IRAP-Programm zur ISM-Compliance

Ich hätte gern Informationen über IRAP in der Cloud

IRAP-Compliance

Der Schutz australischer Behördendaten vor unberechtigtem Zugriff, Missbrauch und Offenlegung ist ein wesentlicher Gesichtspunkt bei der Beschaffung und Nutzung von Cloud-Services. AWS weiß, dass Kunden sich auf die sichere Bereitstellung der AWS-Infrastruktur verlassen und Funktionen, mit denen Kunden absolut sichere Umgebungen einrichten können, von vorrangiger Bedeutung sind. AWS ermöglicht es Kunden, diese Ziele durch Priorisierung der Sicherheit bei der Bereitstellung seiner Services mittels einer stabilen Kontrollumgebung und einer Vielzahl von Sicherheits-Services und -Funktionen zu erreichen. Diese Services bieten den australischen Behörden umfassende Steuerungsmöglichkeiten für die IT-Kontrollumgebung, vereinfachen die Verwaltung der Sicherheits-Services und sorgen für verbesserte Datensicherheit.

Das IRAP-Programm (Information Security Registered Assessors Program) ermöglicht es Kunden in australischen Behörden sicherzustellen, dass angemessene Kontrollen bereitstehen, und ermittelt das geeignete Verantwortungsmodell zur Erfüllung der Anforderungen des Informationssicherheitshandbuchs (Information Security Manual, ISM) der australischen Behörde für Informationssicherheit ASD (Australian Signals Directorate).

Ein unabhängiger IRAP-Prüfer untersuchte die Kontrollfunktionen der Personen, Prozesse und Technologien von AWS, um sicherzustellen, dass sie die Anforderungen des ISM erfüllen. Diese Bewertung und das Compliance-Schreiben bilden die Grundlage, auf der eine Zertifizierungsstelle Sicherheit bei der Zertifizierung von AWS-Infrastruktur erlangt, und stellen eine Empfehlung der Zertifizierungsstelle für die geeignete Verwendung der Plattform dar.

Eine IRAP-Bewertung und eine formelle Zertifizierung durch die ASD als Zertifizierungsstelle der australischen Regierung gipfelt in der Akkreditierung durch eine Behörde. Diese Zertifizierung liefert die Sicherheit, dass AWS die geeigneten Kontrollen des ISM-Informationssicherheitshandbuchs bereitstellt, und ist die direkte Vorstufe der AWS-Akkreditierung für die Verarbeitung von Daten australischer Behörden.

Diese Zertifizierung stellt eine erhebliche Entlastung einzelner Behörden oder deren Geschäftspartner dar, wenn es darum geht, die Cloud-Plattform für ihre Arbeitslasten zu bewerten oder zu zertifizieren, sodass sie sich auf die Akkreditierungsprozesse ihres jeweiligen Systems konzentrieren können.

AWS ist Schlüsselpartner für Healthdirect Australia. ISM-Compliance bedeutet, dass wir allen Australiern mehr Sicherheit beim Zugriff auf die richtigen Ratschläge zur geeigneten Gesundheitsversorgung für ihre gesundheitlichen Probleme bieten können, wo und wann immer sie diese brauchen. »

Finanziell unterstützt durch CSIRO verwendet das We Feel-Team nun AWS zur Analyse von hunderten Millionen von Tweets, bevor es die Ergebnisse auf seiner Website veröffentlicht. Das Ergebnis sind bahnbrechende Erkenntnisse über die emotionale Verfassung einer großen und demografisch breit gefächerten Bevölkerung. Die Ergebnisse können auf der Website nach Geschlecht, Ort und emotionaler Qualität durchsucht werden. Zurzeit sind sechs emotionale Hauptkategorien – von Freude bis Angst – definiert, die wiederum in feinere Gemütsverfassungen wie Optimismus oder Nervosität unterteilt sind. »

„Die Skalierbarkeit von AWS war enorm hilfreich“, meint Associate Professor Vinsen. „Ich kann bei Bedarf ohne viel Aufwand mehr Kapazität hinzufügen. Mit AWS können wir jeden Monat mehr als 150 GB Himmelsaufnahmen verarbeiten und mehr als 400 GB Daten speichern.“ »

„Wenn ein Kurs plötzlich besonders beliebt wird, würden über 100 000 Personen auf das System zugreifen. Mit AWS sind wir darauf vorbereitet, solch einen Zuwachs zu bedienen.“ »

„Es geht hier nicht einfach nur um eine jederzeit verfügbare Infrastruktur. Nein, es geht um eine völlig neue Arbeitsweise, die wirklich zu unserem Continuous Delivery-Vorsatz passt.“ »

Wie kann ich meine Daten auf AWS sichern?

AWS stellt seinen Kunden eine Vielzahl von Sicherheitsfunktionen zum Schutz ihrer Daten in Übereinstimmung mit den Kontrollen des ISM-Informationssicherheitshandbuchs und den Behördenrichtlinien bereit. Wir entwickeln die Sicherheits-Tools, die wir den Kunden zur Verfügung stellen, laufend weiter und geben regelmäßig Verbesserungen der vorhandenen Sicherheitsfunktionen heraus. Außerdem stellen wir unseren Kunden eine Vielzahl von Whitepapers, Online-Dokumentationen und Sicherheitsvideos bereit. Unsere globalen Whitepaper enthalten Empfehlungen zum Sichern von Daten, die auch für AWS-Verarbeitungslasten australischer Behörden angewendet werden können.

Wie kann ich die AWS-IRAP-Sicherheitsdokumentation und -richtlinien nutzen?

Wie kann ich die AWS-IRAP-Sicherheitsdokumentation und -richtlinien nutzen?

Australische Behördenkunden können unsere ASD-Zertifizierung und unser Zertifizierungsschreiben unabhängiger IRAP-Prüfer nutzen, um ihre Zertifizierungs- und Akkreditierungsziele zu beschleunigen.

Zur Unterstützung unserer australischen Behördenkunden stellen wir ein Paket mit Sicherheitsrichtlinien und entsprechender Dokumentation zur Verfügung, das das Verständnis für Sicherheits- und Compliance-Fragen bei der Nutzung von AWS als Anbieter zertifizierter Cloud-Services vertiefen soll.

Speziell für die Bewertung von AWS-Infrastruktur durch ein IRAP-Programm anhand des ISM-Handbuchs stellen wir Behörden bzw. deren Partnern Folgendes unter einer Vertraulichkeitsvereinbarung (wie erforderlich) zur Verfügung:

- IRAP-Bericht zur AWS-Konformität mit dem ISM-Handbuch

- ASD-Zertifizierungsschreiben für die Plattform der AWS-Infrastruktur

- IRAP ISM-Compliance-Schreiben

- Übersicht über die Implementierung von Kontrollen

Außerdem stehen weitere Berichte zur Verfügung, die von der AWS-Infrastruktur implementierte Kontrollen evaluieren und testen und unter der Vertraulichkeitsvereinbarung (wie erforderlich) verfügbar sind:

- Bericht Service Organisation Controls 1 (SOC1), Typ II

- Bericht Service Organisation Controls 2 (SOC2), Typ II

- ISO27001-Zertifikat und Erklärung zur Anwendbarkeit

- PCI-Validierung und -Compliance sowie Überblick über die PCI-Verantwortlichkeit

Weitere Informationen über die weiteren Berichte finden Sie in den Antworten auf häufig gestellte Fragen zur AWS-Compliance.

Zur Beantragung des Zugriffs auf die AWS-Sicherheitsdokumentation, soweit diese australische Behördenkunden oder Auftragnehmer in Geschäftsverbindung mit den australischen Behörden betrifft, kontaktieren Sie die AWS-Abteilung für Vertrieb und Geschäftsentwicklung oder senden Sie eine E-Mail an awscompliance@amazon.com.

Warum brauche ich einen akkreditierten IRAP-Prüfer?

Ein IRAP-Prüfer ist die einzige Person, die als qualifiziert anerkannt ist, eine Prüfung eines Information and Communication Technology(ICT)-Systems gemäß ISM-Handbuch für australische Behörden durchzuführen. Der Prüfer beschreibt Bereiche von Compliance und Non-Compliance, Restrisiken und Abhilfemaßnahmen und erstellt Zertifizierungsempfehlungen für eine Zertifizierungsstelle.

Welche IRAP-Pakete und -Dokumente stellen wir unseren Kunden zur Verfügung?

Dokumentenkontrolle	Dokumentation	Paket für die Bundesbehörde	SLED-Paket	AWS-Partner
DRM	IRAP-Bericht Stufe 2	X
DRM	ASD-Zertifizierungsbericht	X
Öffentlich	ASD-Zertifizierungsschreiben	X	X	X
Öffentlich	IRAP ISM-Konformitätsschreiben	X	X	X
DRM	Übersicht über die Implementierung von Kontrollen	X	X	X

Welches Compliance-Paket brauche ich?

Das Bundesbehörden-Paket ist für Angestellte von Bundesbehörden oder deren autorisierten Vertragspartnern, die eine formelle Akkreditierung basierend auf der ASD-Zertifizierung durchführen wollen und untersuchen müssen, wie AWS die geltenden ISM-Kontrollen durchführt.
Das SLED-Paket ist für staatliche und lokale Behörden und staatliche Bildungsträger, die die Richtlinien zu Informationssicherheit und Risikomanagement der Bundebehörden und des Protective Security Policy Framework (PSPF) befolgen.
Das AWS-Partnerpaket ist für Partner gedacht, die in AWS Anwendungen für Bundesbehörden erstellen möchten und Klarheit darüber brauchen, welche Kontrollen ihnen bereitgestellt werden bzw. welche sie selbst einrichten müssen.

Wie werden diese Dokumente verteilt?

· Öffentliche Dokumente werden per E-Mail versendet oder auf dieser Website veröffentlicht.

· NDA-Dokumente werden als kennwortgeschützte Anlagen im Adobe-PDF-Format versendet, nachdem eine NDA-Vereinbarung unterzeichnet und bestätigt wurde. Für den Zugriff auf das Dokument ist Adobe Reader 9.0 oder später erforderlich.

· DRM-Dokumente werden mittels der Verwaltung digitaler Rechte (DRM) des Adobe LiveCycle-Managers streng kontrolliert. Zum Öffnen dieser Dokumente ist Adobe Reader 9.0 oder später erforderlich. Ihr Inhalt kann gewöhnlich nicht kopiert werden. Sie sind nur für Personen, die diese Inhalte benötigen, eine bestimmte Zeit lang zur Ansicht verfügbar.

Welche Zugriffsberechtigungen sind für diese Dokumente erforderlich?

Für alle Pakete sind gezielte NDAs zwischen der Organisation und AWS erforderlich. Für Anforderungen von Vertragspartnern, die Sicherheitsbewertungen für Akkreditierungen im Auftrag von Bundesbehörden oder SLEDs durchführen, ist außerdem eine schriftliche Genehmigung eines Sicherheitsbeauftragten der Behörde mit der Autorisierung zur Zugriffserteilung erforderlich.

Welche zusätzliche Dokumentation ist verfügbar, um Sicherheit bei der Ausführung von Verarbeitungslasten australischer Behörden in AWS zu gewinnen?

Siehe: Whitepaper "AWS: Risiko und Compliance".

Die Zertifizierungen und von AWS verwalteten Berichte sind auf der Webseite zum Compliance-Programm zu finden und Beleg für die umfangreichen Kontrollmechanismen, die AWS weltweit implementiert. Es ist auch zu beachten, dass AWS über eine ATO (Authority to Operate) im Rahmen des FedRAMP-Programms für US-amerikanische Behörden verfügt, in dem aus NIST800-53Rev4 abgeleitete Kontrollen enthalten sind. Diese Kontrollen sind umfassend und öffentlich erhältlich und bieten Kunden weitere Belege für die hohe Sicherheit bei der Verarbeitung von Arbeitslasten in AWS.

Außerdem stehen weitere Berichte zur Verfügung, die von der AWS-Infrastruktur implementierte Kontrollen evaluieren und testen:

- Bericht Service Organisation Controls 1 (SOC1), Typ II

- Bericht Service Organisation Controls 2 (SOC2), Typ II

o SOC2 Verfügbarkeit

o SOC2 Sicherheit

- Service Organisation Controls 3 (SOC3)

- ISO27001-Zertifikat und Erklärung zur Anwendbarkeit

- PCI-Validierung und -Compliance sowie Überblick über die PCI-Verantwortlichkeit

- Übersicht über die AWS-Sicherheit

Für den Zugriff auf die AWS-Compliance-Dokumentation kontaktieren Sie die AWS-Abteilung für Vertrieb und Geschäftsentwicklung oder senden Sie eine E-Mail an awscompliance@amazon.com.

Ist AWS im Department of Finance Whole of Government Cloud Services Panel?

Ja, AWS ist seit dem 31. März 2015 in diesem Gremium vertreten. Behörden erzielen ein gutes Preis-/Leistungsverhältnis für ihre Cloud-Services und haben einen vereinfachten Beschaffungsprozess, da sie einen bereits bewerteten Anbieter und einen gemeinsamen Vertragsrahmen nutzen. Dieser einfache Beschaffungsweg ermöglicht es Behörden, ihre Aufgaben schnell zu erledigen und den australischen Bürgern effiziente Services bereitzustellen.

Was ist das ISM?

Das ISM ist das Informationssicherheitshandbuch (Information Security Manual, ISM) für australische Regierungsbehörden, herausgegeben von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD), einer Organisation innerhalb des Verteidigungsministeriums mit der Aufgabe, Systeme und Informationen der australischen Behörden zu schützen.

Weitere Informationen über die Rolle des ASD im Rahmen des australischen Informationssicherheit finden Sie unter http://www.asd.gov.au/about/roleinfosec.htm

Erfüllt AWS die Anforderungen des ISM?

Ja, AWS wurde von einem unabhängigen Prüfer des IRAP(Information Security Registered Assessors Program)-Programms geprüft. Bei der Prüfung wurden die Sicherheitskontrollen der Personen, Prozesse und Technologien von Amazon untersucht, um sicherzustellen, dass sie die Anforderungen des ASD 2014 ISM erfüllt sind.

