış

MPAAIcon

Amerika Sinema Filmleri Derneği (MPAA), korumalı medya ve içeriğin güvenli şekilde depolanması, işlenmesi ve sunulması için bir dizi en iyi uygulamalar belirlemiştir. Medya şirketleri, bu en iyi uygulamaları içeriklerinin ve altyapılarının riskini ve güvenliğini değerlendirme yöntemi olarak kullanır.

MPAA bir "sertifika" vermez ancak medya sektörü müşterileri risk değerlendirmesini ve AWS'deki MPAA türündeki içeriği artırmak için AWS'nin en iyi MPAA uygulamasına uyumluluğunu gösteren AWS MPAA kılavuzunu kullanabilir.

AWS ayrıca AWS Platformunun ve AWS İçin Stüdyo Güvenliği Şablonunun Üçüncü Taraf Değerlendirmesi'ni sunar. AWS Artifact ile bu belgeye erişim talebinde bulunun.

  • Yürütme Güvenliği Farkındalığı / Gözetimi

    En İyi Uygulamalar

    Yöneticiler/sahipler, düzenli olarak bilgi güvenliği programının ve risk değerlendirme sonuçlarının incelemesini yaptırarak Bilgi Güvenliği işlevinin gözetimini sağlar.

    AWS Uygulaması

    Amazon'daki Denetim ortamı, Şirketin en üst düzeyinden başlar. Yürütme ve kıdemli liderlik, Şirketin tavrını ve temel değerlerini belirlemede önemli rollere sahiptir. AWS, Sistem ve Organizasyon Kontrolü (SOC) entegrasyonuna dayalı güvenlik entegrasyonu ve politikaları belirlemiştir ve ISO 27002 denetimlerine dayanan belgelenebilir ISO 27001 entegrasyonu, PCI DSS v3.2 ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Yayımı 800-53 Rev 3 (Federal Bilgi Sistemleri İçin Önerilen Güvenlik Denetimleri) standartlarını etkili bir şekilde entegre etmiştir. AWS çalışanları, AWS Güvenlik eğitimini de içeren periyodik görev tabanlı eğitimi tamamlar. Uyumluluk denetimleri, çalışanların belirlenen politikaları anlayıp izlemesi için gerçekleştirilir.

  • Risk Yönetimi

    En İyi Uygulamalar

    Tesisle ilgili içerik hırsızlığı ve sızıntısı risklerini tanımlamak ve önceliklendirmek için içerik iş akışlarına ve hassas varlıklara yoğunlaşan resmi bir güvenlik riski değerlendirme süreci geliştirin.

    AWS Uygulaması

    AWS, en az her yıl güncellenen ve incelenen resmi, belgelenmiş bir risk değerlendirme politikası uygulamaktadır. Bu politika amaca, kapsama, rollere, sorumluluklara ve yönetim taahhütüne yöneliktir.

    Bu politikayla uyumlu olarak, AWS Mevzuat Uyumluluğu ekibi tarafından tüm AWS bölgelerini ve şirketlerini kapsayan yıllık risk değerlendirmesi yapılır ve AWS Kıdemli Yönetimi tarafından incelenir. Bu işlem, bağımsız denetçilerin gerçekleştirdiği Sertifika, onay ve raporlara ek olarak yapılır. Risk değerlendirmenin amacı tehditleri ve AWS'nin güvenlik açıklarını belirlemek, tehditlere ve güvenlik açıklarına bir risk puanı vermek, değerlendirmeyi resmi şekilde belgelemek ve sorunlara yönelik bir risk düzeltme planı oluşturmaktır. Risk değerlendirmesi sonuçları, yıllık risk değerlendirmesinden önce yeni bir risk değerlendirmesi gerektirecek önemli bir değişiklik yapıldığında da dahil olmak üzere düzenli olarak AWS Kıdemli Yönetimi tarafından incelenir.

    Müşteriler verilerinin (içeriğin) mülkiyetine sahiptir ve uyumluluk gerekliliklerini karşılamak için verilerinin iş akışlarıyla ilişkili olan riskin değerlendirilmesinden ve yönetilmesinden sorumludur.

    AWS Risk Yönetimi entegrasyonu, SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • Güvenlik Organizasyonu

    En İyi Uygulamalar

    Güvenlik konusunda irtibat kişilerini tanımlayın ve içeriklerle varlıkların korunması için rolleri ve sorumlulukları resmi olarak belirleyin.

    AWS Uygulaması

    AWS; AWS Güvenlik ekibi tarafından yönetilen ve AWS Bilgi Güvenliği Direktörü (CISO) tarafından yönlendirilen yerleşik bir bilgi güvenliği organizasyonuna sahiptir. AWS, tüm AWS'yi destekleyen bilgi sistemlerinin kullanıcılarına güvenlik farkındalığı eğitimi sağlar ve sürdürür. Bu yıllık güvenlik farkındalığı eğitimine şu konu başlıkları dahildir: Güvenlik ve farkındalık eğitiminin amacı, tüm AWS politikalarının konumu, AWS vaka yanıtı prosedürleri (dahili ve harici güvenlik vakalarının nasıl bildirileceğiyle ilgili talimatlar dahil).

    AWS içinde yer alan sistemlere, anahtar operasyonel ve güvenlik metriklerini izleyecek şekilde kapsamlı araçlar sağlanır. Alarmlar, anahtar metriklerde erken uyarı eşikleri geçildiğinde operasyon ve yönetim personelini otomatik olarak bilgilendirecek şekilde yapılandırılmıştır. Eşikler aşıldığında AWS vaka yanıtı süreci başlatılır. Amazon Vaka Yanıtı ekibi, işi etkileyen olaylara çözüm sağlamak için sektör standardında tanılama işlemleri kullanır. Personel, vakaları tespit etmek ve çözüme olan etkiyi yönetmek için 365 gün boyunca 7/24 çalışır.

    AWS rolleri ve sorumlulukları SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • Politikalar ve Prosedürler

    En İyi Uygulamalar

    Varlık ve içerik güvenliğiyle ilgili politikalar ve prosedürler belirleyin. Politikaların en azından aşağıdaki konu başlıklarına yönelik olması gerekir:
    • İnsan kaynakları politikaları
    • Kabul edilebilir kullanım (ör., sosyal ağlar, İnternet, telefon vb.)
    • Varlık sınıflandırması
    • Varlık işleme politikaları
    • Dijital kayıt cihazları (ör., akıllı telefonlar, dijital kameralar, kaydedici kameralar)
    • İstisna politikası (ör., politikadan sapmaları belgeleme süreci)
    • Parola denetimleri (ör., parola minimum uzunluğu, ekran koruyucular)
    • Tesisten müşteri varlığının kaldırılmasının yasaklanması
    • Sistem değişikliği yönetimi
    • Muhbir politikası
    • Yaptırım politikası (ör., disiplin politikası)

    AWS Uygulaması

    AWS, Sistem ve Organizasyon Kontrolü (SOC) entegrasyonuna dayalı güvenlik entegrasyonu ve politikaları belirlemiştir ve ISO 27002 denetimlerine dayanan belgelenebilir ISO 27001 entegrasyonu, PCI DSS v3.2 ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Yayımı 800-53 Rev 3 (Federal Bilgi Sistemleri İçin Önerilen Güvenlik Denetimleri) standartlarını etkili bir şekilde entegre etmiştir.

    AWS, tüm AWS'yi destekleyen bilgi sistemlerinin kullanıcılarına güvenlik farkındalığı eğitimi sağlar ve sürdürür. Bu yıllık güvenlik farkındalığı eğitimine şu konu başlıkları dahildir: Güvenlik ve farkındalık eğitiminin amacı, tüm AWS politikalarının konumu, AWS vaka yanıtı prosedürleri (dahili ve harici güvenlik vakalarının nasıl bildirileceğiyle ilgili talimatlar dahil).

    AWS politikaları, prosedürleri ve ilgili eğitim programları SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • Vaka Yanıtı

    En İyi Uygulamalar

    Bir güvenlik vakası tespit edildiğinde ve bildirildiğinde yapılacakları açıklayan resmi bir vaka yanıtı planı belirleyin.

    AWS Uygulaması

    AWS, resmi ve belgelenen bir vaka yanıt politikası ve programı uygulamaktadır. Politika amaca, kapsama, rollere, sorumluluklara ve yönetim taahhütüne yöneliktir.

    AWS, vakaları yönetmek için üç aşamalı bir yaklaşım kullanır:

    1. Aktivasyon ve Bildirim Aşaması: AWS vakaları, bir olayın tespit edilmesiyle başlar. Bu olay birçok kaynaktan gelebilir, örneğin:

    a. Metrikler ve alarmlar - AWS, olağanüstü bir durum farkındalığı özelliğine sahiptir. Birçok olay, 365 gün boyunca 7/24 çalışarak gerçek zamanlı metrikler ve hizmet panolarının izlenmesi ve alarm verilmesiyle hızlı bir şekilde tespit edilir. Vakaların çoğu bu şekilde tespit edilmektedir. AWS, sonucunda Müşterileri etkileyecek ola sorunları önceden belirlemek için erken gösterge alarmlarını kullanır.
    b. Bir AWS çalışanının girdiği sorun etiketi.
    c. 365 gün 7/24 çalışan teknik destek hattına yapılan çağrılar.

    Olay, vaka kriterlerini sağlıyorsa ilgili nöbetçi destek mühendisi, çalışma ve sayfayla ilgili program çözümleyicileri başlatmak için AWS'nin olay yönetimi araçlarını kullanıp bir çalışma başlatır. Çözümleyiciler bir vaka analizi gerçekleştirerek ilave çözümleyicilerin eklenmesi gerekip gerekmediğini ve yaklaşım kök nedenini belirler.

    2. Kurtarma Aşaması - İlgili çözümleyiciler, vakaya yönelik bir onarım gerçekleştirir. Sorun giderildikten sonra onarım yapılır ve etkilenen bileşenlere odaklanılır. Çağrı lideri, takip belgelerine ve takip işlemlerine göre sonraki adımları atar ve çağrı işlemini sonlandırır.

    3. Yeniden Yaratma Aşaması - İlgili onarım aktiviteleri tamamlanır ve çağrı lideri, kurtarma aşamasının sona erdiğini belirtir. Etkinlik sonrası değerlendirme ve vakanın derin kök nedeni analizi, ilgili ekibe atanır. Etkinlik sonrası değerlendirmenin sonuçları, ilgili kıdemli yönetim tarafından incelenir ve tasarım değişiklikleri vb. ilgili eylemler Hataların Düzeltilmesi (COE) belgesinde belirtilerek tamamlanması takip edilir.

    Yukarıda ayrıntıları verilen dahili iletişim mekanizmalarına ek olarak AWS, müşteri üssünü ve topluluğunu desteklemek için çeşitli harici iletişim yöntemleri uygulamaktadır. Mekanizmalar, müşteri deneyimini etkileyen operasyonel sorunların müşteri destek ekibine bildirilmesini sağlar. "Hizmet Durumu Panosu" bulunur ve geniş ölçüde etkisi olabilecek sorunlarla ilgili olarak müşterileri uyarmak için müşteri destek ekibi tarafından yönetilir.

    AWS vaka yönetimi programı, SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

    Müşteriler kendi misafir işletim sistemleri, yazılım, uygulamalar ve verilerinin mülkiyetine ve denetimine sahip oldukları için içeriğin (verilerin) iş akışı belgelerinden AWS Müşterileri sorumludur.

  • Personel Yönetimi

    En İyi Uygulamalar

    Tüm şirket personeli ve üçüncü taraf çalışanlar üzerinde özgeçmiş tarama kontrolleri gerçekleştirin.

    AWS Uygulaması

    AWS, çalışanın konumu ve AWS tesislerine erişim düzeyiyle orantılı olarak istihdam öncesi inceleme uygulamalarının bir parçası olarak, yürürlükteki kanunun izin verdiği şekilde sabıka kaydı kontrolleri yapar.

    AWS özgeçmiş kontrolü programı, SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • Gizlilik Anlaşmaları

    En İyi Uygulamalar

    Tüm şirket personelinin ve üçüncü taraf işçilerinin işe alındığında ve sonrasında her yıl olmak üzere, içeriğin işlenmesi ve korunmasıyla ilgili gereklilikleri de içeren gizlilik sözleşmesi (ör., ifşa etmeme) imzalamasını gerektirin.

    AWS Uygulaması

    Amazon Hukuk Müşaviri, Amazon Gizlilik Sözleşmesini (NDA) AWS'nin iş ihtiyaçlarını yansıtacak şekilde yönetir ve düzenli olarak gözden geçirir.

    Gizlilik Sözleşmelerinin (NDA) AWS kullanımı ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • Günlük Kaydı ve İzleme

    En İyi Uygulamalar

    Şüpheli olaylar için kısıtlı alanlara elektronik erişimin günlük kaydını tutun ve inceleyin.

    AWS Uygulaması

    Fiziksel erişim; video gözetimi, izinsiz giriş tespit sistemleri ve diğer elektronik araçları kullanan profesyonel güvenlik personeli tarafından hem çevre hem de bina giriş noktalarında kontrol edilir.

    Ana giriş, yükleme noktası ve çatı kapıları/kapakları da dahil olmak üzere AWS veri merkezlerinin tüm girişleri, kapılar zorla açıldığında veya açık tutulduğunda alarm çalan ve AWS merkezi fiziksel güvenlik izlemesinde bir alarm oluşturan izinsiz giriş tespit sistemleriyle güvence altına alınmıştır.

    AWS veri merkezleri, elektronik mekanizmalara ek olarak binanın içinde ve çevresinde 7/24 bulunan eğitimli güvenlik görevlilerine sahiptir. Tüm vakalar için belgelenen kök nedenle birlikte tüm alarmlar güvenlik görevlilerince incelenir. SLA süresi içinde yanıt verilmezse tüm alarmlar otomatik olarak yükseltilir.

    Sunucu konumlarına fiziksel erişim noktaları, AWS Veri Merkezi Fiziksel Güvenlik Politikası'nda belirtildiği gibi kapalı devre televizyon kamerası (CCTV) tarafından kaydedilir. Görüntüler, yasal veya sözleşme yükümlülükleri tarafından 30 günle sınırlı değilse 90 gün boyunca saklanır.

    AWS Fiziksel Güvenlik Mekanizmaları SOC, PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • Varlıkları İzleme

    En İyi Uygulamalar

    Fiziksel varlıkların (ör. müşterinin veya yeni oluşturulan) ayrıntılı izlenmesini sağlamak için içerik varlık yönetimi sistemi uygulayın.

    AWS Uygulaması

    AWS Müşterileri, İçerik Varlık Yönetimi'ne sahiptir, uygular ve çalıştırır. Fiziksel varlıkların envanter izlemesini uygulamak Müşterilerin sorumluluğundadır.

    AWS Veri Merkezi Ortamları için veri merkezlerine gönderilen ve merkezlerden alınan sunucular, raflar, ağ cihazları, sabit sürücüler, sistem donanım bileşenleri dahil ancak bunlarla sınırlı olmamak kaydıyla tüm yeni bilgi sistemi bileşenleri ve bina malzemeleri için önceden Veri Merkezi Yöneticisinin yetkisinin alınması ve bilgilendirilmesi gerekir. Öğeler, her AWS Veri Merkezi'nin yükleme noktasına teslim edilir ve pakette herhangi bir hasar veya onaysız değişiklik olmadığından emin olunarak AWS'nin tam zamanlı bir çalışanı tarafından imzalanır. Teslimat geldikten sonra öğeler taranır ve AWS Varlık yönetimi sistemi ile cihaz envanteri izleme sistemine kaydedilir.

    Öğeler alındığında, veri merkezine yerleştirilinceye kadar veri merkezi içindeki ekipman depolama odasına yerleştirilir. Bu odaya giriş için yaka kartı ve PIN kombinasyonu gereklidir. Öğeler veri merkezinden çıkarılmadan ve veri merkezinden ayrılması için izin verilmeden önce taranır, izlenir ve temizlenir.

    AWS Varlık Yönetimi süreçleri ve prosedürleri PCI DSS, ISO 27001 ve FedRAMP uyumluluğumuz için yapılan denetimler sırasında bağımsız harici denetçiler tarafından incelenir.

  • İnternet

    En İyi Uygulamalar

    Dijital içeriği işleyen veya depolayan sistemlere (masaüstü bilgisayarlar/sunucular) İnternet erişimini yasaklayın.

    AWS Uygulaması

    Kural setleri, erişim denetimi listesi (ACL) ve yapılandırmalar kullanan sınır koruma cihazları, ağ yapıları arasında bilgi akışını sağlar. Bu cihazlar her şeyi reddetme moduna yapılandırılır ve bağlantıya izin vermeleri için onaylanmış bir güvenlik duvarı seti gerektirir. AWS Ağı Güvenlik Duvarlarının Yönetimiyle ilgili ek bilgi edinmek için DS-2.0'a bakın.

    AWS Varlıklarının yapısında e-posta özelliği yoktur ve 25. bağlantı noktası kullanılmaz. Müşteri (ör. stüdyo, işleme tesisi vb.) e-posta özelliklerini barındırmak için bir sistem kullanabilir; ancak bu durumda, e-posta giriş ve çıkış noktalarında uygun gereksiz ve kötü amaçlı e-posta koruma düzeylerini sağlamak ve de yeni sürümler çıktığında gereksiz ve kötü amaçlı e-posta tanımlarını güncelleştirmek Müşterinin sorumluluğundadır.

    Amazon varlıkları (ör. dizüstü bilgisayarlar), e-posta filtrelemesi ve kötü amaçlı yazılım tespiti içeren virüsten koruma yazılımıyla yapılandırılır.

    AWS Ağı Güvenlik Duvarı yönetimi ve Amazon'un virüsten koruma programı, AWS'nin SOC, PCI DSS, ISO 27001 ve FedRAMP ile devam eden uyumluluğunun bir parçası olarak bağımsız üçüncü taraf denetçiler tarafından incelenir.

  • AWS Platformunun ve AWS İçin Stüdyo Güvenliği Şablonunun Üçüncü Taraf Değerlendirmesi

    MPAA'nın yanı sıra birçok İçerik Stüdyosu (Disney ve Marvel gibi) kendi güvenlik gereksinimlerine sahiptir ve hizmet sağlayıcıları ile katma değerli hizmetlerin, üçüncü taraf denetçiler tarafından denetlenen kendi bulut tabanlı veya kurum için ortamı olmasını gerektirirler. Buna iyi bir örnek, ön sürümü yapılan oyunlar için VFX/Animasyon içeriğinin bulut tabanlı sunumla patlama yapmasıdır.

    AWS, kendi platformunun VFX/Animasyon sunma ortamı için değerlendirilmesi amacıyla üçüncü taraf bir denetçiyle çalışmıştır. Üçüncü taraf denetçi, önemli Stüdyo gereksinimlerine dayanan AWS güvenlik denetimlerini içeren en iyi güvenlik uygulamalarının bir şablon belgesini oluşturmuştur. Bu belge, AWS'de Stüdyo onaylı VFX/Animasyon sunma ortamı oluşturmak için kullanılabilir.

    AWS Artifact ile Stüdyo Güvenlik Gereksinimleri İçin AWS Güvenlik Denetimleri belgesine erişim talep edin.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »