Ulusal Standartlar ve Teknoloji Enstitüsü (NIST)

Genel Bakış

600x400_NIST_Logo

Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) 800-53 güvenlik denetimleri genel olarak ABD Federal Bilgi Sistemlerine uygulanabilir. Normal olarak Federal Bilgi Sistemleri, bilgilerin ve bilgi sistemlerinin yeterli gizlilik, bütünlük ve kullanılabilirlik korumasına sahip olduğundan emin olmak için resmi bir değerlendirme ve yetkilendirme sürecinden geçmesi gerekir.

NIST Siber Güvenlik Çerçevesi (CSF), sektörü veya büyüklüğü ne olursa olsun tüm kuruluşlar tarafından kullanılması önerilen bir temel olarak dünya genelinde devletler ve endüstriler tarafından desteklenir. Gartner'a göre, 2015'te CSF ABD kuruluşlarının yaklaşık yüzde 30'u tarafından kullanılmıştır ve 2020'ye gelindiğinde kullanım oranının yüzde 50'ye ulaşması beklenmektedir. 2016 Mali Yılından başlayarak, federal kuruluşlara yönelik Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) ölçümleri CSF çerçevesinde düzenlenmiş ve kuruluşların artık Siber Güvenlik Kararnamesi kapsamında CSF'yi uygulaması zorunlu tutulmuştur.

  • AWS NIST 800-53 çerçevesiyle uyumlu mudur?

    Evet, AWS Bulut altyapısı ve hizmetleri hem NIST 800-53 Düzeltme 4 denetimlerine hem de ek FedRAMP gereksinimlerine göre gerçekleştirilen üçüncü taraf testleriyle doğrulanmıştır. AWS, hem AWS GovCloud (ABD) Bölgesi hem de AWS ABD Doğu/Batı Bölgeleri için birden çok yetkilendirme kuruluşundan FedRAMP Çalıştırma Yetkileri (ATO) almıştır. Daha fazla bilgi için, AWS FedRAMP uyumluluğu web sayfasına veya aşağıdaki FedRAMP Marketplace web sayfalarına bakın:

  • Müşteri olarak AWS sistemlerimi NIST çerçevelerine uygun hale getirme konusunda benim sorumluluklarım nelerdir?

    Denetimlerinizden bazıları AWS'den devralınıyor olsa da, birçok denetimin devri müşteri olarak sizinle AWS arasında paylaşılır. NDA kapsamında, NIST 800-53 Düzeltme 4'e dayanan ve uygun NIST 800-5 Düzeltme 4 düşük/orta/yüksek denetim temeline göre önceden doldurulmuş bir AWS FedRAMP SSP şablonu sağlar. Denetim sorumluluğu şöyledir:

    • Paylaşılan Sorumluluk: Siz yazılım bileşenlerinizin güvenliğiyle yapılandırmalarını sağlarsınız ve AWS kendi altyapısının güvenliğini sağlar.
    • Yalnızca Müşterinin Sorumluluğu: Konuk işletim sistemleri, dağıtılan uygulamalar ve bazı ağ kaynakları (örneğin, güvenlik duvarları) tümüyle sizin sorumluluğunuzdadır. Daha net belirtmek gerekirse, buluttaki güvenliğinizin yapılandırması ve yönetiminden yalnızca siz sorumlusunuz.
    • Yalnızca AWS'nin Sorumluluğu: AWS ağ, veri depolaması, sistem kaynakları, veri merkezleri, fiziksel güvenlik, güvenilirlik ve destekleyici donanım ve yazılımlardan oluşan bulut altyapısını yönetir. AWS sistemi üzerine kurulmuş uygulamalar AWS'nin sağladığı özellikleri ve yapılandırılabilir seçenekleri devralır. Bulutun güvenliğini yapılandırmak ve yönetmek yalnızca AWS'nin sorumluluğundadır.

    Güvenlik yetkilendirmesi amacıyla, FedRAMP gereksinimleriyle uyumluluk (NIST 800-53 düzeltme 4 Düşük/Orta/Yüksek denetim temeline göre), AWS'nin Yalnızca AWS'ye Özel ve Paylaşılan denetimleri tümüyle yerine getirmesine ve sizin Yalnızca Müşteriye Özel ve Paylaşılan denetimleri yerine getirmenize bağlıdır. FedRAMP resmi onaylı üçüncü taraf değerlendirme kuruluşu (3PAO) güvenlik sorumluluğumuzla ilişkili AWS uygulamasını değerlendirmiş ve yetkilendirmiştir. Paylaşılan denetimlerden sizin sorumluluğunuza düşen bölüm ve AWS altyapısı üzerinde oluşturduğunuz uygulamalarla ilgili denetimler, NIST 800-37 ve sizin özel yetkilendirme politikalarınız ve prosedürleriniz uyarınca tarafınızdan ayrı olarak değerlendirilmeli ve yetkilendirilmelidir.

  • AWS NIST çerçeveleriyle uyum sağlamama nasıl yardımcı olabilir?

    AWS FedRAMP uyumlu sistemlere yetki verilmiştir, bu sistemler FedRAMP güvenlik denetimlerine sahiptir (NIST SP 800-53), güvenli FedRAMP deposuna gönderilen güvenlik paketleri için gerekli FedRAMP şablonlarını kullanır, resmi onaylı bağımsız bir üçüncü taraf değerlendirme kuruluşu (3PAO) tarafından değerlendirilmiştir ve FedRAMP'in sürekli izleme gereksinimlerini karşılamaktadır.

    AWS Paylaşılan Sorumluluk Modeline göre, AWS bulutun güvenliğini yönetir ve bulutta sizin güvenliğiniz yine sizin sorumluluğunuzdadır. Paylaşılan sorumluluklar uygulamanızı desteklemek üzere, AWS Hızlı Başlangıç çözümleri (AWS CloudFormation tarafından desteklenir) oluşturmuştur; bu çözümler AWS Bulut'ta önemli teknolojilerin dağıtımını tek tıklamayla otomatik hale getirir. Hızlı Başlangıç çözümlerinin her biri, AWS'de NIST 800-53 gibi güvenlik standartları ve çerçevelerinin gereksinimleriyle uyumluluğa gönderme yapan bir iş yükünü dağıtmak için gereken AWS bilgi işlem, ağ ve depolama gibi hizmetleri başlatır, yapılandırır ve çalıştırır.

    AWS Hızlı Başlangıçları, sistematik olarak zorunlu tutulabilen kapsamlı kural kümeleriyle güvenli temelleri düzenler, otomatikleştirir ve uygular. Örneğin, AWS Bulut'ta NIST Tabanlı Güvence Çerçeveleri için Standartlaştırılmış Mimari Hızlı Başlangıcı, AWS CloudFormation şablonlarını içerir. Bu şablonlar, NIST 800-53 Düzeltme 4 ve NIST 800-171 kapsamına giren standartlaştırılmış bir temel mimari iş yükünü otomatik olarak oluşturmak için AWS Service Catalog'a entegre edilebilir. Bu Hızlı Başlangıç, güvenlik denetimleri mimarisinin kararlarını, özelliklerini ve temelin yapılandırmasını eşleştiren bir güvenlik denetimleri referansı da içerir. Hızlı Başlangıçlar AWS'deki uyumluluk çalışmalarınızı kuruluşunuzun AWS Bulut güvenlik ve uyumluluk hedefleri açısından anlamlı bir yolla desteklemek için kullanılabilir.

  • NIST CSF'yi nasıl kullanmalıyım?

    İster bir kamu kuruluşu ister özel sektör kuruluşu olun, NIST Siber Güvenlik Çerçevesi (CSF) teknik incelemesini kullanarak NIST CSF'ye göre AWS ortamınızı değerlendirebilir, oluşturduğunuz ve uyguladığınız güvenlik önlemlerini geliştirebilirsiniz (Paylaşılan Sorumluluk Modelinin size düşen tarafı, bulutta güvenlik olarak da bilinir). NIST CSF'yle uyumluluğunuzu kolaylaştırmak için, AWS Bulut hizmetlerinin ve bunlarla ilişkili müşteri ve AWS sorumluluklarının detaylı bir açıklamasını sağlıyoruz. Teknik incelemeye, kuruluşların AWS genelinde verilerini düzgün korumalarına olanak tanıyacak şekilde, AWS Bulut hizmetlerinin NIST CSF risk yönetimi uygulamalarıyla uyumluluğunu (Paylaşılan Sorumluluk Modelinin bize düşen tarafı, bulutun güvenliği olarak da bilinir) beyan eden bir üçüncü taraf denetçi mektubu da ekledik.

    Federal ve resmi kurumlar da dahil olmak üzere kuruluşlar ve büyük işletmeler bu teknik incelemeyi AWS çözümlerini uygulayıp NIST CSF'de risk yönetimi alanında sonuç elde etmek için kılavuz olarak kullanabilir.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »