Ich hätte gern Informationen über IRAP in der Cloud

 

 

AWS IRAP-Compliance

Der Schutz australischer Behördendaten vor unberechtigtem Zugriff, Missbrauch und Offenlegung ist ein wesentlicher Gesichtspunkt bei der Beschaffung und Nutzung von Cloud-Services. AWS weiß, dass Kunden sich auf die sichere Bereitstellung der AWS-Infrastruktur verlassen und Funktionen, mit denen Kunden absolut sichere Umgebungen einrichten können, von vorrangiger Bedeutung sind. AWS ermöglicht es Kunden, diese Ziele durch Priorisierung der Sicherheit bei der Bereitstellung seiner Services mittels einer stabilen Kontrollumgebung und einer Vielzahl von Sicherheits-Services und -Funktionen zu erreichen. Diese Services bieten den australischen Behörden umfassende Steuerungsmöglichkeiten für die IT-Kontrollumgebung, vereinfachen die Verwaltung der Sicherheits-Services und sorgen für verbesserte Datensicherheit.

Das IRAP-Programm (Information Security Registered Assessors Program) ermöglicht es Kunden in australischen Behörden sicherzustellen, dass angemessene Kontrollen bereitstehen, und ermittelt das geeignete Verantwortungsmodell zur Erfüllung der Anforderungen des Informationssicherheitshandbuchs (Information Security Manual, ISM) der australischen Behörde für Informationssicherheit ASD (Australian Signals Directorate).

Ein unabhängiger IRAP-Prüfer untersuchte die Kontrollfunktionen der Personen, Prozesse und Technologien von AWS, um sicherzustellen, dass sie die Anforderungen des ISM erfüllen. Diese Bewertung und das Compliance-Schreiben bilden die Grundlage, auf der eine Zertifizierungsstelle Sicherheit bei der Zertifizierung von AWS-Infrastruktur erlangt, und stellen eine Empfehlung der Zertifizierungsstelle für die geeignete Verwendung der Plattform dar.

Eine IRAP-Bewertung und eine formelle Zertifizierung durch die ASD als Zertifizierungsstelle der australischen Regierung gipfelt in der Akkreditierung durch eine Behörde. Diese Zertifizierung liefert die Sicherheit, dass AWS die geeigneten Kontrollen des ISM-Informationssicherheitshandbuchs bereitstellt, und ist die direkte Vorstufe der AWS-Akkreditierung für die Verarbeitung von Daten australischer Behörden.

Diese Zertifizierung stellt eine erhebliche Entlastung einzelner Behörden oder deren Geschäftspartner dar, wenn es darum geht, die Cloud-Plattform für ihre Arbeitslasten zu bewerten oder zu zertifizieren, sodass sie sich auf die Akkreditierungsprozesse ihres jeweiligen Systems konzentrieren können.



AWS stellt seinen Kunden eine Vielzahl von Sicherheitsfunktionen zum Schutz ihrer Daten in Übereinstimmung mit den Kontrollen des ISM-Informationssicherheitshandbuchs und den Behördenrichtlinien bereit. Wir entwickeln die Sicherheits-Tools, die wir den Kunden zur Verfügung stellen, laufend weiter und geben regelmäßig Verbesserungen der vorhandenen Sicherheitsfunktionen heraus. Außerdem stellen wir unseren Kunden eine Vielzahl von Whitepapers, Online-Dokumentationen und Sicherheitsvideos bereit. Unsere globalen Whitepaper enthalten Empfehlungen zum Sichern von Daten, die auch für AWS-Verarbeitungslasten australischer Behörden angewendet werden können.

IRAP AWS Cloud

Wie kann ich die AWS-IRAP-Sicherheitsdokumentation und -richtlinien nutzen?

Australische Behördenkunden können unsere ASD-Zertifizierung und unser Zertifizierungsschreiben unabhängiger IRAP-Prüfer nutzen, um ihre Zertifizierungs- und Akkreditierungsziele zu beschleunigen.

Zur Unterstützung unserer australischen Behördenkunden stellen wir ein Paket mit Sicherheitsrichtlinien und entsprechender Dokumentation zur Verfügung, das das Verständnis für Sicherheits- und Compliance-Fragen bei der Nutzung von AWS als Anbieter zertifizierter Cloud-Services vertiefen soll. 

Speziell für die Bewertung von AWS-Infrastruktur durch ein IRAP-Programm anhand des ISM-Handbuchs stellen wir Behörden bzw. deren Partnern Folgendes unter einer Vertraulichkeitsvereinbarung (wie erforderlich) zur Verfügung:

-          IRAP-Bericht zur AWS-Konformität mit dem ISM-Handbuch

-          ASD-Zertifizierungsschreiben für die Plattform der AWS-Infrastruktur

-          IRAP ISM-Compliance-Schreiben

-          Übersicht über die Implementierung von Kontrollen

Außerdem stehen weitere Berichte zur Verfügung, die von der AWS-Infrastruktur implementierte Kontrollen evaluieren und testen und unter der Vertraulichkeitsvereinbarung (wie erforderlich) verfügbar sind:

-          Bericht Service Organisation Controls 1 (SOC1), Typ II

-          Bericht Service Organisation Controls 2 (SOC2), Typ II

-          ISO27001-Zertifikat und Erklärung zur Anwendbarkeit

-          PCI-Validierung und -Compliance sowie Überblick über die PCI-Verantwortlichkeit

Weitere Informationen über die weiteren Berichte finden Sie in den Antworten auf häufig gestellte Fragen zur AWS-Compliance.

Zur Beantragung des Zugriffs auf die AWS-Sicherheitsdokumentation, soweit diese australische Behördenkunden oder Auftragnehmer in Geschäftsverbindung mit den australischen Behörden betrifft, kontaktieren Sie die AWS-Abteilung für Vertrieb und Geschäftsentwicklung oder senden Sie eine E-Mail an awscompliance@amazon.com.

     

Ein IRAP-Prüfer ist die einzige Person, die als qualifiziert anerkannt ist, eine Prüfung eines Information and Communication Technology(ICT)-Systems gemäß ISM-Handbuch für australische Behörden durchzuführen. Der Prüfer beschreibt Bereiche von Compliance und Non-Compliance, Restrisiken und Abhilfemaßnahmen und erstellt Zertifizierungsempfehlungen für eine Zertifizierungsstelle.

IRAP-Bewertung

Die folgenden Dokumente sind öffentlich verfügbar:

Die Übersicht über die Implementierung von Kontrollen und der Bericht IRAP Report Stage 2 stehen Kunden zur Verfügung, die AWS Artifact, ein Self-Service-Portal, über das Kunden nach Bedarf die Konformitätsberichte zu AWS abrufen können, nutzen. Erste Schritte mit AWS Artifact.

Ja, AWS ist seit dem 31. März 2015 in diesem Gremium vertreten. Behörden erzielen ein gutes Preis-/Leistungsverhältnis für ihre Cloud-Services und haben einen vereinfachten Beschaffungsprozess, da sie einen bereits bewerteten Anbieter und einen gemeinsamen Vertragsrahmen nutzen. Dieser einfache Beschaffungsweg ermöglicht es Behörden, ihre Aufgaben schnell zu erledigen und den australischen Bürgern effiziente Services bereitzustellen.

Das ISM ist das Informationssicherheitshandbuch (Information Security Manual, ISM) für australische Regierungsbehörden, herausgegeben von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD), einer Organisation innerhalb des Verteidigungsministeriums mit der Aufgabe, Systeme und Informationen der australischen Behörden zu schützen. 

Weitere Informationen über die Rolle des ASD im Rahmen des australischen Informationssicherheit finden Sie unter http://www.asd.gov.au/about/roleinfosec.htm

     

Ja, AWS wurde von einem unabhängigen Prüfer des IRAP(Information Security Registered Assessors Program)-Programms geprüft. Bei der Prüfung wurden die Sicherheitskontrollen der Personen, Prozesse und Technologien von Amazon untersucht, um sicherzustellen, dass sie die Anforderungen des ASD 2014 ISM erfüllt sind.

Die durch die IRAP-Bewertung abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

Nein, durch Konformität mit ISM erhöhen sich in keiner Region die Kosten von AWS-Services.

Ja, AWS wurde von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD) als zuständiger Zertifizierungsstelle für Unclassified DLM(UD)-Verarbeitungslasten zertifiziert und ist einer der ersten Teilnehmer auf der ASD-Liste zertifzierter Cloud-Services (Certified Cloud Services List, CCSL).

Die Kosten und Risiken von Behörden sind erheblich niedriger, wenn sie sich auf die fundierte Expertise des ASD als Zertifizierungsstelle verlassen können, wenn es um die richtige Einschätzung und eine angemessene Bewertung des Restrisikos von Services geht. Dies schafft deutlich verbesserte Ergebnisse in Punkto Sicherheit für australische Behörden und verringert gleichzeitig ihre Kosten für die betreffenden Bewertungen.

Im Oktober 2014 gaben das australische Department of Finance und das Department of Communications gemeinsam die Richtlinie Australian Government Cloud Computing Policy 3.0 heraus, in der ein "Cloud-first"-Ansatz zur Einführung von Cloud-Services durch Bundesbehörden angeordnet wurde. 

 Nach den Cloud-Richtlinien der australischen Regierung müssen Agenturen jetzt die Cloud einführen, wenn sie zweckdienlich ist, angemessenen Datenschutz bietet und das Preis-Leistungs-Verhältnis günstig ist.

 Das ISM enthält die Norm, die die Sicherheit von ICT(Information and Communication Technology)-Systemen regelt. Es ergänzt den Protective Security Policy Framework (PSPF), der vom australischen Justizministerium erstellt wurde. Diese beiden Dokumente stellen zusammen ein Handbuch zur Implementierung geeigneter Kontrollen für Verarbeitungslasten aller Klassifikationen in einer ICT-Umgebung bereit. 

 Die Compliance mit dem ISM dient als Grundlage für die Bewertung der Aufnahme von Cloud-Serviceanbietern in die Liste zertifzierter Cloud-Services des ASD, die die Liste der Cloud-Services enthält, bei denen das ASD als Zertifizierungsstelle agiert hat. Die Zertifizierung ist erforderlich, damit Behörden Verarbeitungslasten auf akkreditierten Cloud-Services ausführen können, die über das Department of Finance Whole of Government Cloud Services Panel als vorrangigem Beschaffungsdienst für Cloud-Services für australische Behörden gekauft werden.

     
Dies sind Personen, die von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD) unter dem IRAP(Information Security Registered Assessors Program)-Programm als angemessen qualifiziert akkreditiert wurden, Bewertungen anhand des ASD-Kontrollrahmens – des Informationssicherheitshandbuchs (Information Security Manual, ISM) – durchzuführen.      

Die IRAP-Bewertung und ASD-Zertifizierung deckt die AWS-Region Sydney ab. AWS behandelt jedoch alle Regionen hinsichtlich der verwendeten Kontrollen, Richtlinien und Prozessen gleich. Behörden sollten ihre Verarbeitungslasten und Geschäftsanforderungen bewerten, um zu ermitteln, welche AWS-Region verwendet werden sollte.

Ja, Kunden können ihre Verarbeitungslasten auf Eignung für andere AWS-Services prüfen. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekten für die Akzeptanz von Risiken interessiert sind.      

 

Kontakt