Wo erhalte ich weitere Informationen zum IRAP-Programm?

http://www.asd.gov.au/infosec/irap/index.htm

Welche AWS-Services werden von der IRAP-Bewertung abgedeckt?

Die durch die IRAP-Bewertung abgedeckten AWS-Services finden Sie unter AWS-Services in Scope nach Compliance-Programm. Möchten Sie mehr über die Verwendung dieser Services erfahren und/oder interessieren Sie sich für andere Services, kontaktieren Sie uns.

Erhöhen sich durch Konformität mit ISM die Kosten von AWS-Services?

Nein, durch Konformität mit ISM erhöhen sich in keiner Region die Kosten von AWS-Services.

Wo finde ich das ISM?

Information Security Manual (ISM)

Ist AWS auf der Liste zertifzierter Cloud-Services des Australian Signals Directorate (ASD)?

Ja, AWS wurde von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD) als zuständiger Zertifizierungsstelle für Unclassified DLM(UD)-Verarbeitungslasten zertifiziert und ist einer der ersten Teilnehmer auf der ASD-Liste zertifzierter Cloud-Services (Certified Cloud Services List, CCSL).

Die Kosten und Risiken von Behörden sind erheblich niedriger, wenn sie sich auf die fundierte Expertise des ASD als Zertifizierungsstelle verlassen können, wenn es um die richtige Einschätzung und eine angemessene Bewertung des Restrisikos von Services geht. Dies schafft deutlich verbesserte Ergebnisse in Punkto Sicherheit für australische Behörden und verringert gleichzeitig ihre Kosten für die betreffenden Bewertungen.

Warum ist das ISM wichtig?

Im Oktober 2014 gaben das australische Department of Finance und das Department of Communications gemeinsam die Richtlinie Australian Government Cloud Computing Policy 3.0 heraus, in der ein "Cloud-first"-Ansatz zur Einführung von Cloud-Services durch Bundesbehörden angeordnet wurde.

“Nach den Cloud-Richtlinien der australischen Regierung müssen Agenturen jetzt die Cloud einführen, wenn sie zweckdienlich ist, angemessenen Datenschutz bietet und das Preis-Leistungs-Verhältnis günstig ist.”

Das ISM enthält die Norm, die die Sicherheit von ICT(Information and Communication Technology)-Systemen regelt. Es ergänzt den Protective Security Policy Framework (PSPF), der vom australischen Justizministerium erstellt wurde. Diese beiden Dokumente stellen zusammen ein Handbuch zur Implementierung geeigneter Kontrollen für Verarbeitungslasten aller Klassifikationen in einer ICT-Umgebung bereit.

Die Compliance mit dem ISM dient als Grundlage für die Bewertung der Aufnahme von Cloud-Serviceanbietern in die Liste zertifzierter Cloud-Services des ASD, die die Liste der Cloud-Services enthält, bei denen das ASD als Zertifizierungsstelle agiert hat. Die Zertifizierung ist erforderlich, damit Behörden Verarbeitungslasten auf akkreditierten Cloud-Services ausführen können, die über das Department of Finance Whole of Government Cloud Services Panel als vorrangigem Beschaffungsdienst für Cloud-Services für australische Behörden gekauft werden.

Was ist ein akkreditierter IRAP-Prüfer?

Dies sind Personen, die von der australischen Behörde für Informationssicherheit (Australian Signals Directorate, ASD) unter dem IRAP(Information Security Registered Assessors Program)-Programm als angemessen qualifiziert akkreditiert wurden, Bewertungen anhand des ASD-Kontrollrahmens – des Informationssicherheitshandbuchs (Information Security Manual, ISM) – durchzuführen.

Welche AWS-Regionen sind abgedeckt?

Die IRAP-Bewertung und ASD-Zertifizierung deckt die AWS-Region Sydney ab. AWS behandelt jedoch alle Regionen hinsichtlich der verwendeten Kontrollen, Richtlinien und Prozessen gleich. Behörden sollten ihre Verarbeitungslasten und Geschäftsanforderungen bewerten, um zu ermitteln, welche AWS-Region verwendet werden sollte.

Können andere Services genutzt werden?

Ja, Kunden können ihre Verarbeitungslasten auf Eignung für andere AWS-Services prüfen. Wenden Sie sich an die AWS-Abteilung für Vertrieb und Geschäftsentwicklung, wenn Sie an detaillierten Erläuterungen der Sicherheitskontrollen und Aspekten für die Akzeptanz von Risiken interessiert sind.

Wo finde ich das Compliance-Schreiben des unabhängigen IRAP-Prüfers für AWS?

IRAP ISM-Compliance-Schreiben

IRAP Compliance-Ressourcen

Wünschen Sie weitere Informationen über AWS IRAP-Compliance?

Kontakt