Programma per valutatori registrati per la sicurezza delle informazioni (IRAP)

Panoramica

IRAP

L’Information Security Registered Assessors Program (IRAP) permette ai clienti del governo australiano di verificare che i controlli appropriati siano implementati e determina il modello di responsabilità adatto a soddisfare i requisiti del Manuale sulla sicurezza delle informazioni (ISM) del governo australiano pubblicato dall’Australian Signals Directorate (ASD).

Proteggere i dati del governo australiano dall'accesso, dall'uso illecito e dalla divulgazione rimane la considerazione principale nell'ottenere e nello sfruttare i servizi cloud. AWS riconosce che i clienti fanno affidamento sulla fornitura sicura dell'infrastruttura AWS e l'importanza di avere caratteristiche che permettano al cliente di creare ambienti sicuri. AWS permette ai clienti di raggiungere questi obiettivi dando priorità alla sicurezza della fornitura dei suoi servizi attraverso la creazione di un ambiente di controllo robusto e rendendo disponibile per l’uso una vasta gamma di servizi e funzioni di sicurezza. Questi servizi forniscono controlli completi sull'ambiente di controllo IT del cliente, semplificano la gestione dei servizi di sicurezza e forniscono risultati di sicurezza superiori per il governo australiano.

AWS è conforme a IRAP. Un valutatore IRAP indipendente ha esaminato i controlli delle persone, dei processi e della tecnologia di AWS per garantire il soddisfacimento dei requisiti dell’ISM. Questa valutazione e Dichiarazione di conformità è la base sulla quale un'autorità di certificazione ottiene garanzie per certificare l'infrastruttura di AWS e fornire una raccomandazione all'autorità di accreditamento per l'uso appropriato della piattaforma.

Un'agenzia di accreditamento è il culmine di una valutazione IRAP e una certificazione ASD formale operante come autorità di certificazione per il governo australiano. Tale certificazione fornisce la garanzia che AWS implementi i controlli applicabili richiesti dall'ISM e precede direttamente l'accreditamento di AWS per i carichi di lavoro del governo australiano.

  • Quali sono i documenti IRAP a mia disposizione?

    A supporto dei nostri clienti del governo australiano, offriamo un pacchetto di linee guida e documentazione sulla sicurezza per migliorare la comprensione della sicurezza e della conformità relative all’utilizzo di AWS come fornitore certificato di servizi cloud. AWS fornisce i seguenti whitepaper disponibili pubblicamente:

    I clienti del governo australiano possono sfruttare la nostra certificazione ASD e la nostra dichiarazione di conformità dei valutatori IRAP indipendenti allo scopo di accelerare la propria certificazione e il proprio accreditamento. I seguenti documenti sono disponibili pubblicamente:

    Ulteriori documenti IRAP sono disponibili per i clienti mediante AWS Artifact, un portale self-service per l’accesso su richiesta ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact.

    • Sintesi dell'implementazione del controllo
    • Report IRAP Fase 2

    Sono disponibili report aggiuntivi che valutano e verificano i controlli implementati dall'infrastruttura AWS e che sono disponibili con accordo di riservatezza, in base alle necessità:

    • Report Service Organisation Controls 1 (SOC1) Tipo II
    • Report Service Organisation Controls 2 (SOC2) Tipo II
    • Certificato ISO 27001 e Dichiarazione di applicabilità
    • Attestazione di conformità allo standard PCI e riepilogo delle responsabilità rispetto allo standard PCI

    Per ulteriori informazioni sui report aggiuntivi, consultare le Domande frequenti sulla conformità AWS.

  • Per quale motivo è necessario un valutatore accreditato IRAP?

    I valutatori accreditati IRAP sono soggetti accreditati dall'Australian Signals Directorate (ASD) nell’ambito dell’Information Security Registered Assessors Program (IRAP) come adeguatamente qualificati per condurre valutazioni rispetto al framework di controllo ASD, il Manuale sulla sicurezza delle informazioni (ISM).

    I valutatori accreditati IRAP sono gli unici soggetti accreditati come qualificati per effettuare una valutazione di un sistema di tecnologie dell'informazione e della comunicazione (ICT) rispetto al Manuale sulla sicurezza delle informazioni (ISM) del governo australiano. Inoltre, un valutatore accreditato IRAP descrive le aree di conformità e non conformità, i rischi residui e le azioni di rimedio e fornisce raccomandazioni all'Autorità di Certificazione in merito alla certificazione.

  • Che cos'è l'ISM?

    L'ISM è il Manuale sulla sicurezza delle informazioni (ISM) del governo australiano pubblicato dall’Australian Signals Directorate (ASD), un'organizzazione interna al Dipartimento della Difesa la cui missione è quella di proteggere i sistemi e le informazioni del governo australiano.

    L'ISM è lo standard che regola la sicurezza dei sistemi di tecnologie dell’informazione e della comunicazione (ICT) del governo australiano. Integra il Protective Security Policy Framework (PSPF) creato dal dipartimento del Procuratore Generale del governo australiano. Insieme, l'ISM e il PSPF forniscono linee guida per l'implementazione di controlli adeguati al fine di operare tutte le classificazioni dei carichi di lavoro in un ambiente ICT.

    La conformità con l'ISM è usata per valutare l'adesione dei fornitori di servizi cloud all’Elenco dei servizi cloud certificati dell’ASD, che fornisce un elenco dei servizi cloud in cui l'ASD ha operato in qualità di autorità di certificazione. È richiesta la certificazione affinché i carichi di lavoro delle agenzie vengano accreditati per essere eseguiti sui servizi cloud procurati attraverso il Department of Finance whole-of-government Cloud Services Panel come principale mezzo di approvvigionamento di servizi cloud per il governo australiano.

    Nell'ottobre 2014 il Dipartimento delle Finanze e il Dipartimento delle Comunicazioni australiani hanno pubblicato congiuntamente l'Australian Government Cloud Computing Policy 3.0, che ha imposto un approccio “cloud first” per l'adozione dei servizi cloud da parte delle agenzie del governo federale.

    “Secondo la politica sul cloud del governo [australiano], le agenzie devono ora adottare il cloud laddove risulti idoneo per lo scopo, fornisca un'adeguata protezione dei dati e si dimostri una scelta efficiente dal punto di vista economico”.

    Per ulteriori informazioni sul ruolo dell'ASD nella protezione della sicurezza delle informazioni in Australia, consultare Ruolo della sicurezza delle informazioni (InfoSec) sul sito Web dell'ASD.

    irap_graphics
  • AWS soddisfa i requisiti dell'ISM?

    Si, AWS è stata sottoposta a controlli da un valutatore indipendente del Programma per valutatori registrati per la sicurezza delle informazioni (IRAP). La valutazione ha esaminato i controlli di sicurezza delle persone, dei processi e della tecnologia di Amazon per garantire che soddisfino le esigenze dell'ISM ASD 2014. Per ulteriori informazioni, consultare la Lettera di conformità IRAP ISM sul sito Web di AWS.

  • Dove è possibile trovare ulteriori informazioni sul programma IRAP?

    Per ulteriori informazioni, consultare la pagina del programma IRAP sul sito Web dell'ASD.

  • Quali delle regioni e dei servizi AWS rientrano nell’ambito della valutazione IRAP?

    La valutazione IRAP e la certificazione ASD coprono la regione Sydney di AWS. Tuttavia, AWS gestisce allo stesso modo tutte le regioni AWS in termini di controlli, policy e processi usati. Le agenzie devono valutare i carichi di lavoro e le esigenze aziendali per determinare quale regione AWS usare.

    I servizi AWS coperti nell'ambito della certificazione IRAP possono essere trovati nella pagina Web Servizi AWS nell’ambito per programma di conformità.

  • Posso utilizzare altri servizi AWS che non sono inclusi nella Valutazione IRAP?

    Sì. Se un servizio che si desidera utilizzare non è elencato nella pagina Web Servizi AWS nell’ambito per programma di conformità, è possibile valutare i carichi di lavoro per l'idoneità con altri servizi AWS.

  • La conformità con l'ISM farà aumentare i costi dei servizi AWS?

    No, non vi è alcun aumento dei costi di servizio a causa della conformità di AWS all'ISM.

  • AWS è presente nell'elenco dei servizi cloud certificati dell’ASD?

    Sì, l'Australian Signals Directorate (ASD) ha completato una valutazione IRAP di AWS e ha assegnato la certificazione ASD per carichi di lavoro DLM non classificati. Per ulteriori informazioni, consultare l'elenco dei servizi cloud certificati ASD (CCSL).

    Le agenzie governative australiane possono ridurre significativamente i costi e i rischi affidandosi alla profonda esperienza dell'ASD come autorità di certificazione per determinare che il rischio residuo dei servizi sia ben compreso e valutato adeguatamente. Ciò crea un miglioramento significativo dei risultati della sicurezza per i dipartimenti del governo australiano, riducendo allo stesso tempo i costi relativi a tali valutazioni.

  • AWS è nel Department of Finance whole-of-government Cloud Services Panel?

    Si, AWS è un membro del panel dal 31 marzo 2015. Le agenzie ottengono un buon rapporto qualità/prezzo e un processo di approvvigionamento semplificato passando attraverso un fornitore di servizi cloud precedentemente valutato e un quadro contrattuale comune. Tale facilità di approvvigionamento permette alle agenzie di proseguire al ritmo richiesto dalla propria missione e di fornire servizi in modo efficace ai cittadini australiani.

compliance-contactus-icon
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »