Visão geral da ontologia - Catálogo de controle da AWS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visão geral da ontologia

AWS desenvolveu um sistema de classificação padrão para ajudar a classificar, organizar e criar mapeamentos entre os controles. Essa ontologia pode ser usada para mapear controles para padrões regulatórios novos e existentes, incluindo 24 estruturas, bem como padrões regulatórios como PCI, HIPAA e outros. Também mapeamos padrões do setor, como NIST e ISO, e estruturas específicas da Amazon, incluindo a estrutura Well-Architected.

A ontologia tem quatro aspectos principais

  • Classificação dos controles por domínio de controle, objetivo de controle e controles comuns. A ontologia ajuda a organizar e agrupar os controles relacionados em três níveis—

    • L1: Domínio de controle,

    • L2: Objetivo de controle,

    • L3: Controle comum.

    Esses níveis têm uma relação hierárquica estrita. Ou seja, cada domínio tem vários objetivos de controle, mas cada objetivo de controle deve ter um único domínio principal. Cada objetivo de controle tem vários controles comuns, mas cada controle comum tem um único objetivo principal.

  • Mapeamento de acordo com os padrões regulatórios. A ontologia tem um conceito chamado controle padrão (L4) que representa um requisito específico dentro de um padrão regulatório ou industrial. Esses controles padrão são mapeados para controles comuns que ajudam a atender a esses requisitos específicos.

    Por exemplo, PCI-DSS v3.2.1. ID 4.1 Use protocolos fortes de criptografia e segurança para proteger dados confidenciais do titular do cartão durante a transmissão em redes públicas abertas. NIST 800.53.r5 ID SC-16 A transmissão de atributos de segurança e privacidade são dois controles padrão, ambos mapeados para o controle comum de criptografia de dados em trânsito.

  • Implementações de controle e evidências de controle. A ontologia tem um conceito de implementações de controle (L6) que pode representar uma implementação de controle específica em AWS, por exemplo, um AWS Control Tower controle, uma AWS Security Hub verificação, uma AWS Config regra e assim por diante, ou uma implementação não técnica externa AWS, como orientação de processo. Um conceito separado de evidência de controle (L7) representa fontes de dados que podem ser usadas como evidência para controles por AWS Audit Manager ferramentas de terceiros ou pelos próprios clientes. Essas fontes de evidência podem ser AWS fontes como AWS CloudTrail eventos, registros de chamadas de API e resultados de avaliação de AWS Config regras. Ou podem ser fontes externas, como documentação do cliente.

  • O conceito de controle central (L5). O controle central é uma camada de mapeamento que consolida todas as implementações de controle (L6), fontes de evidência correspondentes (L7), controles padrão relacionados (L4) e controles comuns (L3) em um único objeto holístico. O controle principal é mais um documento de mapeamento do que um controle em si. Isso ajuda a responder à pergunta de me mostrar todas as informações relacionadas ao controle X. Cada controle central pode ter várias implementações de controle (L6) e várias fontes de evidência (L7).

Em resumo, a ontologia do catálogo de AWS controle contém sete camadas. Três são camadas de classificação hierárquica (domínios de controle, objetivos de controle, controles comuns). Outra camada (controles padrão) descreve os requisitos regulatórios ou padrões do setor. Uma camada de mapeamento (controle principal) descreve um resultado de controle para um determinado tipo de recurso. Duas camadas (implementações de controle, evidências de controle) descrevem as implementações de controle específicas e as fontes de evidências.

Essa ontologia foi projetada por uma AWS equipe de auditores certificados, com base em sua experiência trabalhando com centenas de clientes para auditorias de conformidade. Os conceitos de domínios de controle, objetivos de controle, controles comuns e controles padrão (L1-L4) são usados em todo o setor. Eles correspondem aos padrões comuns do setor e às recomendações do NIST. As três camadas restantes (L5-L7) foram projetadas com base em AWS conceitos existentes, como tipos de recursos e controles gerenciados.