Überblick über die Ontologie - AWS-Kontrollkatalog

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Überblick über die Ontologie

AWS hat ein Standardklassifizierungssystem entwickelt, das bei der Klassifizierung, Organisation und Erstellung von Zuordnungen zwischen Steuerelementen hilft. Diese Ontologie kann verwendet werden, um Kontrollen bestehenden und neuen regulatorischen Standards, darunter 24 Frameworks, sowie regulatorischen Standards wie PCI, HIPAA und anderen zuzuordnen. Wir orientieren uns auch an Industriestandards wie NIST und ISO sowie an Amazon-spezifischen Frameworks, einschließlich des Well-Architected-Frameworks.

Die Ontologie hat vier Kernaspekte

  • Klassifizierung der Kontrollen nach Kontrollbereich, Kontrollziel und gemeinsamen Kontrollen. Die Ontologie hilft dabei, verwandte Kontrollen zu organisieren und in drei Ebenen zu gruppieren—

    • L1: Kontrolldomäne,

    • L2: Kontrollziel,

    • L3: Gemeinsame Kontrolle.

    Diese Ebenen haben eine strikte hierarchische Beziehung. Das heißt, jede Domäne hat mehrere Kontrollziele, aber jedes Kontrollziel muss eine einzige übergeordnete Domäne haben. Jedes Kontrollziel hat mehrere gemeinsame Kontrollen, aber jede gemeinsame Kontrolle hat ein einziges übergeordnetes Ziel.

  • Zuordnung zu regulatorischen Standards. Die Ontologie basiert auf einem Konzept, das als Standardkontrolle (L4) bezeichnet wird und eine bestimmte Anforderung innerhalb eines regulatorischen oder industriellen Standards darstellt. Diese Standardsteuerelemente sind allgemeinen Steuerelementen zugeordnet, die dazu beitragen, diese spezifischen Anforderungen zu erfüllen.

    Zum Beispiel PCI-DSS v3.2.1. ID 4.1 Verwenden Sie starke Kryptografie- und Sicherheitsprotokolle, um sensible Karteninhaberdaten bei der Übertragung über offene, öffentliche Netzwerke zu schützen, und NIST 800.53.r5 ID SC-16 Die Übertragung von Sicherheits- und Datenschutzattributen sind zwei Standardkontrollen, die beide der gemeinsamen Kontrolle „Daten während der Übertragung verschlüsseln“ zugeordnet sind.

  • Kontrollimplementierungen und Kontrollnachweise. Die Ontologie basiert auf dem Konzept von Kontrollimplementierungen (L6), die entweder eine spezifische Kontrollimplementierung AWS, beispielsweise in einer AWS Control Tower Kontrolle, einer AWS Security Hub Prüfung, einer AWS Config Regel usw., oder eine nichttechnische Implementierung außerhalb, wie z. B. eine Prozessführung AWS, darstellen können. Ein anderes Konzept der Kontrollnachweise (L7) stellt Datenquellen dar, die als Nachweis für Kontrollen durch Tools von Drittanbietern oder durch Kunden selbst AWS Audit Manager verwendet werden können. Bei diesen Beweisquellen kann es sich um AWS Quellen wie AWS CloudTrail Ereignisse, API-Aufrufprotokolle und Ergebnisse AWS Config der Regelauswertung handeln. Es könnte sich auch um externe Quellen wie Kundendokumentationen handeln.

  • Das Konzept einer Kernsteuerung (L5). Das Kernsteuerelement ist eine Zuordnungsebene, die alle Kontrollimplementierungen (L6), die entsprechenden Beweisquellen (L7), die zugehörigen Standardkontrollen (L4) und die allgemeinen Kontrollen (L3) zu einem einzigen ganzheitlichen Objekt konsolidiert. Das Core-Steuerelement ist eher ein Zuordnungsdokument als ein Steuerelement selbst. Es hilft bei der Beantwortung der Frage, ob mir alle Informationen zu Steuerelement X angezeigt werden sollen. Jede Kernkontrolle kann über mehrere Kontrollimplementierungen (L6) und mehrere Beweisquellen (L7) verfügen.

Zusammenfassend lässt sich sagen, dass die Ontologie des AWS Kontrollkatalogs sieben Ebenen umfasst. Es gibt drei hierarchische Klassifikationsebenen (Kontrolldomänen, Kontrollziele, Allgemeine Kontrollen). Eine weitere Ebene (Standardkontrollen) beschreibt die regulatorischen oder branchenüblichen Standardanforderungen. Eine Zuordnungsebene (Core Control) beschreibt ein Kontrollergebnis für einen bestimmten Ressourcentyp. Zwei Ebenen (Kontrollimplementierungen, Kontrollnachweise) beschreiben die spezifischen Kontrollimplementierungen und Nachweisquellen.

Diese Ontologie wurde von einem AWS Team zertifizierter Auditoren auf der Grundlage ihrer Erfahrung in der Zusammenarbeit mit Hunderten von Kunden im Rahmen von Compliance-Audits entwickelt. Die Konzepte „Kontrolldomänen“, „Kontrollziele“, „Allgemeine Kontrollen“ und „Standardkontrollen“ (L1-L4) werden branchenweit verwendet. Sie entsprechen den gängigen Branchenmustern und den NIST-Empfehlungen. Die verbleibenden drei Ebenen (L5-L7) wurden auf der Grundlage vorhandener AWS Konzepte wie Ressourcentypen und verwaltete Kontrollen entworfen.