Information Security Registered Assessors Program (IRAP)

Übersicht

Mithilfe des IRAP-Programms (Information Security Registered Assessors Program) können Kunden in australischen Behörden sicherstellen, dass angemessene Kontrollen vorhanden sind und das geeignete Verantwortungsmodell für die Erfüllung der Anforderungen des Informationssicherheitshandbuchs (Information Security Manual, ISM) der australischen Regierung, das von der australischen Cybersicherheitsbehörde (Australian Cyber Security Centre, ACSC) erstellt wurde, ermitteln.

Der Schutz von Daten der australischen Regierung vor Zugriff, unbefugter Nutzung und Offenlegung bleibt eine der wichtigsten Überlegungen bei der Beschaffung und Nutzung von Cloud-Diensten. AWS weiß, dass Kunden sich auf die sichere Bereitstellung der AWS-Infrastruktur verlassen und wie wichtig es ist, über Funktionen zu verfügen, mit denen sie sichere Umgebungen erstellen können. AWS ermöglicht seinen Kunden, diese Ziele zu erreichen, indem es der Sicherheit bei der Bereitstellung seiner Services Priorität einräumt, eine robuste Kontrollumgebung einrichtet und eine breite Palette von Sicherheitsservices und -funktionen zur Nutzung bereitstellt.

Die in den Geltungsbereich fallenden AWS Cloud-Services, die einer IRAP-Bewertung unterzogen wurden, finden Sie unter AWS-Services im Geltungsbereich nach Compliance-Programm. Ein unabhängiger IRAP-Gutachter untersuchte die AWS-Kontrollen einschließlich Personen, Prozesse und Technologie anhand der ISM-Anforderungen. Wenden Sie sich an uns, wenn Sie mehr über die Verwendung dieser Services erfahren möchten und/oder sich für andere Services interessieren.

  • Am Montag, den 2. März 2020, gaben das Australian Signals Directorate (ASD) und die Digital Transformation Agency (DTA) die Ergebnisse der Überprüfung des Cloud Services Certification Program (CSCP) und des Information Security Registered Assessors Program (IRAP) bekannt. Die Überprüfung ergab folgende Empfehlungen:

    • Beenden des CSCP und Erstellen branchenweit gemeinsamer Richtlinien für die Cloud-Sicherheit
    • Fördern und Verbessern des IRAP
    • Einrichten von Beratungsforen für Cybersicherheit für die Behörden und die Branche
    • Aktualisieren der Anreize in den Beschaffungs- und Verwaltungsanweisungen und Anleitungen, um die Einstellung des CSCP widerzuspiegeln

    Seit dem 2. März 2020 ist das ASD nicht mehr die Zertifizierungsbehörde und hat alle Zertifizierungsaktivitäten, einschließlich der Rezertifizierungsaktivitäten, eingestellt. Alle ASD-Zertifizierungen und Rezertifizierungsschreiben sind ab dem 27. Juli 2020 ungültig, und das Informationssicherheitshandbuch (ISM) der australischen Behörden wurde aktualisiert, um die Anforderung zur Auswahl von Cloud-Services aus der Liste der zertifizierten Cloud-Services (CCSL) zu streichen.

    Im Rahmen der Secure Cloud Strategy der australischen Regierung sind die Behörden des Commonwealth in der Lage, Cloud-Services selbst zu bewerten, wobei sie sich auf Verfahren stützen, die bereits zur Bewertung von ICT-Systemen eingesetzt werden.

    Was nun?

    Am 27. Juli 2020 veröffentlichten das Australian Cyber Security Centre (ACSC) und die Digital Transformation Agency (DTA) eine neue Cloud Security Guidance, die gemeinsam mit der Branche entwickelt wurde, um die sichere Einführung von Cloud-Services bei Behörden und gewerblichen Kunden zu unterstützen. AWS führt weiterhin IRAP-Bewertungen durch, um die Aktualität der Bewertung aufrechtzuerhalten und neue Services an Bord zu nehmen. Die Commonwealth-Entitäten werden weiterhin für ihre eigenen Zusicherungs- und Risikomanagementaktivitäten verantwortlich sein. In Übereinstimmung mit der Secure Cloud Strategy der australischen Regierung sind die Entitäten des Commonwealth in der Lage, Cloud-Services selbst zu bewerten, wobei sie sich auf Verfahren stützen, die bereits zur Bewertung von ICT-Systemen eingesetzt werden. Die ASD wird die bestehenden Richtlinien zur Cloud-Sicherheit durch die Entwicklung gemeinsam mit der Branche entwickelter Richtlinien verbessern. Diese Richtlinien werden Commonwealth-Entitäten und australischen Unternehmen weiter dabei helfen, ihre Cybersicherheit und Widerstandsfähigkeit zu erhöhen.

    Bis heute hat die ASD eine Reihe nützlicher Leitfäden für Unternehmen entwickelt, um die entsprechenden Sicherheitsbewertungen im Zusammenhang mit Cloud-Services durchzuführen. Es wird empfohlen, dass sich jede Bewertung klar auf die Sicherheitskontrollen im ISM und die Sicherheitsrichtlinien der ASD-Cloud bezieht, einschließlich:

    Die DTA ermutigt die Behörden des Commonwealth weiterhin, die Secure Cloud Strategy der australischen Regierung zu nutzen, um die Einführung von Cloud-Services zu unterstützen.

  • Zur Unterstützung unserer Kunden in australischen Behörden stellen wir ein Paket mit Sicherheitsrichtlinien und entsprechender Dokumentation zur Verfügung, das ihr Verständnis für Sicherheits- und Compliance-Fragen bei der Nutzung von AWS vertiefen soll. AWS stellt die folgenden öffentlich verfügbaren Materialien bereit:

    Sie können auf das IRAP GESCHÜTZT-Paket über AWS Artifact zugreifen, ein Selfservice-Portal für den On-Demand-Zugriff auf AWS-Compliance-Berichte. Melden Sie sich bei AWS Artifact in der AWS-Managementkonsole an, oder erfahren Sie mehr unter Erste Schritte mit AWS Artifact. Diese Informationen ermöglichen die Planung, Architektur und Selbsteinschätzungs-Systeme, die in AWS im Rahmen der Secure Cloud Strategy der australischen Regierung entwickelt wurden. Dieses Paket bietet Kunden aus dem öffentlichen Sektor alles, was sie für die Bewertung von AWS auf der GESCHÜTZTEN Ebene benötigen, und hilft den einzelnen Behörden, den Prozess der Einführung von AWS-Services zu vereinfachen. Im Paket enthaltene Dokumentation:

    • Das Konformitätsschreiben;
    • Implementierung der Sicherheitskontrollen – Zusammenfassung;
    • IRAP-Bericht der Phase 2;
    • Referenzarchitektur und
    • Verbraucherleitfaden.

    Außerdem stehen weitere Berichte zur Verfügung, die in der AWS-Infrastruktur implementierte Kontrollen evaluieren und testen und unter der Vertraulichkeitsvereinbarung (wie erforderlich) verfügbar sind:

    • Bericht Service Organisation Controls 1 (SOC1), Typ II;
    • Bericht Service Organisation Controls 2 (SOC2), Typ II;
    • Zertifizierung nach ISO 27001 und Erklärung zur Anwendbarkeit (SoA); und
    • Attestation of Compliance und Responsibility Summary des PCI.

    Ein Schnellstart ist für Benutzer verfügbar, die Cloud-basierte Workloads erstellen möchten, die AWS-Steuerelemente verwenden, die die ISM-Anforderungen für den Umgang mit sensiblen Regierungsdaten auf der Klassifizierungsebene GESCHÜTZT erfüllen. Es stellt die IRAP GESCHÜTZT-Referenzarchitektur automatisch in etwa einer Stunde auf der AWS Cloud bereit. Die Referenzarchitektur zeigt, wie mehrere AWS-Services zusammengeführt werden, um eine mehrstufige Webanwendung mit zugehörigen Sicherheits- und Verwaltungsservices zu unterstützen, welche die Anforderungen des IRAP-Status „GESCHÜTZT“ erfüllen. Diese Lösung implementiert zwar viele der in der IRAP GESCHÜTZT-Referenzarchitektur beschriebenen Steuerelemente, aber nicht alle empfohlenen Steuerelemente sind in diesem Schnellstart enthalten. Denken Sie daran, die Hinweise im IRAP GESCHÜTZT-Paket, das auf AWS Artifact verfügbar ist, zu befolgen, bevor Sie diese Lösung zum Speichern von GESCHÜTZT-Daten verwenden.

    Weitere Informationen zu diesen Berichten finden Sie in den AWS-Compliance-Programmen.

  • IRAP-Prüfer sind ASD-zertifizierte IKT-Fachleute aus ganz Australien, die über die notwendige Erfahrung und Qualifikation in den Bereichen IKT, Sicherheitsbewertung und Risikomanagement sowie über detaillierte Kenntnisse der Compliance-Anforderungen der australischen Regierung für die Informationssicherheit verfügen.

  • Das Information Security Manual (ISM) der australischen Regierung gibt einen Überblick für einen Rahmen für Cybersicherheit, den Unternehmen anwenden können, um ihre Systeme der Informations- und Kommunikationstechnologie (IKT) vor Cyber-Bedrohungen zu schützen. Es ergänzt den Protective Security Policy Framework (PSPF), der vom australischen Justizministerium erstellt wurde. Die ISM und die PSPF bieten Richtlinien und Verpflichtungen für die Behörden des Commonwealth bei der Durchführung angemessener Kontrollen in einer IKT-Umgebung. Darüber hinaus sollten die Commonwealth-Behörden einschlägige Leitlinien berücksichtigen, die speziell von ihnen oder für sie veröffentlicht wurden.

    Im Jahr 2017 hat die Digital Transformation Agency (DTA) in Zusammenarbeit mit anderen Regierungsbehörden und Branchen die Secure Cloud Strategy entwickelt. Bei der Strategie liegt der Schwerpunkt auf der Unterstützung von Agenturen bei der Verwendung von Cloud-Technologie.

    Das ISM wird vom Australian Cyber Security Centre (ACSC) veröffentlicht, der führenden Organisation der australischen Regierung für nationale Cybersicherheit und Teil des Australian Signals Directorate (ASD).

    Weitere Informationen über die Rolle des ACSC bei der Förderung und Verbesserung der australischen Cybersicherheit finden Sie im Bereich Cybersicherheit auf der ASD-Website oder auf der ACSC-Website.

  • Ja, die AWS Cloud-Services wurden von einem unabhängigen IRAP-Prüfer anhand der geltenden ISM-Kontrollen bewertet. Bei der Prüfung wurden die Sicherheitskontrollen von Amazon unter Einbeziehung von Mitarbeitern, Prozessen und Technologien untersucht. Diese Bewertung bietet die Gewissheit, dass in Bezug auf die Produkte, die AWS im Einsatz hat, die anwendbaren Kontrollen, die für die Workloads der australischen Behörden auf der GESCHÜTZTEN Ebene erforderlich sind, durchgeführt werden. Für weitere Informationen können Sie auch zu AWS Artifact gehen, um auf das IRAP GESCHÜTZT-Paket von der letzten Bewertung zuzugreifen.

  • Weitere Informationen finden Sie auf der IRAP-Webseite auf der ACSC-Website.

  • Die IRAP-Bewertung erstreckt sich auf Services, die in den AWS-Regionen Sydney und Melbourne angeboten werden. Die durch die IRAP-Bewertung abgedeckten AWS-Services finden Sie auf der Webseite AWS Services in Scope by Compliance Program.

  • Ja, vorbehaltlich der Einhaltung der geltenden Vorschriften, Richtlinien und Bestimmungen, die Ihre Nutzung von Cloud-Services regeln. Wenn der von Ihnen gewünschte Service auf der Webseite AWS Services in Scope by Compliance Program nicht aufgeführt ist, können Sie überprüfen, ob sich Ihre Arbeitslasten auch für andere AWS-Services eignen.

IRAP-Ressourcen

Schnellstart für IRAP-PROTECTED-Referenzarchitektur in der AWS Cloud
Verwendung von AWS im Kontext der australischen Datenschutzerwägungen
Essential 8 Konformitätspaket
ISM-Konformitätspaket
Haben Sie noch Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »