Me gustaría recibir información sobre IRAP en la nube

 

 

Conformidad con IRAP de AWS

Proteger los datos del gobierno australiano frente al acceso, abuso y divulgación es fundamental a la hora de aprovisionar y utilizar servicios en la nube. AWS es consciente de que los clientes confían en la entrega segura de la infraestructura de AWS y la importancia de disponer de características que permitan al cliente crear entornos más seguros. AWS permite a los clientes cumplir estos objetivos al dar prioridad a la seguridad en la provisión de sus servicios mediante la creación de un entorno de control sólido y la existencia de una gran variedad de servicios y características de seguridad disponibles. Estos servicios proporcionan controles exhaustivos en el entorno de TI del cliente, simplifican la administración de los servicios de seguridad y aportan mejores resultados de seguridad para el gobierno australiano.

El Programa de evaluadores registrados de seguridad de la información (IRAP) permite a los clientes del gobierno australiano asegurarse de disponer de los controles adecuados y determinar el modelo de responsabilidad adecuado para satisfacer las necesidades del Manual de seguridad de la información (ISM) de la Dirección de señales australiana (ASD).

Un evaluador del IRAP independiente examinó los controles de las personas, los procesos y la tecnología de AWS para comprobar que cumplen con las necesidades del ISM. Esta evaluación y la carta de conformidad constituyen las bases mediante las que una autoridad de certificación adquiere la confianza necesaria para certificar la infraestructura de AWS y proporcionar una recomendación a la autoridad de acreditación para el uso adecuado de la plataforma.

La acreditación de la agencia es el último paso de la evaluación del IRAP y certificación formal de la ASD, que hace las veces de autoridad de certificación del gobierno australiano. Esta certificación garantiza que AWS dispone de los controles aplicables al ISM de la ASD y precede directamente a la acreditación de AWS para las cargas de trabajo del gobierno australiano.

Esta certificación les quita un gran peso a las agencias o a los socios comerciales que deben llevar a cabo evaluaciones y certificaciones en la plataforma en la nube para las cargas de trabajo y les permite centrarse en los procesos de acreditación del sistema.



AWS proporciona a los clientes una amplia variedad de funcionalidades de seguridad para proteger sus datos de acuerdo con los controles del ISM de la ASD, y las orientaciones y políticas de la agencia. Probamos constantemente las herramientas de seguridad que proporcionamos a nuestros clientes y publicamos mejoras de las funcionalidades de seguridad. Además, ofrecemos a nuestros clientes una gran variedad de documentos técnicos, documentación en línea y vídeos sobre seguridad. Nuestros documentos técnicos globales incorporan recomendaciones para proteger sus datos que son igualmente aplicables a las cargas de trabajo del gobierno australiano.

La nube de AWS para IRAP

¿Cómo puedo utilizar la documentación y la orientación sobre seguridad del IRAP de AWS?

Los clientes del gobierno australiano pueden utilizar nuestra certificación ASD y nuestra carta de conformidad de los evaluadores del IRAP independientes para acelerar sus objetivos de certificación y acreditación.

A fin de respaldar a los clientes del gobierno australiano, ofrecemos un paquete de orientación y documentación sobre seguridad que mejorará su comprensión sobre los aspectos de seguridad y conformidad al utilizar AWS como proveedor certificado de servicios en la nube. 

En particular, en lo referente a la evaluación de la infraestructura de AWS por un evaluador del IRAP de acuerdo con el ISM, proporcionamos mediante un NDA (según sea necesario) a las organizaciones gubernamentales o sus socios:

–          Informe del IRAP sobre la conformidad de AWS con el ISM

–          Carta de certificación de la ASD de la plataforma de la infraestructura de AWS

–          Carta de conformidad del ISM del IRAP

–          Resumen de implementación de controles

También se encuentran disponibles otros informes que evalúan y ponen a prueba los controles implementados en la infraestructura de AWS, mediante NDA (según sea necesario):

–          Informe de controles en organizaciones de servicio 1 (SOC1) tipo II

–          Informe de controles en organizaciones de servicio 2 (SOC2) tipo II

–          Certificado ISO 27001 y declaración de aplicabilidad

–          Declaración de conformidad de PCI y resumen de responsabilidades de PCI

Para obtener más información acerca de los informes adicionales, consulte las preguntas frecuentes sobre conformidad de AWS.

Para solicitar el acceso a la documentación sobre seguridad de AWS para clientes del gobierno australiano, o contratistas del gobierno australiano, contacte con el equipo de ventas y desarrollo empresarial de AWS o envíe un correo electrónico a awscompliance@amazon.com.

     

Un evaluador del IRAP es la única persona que dispone de acreditación para realizar una evaluación de un sistema ICT de acuerdo con el ISM del gobierno australiano y detallar los aspectos conformes y no conformes, describir los riesgos residuales y las medidas a tomar, y proporcionar recomendaciones sobre la certificación a la autoridad de certificación.

Evaluación de IRAP

Los siguientes documentos está disponibles para el público:

El Resumen de implementación de controles y la Etapa 2 del informe del IRAP están disponibles para los consumidores que usan AWS Artifact, un portal de autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Comience a utilizar AWS Artifact hoy mismo.

Sí, AWS ha sido miembro del panel desde el 31 de marzo de 2015. Las agencias obtienen un rendimiento de las inversiones que realizan en los servicios en la nube y siguen un proceso de aprovisionamiento simplificado a través de un proveedor previamente evaluado y un marco contractual común. La sencillez del proceso de aprovisionamiento permite a las agencias avanzar a la velocidad que exige su misión para proporcionar servicios a los ciudadanos australianos con eficacia.

El ISM es el Manual de seguridad de la información (ISM) del gobierno australiano, publicado por la Dirección de señales australiana (ASD), una organización del Ministerio de Defensa cuya misión consiste en proteger los sistemas y la información del gobierno australiano.

Para obtener más información acerca del papel de la ASD en la seguridad de la información del gobierno australiano, consulte http://www.asd.gov.au/about/roleinfosec.htm.

     

Sí, AWS se ha sometido a una auditoría de un evaluador independiente del Programa de evaluadores registrados de seguridad de la información. Durante la evaluación, se examinaron los controles de seguridad de las personas, los procesos y la tecnología de Amazon a fin de garantizar que cumplen las necesidades del ISM 2014 de la ASD.

En Servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la evaluación del IRAP. Si desea más información sobre el uso de estos servicios o sobre otros servicios, contacte con nosotros.

No, el coste de los servicios en cualquier región no se incrementará como resultado de la conformidad con el ISM por parte de AWS.

Sí, AWS dispone de certificación para cargas de trabajo DLM no clasificadas (UD) de la Dirección de señales australiana, como autoridad de certificación, y es uno de los primeros miembros de la lista de servicios en la nube certificados de la ASD (CCSL).

Los costes y riesgos de las agencias se reducen significativamente al confiar en la amplia experiencia de la ASD como autoridad de certificación que determinar que los riesgos residuales de los servicios se entienden y evalúan de manera adecuada. De este modo, se mejora la seguridad para los departamentos del gobierno australiano y se reducen los costes relacionados con dichas evaluaciones.

En octubre de 2014, el Ministerio de Finanzas y el Ministerio de Comunicaciones australianos publicaron conjuntamente la Política de informática en la nube del gobierno australiano 3.0, que estipulaba un enfoque que daba “prioridad a la nube” en la adopción de servicios en la nube de las agencias del gobierno federal. 

 De acuerdo con la política de la nube del gobierno australiano, las agencias deben adoptar la nube cuando ésta es apta para su propósito, proporciona protección adecuada de los datos y ofrece una buena relación calidad-precio.

 El ISM es el estándar que rige la seguridad de los sistemas de tecnologías de la información y comunicación del gobierno. Complementa el marco de política de seguridad de protección (PSPF) redactado por el departamento del fiscal general del gobierno australiano. Juntos constituyen un manual para la implementación de controles adecuados para todas las clasificaciones de cargas de trabajo en un entorno de tecnologías de la información y la comunicación.

 Es la conformidad con el ISM lo que se utiliza para evaluar la inclusión de los proveedores de servicios en la nube en la lista de servicios en la nube certificados de la ASD que incluye los servicios en la nube para los que la ASD ha ejercido como autoridad de certificación. La certificación es necesaria para las agencias con cargas de trabajo acreditadas para ejecutarse en servicios en la nube aprovisionados a través del panel de servicios en la nube para el gobierno del Ministerio de Finanzas como método principal de aprovisionamiento de servicios en la nube para el gobierno australiano.

     
Son individuos acreditados por la Dirección de señales australiana (ASD) de acuerdo con el Programa de evaluadores registrados de seguridad de la información, ya que disponen de la cualificación necesaria para llevar a cabo evaluaciones en torno al marco de control de la ASD, el manual de seguridad de la información (ISM).      

La evaluación del IRAP y la certificación de la ASD cubren la región de AWS Sídney. Sin embargo, AWS trata todas las regiones por igual en lo concerniente a controles, políticas y procesos utilizados para operar en ellas. Las agencias deberán evaluar sus cargas de trabajo y necesidades empresariales para determinar qué región de AWS utilizar.

Sí, los clientes pueden evaluar sus cargas de trabajo para confirmar si son idóneas para otros servicios de AWS. Póngase en contacto con el equipo de ventas y desarrollo empresarial de AWS para obtener información detallada sobre los controles de seguridad y la aceptación del riesgo.      

 

Contacte con nosotros