MPA & Studiosicherheit
Übersicht
Die Motion Picture Association (MPA) hat bewährte Methoden für das sichere Speichern, Verarbeiten und Übermitteln geschützter Medien und Inhalte definiert. Medienunternehmen nutzen diese bewährten Vorgehensweisen als Möglichkeit zum Bewerten von Risiken und Sicherheit ihrer Inhalte und Infrastruktur. Die MPA und die Content Delivery & Security Association (CDSA) haben gemeinsam eine neue Partnerschaft gegründet, das Trusted Partner Network (TPN). Das TPN-Programm zielt darauf ab, das Sicherheitsbewusstsein, die Bereitschaft und die Fähigkeiten innerhalb der Medien- und Unterhaltungsindustrie zu erhöhen. AWS überwacht weiterhin die TPN-Benchmarks zur Inhaltssicherheit und trägt zu diesen bei.
AWS bietet auch einen Härteleitfaden für Drittanbieter für Medienressourcenmanagement, Digital Asset Management und VFX/Rendering, verfügbar über AWS Artifact.
-
Sicherheitsbewusstsein/Aufsicht der Geschäftsleitung
Bewährte Methode
Stellen Sie die Aufsicht der Geschäftsleitung bzw. der Eigentümer über die Informationssicherheit sicher, indem Sie regelmäßige Prüfungen des Programms zur Informationssicherheit und der Ergebnisse der Risikoanalyse verlangen.
AWS-Implementierung
Die Kontrollumgebung bei Amazon beginnt auf der höchsten Ebene des Unternehmens. Die Geschäftsleitung und die oberste Führungsetage spielen eine wichtige Rolle bei der Entwicklung der zentralen Unternehmenswerte und des Tons des Unternehmens, mit dem es in der Öffentlichkeit wahrgenommen wird. Die Compliance- und Sicherheitsteams von AWS haben ein Rahmenwerk für die Informationssicherheit und dazugehörige Richtlinien entwickelt. Es basiert auf dem SOC-Rahmenwerk (System & Organization Control) und ist wirksam mit dem auf ISO 27002-Kontrollfunktionen basierenden zertifizierbaren ISO 27001-Rahmenwerk, mit PCI DSS v3.2 und mit der Veröffentlichung 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) des National Institute of Standards and Technology (NIST) integriert. AWS-Mitarbeiter nehmen an regelmäßigen funktionsbasierten Schulungen teil, darunter auch AWS-Sicherheitsschulungen. Compliance-Überprüfungen erfolgen, damit Mitarbeiter die vorgegebenen Richtlinien verstehen und befolgen.
-
Risikomanagement
Bewährte Methode
Entwickeln Sie ein formelles Beurteilungsverfahren zur Risikoanalyse, und setzen Sie dabei den Schwerpunkt auf den Workflow bei Inhalten und sensiblen Komponenten, um Risiken des Diebstahls und der Weitergabe von Inhalten, die für die Einrichtung relevant sind, zu identifizieren und zu priorisieren.
AWS-Implementierung
AWS besitzt eine formelle, dokumentierte Risikoanalyserichtlinie, die mindestens einmal jährlich aktualisiert und überprüft wird. Diese Richtlinie umfasst Zweck, Umfang, Rollen, Verantwortlichkeiten und Verpflichtung des Managements.
Dieser Richtlinie folgend wird vom AWS-Compliance-Team eine jährliche Risikoanalyse durchgeführt, die alle AWS-Regionen und Branchen abdeckt und vom leitenden AWS-Management geprüft wird. Diese Vorgänge erfolgen zusätzlich zu Zertifizierung, Bescheinigungen und Berichten, die von unabhängigen Prüfern durchgeführt bzw. erstellt werden. Zweck der Risikoanalyse ist es, Bedrohungen und Schwachstellen von AWS zu identifizieren, sie einer Risikobewertung zu unterziehen, die Prüfung zu dokumentieren und einen Risikobehandlungsplan zur Problembehebung zu erstellen. Die Ergebnisse der Risikoanalyse werden regelmäßig von leitenden AWS-Mitarbeitern geprüft. Wenn nach signifikanten Änderungen eine neue Risikoanalyse erforderlich ist, kann diese auch vor Ablauf eines Jahres durchgeführt werden.
Die Kunden bleiben Eigentümer ihrer Daten (Inhalte) und sind verantwortlich für die Beurteilung und das Management der Risiken in Verbindung mit den Workflows ihrer Daten, um ihre Compliance-Anforderungen zu erfüllen.
Das AWS-Risikomanagement-Rahmenwerk wird von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Sicherheitsorganisation
Bewährte Methode
Identifizieren Sie wichtige Kontaktpunkte für die Sicherheit, und führen Sie eine formelle Definition von Rollen und Verantwortlichkeiten für den Schutz von Inhalten und Komponenten durch.
AWS-Implementierung
AWS hat eine Organisation für die Informationssicherheit eingerichtet, die vom AWS Security-Team verwaltet und vom AWS Chief Information Security Officer (CISO) geleitet wird. AWS bietet allen Benutzern von Informationssystemen, die AWS unterstützen, Schulungen zur Förderung des Sicherheitsbewusstseins an. Diese jährlich durchgeführten Schulungen des Sicherheitsbewusstseins umfassen folgende Themen: Zweck von Sicherheitsbewusstseins-Schulungen, Speicherorte aller AWS-Richtlinien, AWS-Verfahren zur Reaktion bei Vorfällen (einschließlich Anweisungen zum Berichten interner und externer Sicherheitsvorfälle).
Die Systeme innerhalb von AWS sind umfassend ausgestattet, um wichtige Betriebs- und Sicherheitsmetriken überwachen zu können. Alarme werden konfiguriert, um das Betriebspersonal und die Geschäftsleitung zu benachrichtigen, wenn Frühwarnschwellen wichtiger Metriken überschritten wurden. Wenn ein Schwellenwert überschritten wurde, wird der AWS-Prozess zur Reaktion auf Vorfälle gestartet. Das Amazon-Vorfallreaktionsteam befolgt branchenübliche Diagnoseverfahren zur Entwicklung und Umsetzung von Problemlösungen. Mitarbeiter sind das ganze Jahr über – 24 Stunden am Tag, 7 Tage in der Woche – bereit, Störungen festzustellen, deren Auswirkungen einzudämmen und Lösungen zu finden.
AWS-Rollen und Verantwortlichkeiten werden von unabhängigen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Richtlinien und Verfahren
Bewährte Methode
Aufbauen von Richtlinien und Verfahren für die Sicherheit von Vermögenswerten und Inhalten. Richtlinien sollten sich mindestens auf die folgenden Themen beziehen:
• Personalverwaltung
• Akzeptable Nutzung (z. B. soziale Netzwerke, Internet, Telefon usw.)
• Klassifizierung von Vermögenswerten
• Behandlung von Vermögenswerten
• Digitale Aufzeichnungsgeräte (z. B. Smartphones, Digitalkameras, Videokameras)
• Ausnahmen (z. B. Prozess zur Dokumentation von Richtlinienabweichungen)
• Passwortkontrolle (z. B. Passwortmindestlänge, Bildschirmschoner)
• Verbot, Vermögenswerte von Kunden aus dem Gebäude zu entfernen
• Systemänderungsmanagement
• Whistleblower
• Sanktionen (z. B. Richtlinien für disziplinarische Maßnahmen)
AWS-Implementierung
AWS hat ein Rahmenwerk für die Informationssicherheit und dazugehörige Richtlinien entwickelt. Es basiert auf dem SOC-Rahmenwerk (System & Organization Control) und ist wirksam mit dem auf ISO 27002-Kontrollfunktionen basierenden zertifizierbaren DIN ISO/IEC 27001-Rahmenwerk, mit PCI DSS v3.2 und mit der Veröffentlichung 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems) des National Institute of Standards and Technology (NIST) integriert.
AWS bietet allen Benutzern von Informationssystemen, die AWS unterstützen, Schulungen zur Förderung des Sicherheitsbewusstseins an. Diese jährlich durchgeführten Schulungen des Sicherheitsbewusstseins umfassen folgende Themen: Zweck von Sicherheitsbewusstseins-Schulungen, Speicherorte aller AWS-Richtlinien, AWS-Verfahren zur Reaktion bei Vorfällen (einschließlich Anweisungen zum Berichten interner und externer Sicherheitsvorfälle).
AWS-Richtlinien, Verfahren und entsprechende Schulungsprogramme werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Vorfallreaktion
Bewährte Methode
Stellen Sie einen formellen Plan zur Vorfallreaktion auf, in dem die Aktionen beschrieben werden, die bei der Entdeckung und Meldung eines Sicherheitsvorfalls zu unternehmen sind.
AWS-Implementierung
AWS hat eine formelle, dokumentierte Vorfallsreaktionsrichtlinie und ein entsprechendes Programm implementiert. Die Richtlinie umfasst Zweck, Umfang, Rollen, Verantwortlichkeiten und Verpflichtung des Managements.
AWS setzt auf einen dreistufigen Ansatz für den Umgang mit Vorfällen:
1. Aktivierung und Benachrichtigung: AWS-Vorfälle beginnen mit der Erkennung eines Ereignisses. Diese können verschiedene Ursachen haben, wie z. B.:
a. Metriken und Alarme – AWS verfügt über erstklassige Situationseinschätzungsfunktionen. Die meisten Probleme werden schnell im Rahmen eines rund um die Uhr laufenden Systems von Echtzeit-Überwachungs- und Alarmmetriken und Service-Dashboards erkannt. Die Mehrzahl der Vorfälle wird auf diese Weise erkannt. AWS verwendet Frühindikatoren für die proaktive Identifikation von Problemen, die negative Auswirkungen für die Kunden haben können.
b. Von einem AWS-Mitarbeiter eingegebene Trouble-Tickets.
c. Anrufe bei der 365 Tage im Jahr, rund um die Uhr verfügbaren Hotline des technischen Supports.Wenn das Ereignis die Kriterien für einen Vorfall erfüllt, startet der zuständige verfügbare Support-Techniker einen Support-Fall mithilfe des AWS Event Management Tools und zieht relevante Lösungsspezialisten hinzu. Die Lösungsspezialisten führen eine Analyse des Vorfalls durch, um zu ermitteln, ob weitere Spezialisten einbezogen werden sollten und um die Ursache zu ermitteln bzw. einzugrenzen.
2. Wiederherstellung – Die zuständigen Lösungsspezialisten führen Fehlerbehebungen durch, um den Vorfall zu beheben. Nach Abschluss der Fehlersuche und der Fehlerbehebung der betroffenen Komponenten legt der Fehlerbehebungsleiter die nächsten Schritte für nachfolgende Dokumentation und Aktionen fest und schließt den Support-Fall ab.
3. Wiedereinsetzung – Wenn die relevanten Behebungsaktivitäten abgeschlossen sind, erklärt der Fehlerbehebungsleiter, dass die Wiederherstellung abgeschlossen ist. Eine Ursachenanalyse des Vorfalls wird dem zuständigen Team zugewiesen. Das Ergebnis der Analyse wird von zuständigen Führungskräften geprüft und relevante Aktionen, wie etwa Designänderungen usw., werden in einem Fehlerkorrekturdokument (Correction of Errors, COE) erfasst und bis zu ihrem Abschluss nachverfolgt.
Zusätzlich zu den oben beschriebenen Kommunikationsmechanismen hat AWS auch verschiedene Methoden für die externe Kommunikation implementiert, um seine Kundenbasis und Community zu unterstützen. Das Kunden-Support-Team wird mithilfe bestimmter Methoden über Betriebsprobleme informiert, die die Kundenzufriedenheit in Mitleidenschaft ziehen. Ein verfügbare Übersicht zum Servicestatus wird vom Kundensupportteam gepflegt und genutzt, um Kunden auf sämtliche Probleme aufmerksam zu machen, die weitreichende Konsequenzen nach sich ziehen könnten.
Ein AWS-Vorfallsmanagementprogramm umfasst Untersuchungen von unabhängigen externen Prüfern im Rahmen von Audits, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
Die Workflow-Dokumentation von Inhalten (Daten) ist die Verantwortung von AWS-Kunden, da die Kunden weiterhin Besitzer ihrer eigenen Gastbetriebssysteme, Software, Anwendungen und Daten sind und die Kontrolle über diese behalten.
-
Mitarbeiter-Governance
Bewährte Methode
Führen Sie Hintergrundprüfungen für alle Mitarbeiter des Unternehmens und alle externen Mitarbeiter durch.
AWS-Implementierung
AWS führt vor einer Einstellung von Mitarbeitern gemäß geltendem Recht im Rahmen seiner Prüfpraktiken Untersuchungen auf Vorstrafen durch. Diese Prüfungen orientieren sich an der Position des Mitarbeiters und des Grads seines Zugangs zu AWS-Einrichtungen.
Die AWS-Prüfpraktiken werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Vertraulichkeitsvereinbarungen
Bewährte Methode
Verlangen Sie von allen Mitarbeitern des Unternehmens und allen externen Mitarbeitern die Unterzeichnung einer Vertraulichkeitsvereinbarung (zum Beispiel Geheimhaltungsvereinbarung). Diese Vereinbarungen sind bei der Einstellung und danach jährlich zu unterzeichnen und umfassen Regelungen für die Behandlung und den Schutz von Inhalten.
AWS-Implementierung
Die Vertraulichkeitsvereinbarung (Non-Disclosure Agreement, NDA) von Amazon wird vom Rechtsbeistand von Amazon verwaltet und entsprechend den geschäftlichen Anforderungen von AWS regelmäßig überarbeitet.
Die Verwendung von AWS-Vertraulichkeitsvereinbarungen werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Protokollieren und überwachen
Bewährte Methode
Überwachen Sie den elektronischen Zugang zu beschränkten Bereichen auf verdächtige Ereignisse, und protokollieren Sie diese.
AWS-Implementierung
Der physische Zugang wird durch professionelles Sicherheitspersonal kontrolliert, sowohl an der Geländegrenze als auch an den Gebäudeeingängen. Dabei werden Videoüberwachung, Einbruchmeldeanlagen und andere elektronische Vorrichtungen eingesetzt.
Alle Eingänge zu AWS-Rechenzentren, einschließlich Haupteingang, Laderampe und Dachzugänge/-luken, sind durch Einbruchmeldeanlagen gesichert, die akustische Alarmsignale abgeben und außerdem einen Alarm im zentralisierten AWS-Überwachungssystem erzeugen, wenn eine Tür gewaltsam geöffnet oder offen gehalten wird.
Zusätzlich zu den elektronischen Mechanismen setzen AWS-Rechenzentren rund um die Uhr ausgebildetes Wachpersonal ein, sowohl innerhalb als auch außerhalb des Gebäudes. Alle Alarme werden von einem Wachdienstmitarbeiter überprüft, der für alle Vorfälle die jeweilige Ursache dokumentiert. Alle Alarme werden automatisch eskaliert, wenn innerhalb der festgelegten SLA-Zeit keine Antwort erfolgt.
Physische Zugangspunkte zu Serverstandorten werden von CCTV-Kameras gemäß der AWS Data Center Physical Security Policy aufgezeichnet. Die Aufnahmen werden 90 Tage aufbewahrt, sofern die Frist nicht durch gesetzliche oder vertragliche Bestimmungen auf 30 Tage verkürzt ist.
Die physischen AWS-Sicherheitsmechanismen werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere SOC-, PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Anlagenüberwachung
Bewährte Methode
Implementieren Sie ein Managementsystem für Inhaltskomponenten, um detaillierte Aufzeichnungen physischer Komponenten (kundeneigene und neu erstellte) zu erstellen.
AWS-Implementierung
Die Verwaltung von Inhalten und Vermögenswerten wird von den AWS-Kunden bereitgestellt, implementiert und durchgeführt. Die Kunden sind dafür verantwortlich, die Bestandsverfolgung ihrer physischen Vermögenswerte zu implementieren.
Alle neuen Informationssystemkomponenten für AWS-Rechenzentrumsumgebungen, etwa Server, Racks, Netzwerkgeräte, Festplatten, Systemhardwarekomponenten und Baumaterialien, die an ein Rechenzentrum gesendet und von diesem empfangen werden, müssen vorab vom Rechenzentrumsmanager genehmigt und ihm gemeldet werden. Die Komponenten werden an die Laderampe des jeweiligen AWS-Rechenzentrums geliefert und auf etwaige Beschädigungen oder Manipulationen an der Verpackung überprüft. Ihr Empfang wird von einem Vollzeitmitarbeiter von AWS mit seiner Unterschrift bestätigt. Wenn die Lieferung eintrifft, werden die Artikel gescannt und innerhalb des Verwaltungssystems für Vermögenswerte und des Bestandsverfolgungssystems von AWS erfasst.
Empfangene Artikel werden in einen Gerätelagerraum des Rechenzentrums platziert, für dessen Zutritt eine Magnetkarte und eine PIN-Kombination erforderlich sind, außer diese werden bereits für das Rechenzentrum selbst verwendet. Artikel müssen vor dem Verlassen des Rechenzentrums gescannt, nachverfolgt und gesäubert werden.
Die Verwaltungsprozesse für Vermögenswerte in AWS werden von unabhängigen externen Prüfern im Rahmen von Audits untersucht, um unsere PCI DSS-, ISO 27001- und FedRAMP-Compliance zu ermitteln.
-
Internet
Bewährte Methode
Untersagen Sie den Internet-Zugriff auf Systemen (Desktop-PCs/Server), auf denen digitale Inhalte verarbeitet oder gespeichert werden.
AWS-Implementierung
Geräte mit Regelsätzen für den Schutz von Grenzen, Zugriffssteuerungslisten (Access Control Lists, ACL) und Konfigurationen setzen den Informationsfluss zwischen Netzwerkstrukturen durch. Diese Geräte sind im Modus "Kein Zugriff" konfiguriert und erfordern, dass eine genehmigte Firewall die Verbindung zulässt. Weitere Informationen zur Verwaltung von AWS-Netzwerk-Firewalls finden Sie in der Dokumentation zu DS-2.0.
Es gibt keine inhärente E-Mail-Funktion für AWS-Komponenten, und Port 25 wird nicht verwendet. Ein Kunde (z. B. Studio, Verarbeitungsbetrieb usw.) kann ein System zum Hosten von E-Mail-Funktionen verwenden. In diesem Fall liegt es jedoch in der Verantwortung des Kunden, einen geeigneten Spam- und Malware-Schutz für den E-Mail-Eingang und -Ausgang zu verwenden und Spam- und Malware-Definitionen jeweils zu aktualisieren, wenn neue Versionen verfügbar sind.
Amazon-Komponenten (z. B. Notebooks) werden mit Antivirus-Software konfiguriert, die E-Mail-Filter und Malware-Erkennungsfunktionen enthält.
AWS Network Firewall Management und das Antivirus-Programm von Amazon werden von unabhängigen externen Prüfern untersucht, um unsere Compliance mit SOC, PCI DSS, ISO 27001 und FedRAMP zu ermitteln.
-
Härteleitfaden für Drittanbieter für Medienressourcenmanagement, Digital Asset Management und Graphics Burst Rendering
Neben den Anforderungen der MPA haben die meisten Studios (z. B. Disney/Marvel) ihre eigenen Sicherheitsanforderungen aufgestellt, und Serviceanbieter und Mehrwertservices müssen ihre Cloud- und Vor-Ort-Umgebung von Drittprüfern überprüfen lassen. Ein gutes Beispiel ist das Cloud-basierte Burst-Rendern von VFX-Inhalten/Animationen für vorab veröffentlichte Titel.
AWS hat mit einem Drittprüfer zusammengearbeitet, um die AWS-Plattform für VFX-/Animations-Render-Umgebungen beurteilen zu lassen. Der Drittprüfer hat darüber hinaus ein Vorlagendokument mit bewährten Sicherheitsmethoden zusammengestellt, in denen auch die auf den wesentlichen Studioanforderungen basierenden AWS-Sicherheitskontrollen aufgeführt sind. Dieses Dokument kann für die Erstellung einer vom Studio genehmigten VFX-/Animations-Render-Umgebung bei AWS verwendet werden.
Vorveröffentlichte Härteleitfaden für Studio-Medien-/Ressourcenmanagement und Studiosicherheitskontrollen für VFX/Rendering sind auf AWS Artifact verfügbar.