Gostaria de obter informações sobre o IRAP na nuvem

 

 

Conformidade com o IRAP na AWS

Proteger os dados do governo australiano contra acesso, abuso e divulgação permanece uma consideração fundamental ao comprar e aproveitar os serviços de nuvem. A AWS reconhece que os clientes confiam na entrega segura da infraestrutura da AWS e na importância de ter recursos que permitam ao cliente criar ambientes mais seguros. A AWS permite aos clientes atender a esses objetivos, priorizando a segurança na entrega dos serviços através do estabelecimento de um ambiente de controle robusto e disponibilizando uma ampla variedade de serviços e recursos de segurança. Esses serviços oferecem controles abrangentes do ambiente de controle de TI do cliente, simplificam o gerenciamento de serviços de segurança e oferecem soluções de segurança melhoradas para o governo australiano.

O programa de avaliadores registrados de segurança da informação (IRAP, Information Security Registered Assessors Program) permite aos clientes do governo australiano validar os controles adequados que estão implantados e determinar o modelo de responsabilidade adequado para tratar das necessidades do manual de segurança da informação (ISM, Information Security Manual) da diretoria de sinais australianos (ASD, Australian Signals Directorate).

Um assessor independente do IRAP examinou os controles de pessoal, dos processos e da tecnologia da AWS para garantir que atendem às necessidades do ISM. Essa avaliação e a Carta de Conformidade são a base para que uma autoridade de certificação obtenha garantias para certificar a infraestrutura da AWS e forneça uma recomendação de uso adequado da plataforma para a autoridade de credenciamento.

O credenciamento de uma agência é o ponto alta de uma avaliação do IRAP e a certificação formal pela ASD operando como uma autoridade de certificação pelo governo australiano. Esta certificação fornece garantia de que a AWS tem implantados os controles aplicáveis do ISM da ASD e é o precursor imediato no credenciamento da AWS para as cargas de trabalho do governo australiano.

Esta certificação removerá uma carga significante das agências individuais ou de seus parceiros comerciais para executar avaliações e certificações da plataforma de nuvem para suas cargas de trabalho e, em vez disso, permite que se concentrem nos processos de credenciamento do sistema.



A AWS oferece aos clientes uma ampla variedade de funcionalidades de segurança para proteger seus dados de acordo com os controles do ISM da ASD e as orientações e políticas da agência. Analisamos continuamente nossas ferramentas de segurança atuais disponibilizadas aos clientes. Além disso, lançamos com frequência melhorias à funcionalidade de segurança existente. Além disso, fornecemos uma ampla variedade de whitepapers, documentação on-line e vídeos de segurança para nossos clientes. Nossos whitepapers globais contêm recomendações para proteção dos seus dados e que sejam também aplicáveis às cargas de trabalho da AWS do governo australiano.

Nuvem AWS da IRAP

Como posso usar a documentação e as diretrizes de segurança do IRAP da AWS?

Os clientes do governo australiano podem aproveitar nossa certificação da ASD e nossa carta de conformidade de assessores independentes do IRAP para acelerar sua certificação e objetivos de credenciamento.

Em apoio aos nossos clientes do governo australiano, nós disponibilizamos as diretrizes e a documentação do pacote de segurança. Isso visa melhorar seu entendimento sobre segurança e conformidade, enquanto usam a AWS como um fornecedor de serviços de nuvem certificado. 

Em especial, específico para a avaliação da infraestrutura da AWS por um IRAP em relação ao ISM, nós fornecemos às organizações governamentais ou seus parceiros, mediante um NDA (se necessário):

-          Relatório do IRAP sobre a conformidade da AWS com o ISM

-          Carta de certificação da ASD da plataforma de infraestrutura da AWS

–          IRAP ISM Letter of Compliance

-          Resumo da implementação de controles

Relatórios adicionais que estejam disponíveis para avaliar e testar os controles implementados pela infraestrutura da AWS, que estão disponíveis mediante um NDA (conforme a necessidade):

-          Relatório de controles de organização de serviço 1 (SOC1) Tipo II

-          Relatório de controles de organização de serviço 2 (SOC2) Tipo II

–          Certificado ISO 27001 e declaração de aplicabilidade

-          Certificado de Conformidade do PCI e Resumo de Responsabilidade do PCI

Para ter mais informações sobre relatórios adicionais, consulte as Perguntas frequentes de conformidade da AWS.

Para solicitar acesso à documentação de segurança da AWS, visto que ela é de propriedade dos clientes do governo australiano ou de terceiros conduzindo negócios com o governo australiano, entre em contato com o setor de desenvolvimento de vendas e negócios da AWS ou envie um e-mail para awscompliance@amazon.com.

     

Um assessor do IRAP é o único indivíduo credenciado como qualificado para executar uma avaliação de um sistema ICT em relação ao ISM do governo australiano e descreve áreas de conformidade e não conformidade, riscos residuais e ações de reparo, além de fornecer recomendações para uma autoridade de certificação sobre certificações.

Avaliação IRAP

Os seguintes documentos estão publicamente disponíveis:

O Resumo da implementação de controles e o Relatório IRAP estágio 2 estão disponíveis para clientes que usam o AWS Artifact, um portal de autoatendimento para acesso sob demanda a relatórios de compatibilidade da AWS. Comece a usar o AWS Artifact hoje mesmo.

Sim, a AWS é membro do painel desde 31 de março de 2015. As agências obtêm valor em relação aos serviços de nuvem e um processo de aquisição simplificado passando por um provedor pré-avaliado e uma estrutura contratual comum. Essa facilidade de aquisição permite que as agência avancem no ritmo que sua missão exige para entregar serviços com eficácia para os cidadãos australianos.

O ISM é o Information Security Manual (ISM, Manual de segurança de informações) do governo australiano, publicado pelo Australian Signals Directorate (ASD, Diretório de sinais australiana), uma organização do Departamento de Defesa que tem a missão de proteger sistemas e informações do governo australiano. 

Para saber mais sobre a função da ASD na proteção da segurança das informações australianas: http://www.asd.gov.au/about/roleinfosec.htm

     

Sim, a AWS foi auditada por um assessor independente do programa de assessores registrados de segurança da informação (ISRAP). A avaliação examinou os controles de segurança do pessoal, do processo e da tecnologia da Amazon para garantir que atendam às necessidades do ISM da ASD 2014.

Os serviços da AWS cobertos e já no escopo da avaliação do IRAP podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros, entre em contato conosco.

Não, não há aumento em custos de serviço em nenhuma região como consequência da conformidade da AWS com o ISM.

Sim, a AWS foi certificada para cargas de trabalho de DLM não sigilosas (UD) pela ASD como a autoridade de certificação e é um membro inaugural da lista de serviços de nuvem certificados (CCSL) da ASD.

Os custos e riscos das agências são reduzidos significativamente quando contam com o profundo conhecimento da ASD como a autoridade de certificação para determinar que o risco residual de serviços são bem entendidos e devidamente tratados. Isso cria um resultado de segurança significativamente melhorado para os departamentos do governo australiano, enquanto também reduzem os custos relacionados a tais avaliações.

Em outubro de 2014, o Departamento de Finanças e o Departamento de Comunicações australianos lançaram em conjunto a Política de computação em nuvem do governo australiano 3.0, que determinava uma abordagem "priorizando a nuvem" para a adoção de serviços em nuvem pelos órgãos governamentais federais. 

 Segundo a política da nuvem do governo australiano, as agências agora devem adotar a nuvem quando for adequada ao propósito, fornecer proteção adequada dos dados e entregar valor pelo dinheiro.

 O ISM é a norma que rege a segurança dos sistemas de tecnologia da informação e de comunicações (ICT) do governo. Ele complementa o Protective Security Policy Framework (PSPF, Quadro de políticas de segurança para proteção) criado pelo departamento da Procuradoria Geral do Governo Australiano. Juntos, constituem um manual para a implementação de controles adequados para operar todas as classificações de cargas de trabalho em um ambiente de ICT. 

 A conformidade com o ISM é usada para avaliar a inclusão de provedores de serviços em nuvem na lista de serviços em nuvem certificados do ASD para criar a lista de serviços em nuvem em que o ASD agiu como a autoridade de certificação. A certificação é obrigatória para os órgãos que têm cargas de trabalho credenciadas para execução em serviços em nuvem, adquiridos por meio do painel de serviços em nuvem para todo o governo, do Departamento de Finanças, o principal instrumento de aquisição de serviços em nuvem do governo australiano.

     
São indivíduos credenciados pelo Australian Signals Directorate (ASD), de acordo com o programa de assessores registrados de segurança das informações, como sendo devidamente qualificados para conduzir avaliações em relação à estrutura de controle do ASD, o Information Security Manual (ISM)      

A avaliação do IRAP e a certificação da ASD abrange a região da AWS Sydney. No entanto, a AWS trata todas as regiões igualmente em termos de controles, políticas e processos usados para operá-las. As agências devem avaliar suas cargas de trabalho e necessidades de negócio para determinar qual região da AWS usar.

Sim, os clientes podem avaliar a compatibilidade de suas cargas de trabalho com outros serviços da AWS. Entre em contato com o setor de Desenvolvimento de vendas e negócios da AWS para obter uma discussão detalhada sobre os controles de segurança e considerações de aceitação de risco.      

 

Entre em contato conosco