Keamanan MPA & Studio
Gambaran Umum
Motion Picture Association (MPA) telah menetapkan serangkaian praktik terbaik untuk menyimpan, memproses, dan mengirimkan media dan konten yang dilindungi secara aman. Perusahaan media menggunakan praktik terbaik ini sebagai cara untuk menilai risiko dan keamanan konten dan infrastruktur mereka. MPA dan Content Delivery & Security Association (CDSA) telah bersama-sama membuat kemitraan baru yang disebut Trusted Partner Network (TPN). Program TPN berupaya untuk meningkatkan kesadaran keamanan, kesiapan dan kemampuan dalam industri media dan hiburan. AWS terus memantau dan berkontribusi pada tolok ukur keamanan konten TPN.
AWS juga menawarkan Panduan Pengerasan Pihak Ketiga untuk Manajemen Aset Media, Manajemen Aset Digital dan VFX/Rendering, tersedia melalui AWS Artifact.
-
Kesadaran/Pengawasan Keamanan Eksekutif
Praktik Terbaik
Pastikan pemilik/manajemen eksekutif mengawasi fungsi Keamanan Informasi dengan mengharuskan peninjauan berkala terhadap program keamanan informasi dan hasil penilaian risiko.
Implementasi AWS
Lingkungan Kontrol di Amazon dimulai pada tingkat tertinggi Perusahaan. Kepemimpinan eksekutif dan senior memainkan peran penting dalam menetapkan sikap dan nilai-nilai inti Perusahaan. AWS telah menetapkan kerangka kerja dan kebijakan keamanan informasi berdasarkan kerangka kerja System & Organization Control (SOC) yang telah secara efektif mengintegrasikan kerangka kerja ISO 27001 yang dapat disertifikasi berdasarkan kontrol ISO 27002, PCI DSS v3.2 dan National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems). Karyawan AWS menyelesaikan pelatihan berbasis peran secara berkala, termasuk pelatihan Keamanan AWS. Audit kepatuhan dilakukan agar karyawan memahami dan mengikuti kebijakan yang ditetapkan.
-
Manajemen Risiko
Praktik Terbaik
Kembangkan proses penilaian risiko keamanan formal yang difokuskan pada alur kerja konten dan aset sensitif untuk mengidentifikasi dan memprioritaskan risiko pencurian dan kebocoran konten yang berkaitan dengan fasilitas tersebut.
Implementasi AWS
AWS telah mengimplementasikan dokumen formal kebijakan penilaian risiko yang diperbarui dan ditinjau setidaknya sekali dalam setahun. Kebijakan ini membahas tujuan, lingkup, peran, tanggung jawab, dan komitmen manajemen.
Sejalan dengan kebijakan ini, penilaian risiko tahunan yang mencakup semua bisnis dan wilayah AWS dilakukan oleh tim Kepatuhan AWS dan ditinjau oleh Manajemen Senior AWS. Ini di samping Sertifikasi, pengesahan, dan laporan yang dilakukan oleh auditor independen. Penilaian risiko ini bertujuan untuk mengidentifikasi ancaman dan kerentanan AWS, untuk menetapkan peringkat risiko ancaman dan kerentanan, untuk mendokumentasikan penilaian secara formal, dan untuk membuat rencana penanganan risiko untuk mengatasi berbagai masalah. Hasil penilaian risiko ditinjau oleh Manajemen Senior AWS secara reguler, termasuk ketika perubahan signifikan menjamin penilaian risiko baru sebelum penilaian risiko tahunan.
Status kepemilikan data (konten) tetap berada di tangan pelanggan, dan pelanggan bertanggung jawab untuk menilai dan mengelola risiko yang terkait dengan alur kerja data mereka untuk memenuhi kebutuhan kepatuhan mereka.
Kerangka kerja Manajemen Risiko AWS ditinjau oleh auditor eksternal independen saat audit untuk kepatuhan SOC, PCI DSS, ISO 27001, dan FedRAMP kami.
-
Organisasi Keamanan
Praktik Terbaik
Identifikasi titik kontak keamanan yang penting dan tentukan peran dan tanggung jawab secara formal untuk perlindungan aset dan konten.
Implementasi AWS
AWS memiliki organisasi keamanan informasi mapan yang dikelola oleh tim Keamanan AWS dan dipimpin oleh Chief Information Security Officer AWS (CISO). AWS mengelola dan memberikan pelatihan kesadaran keamanan kepada semua pengguna sistem informasi yang mendukung AWS. Pelatihan kesadaran keamanan tahunan ini mencakup topik-topik berikut; Tujuan pelatihan keamanan dan kesadaran, Lokasi semua kebijakan AWS, prosedur respons insiden AWS (termasuk instruksi tentang cara melaporkan insiden keamanan internal dan eksternal).
Sistem di dalam AWS secara ekstensif diinstrumentasi untuk memantau metrik keamanan dan operasional utama. Alarm dikonfigurasi untuk memberi tahu personel pengoperasian dan manajemen secara otomatis saat ambang peringatan dini terlampaui pada metrik utama. Ketika ambang terlampaui, proses respons insiden AWS dimulai. Tim Respons Insiden Amazon menggunakan prosedur diagnostik standar industri untuk mendorong solusi selama kejadian yang memengaruhi bisnis. Staf beroperasi dalam cakupan 24x7x365 untuk mendeteksi insiden dan untuk mengelola dampak terhadap resolusi.
Peran dan tanggung jawab AWS ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan SOC, PCI DSS, ISO 27001, dan FedRAMP kami.
-
Kebijakan dan Prosedur
Praktik Terbaik
Menetapkan kebijakan dan prosedur terkait keamanan konten dan aset; kebijakan harus melingkupi topik-topik berikut, setidaknya:
• Kebijakan sumber daya manusia
• Penggunaan yang dapat diterima (misalnya jaringan sosial, Internet, telepon, dll.)
• Klasifikasi aset
• Kebijakan penanganan aset
• Perangkat rekam digital (misalnya smartphone, kamera digital, camcorder)
• Kebijakan pengecualian (misalnya proses untuk mendokumentasikan penyimpangan kebijakan)
• Kontrol kata sandi (misalnya panjang minimal kata sandi, screensaver)
• Larangan penghapusan aset klien dari fasilitas
• Manajemen perubahan sistem
• Kebijakan whistleblower
• Kebijakan sanksi (misalnya kebijakan disipliner)
Implementasi AWS
AWS telah menetapkan kerangka kerja dan kebijakan keamanan informasi berdasarkan kerangka kerja System & Organization Control (SOC) yang telah secara efektif mengintegrasikan kerangka kerja ISO 27001 yang dapat disertifikasi berdasarkan kontrol ISO 27002, PCI DSS v3.2 dan National Institute of Standards and Technology (NIST) Publication 800-53 Rev 3 (Recommended Security Controls for Federal Information Systems).
AWS mengelola dan memberikan pelatihan kesadaran keamanan kepada semua pengguna sistem informasi yang mendukung AWS. Pelatihan kesadaran keamanan tahunan ini mencakup topik-topik berikut; Tujuan pelatihan keamanan dan kesadaran, Lokasi semua kebijakan AWS, prosedur respons insiden AWS (termasuk instruksi tentang cara melaporkan insiden keamanan internal dan eksternal).
Kebijakan, prosedur, dan program pelatihan AWS yang relevan ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan SOC, PCI DSS, ISO 27001, dan FedRAMP kami.
-
Respons Insiden
Praktik Terbaik
Buat rencana respons insiden formal yang menjelaskan tindakan yang harus diambil ketika insiden keamanan terdeteksi dan dilaporkan.
Implementasi AWS
AWS telah mengimplementasikan kebijakan dan program respons insiden yang didokumentasikan secara formal. Kebijakan ini membahas tujuan, lingkup, peran, tanggung jawab, dan komitmen manajemen.
AWS menggunakan pendekatan tiga tahap dalam mengelola insiden:
1. Tahap Aktivasi dan Pemberitahuan: Insiden untuk AWS dimulai dengan terdeteksinya kejadian. Ini bisa muncul dari berbagai sumber, seperti:
a. Metrik dan alarm – AWS menjaga kapabilitas kesadaran situasional yang luar biasa, sebagian besar masalah terdeteksi dengan cepat dari pemantauan 24x7x365 dan mengaktifkan alarm metrik real time dan dasbor layanan. Sebagian besar insiden terdeteksi dengan cara ini. AWS menggunakan alarm indikator awal untuk secara proaktif mengidentifikasi masalah yang pada akhirnya dapat berdampak pada Pelanggan.
b. Tiket masalah yang dimasukkan oleh karyawan AWS.
c. Panggilan ke hotline dukungan teknis 24x7x365.Jika peristiwa tersebut memenuhi kriteria insiden, maka teknisi dukungan on-call yang relevan akan memulai keterlibatan menggunakan alat manajemen peristiwa AWS untuk memulai keterlibatan dan resolver program yang relevan untuk halaman. Resolver akan melakukan analisis insiden untuk menentukan apakah resolver tambahan perlu dilibatkan, serta untuk menentukan perkiraan akar masalahnya.
2. Tahap Pemulihan – resolver yang relevan akan melakukan perbaikan kerusakan untuk mengatasi insiden tersebut. Setelah pemecahan masalah, perbaikan kerusakan dan komponen yang terpengaruh akan ditangani, pimpinan panggilan akan menetapkan langkah berikutnya perihal dokumentasi tindak lanjut dan mengakhiri keterlibatan panggilan.
3. Tahap Rekonstitusi – Jika perbaikan yang relevan sudah selesai, pimpinan panggilan akan menyatakan bahwa tahap pemulihan telah selesai. Post mortem dan analisis akar masalah yang mendalam dari insiden tersebut akan ditugaskan ke tim yang relevan. Hasil post mortem akan ditinjau oleh manajemen senior dan tindakan yang relevan seperti perubahan desain dll. akan ditangkap dalam dokumen Koreksi Kesalahan (Correction of Errors/COE) dan dilacak hingga penyelesaiannya.
Selain mekanisme komunikasi internal yang diuraikan di atas, AWS juga telah menerapkan berbagai metode komunikasi eksternal untuk mendukung basis pelanggan dan komunitasnya. Mekanisme diterapkan untuk memungkinkan tim dukungan pelanggan diberi tahu tentang masalah operasional yang berpengaruh pada pengalaman pelanggan. "Dasbor Status Layanan" tersedia dan dipelihara oleh tim dukungan pelanggan untuk mengingatkan pelanggan tentang masalah apa pun yang mungkin berdampak luas.
Program manajemen insiden AWS ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan SOC, PCI DSS, ISO 27001, dan FedRAMP kami.
Dokumentasi alur kerja Konten (data) merupakan tanggung jawab Pelanggan AWS karena Pelanggan mempertahankan kepemilikan dan kontrol sistem operasi, perangkat lunak, aplikasi, dan data tamu mereka sendiri.
-
Tata Kelola Personel
Praktik Terbaik
Lakukan pemeriksaan latar belakang pada semua personel perusahaan dan pekerja pihak ketiga.
Implementasi AWS
AWS melakukan pemeriksaan latar belakang kriminal, sebagaimana diizinkan oleh undang-undang yang berlaku, sebagai bagian dari praktik penyaringan sebelum bekerja untuk karyawan sesuai dengan posisi dan tingkat akses karyawan tersebut ke fasilitas AWS.
Program pemeriksaan latar belakang AWS ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan SOC, PCI DSS, ISO 27001, dan FedRAMP kami.
-
Perjanjian Kerahasiaan
Praktik Terbaik
Mewajibkan semua personel perusahaan dan pekerja pihak ketiga untuk menandatangani perjanjian kerahasiaan (misalnya, NDA) sewaktu perekrutan dan setiap tahun sesudahnya, yang mencakup persyaratan dalam menangani dan melindungi konten.
Implementasi AWS
Amazon Legal Counsel mengelola dan merevisi Perjanjian Kerahasiaan (NDA) Amazon secara berkala untuk mencerminkan kebutuhan bisnis AWS.
Penggunaan AWS atas Perjanjian Kerahasiaan (NDA) ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan ISO 27001 dan FedRAMP kami.
-
Pemantauan dan Pencatatan Log
Praktik Terbaik
Mencatat log dan meninjau akses elektronik ke area terlarang untuk kejadian mencurigakan.
Implementasi AWS
Akses fisik dikontrol baik di perimeter maupun di titik masuk bangunan oleh staf keamanan profesional menggunakan pengawasan video, sistem deteksi penyusup, dan sarana elektronik lainnya.
Semua pintu masuk ke pusat data AWS, termasuk pintu masuk utama, dok bongkar muat, dan pintu atap/pintu akses lain, diamankan dengan perangkat deteksi penyusupan yang membunyikan alarm serta memberi peringatan di pemantauan keamanan fisik terpusat AWS apabila pintu dibuka paksa atau ditahan agar tetap terbuka.
Selain mekanisme elektronik, pusat data AWS menggunakan penjaga keamanan terlatih 24x7, yang ditempatkan di dalam dan di sekitar gedung. Semua alarm diperiksa oleh penjaga keamanan dengan dokumentasi akar masalah untuk semua insiden. Semua alarm diatur agar dieskalasi secara otomatis jika tidak ada respons dalam waktu SLA.
Titik akses fisik ke lokasi server direkam oleh Closed Circuit Television Camera (CCTV) sebagaimana ditetapkan dalam Kebijakan Keamanan Fisik Pusat Data AWS. Image disimpan selama 90 hari, kecuali jika dibatasi hingga 30 hari oleh kewajiban hukum atau kontrak.
Mekanisme Keamanan Fisik AWS ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan SOC, PCI DSS, ISO 27001, dan FedRAMP kami.
-
Pemantauan Aset
Praktik Terbaik
Mengimplementasikan sistem manajemen aset konten untuk memberikan pelacakan terperinci atas aset fisik (yaitu aset klien dan aset yang baru dibuat).
Implementasi AWS
Manajemen Aset Konten dimiliki, diimplementasikan, dan dioperasikan oleh Pelanggan AWS. Pelanggan bertanggung jawab untuk mengimplementasikan pelacakan inventaris atas aset fisik mereka.
Untuk Lingkungan Pusat Data AWS, semua komponen sistem informasi baru, yang mencakup, namun tidak terbatas pada, server, rak, perangkat jaringan, hard drive, komponen perangkat keras sistem, dan bahan bangunan yang dikirim ke dan diterima oleh pusat data perlu diberitahu kepada, dan diotorisasi sebelumnya oleh, Manajer Pusat Data. Barang-barang dikirim ke dok bongkar muat masing-masing Pusat Data AWS dan menjalani pemeriksaan kerusakan atau kecacatan dalam kemasan dan ditandatangani oleh karyawan penuh waktu AWS. Sewaktu pengiriman datang, barang-barang dipindai dan dicatat dalam sistem manajemen Aset AWS dan sistem pelacakan inventaris perangkat.
Setelah diterima, barang ditempatkan di ruang penyimpanan peralatan dalam pusat data yang hanya bisa diakses dengan gesekan kartu dan kombinasi PIN hingga barang tersebut dipasang di lantai pusat data. Sebelum keluar dari pusat data, barang dipindai, dilacak, dan disterilkan sebelum proses otorisasi untuk meninggalkan pusat data.
Proses dan prosedur Manajemen Aset AWS ditinjau oleh auditor eksternal independen selama audit untuk kepatuhan PCI DSS, ISO 27001, dan FedRAMP kami.
-
Internet
Praktik Terbaik
Melarang akses Internet pada sistem (desktop/server) yang memproses atau menyimpan konten digital.
Implementasi AWS
Perangkat perlindungan batas yang menerapkan kumpulan aturan, Access Control List (ACL), dan konfigurasi mendorong arus informasi di antara topologi jaringan ("network fabric"). Perangkat ini dikonfigurasikan dalam mode tolak-semua (deny-all), memerlukan kumpulan firewall yang disetujui untuk mengaktifkan konektivitas. Lihat DS-2.0 untuk informasi tambahan tentang Manajemen Firewall Jaringan AWS.
Tidak ada kemampuan email yang terdapat pada Aset AWS dan port 25 tidak digunakan. Pelanggan (misalnya studio, fasilitas pemrosesan, dll.) dapat menggunakan sistem untuk meng-host kemampuan email, namun dalam kasus ini Pelanggan bertanggung jawab untuk menggunakan tingkat perlindungan spam dan malware yang sesuai di entri email dan titik keluar serta memperbarui definisi spam dan malware jika rilis baru tersedia.
Aset Amazon (misalnya laptop) dikonfigurasi dengan perangkat lunak antivirus yang mencakup pemfilteran email dan deteksi malware.
Manajemen AWS Network Firewall dan program anti-virus Amazon ditinjau oleh auditor independen pihak ketiga sebagai bagian dari kepatuhan berkelanjutan AWS terhadap SOC, PCI DSS, ISO 27001, dan FedRAMP.
-
Panduan Pengerasan Pihak Ketiga untuk Manajemen Aset Media, Manajemen Aset Digital, dan Rendering Burst Grafik
Selain dari MPA, kebanyakan Studio Konten (seperti Disney/Marvel) memiliki persyaratan keamanan sendiri dan mengharuskan penyedia layanan dan layanan bernilai tambah untuk memiliki lingkungan berbasis cloud atau on-premise yang diaudit oleh auditor pihak ketiga. Contoh yang tepat adalah rendering burst berbasis Cloud dari konten VFX/Animasi untuk judul yang telah dirilis sebelumnya.
AWS telah bekerja dengan auditor pihak ketiga terkait penilaian platform AWS untuk lingkungan perenderan VFX/Animasi. Auditor pihak ketiga juga telah menyusun dokumen template praktik terbaik keamanan yang melibatkan kontrol keamanan AWS berdasarkan persyaratan Studio utama. Dokumen ini dapat digunakan untuk menciptakan lingkungan perenderan VFX/Animasi yang disetujui Studio di AWS.
Panduan Pengerasan Manajemen Media/Aset Studio yang telah dirilis sebelumnya dan Kontrol Keamanan Studio untuk VFX/Rendering tersedia di AWS Artifact.