Desidero informazioni su IRAP nel cloud

 

 

Conformità IRAP di AWS

Proteggere i dati del governo australiano dall'accesso, dall'uso illecito e dalla divulgazione rimane la considerazione principale nell'ottenere e nello sfruttare i servizi cloud. AWS riconosce che i clienti fanno affidamento sulla fornitura sicura dell'infrastruttura AWS e l'importanza di avere caratteristiche che permettono al cliente di creare ambienti più sicuri. AWS permette ai clienti di raggiungere questi obiettivi dando priorità alla sicurezza della fornitura dei suoi servizi attraverso la creazione di un ambiente di controllo robusto e rendendoli disponibile una vasta gamma di servizi e funzioni di sicurezza. Questi servizi forniscono controlli completi sull'ambiente di controllo IT del cliente, semplificano la gestione dei servizi di sicurezza e forniscono risultati di sicurezza superiori per il governo australiano.

L'IRAP (Information Security Registered Assessors Program) permette ai clienti del governo australiano di eseguire i controlli appropriati e determina il modello di responsabilità adatto a soddisfare le esigenze dell'ISM (Information Security Manual) dell'ASD (Australian Signals Directorate).

Un valutatore IRAP indipendente ha esaminato i controlli delle persone, dei processi e della tecnologia di AWS per garantire il soddisfacimento delle esigenze dell'ISM. Questa valutazione e Dichiarazione di conformità è la base sulla quale un'autorità di certificazione ottiene garanzie per certificare l'infrastruttura di AWS e fornire una raccomandazione all'autorità di accreditamento per l'uso appropriato della piattaforma.

Un'agenzia di accreditamento è il culmine di una valutazione IRAP e una certificazione ASD formale operante come autorità di certificazione per il governo australiano. Tale certificazione fornisce la garanzia che AWS esegue i controlli validi dell'ISM ASD e precede l'accreditamento AWS dei carichi di lavoro del governo australiano.

Tale certificazione rimuoverà dei grossi carichi dalle singole agenzie o dai partner commerciali che devono eseguire la valutazione e la certificazione della piattaforma cloud per i propri carichi di lavoro, consentendo loro invece di focalizzarsi sui processi di accreditamento del sistema.



AWS fornisce ai clienti una vasta gamma di funzionalità di sicurezza allo scopo di proteggere i dati conformemente ai controlli ISM ASD, alle linee guida dell'agenzia e alle policy. Effettuiamo continuamente iterazioni sugli strumenti di sicurezza a disposizione degli utenti e rilasciamo regolarmente ottimizzazioni per le funzionalità di protezione esistenti. Inoltre, forniamo numerosi whitepaper, documentazione online e video sulla sicurezza per i nostri clienti. I nostri whitepaper globali contengono raccomandazioni per assicurare i tuoi dati che sono applicabili ai carichi di lavoro AWS del governo australiano.

IRAP cloud AWS

Come si consultano documentazione e linee guida IRAP di AWS sulla sicurezza?

I clienti del governo australiano possono sfruttare la nostra certificazione ASD e la nostra dichiarazione di conformità dei valutatori IRAP allo scopo di accelerare la propria certificazione e accreditamento.

A supporto dei nostri clienti del governo australiano, AWS offre un pacchetto di linee guida e documentazione sulla sicurezza per illustrare le funzionalità di sicurezza e conformità che rendono AWS un fornitore certificato di servizi cloud. 

In particolare, ai fini della valutazione dell'infrastruttura AWS da parte dell'IRAP rispetto all'ISM, forniamo il servizio con accordo di riservatezza come richiesto alle organizzazioni governative o ai loro partner, in base alle necessità:

-          Report IRAP sulla conformità di AWS all'ISM

-          Lettera di certificazione ASD della piattaforma dell'infrastruttura AWS

-          Dichiarazione di conformità ISM IRAP

-          Riepilogo implementazione di controllo

Report aggiuntivi disponibili che valutano e testano i controlli implementati dall'infrastruttura AWS e disponibili con accordo di riservatezza, in base alle necessità:

-          Report Service Organisation Controls 1 (SOC1) Type II

-          Service Organisation Controls 2 (SOC2) Type II Report

-          Certificato ISO27001 e Dichiarazione di applicabilità

-          Attestazione di conformità allo standard PCI e riepilogo delle responsabilità rispetto allo standard PCI

Per ulteriori informazioni sui report aggiuntivi consultare le FAQ sulla conformità AWS.

Per richiedere l'accesso alla documentazione di AWS sulla sicurezza relativa ai clienti del governo australiano o ai contractor che collaborano con il governo federale, contatta l'ufficio commerciale e di sviluppo aziendale AWS oppure invia un'e-mail all'indirizzo awscompliance@amazon.com.

     

Un valutatore IRAP è l'unico individuo accreditato e qualificato per eseguire una valutazione di un sistema ICT in relazione all'ISM del governo australiano, descrive le aree di conformità e non conformità, i rischi residui e le azioni di rimedio e fornisce raccomandazioni a un'autorità di certificazione in merito alle certificazioni.

Valutazioni IRAP

I documenti Control Implementation Summary e IRAP Report Stage 2 sono disponibili solo ai clienti che utilizzano AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS. Inizia a usare AWS Artifact oggi stesso.

Si, AWS è membro del pannello dal 31 marzo 2015. Le agenzie ottengono un rapporto qualità/prezzo ottimale in relazione ai servizi cloud e gare d'appalto con procedura semplificata attraverso un provider prevalutato e un framework contrattuale comune. Tale facilità permette alle agenzie di proseguire a ritmo sostenuto nella loro missione di fornitura efficace di servizi ai cittadini australiani.

Si, AWS è stata sottoposta a controlli da un valutatore indipendente dell'Information Security Registered Assessors Program. La valutazione ha esaminato i controlli di sicurezza delle persone, dei processi e della tecnologia di Amazon per garantire che soddisfino le esigenze dell'ISM ASD 2014.

I servizi AWS coperti nell'ambito della valutazione IRAP sono disponibili nella pagina relativa alla copertura di compliance dei servizi AWS. Per ulteriori informazioni sull'utilizzo di questi servizi, oppure se sei interessato ad altri servizi, contattaci.

No, la conformità con l'ISM di AWS non provocherà alcun aumento dei costi in alcuna regione.

Si, AWS ha ricevuto la certificazione per i carichi di lavoro UD (Unclassified DLM) dall'ASD (Australian Signals Directorate) come autorità di certificazione ed è uno dei primi membri del CCSL (Certified Cloud Services List) ASD.

I costi e i rischi delle agenzie sono diminuiti notevolmente da quando si sono affidate alla notevole esperienza dell'ASD come autorità di certificazione per la comprensione corretta e la valutazione appropriata del rischio residuo dei servizi. Ciò crea un miglioramento significante dei risultati sulla sicurezza per i dipartimenti del governo australiano riducendo allo stesso tempo i costi relativi a tali valutazioni.

Nell'ottobre 2014 il Dipartimento delle Finanze e il Dipartimento delle Comunicazioni australiani hanno pubblicato contemporaneamente l'Australian Government Cloud Computing Policy 3.0, e ciò ha imposto un approccio "cloud first" per l'adozione dei servizi cloud da parte delle agenzie del governo federale. 

 "Secondo la politica sul cloud del governo australiano, le agenzie devono ora adottare il cloud laddove risulti idoneo per lo scopo, fornisca un'adeguata protezione dei dati e si dimostri una scelta efficiente dal punto di vista economico".

 L'ISM è lo standard che regola la sicurezza dei sistemi ICT (Information and Communication Technology) governativi. Integra il Protective Security Policy Framework (PSPF), creato dall'Australian Government Attorney-General's department. Insieme forniscono un manuale per l'implementazione di controlli appropriati al fine di operare tutte le classificazioni dei carichi di lavoro in un ambiente ICT.

 La conformità con l'ISM è usata per valutare l'adesione dei fornitori di servizi cloud alla Certified Cloud Services List degli ASD che fornisce la lista dei servizi cloud in cui l'ASD ha operato in qualità di autorità di certificazione. È richiesta la certificazione per le agenzie con esigenze di carichi di lavoro accreditati sui servizi cloud procurati attraverso il Department of Finance Whole of Government Cloud Services Panel come principale mezzo di approvvigionamento di servizi cloud per il governo australiano.

     

La valutazione IRAP e la certificazione ASD coprono la regione di Sydney AWS. Tuttavia, AWS gestisce allo stesso modo tutte le ragioni in termini di controlli, policy e processi usati. Le agenzie devono valutare i carichi di lavoro e le esigenze aziendali per determinare quale regione AWS usare.

Sì, i clienti possono verificare l'idoneità dei loro carichi di lavoro con altri servizi AWS. Contatta l'ufficio commerciale e di sviluppo aziendale per avviare una discussione su controlli di sicurezza e accettabilità dei rischi.      

 

Contattaci