Descripción general de la ontología - Catálogo de controles de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Descripción general de la ontología

AWS ha desarrollado un sistema de clasificación estándar para ayudar a clasificar, organizar y crear mapeos entre los controles. Esta ontología se puede utilizar para asignar los controles a las normas reglamentarias existentes y nuevas, incluidos 24 marcos, así como a normas reguladoras como la PCI y la HIPAA, entre otras. También nos adaptamos a los estándares del sector, como el NIST y la ISO, y a los marcos específicos de Amazon, incluido el marco Well-Architected.

La ontología tiene cuatro aspectos principales

  • Clasificación de los controles por dominio de control, objetivo de control y controles comunes. La ontología ayuda a organizar y agrupar los controles relacionados en tres niveles:

    • L1: Dominio de control,

    • L2: objetivo de control,

    • L3: Control común.

    Estos niveles tienen una relación jerárquica estricta. Es decir, cada dominio tiene varios objetivos de control, pero cada objetivo de control debe tener un único dominio principal. Cada objetivo de control tiene varios controles comunes, pero cada control común tiene un único objetivo principal.

  • Adaptación a los estándares regulatorios. La ontología tiene un concepto denominado control estándar (L4) que representa un requisito específico dentro de un estándar reglamentario o industrial. Estos controles estándar se asignan a los controles comunes que ayudan a abordar esos requisitos específicos.

    Por ejemplo, PCI-DSS v3.2.1. ID 4.1 Utilice protocolos criptográficos y de seguridad estrictos para proteger los datos confidenciales de los titulares de tarjetas durante la transmisión a través de redes públicas y abiertas, y NIST 800.53.r5 ID SC-16 Los atributos de transmisión de seguridad y privacidad son dos controles estándar, ambos relacionados con el control común de Encriptar datos en tránsito.

  • Controle las implementaciones y controle las pruebas. La ontología tiene un concepto de implementaciones de control (L6) que puede representar una implementación de control específica AWS, por ejemplo, en un AWS Control Tower control, una AWS Security Hub verificación, una AWS Config regla, etc., o una implementación no técnica externa AWS, como la guía de procesos. Un concepto diferente de evidencia de control (L7) representa las fuentes de datos que pueden ser utilizadas como evidencia para los controles AWS Audit Manager, por parte de herramientas de terceros o por los propios clientes. Estas fuentes de evidencia pueden ser AWS fuentes tales como AWS CloudTrail eventos, registros de llamadas a la API y resultados de la evaluación de AWS Config reglas. O bien, podrían ser fuentes externas, como la documentación del cliente.

  • El concepto de control central (L5). El control central es una capa de mapeo que consolida todas las implementaciones de control (L6), las fuentes de evidencia correspondientes (L7), los controles estándar relacionados (L4) y los controles comunes (L3) en un único objeto holístico. El control Core es más un documento de mapeo que un control en sí mismo. Ayuda a responder a la pregunta de mostrarme toda la información relacionada con el control X. Cada control principal puede tener múltiples implementaciones de control (L6) y múltiples fuentes de evidencia (L7).

En resumen, la ontología del catálogo AWS de controles contiene siete capas. Tres son capas de clasificación jerárquica (dominios de control, objetivos de control, controles comunes). Otra capa (controles estándar) describe los requisitos normativos o estándares del sector. Una capa de mapeo (control central) describe un resultado de control para un tipo de recurso determinado. Dos capas (implementaciones de control, evidencias de control) describen las implementaciones de control específicas y las fuentes de evidencia.

Esta ontología fue diseñada por un AWS equipo de auditores certificados, basándose en su experiencia trabajando con cientos de clientes en auditorías de cumplimiento. Los conceptos de dominios de control, objetivos de control, controles comunes y controles estándar (L1-L4) se utilizan en todo el sector. Se ajustan a los patrones comunes del sector y a las recomendaciones del NIST. Las tres capas restantes (L5-L7) se diseñaron en función de los AWS conceptos existentes, como los tipos de recursos y los controles gestionados.