Information Security Registered Assessors Program (IRAP)

Übersicht

IRAP

Mithilfe des IRAP-Programm (Information Security Registered Assessors Program) können Kunden in australischen Behörden sicherstellen, dass angemessene Kontrollen bestehen, und das geeignete Verantwortungsmodell zur Erfüllung der Anforderungen des Informationssicherheitshandbuchs (Information Security Manual, ISM) der australischen Regierung, das von der australischen Cybersicherheitsbehörde (Australian Cyber Security Centre, ACSC) herausgegeben wurde, kann ermittelt werden.

Der Schutz australischer Behördendaten vor unberechtigtem Zugriff und Offenlegung ist ein wesentlicher Gesichtspunkt bei der Beschaffung und Nutzung von Cloud-Services. AWS weiß, dass sich Kunden auf die sichere Bereitstellung der AWS-Infrastruktur verlassen und Funktionen, mit denen sie sichere Umgebungen einrichten können, von vorrangiger Bedeutung sind. AWS ermöglicht es Kunden, diese Ziele durch Priorisierung der Sicherheit bei der Bereitstellung seiner Services mittels einer stabilen Kontrollumgebung und einer Vielzahl von Sicherheitsservices und -funktionen zu erreichen. Diese Services bieten den australischen Behörden umfassende Steuerungsmöglichkeiten für die IT-Kontrollumgebung, vereinfachen die Verwaltung der Sicherheitsservices und sorgen für verbesserte Datensicherheit.

AWS Cloud-Services wurden als ISM-konform bewertet. Ein unabhängiger IRAP-Gutachter untersuchte die AWS-Kontrollen einschließlich Personen, Prozesse und Technologie anhand der ISM-Anforderungen. Diese Bewertung bietet die Gewissheit, dass in Bezug auf die Produkte, die AWS im Einsatz hat, die anwendbaren Kontrollen, die für die Workloads der australischen Behörden auf der GESCHÜTZTEN Ebene erforderlich sind, durchgeführt werden.

  • Was sind die Auswirkungen seit der Einstellung von CSCP und CCSL?

    Am Montag, den 2. März 2020 gaben das Australian Signals Directorate (ASD) und die Digital Transformation Agency (DTA) die Ergebnisse der Überprüfung des Cloud Services Certification Program (CSCP) und des Information Security Registered Assessors Program (IRAP) bekannt. Die Überprüfung ergab folgende Empfehlungen:

    • Beenden des CSCP und Erstellen branchenweit gemeinsamer Richtlinien für die Cloud-Sicherheit
    • Fördern und Verbessern des IRAP
    • Einrichten von Beratungsforen für Cybersicherheit für die Behörden und die Branche
    • Aktualisieren der Anreize in den Beschaffungs- und Verwaltungsanweisungen und Anleitungen, um die Einstellung des CSCP widerzuspiegeln

    Seit dem 2. März 2020 ist das ASD nicht mehr die Zertifizierungsbehörde und hat alle Zertifizierungsaktivitäten, einschließlich der Rezertifizierungsaktivitäten, eingestellt. Alle ASD-Zertifizierungen und Rezertifizierungsschreiben sind ab dem 27. Juli 2020 ungültig, und das Informationssicherheitshandbuch (ISM) der australischen Behörden wurde aktualisiert, um die Anforderung zur Auswahl von Cloud-Services aus der Liste der zertifizierten Cloud-Services (CCSL) zu streichen.

    Im Rahmen der Secure Cloud Strategy der australischen Regierung sind die Behörden des Commonwealth in der Lage, Cloud-Services selbst zu bewerten, wobei sie sich auf Verfahren stützen, die bereits zur Bewertung von ICT-Systemen eingesetzt werden.

    Was nun?

    Am 27. Juli 2020 veröffentlichten das Australian Cyber Security Centre (ACSC) und die Digital Transformation Agency (DTA) eine neue Cloud Security Guidance, die gemeinsam mit der Branche entwickelt wurde, um die sichere Einführung von Cloud-Services bei Behörden und gewerblichen Kunden zu unterstützen. AWS führt weiterhin IRAP-Bewertungen durch, um die Aktualität der Bewertung aufrechtzuerhalten und neue Services an Bord zu nehmen. Die Commonwealth-Entitäten werden weiterhin für ihre eigenen Zusicherungs- und Risikomanagementaktivitäten verantwortlich sein. In Übereinstimmung mit der Secure Cloud Strategy der australischen Regierung sind die Entitäten des Commonwealth in der Lage, Cloud-Services selbst zu bewerten, wobei sie sich auf Verfahren stützen, die bereits zur Bewertung von ICT-Systemen eingesetzt werden. Die ASD wird die bestehenden Richtlinien zur Cloud-Sicherheit durch die Entwicklung gemeinsam mit der Branche entwickelter Richtlinien verbessern. Diese Richtlinien werden Commonwealth-Entitäten und australischen Unternehmen weiter dabei helfen, ihre Cybersicherheit und Widerstandsfähigkeit zu erhöhen.

    Bis heute hat die ASD eine Reihe nützlicher Leitfäden für Unternehmen entwickelt, um die entsprechenden Sicherheitsbewertungen im Zusammenhang mit Cloud-Services durchzuführen. Es wird empfohlen, dass sich jede Bewertung klar auf die Sicherheitskontrollen im ISM und die Sicherheitsrichtlinien der ASD-Cloud bezieht, einschließlich:

    Die DTA ermutigt die Behörden des Commonwealth weiterhin, die Secure Cloud Strategy der australischen Regierung zu nutzen, um die Einführung von Cloud-Services zu unterstützen.

  • Welche IRAP-Dokumente stehen mir zur Verfügung?

    Zur Unterstützung unserer Kunden in australischen Behörden stellen wir ein Paket mit Sicherheitsrichtlinien und entsprechender Dokumentation zur Verfügung, das ihr Verständnis für Sicherheits- und Compliance-Fragen bei der Nutzung von AWS vertiefen soll. AWS stellt die folgenden öffentlich verfügbaren Materialien bereit:

    Sie können auf das IRAP GESCHÜTZT-Paket über AWS Artifact zugreifen, ein Selfservice-Portal für den On-Demand-Zugriff auf AWS-Compliance-Berichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an, oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact. Diese Informationen ermöglichen die Planung, Architektur und Selbsteinschätzung von Systemen, die in AWS im Rahmen der Secure Cloud Strategy der australischen Regierung gebaut wurden. Dieses Paket bietet Kunden aus dem öffentlichen Sektor alles, was sie für die Bewertung von AWS auf der GESCHÜTZTEN Ebene benötigen, und hilft den einzelnen Behörden, den Prozess der Einführung von AWS-Services zu vereinfachen. Im Paket enthaltene Dokumentation:

    • Das Konformitätsschreiben;
    • Implementierung der Sicherheitskontrollen – Zusammenfassung;
    • IRAP-Bericht der Phase 2;
    • Referenzarchitektur und
    • Verbraucherleitfaden.

    Außerdem stehen weitere Berichte zur Verfügung, die in der AWS-Infrastruktur implementierte Kontrollen evaluieren und testen und unter der Vertraulichkeitsvereinbarung (wie erforderlich) verfügbar sind:

    • Bericht Service Organisation Controls 1 (SOC1), Typ II;
    • Bericht Service Organisation Controls 2 (SOC2), Typ II;
    • Zertifizierung nach ISO 27001 und Erklärung zur Anwendbarkeit (SoA); und
    • Attestation of Compliance und Responsibility Summary des PCI.

    Ein Schnellstart ist für Benutzer verfügbar, die Cloud-basierte Workloads erstellen möchten, die AWS-Steuerelemente verwenden, die die ISM-Anforderungen für den Umgang mit sensiblen Regierungsdaten auf der Klassifizierungsebene GESCHÜTZT erfüllen. Es stellt die IRAP GESCHÜTZT-Referenzarchitektur automatisch in etwa einer Stunde auf der AWS Cloud bereit. Die Referenzarchitektur zeigt, wie mehrere AWS-Services zusammengeführt werden, um eine mehrstufige Webanwendung mit zugehörigen Sicherheits- und Verwaltungsservices zu unterstützen, welche die Anforderungen des IRAP-Status „GESCHÜTZT“ erfüllen. Diese Lösung implementiert zwar viele der in der IRAP GESCHÜTZT-Referenzarchitektur beschriebenen Steuerelemente, aber nicht alle empfohlenen Steuerelemente sind in diesem Schnellstart enthalten. Denken Sie daran, die Hinweise im IRAP GESCHÜTZT-Paket, das auf AWS Artifact verfügbar ist, zu befolgen, bevor Sie diese Lösung zum Speichern von GESCHÜTZT-Daten verwenden.

    Weitere Informationen zu diesen Berichten finden Sie in den AWS Compliance-Programmen.

  • Warum brauche ich einen akkreditierten IRAP-Prüfer?

    Die von der IRAP akkreditierten Prüfer sind ICT-Fachleute aus ganz Australien, die vom Australian Signals Directorate (ASD) im Rahmen des Information Security Registered Assessors Program (IRAP) als entsprechend qualifiziert akkreditiert sind, um Systeme der Informations- und Kommunikationstechnologie (IKT) anhand des Kontrollrahmens der ASD, des Information Security Manual (ISM), zu beurteilen.

    Die IRAP-Prüfer verfügen über die notwendige Erfahrung und Qualifikation in den Bereichen IKT, Sicherheitsbewertung und Risikomanagement sowie über detaillierte Kenntnisse der Compliance-Anforderungen der australischen Regierung im Bereich der Informationssicherheit.

  • Was ist ISM?

    Das Information Security Manual (ISM) der australischen Regierung skizziert einen Rahmen für Cybersicherheit, den Unternehmen anwenden können, um ihre Systeme der Informations- und Kommunikationstechnologie (IKT) vor Cyber-Bedrohungen zu schützen. Es ergänzt den Protective Security Policy Framework (PSPF), der vom australischen Justizministerium erstellt wurde. Die ISM und die PSPF bieten Richtlinien und Verpflichtungen für die Behörden des Commonwealth bei der Durchführung angemessener Kontrollen in einer IKT-Umgebung. Darüber hinaus sollten die Commonwealth-Behörden einschlägige Leitlinien berücksichtigen, die speziell von ihnen oder für sie veröffentlicht wurden.

    Im Jahr 2017 hat die Digital Transformation Agency (DTA) mit anderen Regierungsbehörden und Branchen zusammengearbeitet, um die Secure Cloud Strategy zu entwickeln. Bei der Strategie liegt der Schwerpunkt auf der Unterstützung von Agenturen bei der Verwendung von Cloud-Technologie.

    Das ISM wird vom Australian Cyber Security Centre (ACSC) veröffentlicht, der führenden Organisation der australischen Regierung für nationale Cybersicherheit und Teil des Australian Signals Directorate (ASD).

    Weitere Informationen über die Rolle des ACSC bei der Förderung und Verbesserung der australischen Cybersicherheit finden Sie auf der Cybersicherheits-Webseite auf der ASD-Website oder auf der ACSC-Website.

  • Erfüllt AWS die Anforderungen des ISM?

    Ja, die AWS Cloud-Services wurden von einem unabhängigen IRAP-Prüfer bewertet. Bei der Prüfung wurden die Sicherheitskontrollen von Amazon unter Einbeziehung von Mitarbeitern, Prozessen und Technologien untersucht. Diese Bewertung bietet die Gewissheit, dass in Bezug auf die Produkte, die AWS im Einsatz hat, die anwendbaren Kontrollen, die für die Workloads der australischen Behörden auf der GESCHÜTZTEN Ebene erforderlich sind, durchgeführt werden. Für weitere Informationen können Sie auch zu AWS Artifact gehen, um auf das IRAP GESCHÜTZT-Paket von der letzten Bewertung zuzugreifen.

  • Wo erhalte ich weitere Informationen zum IRAP-Programm?

    Weitere Informationen finden Sie auf der Seite zum IRAP-Programm auf der ACSC-Website.

  • Welche AWS-Regionen und -Services werden von der IRAP-Bewertung abgedeckt?

    Die IRAP-Bewertung erstreckt sich auf Services, die in der AWS-Region Sydney angeboten werden. Die durch die IRAP-Bewertung abgedeckten AWS-Services finden Sie auf der Webseite AWS Services in Scope by Compliance Program.

  • Kann ich andere AWS-Services verwenden, die nicht in der IRAP-Bewertung aufgeführt sind?

    Ja, vorbehaltlich der Einhaltung der geltenden Vorschriften, Richtlinien und Bestimmungen, die Ihre Nutzung von Cloud-Services regeln. Wenn der von Ihnen gewünschte Service auf der Webseite AWS Services in Scope by Compliance Program nicht aufgeführt ist, können Sie überprüfen, ob sich Ihre Arbeitslasten auch für andere AWS-Services eignen.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »