Information Security Registered Assessors Program (IRAP)

Visão geral

O Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança da informação) permite aos clientes do governo australiano validar se os controles adequados estão implantados e determinar o modelo de responsabilidade adequado para abordar os requisitos do Information Security Manual (ISM – Manual de segurança da informação) do Australian Signals Directorate (ASD).

Proteger os dados do governo australiano contra acesso, abuso e divulgação permanece uma consideração fundamental ao comprar e aproveitar os serviços de nuvem. A AWS reconhece que os clientes confiam no fornecimento seguro da infraestrutura da AWS e na importância de ter recursos que permitam ao cliente criar ambientes seguros. A AWS permite aos clientes atender a esses objetivos, priorizando a segurança na entrega dos serviços através do estabelecimento de um ambiente de controle robusto e disponibilizando uma ampla variedade de serviços e recursos de segurança. Esses serviços oferecem controles abrangentes do ambiente de controle de TI do cliente, simplificam o gerenciamento de serviços de segurança e melhoram as soluções de segurança para o governo australiano.

• Quais documentos do IRAP estão disponíveis?

  Em apoio aos nossos clientes do governo australiano, disponibilizamos as diretrizes e a documentação do pacote de segurança, o que visa melhorar a compreensão sobre segurança e conformidade, enquanto a AWS é utilizada como um fornecedor de serviços de nuvem certificado. A AWS oferece os seguintes whitepapers para o público em geral:

  • Como compreender a segurança da computação em nuvem da ASD para locatários no contexto da AWS
  • Uso da AWS no contexto das considerações sobre a privacidade na Austrália

  Os clientes do governo australiano podem usar nossa certificação da ASD e nossa carta de conformidade de avaliadores independentes do IRAP para acelerar sua certificação e objetivos de credenciamento. Os seguintes documentos estão publicamente disponíveis:

  • Carta de certificação da ASD da plataforma de infraestrutura da AWS
  • Carta de conformidade com o ISM do IRAP

  Documentos adicionais do IRAP estão disponíveis para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.

  • Resumo de implementação de controles
  • Relatório IRAP estágio 2

  Relatórios adicionais são disponibilizados para avaliar e testar os controles implementados pela infraestrutura da AWS que estejam disponíveis mediante um NDA (conforme a necessidade):

  • Relatório de controles de organização de serviço 1 (SOC 1) Tipo II
  • Relatório de controles de organização de serviço 2 (SOC 2) Tipo II
  • Certificado ISO27001 e Declaração de Aplicabilidade
  • Certificado de Conformidade do PCI e Resumo de Responsabilidade do PCI

  Para obter mais informações sobre relatórios adicionais, consulte as Perguntas frequentes de conformidade da AWS.
  

• Por que preciso de um avaliador credenciado pelo IRAP?

  Os avaliadores credenciados pelo IRAP são indivíduos credenciados pelo Australian Signals Directorate (ASD), de acordo com o Information Security Registered Assessors Program (IRAP), como sendo devidamente qualificados para conduzir avaliações em relação à estrutura de controle do ASD, o Information Security Manual (ISM).

  Os avaliadores credenciados pelo IRAP são os únicos indivíduos credenciados como qualificados para executar uma avaliação em um sistema de tecnologia da informação e comunicação (ICT) com base no Manual de segurança de informações (ISM) do governo australiano. Um avaliador credenciado pelo IRAP descreve áreas de conformidade e não conformidade, descreve riscos residuais e ações de correção e oferece recomendações para a certificação por uma Autoridade de certificação.
  

• O que é o ISM?

  O ISM é o Information Security Manual (ISM – Manual de segurança de informações) do governo australiano, publicado pelo Australian Signals Directorate (ASD), uma organização do Departamento de Defesa que tem a missão de proteger sistemas e informações do governo australiano.

  O ISM é a norma que rege a segurança dos sistemas de tecnologia da informação e de comunicações (ICT) do governo australiano. Ele complementa o Protective Security Policy Framework (PSPF – Quadro de políticas de segurança para proteção) criado pelo departamento da Procuradoria Geral do Governo Australiano. Juntos, o ISM e o PSPF oferecem orientações para a implementação de controles adequados para operar todas as classificações de cargas de trabalho em um ambiente de ICT.

  A conformidade com o ISM é usada para avaliar a inclusão de provedores de serviços de nuvem na lista de serviços de nuvem certificados da ASD, que relaciona os serviços de nuvem onde a ASD agiu como a autoridade de certificação. A certificação é obrigatória para os órgãos que têm cargas de trabalho credenciadas para execução em serviços em nuvem, adquiridos por meio do painel de serviços em nuvem para todo o governo, do Departamento de Finanças, o principal instrumento de aquisição de serviços em nuvem do governo australiano.

  Em outubro de 2014, o Departamento de Finanças e o Departamento de Comunicações australianos lançaram em conjunto a Política de computação em nuvem do governo australiano 3.0, que determinava uma abordagem de priorização da nuvem para a adoção de serviços em nuvem pelos órgãos governamentais federais.

  “Segundo a política da nuvem do governo [australiano], os órgãos agora devem adotar a nuvem quando for adequada ao propósito, fornecer proteção adequada dos dados e entregar valor pelo dinheiro.”

  Para saber mais sobre a função do ASD na proteção da segurança de informações australianas, consulte a função de segurança da informação (InfoSec) no site da ASD.
  

  

• A AWS atende aos requisitos do ISM?

  Sim, a AWS foi auditada por um assessor independente do programa de assessores registrados de segurança da informação (IRAP). A avaliação examinou os controles de segurança do pessoal, do processo e da tecnologia da Amazon para garantir que atendam às necessidades do ISM da ASD 2014. Para obter mais informações, consulte a carta de conformidade com o ISM do IRAP no site da AWS.
  

• Onde posso encontrar mais informações sobre o programa do IRAP?

  Para obter mais informações consulte a página do programa IRAP no site da ASD.
  

• Quais serviços da AWS são cobertos pela avaliação do IRAP?

  A avaliação do IRAP e a certificação da ASD abrangem a região Sydney da AWS. No entanto, a AWS trata todas as regiões AWS igualmente em termos de controles, políticas e processos usados para operá-las. Os órgãos devem avaliar suas cargas de trabalho e necessidades de negócio para determinar qual região da AWS usar.

  Os serviços da AWS cobertos que pertencem ao escopo da avaliação do IRAP podem ser encontrados na página Serviços da AWS no escopo por programa de conformidade.
  

• Posso usar outros serviços da AWS que não estão incluídos na avaliação do IRAP?

  Sim. Se um serviço que você quer usar não está listado na página Serviços da AWS no escopo pelo programa de conformidade, você pode avaliar a adequação de suas cargas de trabalho para outros serviços da AWS.
  

• A conformidade com o ISM aumentará os custos de serviço da AWS?

  Não, a conformidade da AWS com o ISM não aumenta o custo dos serviços.
  

• A AWS está na lista de serviços de nuvem certificados da ASD?

  Sim. A Australian Signals Directorate (ASD) concluiu uma avaliação do IRAP na AWS e outorgou uma certificação para cargas de trabalho consideradas PROTECTED (dados protegidos) Unclassified DLM (dados não confidenciais, mas possivelmente reservados). Para obter mais informações, consulte a Lista de serviços de nuvem certificados (CCSL) da ASD.

  Os órgãos do governo australiano podem reduzir consideravelmente custos e riscos confiando na profunda especialização da ASD com autoridade de certificação para determinar que o risco residual dos serviços seja bem compreendido e avaliado corretamente. Isso melhora significativamente o resultado de segurança para os departamentos do governo australiano, enquanto também reduz os custos relacionados a tais avaliações.