Viện Tiêu chuẩn và Kỹ thuật Quốc gia (NIST)

Tổng quan

600x400_NIST_Logo

Kiểm soát bảo mật 800-53 của Viện Tiêu chuẩn và Kỹ thuật Quốc gia (NIST) được áp dụng chung cho Hệ thống Thông tin Liên bang Hoa Kỳ. Hệ thống Thông tin Liên bang thường phải trải qua quá trình đánh giá và cấp phép chính thức nhằm đảm bảo khả năng bảo vệ và bảo mật hiệu quả, tính toàn vẹn và khả năng hiển thị thông tin và hệ thống thông tin.

Khuôn khổ an ninh mạng NIST (CSF) được hỗ trợ bởi chính phủ và các ngành trên thế giới theo mức cơ bản đã được đề nghị sử dụng cho bất cứ tổ chức nào, bất kể khu vực hoặc quy mô của tổ chức. Theo Gartner, năm 2015 gần 30 phần trăm các tổ chức đã sử dụng CSF và dự kiến đạt đến 50 phần trăm sử dụng vào năm 2020. Từ năm tài chính 2016, số liệu Đạo luật Hiện đại hóa Bảo mật thông tin Liên bang cơ quan liên bang được tổ chức quanh CSF và các cơ quan hiện được yêu cầu triển khai CSF theo Lệnh thực thi an ninh mạng.

  • AWS có tuân thủ khuôn khổ NIST 800-53 không?

    Có, cơ sở hạ tầng và dịch vụ của Đám mây AWS được phê chuẩn qua chương trình kiểm tra bên thứ ba được thực hiện trước kiểm soát NIST 800-53 Revision 4, cũng như những yêu cầu FedRAMP bổ sung. AWS đã nhận được Ủy quyền vận hành FedRAMP (ATO) từ nhiều cơ quan cấp quyền cho cả Vùng AWS GovCloud (US) và Vùng Miền Đông/Tây Hoa Kỳ của AWS. Để biết thêm thông tin, xem trang web Khả năng tuân thủ FedRAMP của AWS, hoặc các trang web Marketplace FedRAMP sau đây:

  • Trách nhiệm khách hàng của tôi về điều chỉnh hệ thống AWS theo khuôn khổ NIST là gì?

    Trong khi bạn được hưởng một số quyền kiểm soát từ AWS thì bạn với tư cách khách hàng và AWS lại chia sẻ nhiều quyền kiểm soát khác. Theo NDA, AWS cung cấp mẫu AWS FedRAMP SSP dựa trên NIST 800-53 Rev. 4, được chuẩn bị trước với mức cơ bản kiểm soát thấp/vừa/cao của NIST 800-5 Rev. 4 hiện hành. Trách nhiệm kiểm soát như sau:

    • Trách nhiệm chung: Bạn sẽ chịu trách nhiệm về bảo mật và cấu hình của các thành phần phần mềm của bạn và AWS sẽ chịu trách nhiệm bảo mật cho cơ sở hạ tầng của mình.
    • Trách nhiệm riêng của khách hàng: Bạn chịu hoàn toàn trách nhiệm về hệ thống vận hành khách, các ứng dụng được sử dụng và tài nguyên mạng được chọn (như tường lửa). Đặc biệt hơn, bạn hoàn toàn chịu trách nhiệm về việc cấu hình và quản lý bảo mật của bạn trong đám mây.
    • Trách nhiệm riêng của AWS: AWS quản lý cơ sở hạ tầng đám mây, bao gồm mạng, lưu trữ dữ liệu, tài nguyên hệ thống, trung tâm dữ liệu, bảo mật vật lý, tính tin cậy và phần cứng cũng như phần mềm hỗ trợ. Những ứng dụng được xây dựng trên hệ thống AWS thừa hưởng các tính năng và lựa chọn có thể cấu hình do AWS cung cấp. AWS hoàn toàn chịu trách nhiệm về việc cấu hình và quản lý bảo mật của đám mây.

    Với mục đích ủy quyền bảo mật, việc tuân thủ các yêu cầu của FedRAMP (dựa trên mức cơ bản kiểm soát thấp/vừa/cao NIST 800-53 rev 4) phụ thuộc vào việc AWS triển khai đầy đủ kiểm soát chung và kiểm soát riêng của AWS và phụ thuộc vào việc bạn triển khai kiểm soát chung và kiểm soát riêng của khách hàng. Tổ chức đánh giá bên thứ ba đã được công nhận của FedRAMP (3PAO) đã đánh giá và ủy quyền cho AWS triển khai trách nhiệm kiểm soát của chúng tôi. Phần kiểm soát chung mà bạn phải chịu trách nhiệm và các kiểm soát liên quan tới ứng dụng bạn triển khai trên cơ sở hạ tầng AWS phải do bạn đánh giá và ủy quyền riêng biệt, theo NIST 800-37, chính sách và thủ tục ủy quyền bảo mật cụ thể của bạn.

  • AWS có thể giúp tôi thực hiện điều chỉnh theo khuôn khổ NIST như thế nào?

    Hệ thống tuân thủ AWS FedRAMP đã được cấp phép, đã giải quyết các kiểm soát bảo mật FedRAMP (NIST SP 800-53), sử dụng các mẫu FedRAMP cần thiết cho các gói bảo mật đăng trong Kho lưu trữ FedRAMP an toàn, tổ chức đánh giá bên thứ ba độc lập được công nhận (3PAO) đã đánh giá và duy trì các yêu cầu giám sát liên tục của FedRAMP.

    Theo Mô hình trách nhiệm chung của AWS, AWS quản lý bảo mật của đám mây và bạn chịu trách nhiệm cho vấn đề bảo mật của mình trong đám mây. Nhằm hỗ trợ việc triển khai trách nhiệm chung của bạn, AWS đã tạo ra giải pháp Bắt đầu nhanh (cung cấp bởi AWS CloudFormation) cần một lần nhấp để tự động hóa việc triển khai các công nghệ quan trọng trong Đám mây AWS. Mỗi giải pháp Bắt đầu nhanh sẽ khởi chạy, lên cấu hình và chạy điện toán, các dịch vụ mạng, lưu trữ cũng như các dịch vụ khác của AWS cần để triển khai khối lượng việc trong AWS đáp ứng các yêu cầu tuân thủ về tiêu chuẩn và khuôn khổ bảo mật như NIST 800-53.

    Bắt đầu nhanh AWS sắp xếp hợp lý, tự động hóa và triển khai các mức cơ bản bảo mật với bộ quy tắc toàn diện có thể thực thi một cách có hệ thống. Ví dụ: Bắt đầu nhanh Kiến trúc tiêu chuẩn hóa cho Khuôn khổ đảm bảo dựa trên NIST trên Đám mây AWS bao gồm các mẫu AWS CloudFormation. Những mẫu này có thể được tích hợp với AWS Service Catalog nhằm tự động hóa việc xây dựng khối lượng công việc kiến trúc mức cơ bản tiêu chuẩn hóa trong phạm vi cho NIST 800-53 Revision 4 và NIST 800-171. Giải pháp Bắt đầu nhanh cũng bao gồm mục tham khảo kiểm soát bảo mật, tương ứng với các quyết định về kiến trúc, tính năng của kiểm soát bảo mật và cấu hình của mức cơ bản. Có thể dùng Bắt đầu nhanh để hỗ trợ các nỗ lực tuân thủ của bạn trong AWS theo cách phù hợp với các mục tiêu bảo mật Đám mây AWS và tuân thủ của tổ chức bạn.

  • Tôi nên sử dụng NIST CSF như thế nào?

    Dù bạn là tổ chức trong khu vực công hay thương mại, bạn có thể sử dụng báo cáo nghiên cứu chuyên sâu về Khuôn khổ an ninh mạng NIST (CSF) nhằm đánh giá môi trường AWS của bạn đối với NIST CSF và cải thiện các biện pháp bảo mật bạn triển khai và vận hành (phần của bạn trong Mô hình Chia sẻ trách nhiệm, còn được gọi là bảo mật trong đám mây). Để hỗ trợ việc điều chỉnh của bạn theo NIST CSF, chúng tôi cung cấp bản mô tả chi tiết về Dịch vụ đám mây AWS và trách nhiệm liên quan của khách hàng và AWS. Báo cáo nghiên cứu chuyên sâu cũng đưa ra thư kiểm định bên thứ ba chứng nhận sự phù hợp của Dịch vụ đám mây AWS với các biện pháp quản lý rủi ro NIST CSF (phần của chúng tôi trong Mô hình Chia sẻ trách nhiệm, còn được gọi là bảo mật của đám mây), cho phép các tổ chức bảo vệ dữ liệu của mình qua AWS đúng cách.

    Các tổ chức bao gồm các cơ quan liên bang và tiểu bang, các thực thể được quy định và tập đoàn lớn có thể sử dụng báo cáo nghiên cứu chuyên sâu làm hướng dẫn triển khai các giải pháp AWS nhằm đạt được kết quả quản lý rủi ro trong NIST CSF.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »