National Institute of Standards and Technology (NIST)

Gambaran Umum

Kontrol keamanan National Institute of Standards and Technology (NIST) 800-53 secara umum berlaku untuk Sistem Informasi Federal AS. Sistem Informasi Federal biasanya harus melalui penilaian formal dan proses otorisasi untuk memastikan perlindungan yang cukup terhadap kerahasiaan, integritas, serta ketersediaan informasi dan sistem informasi.

NIST Cybersecurity Framework (CSF) didukung oleh pemerintah dan industri di seluruh dunia sebagai dasar yang direkomendasikan untuk digunakan oleh organisasi apa pun, terlepas dari sektor atau ukurannya. Menurut Gartner, pada tahun 2015 CSF digunakan oleh sekitar 30 persen organisasi AS dan penggunaannya diproyeksikan akan mencapai 50 persen pada tahun 2020. Sejak Tahun Fiskal 2016, metrik Federal Information Security Modernization Act (FISMA) lembaga federal telah diorganisir di sekitar CSF, dan lembaga sekarang diwajibkan untuk menerapkan CSF berdasarkan Cybersecurity Executive Order.

• Apakah AWS sesuai dengan kerangka kerja NIST 800-53?

  Ya, infrastruktur dan layanan AWS Cloud telah divalidasi oleh pengujian pihak ketiga yang dilakukan menurut kontrol NIST 800-53 Revision 4, serta persyaratan FedRAMP tambahan. AWS telah menerima FedRAMP Authorizations to Operate (ATO) dari berbagai lembaga pengotorisasi untuk AWS GovCloud (AS) dan Wilayah AS Timur/Barat. Untuk informasi lebih lanjut, lihat halaman web Kepatuhan AWS FedRAMP, atau halaman web FedRAMP Marketplace berikut:
  

  • Daftar lengkap lembaga pengotorisasi Wilayah AWS Timur/Barat

  • Daftar lengkap lembaga pengotorisasi AWS GovCloud (AS)

  • AWS GovCloud JAB P-ATO pada dasar tinggi

• Apa tanggung jawab pelanggan saya untuk menyelaraskan sistem AWS saya dengan kerangka kerja NIST?

  Meskipun beberapa kontrol Anda diwariskan dari AWS, banyak kontrol tersebut yang merupakan warisan bersama antara Anda sebagai pelanggan dan AWS. Tanggung jawab kontrol adalah sebagai berikut:

  • Tanggung Jawab Bersama: Anda akan memberikan keamanan dan konfigurasi komponen perangkat lunak Anda dan AWS akan memberikan keamanan untuk infrastrukturnya.
  • Tanggung Jawab Khusus Pelanggan: Anda sepenuhnya bertanggung jawab atas sistem operasi tamu, aplikasi yang diterapkan, dan sumber daya jaringan tertentu (misalnya, firewall). Lebih khusus lagi, Anda sepenuhnya bertanggung jawab untuk mengonfigurasi dan mengelola keamanan Anda di cloud.
  • Tanggung Jawab Khusus AWS: AWS mengelola infrastruktur cloud, termasuk jaringan, penyimpanan data, sumber daya sistem, pusat data, keamanan fisik, keandalan, serta perangkat keras dan perangkat lunak pendukung. Aplikasi yang dibangun di atas sistem AWS mewarisi fitur dan opsi yang dapat dikonfigurasi yang disediakan AWS. AWS bertanggung jawab sepenuhnya untuk mengonfigurasi dan mengelola keamanan dari cloud.

  Untuk tujuan otorisasi keamanan, kepatuhan terhadap persyaratan FedRAMP (berdasarkan kontrol dasar Rendah/Sedang/Tinggi NIST 800-53 rev 4) tergantung pada AWS yang sepenuhnya menerapkan kontrol Khusus AWS dan kontrol Bersama, dan Anda yang menerapkan kontrol Khusus Pelanggan dan kontrol Bersama. Organisasi penilaian pihak ketiga terakreditasi FedRAMP (3PAO) telah menilai dan mengesahkan implementasi tanggung jawab kontrol AWS. Bagian dari kontrol bersama yang menjadi tanggung jawab Anda, dan kontrol yang terkait dengan aplikasi yang Anda terapkan di atas infrastruktur AWS, harus dinilai dan diotorisasi secara terpisah oleh Anda, sesuai dengan NIST 800-37 dan kebijakan dan prosedur otorisasi keamanan spesifik Anda.
  

• Bagaimana AWS dapat membantu saya mencapai keselarasan dengan kerangka kerja NIST?

  Sistem yang memenuhi standar AWS FedRAMP telah diberikan otorisasi, telah menangani kontrol keamanan FedRAMP (NIST SP 800-53), menggunakan template FedRAMP yang diperlukan untuk paket keamanan yang diposting di Repositori FedRAMP aman, telah dinilai oleh organisasi penilaian pihak ketiga independen yang terakreditasi (3PAO) dan mempertahankan persyaratan pemantauan berkelanjutan dari FedRAMP.

  Menurut Model Tanggung Jawab Bersama AWS, AWS mengelola keamanan dari cloud dan Anda bertanggung jawab atas keamanan Anda di cloud. Untuk mendukung implementasi tanggung jawab bersama Anda, AWS membuat solusiAkselerator Zona Pendaratan di AWS (didukung oleh AWS CloudFormation). Solusi Akselerator Zona Pendaratan di AWS men-deploy fondasi cloud yang dirancang agar selaras dengan praktik terbaik AWS dan beberapa kerangka kerja kepatuhan global, termasuk kerangka kerja berbasis NIST. Dengan solusi ini, pelanggan dengan beban kerja yang sangat teratur dan persyaratan kepatuhan yang kompleks dapat mengelola dan mengatur lingkungan multiakun mereka dengan lebih baik. Ketika digunakan bersama dengan layanan AWS lainnya, layanan ini menyediakan solusi dengan kode minimal yang komprehensif di lebih dari 35 layanan AWS. Solusi Akselerator Zona Pendaratan di AWS membantu Anda men-deploy fondasi cloud yang aman, tangguh, dapat diskalakan, dan sepenuhnya otomatis, yang mempercepat kesiapan Anda untuk program kepatuhan cloud. Catatan: Solusi ini tidak akan membuat Anda patuh dengan sendirinya. Solusi ini menyediakan infrastruktur dasar, yang dari situlah solusi pelengkap tambahan dapat diintegrasikan.

• Bagaimana seharusnya saya menggunakan NIST CSF?

  Apakah Anda adalah organisasi sektor publik atau komersial, Anda dapat menggunakan whitepaper NIST Cybersecurity Framework (CSF) untuk menilai lingkungan AWS menurut NIST CSF, dan meningkatkan langkah-langkah keamanan yang Anda terapkan dan operasikan (bagian Anda dari Model Tanggung Jawab Bersama, juga dikenal sebagai keamanan di cloud). Untuk memfasilitasi keselarasan Anda dengan NIST CSF, kami memberikan deskripsi mendetail tentang layanan AWS Cloud serta tanggung jawab pelanggan dan AWS terkait. Whitepaper ini juga menyediakan surat auditor pihak ketiga yang membuktikan kesesuaian layanan AWS Cloud dengan praktik manajemen risiko NIST CSF (bagian kami dari Model Tanggung Jawab Bersama, juga dikenal sebagai keamanan dari cloud), yang memungkinkan organisasi melindungi data mereka secara tepat di seluruh AWS.

  Organisasi termasuk lembaga federal dan negara bagian, entitas yang diatur, dan perusahaan besar dapat menggunakan whitepaper ini sebagai panduan untuk menerapkan solusi AWS agar mencapai hasil manajemen risiko dalam NIST CSF.
  

Sumber Daya NIST