Panoramica dell'ontologia - Catalogo di controllo AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Panoramica dell'ontologia

AWS ha sviluppato un sistema di classificazione standard per aiutare a classificare, organizzare e creare mappature tra i controlli. Questa ontologia può essere utilizzata per mappare i controlli in base a standard normativi esistenti e nuovi, inclusi 24 framework, nonché standard normativi come PCI, HIPAA e altri. Ci basiamo anche su standard di settore come NIST e ISO e su framework specifici di Amazon, incluso il framework Well-Architected.

L'ontologia ha quattro aspetti fondamentali

  • Classificazione dei controlli per dominio di controllo, obiettivo di controllo e controlli comuni. L'ontologia aiuta a organizzare e raggruppare i controlli correlati in tre livelli:

    • L1: dominio di controllo,

    • L2: obiettivo di controllo,

    • L3: controllo comune.

    Questi livelli hanno una stretta relazione gerarchica. Cioè, ogni dominio ha più obiettivi di controllo, ma ogni obiettivo di controllo deve avere un unico dominio principale. Ogni obiettivo di controllo ha più controlli comuni, ma ogni controllo comune ha un unico obiettivo principale.

  • Mappatura agli standard normativi. L'ontologia ha un concetto chiamato controllo standard (L4) che rappresenta un requisito specifico all'interno di uno standard normativo o di settore. Questi controlli standard sono mappati su controlli comuni che aiutano a soddisfare tali requisiti specifici.

    Ad esempio, PCI-DSS v3.2.1. ID 4.1 Utilizza protocolli di crittografia e sicurezza avanzati per proteggere i dati sensibili dei titolari di carta durante la trasmissione su reti pubbliche aperte e NIST 800.53.r5 ID SC-16 Gli attributi di trasmissione di sicurezza e privacy sono due controlli standard, entrambi mappati al controllo comune Encrypt data in transito.

  • Implementazioni di controllo ed evidenze di controllo. L'ontologia ha un concetto di implementazioni di controllo (L6) che possono rappresentare sia un'implementazione di controllo specifica in AWS, ad esempio, un controllo, un AWS Control Tower controllo, una AWS Security Hub AWS Config regola e così via, sia un'implementazione non tecnica esterna AWS, come una guida al processo. Un concetto separato di Control Evidence (L7) rappresenta le fonti di dati che possono essere utilizzate come prove per i controlli da strumenti di terze parti o dai AWS Audit Manager clienti stessi. Queste fonti di evidenza potrebbero essere AWS fonti come AWS CloudTrail eventi, registri delle chiamate API e risultati della valutazione delle AWS Config regole. In alternativa, potrebbero essere fonti esterne come la documentazione dei clienti.

  • Il concetto di controllo Core (L5). Il controllo Core è un livello di mappatura che consolida tutte le implementazioni di controllo (L6), le fonti di evidenza corrispondenti (L7), i controlli standard correlati (L4) e i controlli comuni (L3) in un unico oggetto olistico. Il controllo Core è più un documento di mappatura che un controllo stesso. Aiuta a rispondere alla domanda di mostrarmi tutte le informazioni relative al controllo X. Ogni controllo principale può avere più implementazioni di controllo (L6) e più fonti di evidenza (L7).

In sintesi, l'ontologia del catalogo AWS di controllo contiene sette livelli. Tre sono livelli di classificazione gerarchici (domini di controllo, obiettivi di controllo, controlli comuni). Un altro livello (controlli standard) descrive i requisiti normativi o standard di settore. Un livello di mappatura (Core control) descrive un risultato di controllo per un determinato tipo di risorsa. Due livelli (implementazioni di controllo, evidenze di controllo) descrivono le implementazioni di controllo specifiche e le fonti di evidenza.

Questa ontologia è stata progettata da un AWS team di revisori certificati, sulla base della loro esperienza di lavoro con centinaia di clienti per i controlli di conformità. I concetti di domini di controllo, obiettivi di controllo, controlli comuni e controlli standard (L1-L4) vengono utilizzati in tutto il settore. Corrispondono ai modelli di settore comuni e alle raccomandazioni del NIST. I tre livelli rimanenti (L5-L7) sono stati progettati sulla base di AWS concetti esistenti, come i tipi di risorse e i controlli gestiti.