Information Security Registered Assessors Program (IRAP)
Visão geral
O Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança da informação) permite aos clientes do governo australiano validar se os controles adequados estão implantados e determinar o modelo de responsabilidade adequado para abordar os requisitos do Information Security Manual (ISM – Manual de segurança da informação) do Australian Signals Directorate (ASD).
Proteger os dados do governo australiano contra acesso, abuso e divulgação permanece uma consideração fundamental ao comprar e aproveitar os serviços de nuvem. A AWS reconhece que os clientes confiam na entrega segura da infraestrutura da AWS e na importância de ter recursos que permitam ao cliente criar ambientes seguros. A AWS permite aos clientes atender a esses objetivos, priorizando a segurança na entrega dos serviços através do estabelecimento de um ambiente de controle robusto e disponibilizando uma ampla variedade de serviços e recursos de segurança. Esses serviços oferecem controles abrangentes do ambiente de controle de TI do cliente, simplificam o gerenciamento de serviços de segurança e oferecem soluções de segurança melhoradas para o governo australiano.
A AWS está em conformidade com o IRAP. Um avaliador independente do IRAP examinou os controles de pessoal, dos processos e da tecnologia da AWS para garantir que atendem às necessidades do ISM. Essa avaliação e a carta de conformidade são a base para que uma autoridade de certificação obtenha garantias para certificar a infraestrutura da AWS e forneça uma recomendação de uso adequado da plataforma para a autoridade de credenciamento.
O credenciamento de um órgão é o ponto alta de uma avaliação do IRAP e a certificação formal pela ASD operando como uma autoridade de certificação pelo governo australiano. Esta certificação fornece garantia de que a AWS tem implantados os controles aplicáveis exigidos pelo ISM e é o precursor imediato no credenciamento da AWS para as cargas de trabalho do governo australiano.
-
Quais documentos do IRAP estão disponíveis?
Em apoio aos nossos clientes do governo australiano, nós disponibilizamos as diretrizes e a documentação do pacote de segurança. Isso visa melhorar seu entendimento sobre segurança e conformidade, enquanto usam a AWS como um fornecedor de serviços de nuvem certificado. A AWS oferece os seguintes whitepapers para o público em geral:
- Como compreender a segurança da computação em nuvem da ASD para locatários no contexto da AWS
- Uso da AWS no contexto das considerações sobre a privacidade na Austrália
Os clientes do governo australiano podem usar nossa certificação da ASD e nossa carta de conformidade de avaliadores independentes do IRAP para acelerar sua certificação e objetivos de credenciamento. Os seguintes documentos estão publicamente disponíveis:
- Carta de certificação da ASD da plataforma de infraestrutura da AWS
- Carta de conformidade com o ISM do IRAP
Documentos do IRAP adicionais estão disponíveis para os clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de Gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact.
- Resumo de implementação de controles
- Relatório do IRAP estágio 2
Relatórios adicionais que estejam disponíveis para avaliar e testar os controles implementados pela infraestrutura da AWS, que estão disponíveis mediante um NDA (conforme a necessidade):
- Relatório de controles de organização de serviço 1 (SOC 1) Tipo II
- Relatório de controles de organização de serviço 2 (SOC 2) Tipo II
- Certificado ISO27001 e Declaração de Aplicabilidade
- Certificado de Conformidade do PCI e Resumo de Responsabilidade do PCI
Para obter mais informações sobre relatórios adicionais, consulte as Perguntas frequentes de conformidade da AWS.
-
Por que preciso de um avaliador credenciado pelo IRAP?
Os avaliadores credenciados pelo IRAP são indivíduos credenciados pelo Australian Signals Directorate (ASD), de acordo com o Information Security Registered Assessors Program (IRAP), como sendo devidamente qualificados para conduzir avaliações em relação à estrutura de controle do ASD, o Information Security Manual (ISM).
Os avaliadores credenciados pelo IRAP são os únicos indivíduos credenciados como qualificados para executar uma avalição em um sistema de tecnologia da informação e comunicação (ICT) com base no Manual de segurança de informações (ISM) do governo australiano. Um avaliador credenciado pelo IRAP descreve áreas de conformidade e não conformidade, descreve riscos residuais e ações de remedição e oferece recomendações para a certificação por uma Autoridade de certificação.
-
O que é o ISM?
O ISM é o Information Security Manual (ISM – Manual de segurança de informações) do governo australiano, publicado pelo Australian Signals Directorate (ASD), uma organização do Departamento de Defesa que tem a missão de proteger sistemas e informações do governo australiano.
O ISM é a norma que rege a segurança dos sistemas de tecnologia da informação e de comunicações (ICT) do governo australiano. Ele complementa o Protective Security Policy Framework (PSPF – Quadro de políticas de segurança para proteção) criado pelo departamento da Procuradoria Geral do Governo Australiano. Juntos, o ISM e o PSPF oferecem orientações para a implementação de controles adequados para operar todas as classificações de cargas de trabalho em um ambiente de ICT.
A conformidade com o ISM é usada para avaliar a inclusão de provedores de serviços de nuvem na lista de serviços de nuvem certificados da ASD, que relaciona os serviços de nuvem onde a ASD agiu como a autoridade de certificação. A certificação é obrigatória para os órgãos que têm cargas de trabalho credenciadas para execução em serviços em nuvem, adquiridos por meio do painel de serviços em nuvem para todo o governo, do Departamento de Finanças, o principal instrumento de aquisição de serviços em nuvem do governo australiano.
Em outubro de 2014, o Departamento de Finanças e o Departamento de Comunicações australianos lançaram em conjunto a Política de computação em nuvem do governo australiano 3.0, que determinava uma abordagem de priorização da nuvem para a adoção de serviços em nuvem pelos órgãos governamentais federais.
“Segundo a política da nuvem do governo [australiano], os órgãos agora devem adotar a nuvem quando for adequada ao propósito, fornecer proteção adequada dos dados e entregar valor pelo dinheiro.”
Para saber mais sobre a função do ASD na proteção da segurança de informações australianas, consulte a função de segurança da informação (InfoSec) no site da ASD.
-
A AWS atende aos requisitos do ISM?
Sim, a AWS foi auditada por um assessor independente do programa de assessores registrados de segurança da informação (IRAP). A avaliação examinou os controles de segurança do pessoal, do processo e da tecnologia da Amazon para garantir que atendam às necessidades do ISM da ASD 2014. Para obter mais informações, consulte a carta de conformidade com o ISM do IRAP no site da AWS.
-
Onde posso encontrar mais informações sobre o programa do IRAP?
Para obter mais informações consulte a página do programa IRAP no site da ASD.
-
Quais serviços da AWS são cobertos pela avaliação do IRAP?
A avaliação do IRAP e a certificação da ASD abrange a região Sydney da AWS. No entanto, a AWS trata todas as regiões AWS igualmente em termos de controles, políticas e processos usados para operá-las. Os órgãos devem avaliar suas cargas de trabalho e necessidades de negócio para determinar qual região da AWS usar.
Os serviços da AWS cobertos que pertencem ao escopo da avaliação do IRAP podem ser encontrados na página Serviços da AWS no escopo por programa de conformidade.
-
Posso usar outros serviços da AWS que não estão incluídos na avaliação do IRAP?
Sim. Se um serviço que você quer usar não está listado na página Serviços da AWS no escopo pelo programa de conformidade, você pode avaliar a adequação de suas cargas de trabalho para outros serviços da AWS.
-
A conformidade com o ISM aumentará os custos de serviço da AWS?
Não, a conformidade da AWS com o ISM não aumenta o custo dos serviços.
-
A AWS está na lista de serviços de nuvem certificados da ASD?
Sim. A Australian Signals Directorate (ASD) conclui uma avaliação do IRAP na AWS e concedeu a certificação do ASD para cargas de trabalho DLM não confidenciais. Para obter mais informações, consulte a lista de serviços de nuvem certificados (CCSL) da ASD.
Os órgãos do governo australiano podem reduzir consideravelmente custos e riscos confiando na profunda especialização da ASD com autoridade de certificação para determinar que o risco residual dos serviços seja bem compreendido e avaliado corretamente. Isso cria um resultado de segurança significativamente melhorado para os departamentos do governo australiano, enquanto também reduzem os custos relacionados a tais avaliações.
-
A AWS está no painel de serviços de nuvem governamental do Departamento de Finanças?
Sim, a AWS é membro do painel desde 31 de março de 2015. Os órgãos economizam dinheiro e obtêm um processo de compras simplificado por meio de um provedor de serviços de nuvem pré-avaliado e uma estrutura contratual comum. Essa facilidade de aquisição permite que os órgãos avancem no ritmo que sua missão exige para entregar serviços com eficácia para os cidadãos australianos.
