MPA & bảo mật xưởng phim
Tổng quan
Hiệp hội Điện ảnh (MPA) đã thiết lập một tập hợp các phương pháp tốt nhất để lưu trữ, xử lý và truyền tải các phương tiện truyền thông và nội dung một cách an toàn. Các công ty truyền thông sử dụng các phương pháp này như một cách để đánh giá rủi ro và an toàn đối với nội dung và cơ sở hạ tầng của họ. MPA và Hiệp hội bảo mật & phân phối nội dung (CDSA) đã tạo cùng nhau tạo ra một mối qua hệ hợp tác mới với tên gọi Mạng lưới đối tác tin cậy (TPN). Chương trình TPN ra đời nhằm mục đích nâng cao nhận thức về bảo mật, tăng cường sự chuẩn bị và mở rộng các khả năng trong ngành truyền thông và giải trí. AWS tiếp tục theo dõi và đóng góp cho các tiêu chuẩn bảo mật nội dung của TPN.
AWS cũng cung cấp Hướng dẫn Củng cố của bên thứ 3 dành cho hoạt động Quản lý tài sản truyền thông, Quản lý tài sản số và VFX/Kết xuất, được cung cấp thông qua AWS Artifact.
-
Nhận thức/giám sát bảo mật thực thi
Biện pháp thực hành tốt nhất
Đảm bảo quản lý điều hành/giám sát chủ nhân về chức năng Bảo mật thông tin bằng cách yêu cầu việc rà soát định kỳ chương trình bảo mật thông tin và kết quả đánh giá rủi ro.
Triển khai AWS
Môi trường Kiểm soát tại Amazon bắt đầu tại vị chí cao nhất của Công ty. Nhà điều hành và lãnh đạo cao cấp đóng vai trò quan trọng trong việc xây dựng tinh thần và những giá trị cốt lõi của công ty. AWS đã thiết lập khung bảo mật thông tin và các chính sách dựa trên khung Kiểm soát hệ thống & tổ chức (SOC) và kết hợp một cách hiệu quả với khung cấp chứng nhận ISO 27001 dựa trên kiểm soát ISO 27002, PCI DSS v3.2 và Ấn bản 800-53 Rev 3 của Viện Quốc gia về tiêu chuẩn và công nghệ (NIST) (Kiểm soát bảo mật được đề xuất cho hệ thống thông tin liên bang). Đào tạo dựa trên vai trò định kỳ trọn vẹn của nhân viên AWS bao gồm đào tạo Bảo mật AWS. Đánh giá tuân thủ được thực hiện để nhân viên hiểu và tuân thủ các chính sách đã được thiết lập.
-
Quản lý rủi ro
Biện pháp thực hành tốt nhất
Phát triển một quy trình đánh giá rủi ro bảo mật chính thức tập trung vào tiến trình nội dung và tài sản nhạy cảm nhằm xác định và ưu tiên các rủi ro mất cắp và rò rỉ nội dung có liên quan tới cơ sở.
Triển khai AWS
AWS đã tiến hành chính sách đánh giá rủi ro chính thức, có tài liệu dẫn chứng, được cập nhật và rà soát ít nhất một năm một lần. Chính sách này hướng tới cam kết về mục tiêu, phạm vi, vai trò, trách nhiệm và quản lý.
Để điều chỉnh theo chính sách này, một đợt đánh giá rủi ro hàng năm diễn ra trên toàn bộ các vùng và lĩnh vực kinh doanh của AWS do đội ngũ tuân thủ AWS thực hiện và Quản lý cấp cao của AWS rà soát. Đánh giá này là bổ sung cho Chứng nhận, chứng thực và báo cáo do các thanh tra độc lập thực hiện. Mục đích của đánh giá rủi ro là để xác định được các mối đe dọa và lỗ hổng của AWS, xếp hạng rủi ro cho các mối đe dọa và lỗ hổng, chính thức ghi chép đánh giá và lập kế hoạch xử lý rủi ro để giải quyết vấn đề. Kết quả đánh giá rủi ro được Quản lý cấp cao của AWS rà soát lại trên cơ sở thường xuyên, cả khi có một thay đổi đáng kể bảo đảm dẫn tới đợt đánh giá rủi ro mới trước đánh giá rủi ro hàng năm.
Khách hàng giữ quyền sở hữu dữ liệu của mình (nội dung) và chịu trách nhiệm đánh giá và quản lý rủi ro kết hợp với tiến trình công việc của dữ liệu nhằm đáp ứng được nhu cầu tuân thủ của họ.
Khung quản lý rủi ro AWS được rà soát bởi những kiểm toán độc lập bên ngoài trong quá trình kiểm tra việc tuân thủ SOC, SOC, PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
-
Cơ quan bảo mật
Biện pháp thực hành tốt nhất
Xác định (những) điểm liên lạc khóa bảo mật và chính thức vạch rõ vai trò và trách nhiệm bảo vệ nội dung và tài sản.
Triển khai AWS
AWS có cơ quan bảo mật thông tin đã được thiết lập và được quản lý bởi đội ngũ bảo mật của AWS và được dẫn dắt bởi Giám đốc an toàn thông tin AWS (CISO). AWS duy trì và cung cấp việc đào tạo nhận thức an ninh cho tất cả những người dùng hệ thống thông tin đang ủng hộ AWS. Việc đào tạo nhận thức bảo mật hằng năm bao gồm những chủ đề sau: Mục đích đào tạo nhận thức và bảo mật, vị trí của tất cả chính sách AWS, thủ tục phản hồi sự cố AWS (bao gồm hướng dẫn cách báo cáo sự cố bảo mật nội bộ và bên ngoài).
Các hệ thống trong AWS được cung cấp công cụ một cách bao quát nhằm giám sát những tiêu chuẩn vận hành và bảo mật khóa. Báo động được lên cấu hình để tự động thông báo tới nhân sự vận hành và quản lý khi ngưỡng cảnh báo sớm vượt qua tiêu chuẩn khóa. Khi bị vượt ngưỡng, quá trình phản hồi sự cố AWS bắt đầu. Đội ngũ phản hồi sự cố Amazon sử dụng thủ tục chẩn đoán có tiêu chuẩn ngành nhằm đưa ra cách giải quyết khi các sự kiện ảnh hưởng tới công việc xảy ra. Đội ngũ nhân viên hoạt động liên tục 24x7x365 nhằm phát hiện sự cố và xử lý tác động tới giải pháp.
Vai trò và trách nhiệm của AWS do các chuyên viên đánh giá độc lập bên ngoài rà soát trong quá trình kiểm tra việc tuân thủ SOC, PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
-
Chính sách và thủ tục
Biện pháp thực hành tốt nhất
Thiết lập các chính sách và thủ tục liên quan tới bảo mật tài sản và nội dung: các chính sách nên hướng tới những chủ đề sau, ở mức tối thiểu:
• Chính sách nguồn nhân lực
• Được phép sử dụng (như mạng xã hội, Internet, điện thoại, v.v)
• Phân loại tài sản
• Chính sách xử lý tài sản
• Thiết bị thu ghi kỹ thuật số (như điện thoại thông minh, camera kỹ thuật số, máy quay phim)
• Chính sách ngoại lệ (như tiến hành ghi lại các biến đổi chính sách)
• Kiểm soát mật khẩu (như độ dài tối thiểu của mật khẩu, trình bảo vệ màn hình)
• Cấm di dời tài sản khách hàng ra khỏi cơ sở
• Quản lý thay đổi hệ thống
• Chính sách tiết lộ thông tin nội bộ
• Chính sách xử phạt (như chính sách kỷ luật)
Triển khai AWS
AWS đã thiết lập khung bảo mật thông tin và các chính sách dựa trên khung Kiểm soát hệ thống & tổ chức (SOC) và kết hợp một cách hiệu quả với khung cấp chứng nhận ISO 27001 dựa trên kiểm soát ISO 27002, PCI DSS v3.2 và Ấn bản 800-53 Rev 3 của Viện Quốc gia về tiêu chuẩn và công nghệ (NIST) (Kiểm soát bảo mật được đề xuất cho hệ thống thông tin liên bang).
AWS duy trì và cung cấp việc đào tạo nhận thức an ninh cho tất cả những người dùng hệ thống thông tin đang ủng hộ AWS. Việc đào tạo nhận thức bảo mật hằng năm bao gồm những chủ đề sau: Mục đích đào tạo nhận thức và bảo mật, vị trí của tất cả chính sách AWS, thủ tục phản hồi sự cố AWS (bao gồm hướng dẫn cách báo cáo sự cố bảo mật nội bộ và bên ngoài).
Chính sách, thủ tục cũng như các chương trình đào tạo liên quan của AWS do các thanh tra độc lập bên ngoài rà soát trong quá trình kiểm tra việc tuân thủ SOC, PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
-
Phản hồi sự cố
Biện pháp thực hành tốt nhất
Thiết lập một kế hoạch phản hồi sự cố chính thức, vạch ra các hành động sẽ thực hiện khi sự cố bảo mật được phát hiện ra hoặc báo cáo.
Triển khai AWS
AWS đã triển khai chính sách và chương trình ứng phó sự cố chính thức, có hồ sơ. Chính sách hướng tới cam kết về mục tiêu, phạm vi, vai trò, trách nhiệm và quản lý.
AWS sử dụng phương pháp ba giai đoạn để xử lý sự cố:
1. Giai đoạn Kích hoạt và Thông báo: Sự cố từ AWS sẽ bắt đầu từ việc phát hiện ra. Điều này có thể tới từ nhiều nguồn, như:
a. Chuẩn đo và báo động - AWS duy trì khả năng nhận thức tình huống xuất sắc, hầu hết các vấn đề đều được phát hiện nhanh chóng qua việc giám sát và báo động mọi lúc 24x7x365 về chuẩn đo thực và bảng điều khiển dịch vụ. Phần lớn các sự cố được phát hiện bằng cách này. AWS sử dụng báo động thông báo sớm để chủ động xác định vấn đề có thể ảnh hưởng tới khách hàng.
b. Phiếu yêu cầu hỗ trợ được nhập bởi nhân viên AWS.
c. Gọi tới đường dây nói hỗ trợ kỹ thuật 24x7x365.Nếu một sự kiện có đủ tiêu chí sự cố thì kỹ sư hỗ trợ liên quan đang trực sẽ can thiệp bằng cách sử dụng công cụ xử lý sự cố của AWS để khởi động việc can thiệp và thiết bị phân tích chương trình liên quan tới trang. Thiết bị phân tích sẽ tiến hành phân tích sự cố nhằm quyết định liệu có cần thêm thiết bị phân tích bổ sung hay không và xác định nguyên nhân gốc rễ gần đúng.
2. Giai đoạn phục hồi - thiết bị phân tích có liên quan sẽ sửa lỗi để giải quyết sự cố. Ngay khi xử lý sự cố, sửa lỗi và chỉ ra các bộ phận bị ảnh hưởng, trưởng nhóm trực sẽ giao các bước tiếp theo về mặt tư liệu và hành động theo sau đó và kết thúc việc can thiệp này.
3. Giai đoạn tái thiết - Ngay khi hoàn thành các hoạt động sửa chữa liên quan, trưởng nhóm trực sẽ tuyên bố hoàn tất giai đoạn phục hồi. Việc phân tích sau kiểm tra và nguyên nhân gốc rễ của sự cố sẽ được giao cho đội ngũ liên quan. Kết quả sau kiểm tra sẽ được xem lại bởi quản lý cấp cao có liên quan và những hành động liên quan như thay đổi thiết kế, v.v sẽ được lưu giữ trong phần tài liệu Sửa lỗi (COE) và được theo dõi tới khi hoàn thiện.
Ngoài cơ chế giao tiếp nội bộ được nói chi tiết ở trên, AWS cũng tiến hành nhiều phương pháp giao tiếp bên ngoài để hỗ trợ cho cơ sở và cộng đồng khách hàng của mình. Các cơ chế này có sẵn để cho phép đội ngũ hỗ trợ khách hàng được thông báo về những vấn đề vận hành có ảnh hưởng tới trải nghiệm của khách hàng. Đội ngũ hỗ trợ khách hàng cung cấp và duy trì "Bảng thông tin tình trạng dịch vụ" nhằm cảnh báo khách hàng về mọi vấn đề có thể có tác động lớn.
Chương trình quản lý rủi ro của AWS do các thanh tra độc lập bên ngoài rà soát trong quá trình kiểm tra việc tuân thủ SOC, PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
Việc lưu trữ tài liệu tiến trình công việc về Nội dung (dữ liệu) là trách nhiệm của Khách hàng của AWS vì Khách hàng giữ quyền sở hữu và kiểm soát hệ thống, phần mềm, ứng dụng và dữ liệu của khách hàng của riêng họ.
-
Quản trị nhân sự
Biện pháp thực hành tốt nhất
Thực hiện kiểm tra rà soát lý lịch của tất cả các nhân sự công ty và nhân viên của bên thứ ba.
Triển khai AWS
AWS thực hiện kiểm tra lý lịch hình sự, tuân theo pháp luật hiện hành, một phần của việc thực hành rà soát trước khi tuyển dụng với những nhân viên tương ứng với các vị trí công việc và cấp độ truy cập vào cơ sở AWS.
Chường kiểm tra lý lịch của AWS được rà soát bởi những thanh tra độc lập bên ngoài trong quá trình kiểm tra việc tuân thủ SOC, PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
-
Thỏa thuận bảo mật
Biện pháp thực hành tốt nhất
Yêu cầu mọi nhân sự công ty và nhân viên bên thứ ba ký vào thỏa thuận bảo mật (không được tiết lộ) khi tuyển dụng và hằng năm sau đó, thỏa thuận bao gồm cả các yêu cầu xử lý và bảo vệ nội dung.
Triển khai AWS
Tư vấn pháp lý của Amazon quản lý và định kỳ tu chính lại Thỏa thuận bảo mật của Amazon (NDA) để phản ánh nhu cầu kinh doanh của AWS.
Việc sử dụng Thỏa thuận bảo mật của AWS được rà soát bởi những thanh tra độc lập bên ngoài trong quá trình kiểm tra việc tuân thủ ISO 27001 và FedRAMP của chúng tôi.
-
Ghi nhật ký và giám sát
Biện pháp thực hành tốt nhất
Ghi nhật ký và kiểm tra lại truy cập điện tử tới những khu vực hạn chế để xem các sự kiện đáng ngờ.
Triển khai AWS
Đội ngũ nhân viên bảo mật chuyên nghiệp kiểm soát việc tiếp cận thực tế cả ở hành lang và các điểm vào tòa nhà bằng các hệ thống theo dõi video, phát hiện đột nhập và những phương tiện điện tử khác.
Tất cả các lối vào trung tâm dữ liệu AWS, bao gồm lối vào chính, sân bốc hàng, và bất cứ cửa mái/hầm nào, đều được bảo vệ bởi thiết bị phát hiện đột nhập sẽ báo động và cũng báo động trong rà soát bảo mật vật lý tập trung của AWS nếu một cách cửa mở hoặc bị đập mở.
Ngoài cơ chế điện tử, các trung tâm dữ liệu AWS có những nhân viên bảo vệ được đào tạo trực 24x7, bố trí ở trong và quanh tòa nhà. Nhân viên bảo vệ sẽ điều tra mọi báo động về nguyên nhân gốc rễ có ghi chép cho mọi sự cố. Tất cả báo động được cài đặt tự động báo nếu không có phản hồi trong thời gian SLA.
Các điểm truy cập vật lý tới vị trí máy chủ được ghi lại bởi camera quan sát (CCTV) như đã được định rõ trong Chính sách bảo mật vật lý trung tâm dữ liệu AWS. Các hình ảnh được lưu giữ trong 90 ngày, trừ phi bị hạn chế chỉ trong 30 ngày bởi nghĩa vụ pháp lý hoặc hợp đồng.
Cơ chế bảo mật vật lý của AWS được rà soát bởi những thanh tra độc lập bên ngoài trong quá trình kiểm tra việc tuân thủ SOC, PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
-
Giám sát tài sản
Biện pháp thực hành tốt nhất
Triển khai một hệ thống quản lý tài sản nội dung nhằm theo dõi chi tiết các tài sản vật chất (ví dụ như máy khách và tạo mới).
Triển khai AWS
Khách hàng của AWS sở hữu, triển khai và vận hành việc quản lý tài sản nội dung. Khách hàng có trách nhiệm triển khai việc theo dõi kiểm kê tài sản vật chất của mình.
Với những Môi trường Trung tâm dữ liệu AWS, tất cả bộ phận trong hệ thống thông tin mới, bao gồm, nhưng không hạn chế, máy chủ, tủ mạng, thiết bị mạng lưới, ổ cứng, các bộ phần phần cứng hệ thống và nguyên liệu xây dựng được chuyển tới và nhận bởi trung tâm dữ liệu, cần phải có ủy quyền trước bởi và thống báo tới Quản lý trung tâm dữ liệu. Các mặt hàng được giao đến sân bốc hàng của mỗi Trung tâm dữ liệu AWS và được kiểm tra xem có hư hại hoặc xáo trộn gì với bao bì không và nhân viên chính thức của AWS ký xác nhận. Khi chuyển đến, vật phẩm sẽ được quét và giữ trong hệ thống bảo vệ Tài sản AWS và hệ thống theo dõi kiểm kê thiết bị.
Ngay khi được nhận, các vật phẩm sẽ được đặt trong phòng chứa thiết bị tại trung tâm dữ liệu, tại đây yêu cầu kết hợp quét phù hiệu và PIN để đi vào, cho tới khi chúng được cài đặt vào tầng trung tâm dữ liệu. Trước khi ra khỏi trung tâm dữ liệu, các vật phẩm sẽ được quét, theo dõi và khử trùng trước khi được phép rời khỏi trung tâm dữ liệu.
Các thủ tục và quy trình Quản lý Tài sản của AWS do các thanh tra độc lập bên ngoài rà soát trong quá trình kiểm tra việc tuân thủ PCI DSS, ISO 27001 và FedRAMP của chúng tôi.
-
Internet
Biện pháp thực hành tốt nhất
Cấm truy cập Internet trên các hệ thống (màn hình/ máy chủ) xử lý hoặc lưu trữ nội dung số.
Triển khai AWS
Các thiết bị bảo vệ đường biên có sử dụng các bộ quy tắc, danh sách kiểm soát truy cập (ACL) và cấu hình thực hiện dòng thông tin giữa các kết cấu mạng. Những thiết bị này được lên cấu hình ở chế độ từ chối tất cả, yêu cầu thiết lập tường lửa được chấp nhận để cho phép kết nối. Tham khảo DS-2.0 để biết thông tin bổ sung về Quản lý Tường lửa Mạng AWS.
Không có dung lượng e-mail vốn có trên Tài sản AWS và cổng 25 không được sử dụng. Một khách hàng (như xưởng phim, cơ sở xử lý, v.v) có thể sử dụng một hệ thống để làm chủ dung lượng e-mail, tuy nhiên trong trường hợp đó, trách nhiệm của Khách hàng là dùng những cấp độ thích hợp để spam và bảo vệ khỏi phần mềm độc hại tại các điểm email đến và đi cũng như cập nhật định nghĩa về spam và phần mềm độc hại khi những bản mới xuất hiện.
Tài sản của Amazon (như máy tính xách tay) được lên cấu hình với phần mềm diệt vi-rút bao gồm bộ lọc e-mail và phát hiện phần mềm độc hại.
Việc quản lý Tường lửa Mạng AWS và chương trình diệt vi-rút của Amazon do các thanh tra độc lập bên thứ ba rà soát như một phần sự tuân thủ liên tục của AWS với SOC, PCI, DSS, ISO 27001 và FedRAMP.
-
Hướng dẫn củng cố của bên thứ 3 dành cho hoạt động Quản lý tài sản truyền thông, Quản lý tài sản số và Kết xuất siêu đồ họa
Ngoài MPA, hầu hết Xưởng phim nội dung (như Disney/Marvel) có bộ yêu cầu bảo mật riêng và yêu cầu nhà cung cấp dịch vụ và dịch vụ giá trị gia tăng có môi trường lưu trữ đám mây hoặc tại chỗ đã được thanh tra bên thứ ba thực hiện kiểm tra. Một ví dụ điển hình là việc truyền tải dựa trên lưu trữ đám mây đối với nội dung VFX/Phim cho những tựa đề ra mắt trước.
AWS đã làm việc với thanh tra bên thứ ba để đánh giá nền tảng AWS cho môi trường truyền tải VFX/Phim. Thanh tra bên thứ ba cũng lập tài liệu mẫu về biện pháp thực hành bảo mật tốt nhất liên quan tới kiểm soát bảo mật AWS dựa trên những yêu cầu chính của Xưởng phim. Tài liệu này có thể được tận dụng để tạo ta một môi trường truyền tải VFX/Phim trên AWS, được Xưởng phim chấp nhận.
Hướng dẫn củng cố hoạt động quản lý tài sản/truyền thông cho xưởng phim trước phát hành và Kiểm soát bảo mật xưởng phim cho VFX/Kết xuất có trên AWS Artifact.