Information Security Registered Assessors Program (IRAP)

Übersicht

IRAP

Mithilfe des IRAP-Programm (Information Security Registered Assessors Program) können Kunden in australischen Behörden sicherstellen, dass angemessene Kontrollen bestehen, und das geeignete Verantwortungsmodell zur Erfüllung der Anforderungen des Informationssicherheitshandbuchs (Information Security Manual, ISM) der australischen Regierung, das von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD) herausgegeben wurde, kann ermittelt werden.

Der Schutz australischer Behördendaten vor unberechtigtem Zugriff, Missbrauch und Offenlegung ist ein wesentlicher Gesichtspunkt bei der Beschaffung und Nutzung von Cloud-Services. AWS weiß, dass sich Kunden auf die sichere Bereitstellung der AWS-Infrastruktur verlassen und Funktionen, mit denen Kunden sichere Umgebungen einrichten können, von vorrangiger Bedeutung sind. AWS ermöglicht es Kunden, diese Ziele durch Priorisierung der Sicherheit bei der Bereitstellung seiner Services mittels einer stabilen Kontrollumgebung und einer Vielzahl von Sicherheitsservices und -funktionen zu erreichen. Diese Services bieten den australischen Behörden umfassende Steuerungsmöglichkeiten für die IT-Kontrollumgebung, vereinfachen die Verwaltung der Sicherheitsservices und sorgen für verbesserte Datensicherheit.

AWS ist IRAP-konform. Ein unabhängiger IRAP-Prüfer untersuchte die Kontrollfunktionen von AWS unter Einbeziehung von Mitarbeitern, Prozessen und Technologien, um sicherzustellen, dass die Anforderungen des ISM erfüllt sind. Diese Bewertung und das Compliance-Schreiben bilden die Grundlage, auf der eine Zertifizierungsstelle Sicherheit bei der Zertifizierung von AWS-Infrastruktur erlangt, und stellen eine Empfehlung der Zertifizierungsstelle für die geeignete Verwendung der Plattform dar.

Eine IRAP-Bewertung und eine formelle Zertifizierung durch die ASD als Zertifizierungsstelle der australischen Regierung gipfelt in der Akkreditierung durch eine Behörde. Diese Zertifizierung liefert die Sicherheit, dass AWS die im ISM-Informationssicherheitshandbuch geforderten Kontrollen bereitstellt, und ist die direkte Vorstufe der AWS-Akkreditierung für die Verarbeitung von Daten australischer Behörden.

  • Welche IRAP-Dokumente stehen mir zur Verfügung?

    Zur Unterstützung unserer Kunden in australischen Behörden stellen wir ein Paket mit Sicherheitsrichtlinien und entsprechender Dokumentation zur Verfügung, das ihr Verständnis für Sicherheits- und Compliance-Fragen bei der Nutzung von AWS als Anbieter zertifizierter Cloud-Services vertiefen soll. AWS stellt die folgenden öffentlich verfügbaren Whitepaper bereit:

    Australische Behördenkunden können unsere ASD-Zertifizierung und unser Zertifizierungsschreiben unabhängiger IRAP-Prüfer nutzen, um ihre Zertifizierungs- und Akkreditierungsziele zu beschleunigen. Die folgenden Dokumente sind öffentlich verfügbar:

    Weitere Dokumente des IRAP-Programms stehen Kunden über AWS Artifact zur Verfügung, einem Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact.

    • Implementierung der Sicherheitskontrollen – Zusammenfassung
    • IRAP-Bericht Stufe 2

    Außerdem stehen weitere Berichte zur Verfügung, die in der AWS-Infrastruktur implementierte Kontrollen evaluieren und testen und unter der Vertraulichkeitsvereinbarung (wie erforderlich) verfügbar sind:

    • Bericht Service Organisation Controls 1 (SOC1), Typ II
    • Bericht Service Organisation Controls 2 (SOC2), Typ II
    • ISO27001-Zertifikat und Erklärung zur Anwendbarkeit
    • Attestation of Compliance und Responsibility Summary des PCI

    Weitere Informationen zu diesen Berichten finden Sie in den Antworten auf häufig gestellte Fragen zur AWS-Compliance.

  • Warum brauche ich einen akkreditierten IRAP-Prüfer?

    Akkreditierte IRAP-Prüfer sind Personen, die von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD) unter dem IRAP-Programm (Information Security Registered Assessors Program) als angemessen qualifiziert akkreditiert wurden, Bewertungen anhand des ASD-Kontrollrahmens – des Informationssicherheitshandbuchs (Information Security Manual, ISM) – durchzuführen.

    Akkreditierte IRAP-Prüfer sind in Australien die einzigen Personen, die zur Bewertung eines Informations- und Kommunikationstechnologiesystems (ICT) anhand des von der australischen Regierung herausgegebenen Informationssicherheitshandbuchs zugelassen sind. Darüber hinaus beschreiben akkreditierte IRAP-Prüfer Bereiche der Compliance und Nicht-Compliance sowie der Restrisiken und entsprechenden Sicherheitsvorkehrungen und stellen Zertifizierungsstellen Empfehlungen zu Zertifizierungen bereit.

  • Was ist das ISM?

    Das ISM ist das Informationssicherheitshandbuch (Information Security Manual, ISM) für australische Regierungsbehörden, herausgegeben von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD), einer Organisation innerhalb des Verteidigungsministeriums mit der Aufgabe, Systeme und Informationen der australischen Behörden zu schützen.

    Das ISM ist die australische Norm, die in Australien die Sicherheit von Informations- und Kommunikationstechnologiesystemen (ICTs) regelt. Es ergänzt den Protective Security Policy Framework (PSPF), der vom australischen Justizministerium erstellt wurde. ISM und PSPF gemeinsam stellen Richtlinien für die Implementierung ausreichender Kontrollen für alle Workload-Klassifikationen in einer ICT-Umgebung bereit.

    Die Compliance mit dem ISM dient als Grundlage für die Bewertung der Aufnahme von Cloud-Serviceanbietern in die Liste zertifizierter Cloud-Services des ASD, die eine Liste der Cloud-Services enthält, die vom ASD als Zertifizierungsstelle zertifiziert wurden. Die Zertifizierung ist erforderlich, damit Behörden Verarbeitungslasten auf akkreditierten Cloud-Services ausführen können, die über das Department of Finance Whole of Government Cloud Services Panel als vorrangigem Beschaffungsdienst für Cloud-Services für australische Behörden gekauft werden.

    Im Oktober 2014 gaben das australische Department of Finance und das Department of Communications gemeinsam die Richtlinie Australian Government Cloud Computing Policy 3.0 heraus, in der ein „Cloud-first“-Ansatz zur Einführung von Cloud-Services durch Bundesbehörden angeordnet wurde.

    „Nach den Cloud-Richtlinien der [australischen] Regierung müssen Agenturen jetzt die Cloud einführen, wenn sie zweckdienlich ist, angemessenen Datenschutz bietet und das Preis-Leistungs-Verhältnis günstig ist.“

    Weitere Informationen zur Rolle der ASD in Verbindung mit Informationssicherheit in Australien finden Sie unter dem Thema Information security (InfoSec) role auf der Website der ASD.

    irap_graphics
  • Erfüllt AWS die Anforderungen des ISM?

    Ja. AWS wurde von einem unabhängigen Prüfer des IRAP-Programms (Information Security Registered Assessors Program) geprüft. Bei der Prüfung wurden die Sicherheitskontrollen von AWS unter Einbeziehung von Mitarbeitern, Prozessen und Technologien untersucht, um sicherzustellen, dass die Anforderungen des ASD 2014 ISM erfüllt sind. Weitere Informationen finden Sie unter dem Thema IRAP ISM Letter of Compliance auf der Website der ASD.

  • Wo erhalte ich weitere Informationen zum IRAP-Programm?

    Weitere Informationen finden Sie auf der Seite zum IRAP-Programm auf der Website der ASD.

  • Welche AWS-Regionen und -Services werden von der IRAP-Bewertung abgedeckt?

    Die IRAP-Bewertung und ASD-Zertifizierung decken die AWS-Region Sydney ab. AWS behandelt jedoch alle AWS-Regionen hinsichtlich der verwendeten Kontrollen, Richtlinien und Prozesse gleich. Behörden sollten ihre Arbeitslasten und Geschäftsanforderungen bewerten, um zu ermitteln, welche AWS-Region verwendet werden sollte.

    Die durch die IRAP-Bewertung abgedeckten AWS-Services finden Sie auf der Webseite AWS-Services in Scope nach Compliance-Programm.

  • Kann ich andere AWS-Services verwenden, die nicht in der IRAP-Bewertung aufgeführt sind?

    Ja. Wenn der von Ihnen gewünschte Service auf der Webseite AWS-Services in Scope nach Compliance-Programm nicht aufgeführt ist, können Sie überprüfen, ob sich Ihre Arbeitslasten auch für andere AWS-Services eignen.

  • Erhöhen sich durch Konformität mit ISM die Kosten von AWS-Services?

    Nein. Die Servicekosten erhöhen sich nicht aufgrund der Compliance von AWS mit dem ISM.

  • Ist AWS in der Liste der zertifizierten Cloud-Services der ASD aufgenommen?

    Ja. Die australische Behörde für Informationssicherheit (Australian Signals Directorate, ASD) hat für AWS eine IRAP-Bewertung durchgeführt und AWS die Zertifizierung für nicht klassifizierte DLM-Arbeitslasten (ASD Certification for Unclassified DLM workloads) erteilt. Weitere Informationen finden Sie in der ASD Certified Cloud Services List (CCSL) des IRAP.

    Australische Behörden reduzieren Kosten und Risiken erheblich, indem Sie sich auf die weitreichenden Kenntnisse und Untersuchungen der ASD verlassen. Diese stellt als Zertifizierungsstelle sicher, dass die Restrisiken von Services erkannt, verstanden und zuverlässig bewertet werden. Dies schafft deutlich verbesserte Ergebnisse in Punkto Sicherheit für australische Behörden und verringert gleichzeitig ihre Kosten für die betreffenden Bewertungen.

  • Ist AWS im Department of Finance Whole of Government Cloud Services Panel?

    Ja. AWS ist seit dem 31. März 2015 in diesem Gremium vertreten. Dank der bereits von Experten bewerteten Cloud-Serviceanbieter und eines allgemein gültigen Vertragsrahmens erzielen die Behörden ein angemessenes Preis-/Leistungsverhältnis und vereinfachen sich die Beschaffung von Cloud-Services. Aufgrund dieses einfachen Beschaffungswegs können Behörden ihre Aufgaben schnell erledigen und den australischen Bürgern effiziente Services bereitstellen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Compliance-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »