Information Security Registered Assessors Program (IRAP)

Visão geral

IRAP

O Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança da informação) permite aos clientes do governo australiano validar se os controles adequados estão implantados e determinar o modelo de responsabilidade adequado para abordar os requisitos do Information Security Manual (ISM, Manual de segurança da informação) produzidos pelo Australian Cyber Security Centre (ACSC).

Proteger os dados do governo australiano contra acesso, abuso e divulgação permanece uma consideração fundamental ao comprar e utilizar os serviços de nuvem. A AWS reconhece que os clientes confiam no fornecimento seguro da infraestrutura da AWS e na importância de ter recursos que permitam ao cliente criar ambientes seguros. A AWS permite aos clientes atender a esses objetivos, priorizando a segurança na entrega dos serviços por meio do estabelecimento de um ambiente de controle robusto e disponibilizando uma ampla variedade de serviços e recursos de segurança. Esses serviços oferecem controles abrangentes do ambiente de controle de TI do cliente, simplificam o gerenciamento de serviços de segurança e melhoram as soluções de segurança para o governo australiano.

Os serviços de nuvem AWS foram determinados como conformes com o ISM. Um avaliador independente do IRAP examinou os controles da AWS, incluindo de pessoal, processos e tecnologia, para garantir que atendem às necessidades do ISM. Essa avaliação oferece uma garantia de que, a respeito dos produtos que a AWS possui, os controles aplicáveis necessários para as cargas de trabalho do governo australiano no nível PROTECTED foram implantados.

  • Qual é o impacto desde a cessação do CSCP e do CCSL?

    Na segunda-feira, 2 de março de 2020, o Australian Signals Directorate (ASD) e a Digital Transformation Agency (DTA) anunciaram os resultados da análise do Cloud Services Certification Program (CSCP) e Information Security Registered Assessors Program (IRAP). A análise sugeriu as seguintes recomendações:

    • Fechar o CSCP e criar novas orientações de segurança coprojetadas com o setor
    • Desenvolver e aprimorar o IRAP
    • Estabelecer fóruns de consulta do governo e do setor para cibersegurança
    • Atualizar incentivos nas Procurement and Administrative Instructions and Guidance (Orientações e Instruções Administrativas e de Aquisição) para refletir a cessação do CSCP

    A partir de 2 de março de 2020, o ASD não mais será a autoridade de certificação e cessará todas as atividades de certificação, incluindo as de recertificação. Todas as cartas de certificações e de recertificações do ASD se tornarão nulas a partir de 27 de julho de 2020 e o Information Security Manual (ISM) do governo australiano foi atualizado para remover os requisitos de seleção de serviços de nuvem da Certified Cloud Services List (CCSL).

    Sob os termos da Estratégia de Nuvem Segura do governo australiano, as agências do Commonwealth são capazes de avaliar por conta própria os serviços em nuvem usando práticas já utilizadas para avaliar sistemas de ICT.

    E agora:

    Em 27 de julho de 2020, o Australian Cyber Security Centre (ACSC) e a Digital Transformation Agency (DTA) divulgaram a nova Orientação de Segurança da Nuvem, coprojetada com as empresas do setor para apoiar a adoção segura de serviços na nuvem em todo o governo e setor. A AWS continua a se submeter às avaliações do IRP para manter sua avaliação atualizada e trazer novos serviços. As entidades do Commonwealth continuarão a ser responsáveis por suas próprias garantias e atividades de gestão de riscos. Sob os termos da Estratégia de Nuvem Segura do governo australiano, as entidades do Commonwealth são capazes de avaliar por conta própria os serviços em nuvem usando práticas já utilizadas para avaliar sistemas de ICT. O ASD refinará a orientação de segurança da nuvem já existente com o desenvolvimento de orientações coprojetadas com o setor. Essas orientações auxiliarão ainda mais as entidades do Commonwealth e as empresas australianas a aumentar sua cibersegurança e resiliência.

    Até o momento, o ASD desenvolveu diversos guias úteis para que as organizações realizem as avaliações de segurança adequadas em relação aos serviços em nuvem. Recomenda-se que qualquer avaliação aborde claramente os controles de segurança no ISM e na orientação de segurança da nuvem do ASD, incluindo:

    O DTA continua a incentivar as agências do Commonwealth a usarem a Estratégia de Nuvem Segura do governo australiano para apoiar a adoção dos serviços em nuvem.

  • Quais documentos do IRAP estão disponíveis?

    Em apoio aos nossos clientes do governo australiano, disponibilizamos um pacote com as diretrizes e a documentação de segurança, o que visa melhorar a compreensão sobre segurança e conformidade ao utilizar a AWS. A AWS oferece os seguintes materiais disponíveis para o público:

    Se você deseja acessar o pacote do IRAP PROTECTED, use o AWS Artifact, um portal de autoatendimento para acesso sob demanda de relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact. Essa informação fornece a capacidade de planejar, arquitetar e autoavaliar sistemas criados na AWS de acordo com a Estratégia de Nuvem Segura do governo australiano. Esse pacote oferece aos clientes do setor público tudo o que eles precisam saber para avaliar a AWS no nível PROTECTED e ajuda agências a simplificar o processo de adoção dos serviços da AWS. A documentação no pacote inclui:

    • A carta de conformidade;
    • O resumo de implantação de controles;
    • Relatório do estágio 2 do IRAP;
    • Arquitetura de referência; e
    • Guia do cliente.

    Relatórios adicionais são disponibilizados conforme um acordo de confidencialidade (conforme necessário) para avaliar e testar os controles implantados pela infraestrutura da AWS que estejam disponíveis conforme um acordo de confidencialidade (conforme necessário):

    • Relatório Tipo II de controles de organização de serviço 1 (SOC 1);
    • Relatório Tipo II de controles de organização de serviço 2 (SOC 2);
    • Certificado ISO 27001 e Declaração de Aplicabilidade; e
    • Certificado de Conformidade do PCI e Resumo de Responsabilidade do PCI.

    Um Guia de início rápido está disponível para usuários que queiram criar cargas de trabalho baseadas em nuvem que usem controles da AWS que atendam aos requisitos do ISM quanto ao processamento de dados governamentais confidenciais em nível de classificação PROTECTED. Ele implanta automaticamente a arquitetura de referência IRAP PROTECTED na Nuvem AWS em cerca de uma hora. A arquitetura de referência demonstra como vários serviços da AWS são reunidos para dar suporte a aplicações web multicamada com serviços de segurança e gerenciamento associados que atendem aos requisitos do ISM PROTECTED. Embora essa solução implante muitos dos controles descritos na arquitetura de referência IRAP PROTECTED, nem todos os controles recomendados estão incluídos neste Guia de início rápido. Lembre-se de seguir as orientações no pacote IRAP PROTECTED, disponível no AWS Artifact, antes de usar esta solução para armazenar dados PROTECTED.

    Para obter mais informações sobre relatórios adicionais, consulte os programas de conformidade da AWS.

  • Por que preciso de um avaliador credenciado pelo IRAP?

    Os avaliadores credenciados pelo IRAP são profissionais de ICT da Austrália credenciados pelo Australian Signals Directorate (ASD), de acordo com o Information Security Registered Assessors Program (IRAP), como sendo devidamente qualificados para conduzir avaliações em relação à estrutura de controle do ASD, o Information Security Manual (ISM).

    Os avaliadores do IRAP possuem a experiência e as qualificações necessárias em ICT, avaliação de segurança e gestão de riscos, além de um conhecimento detalhado dos requisitos de conformidade de segurança da informação do governo australiano.

  • O que é o ISM?

    O Information Security Manual (ISM) do governo australiano define uma estrutura de cibersegurança que as organizações podem aplicar para proteger seus sistemas de tecnologia de informação e comunicação (ICT) de ameaças cibernéticas. Ele complementa o Protective Security Policy Framework (PSPF) criado pelo departamento da Procuradoria Geral do governo australiano. O ISM e o PSPF fornecem orientações e obrigações para as agências do Commonwealth para a implantação de controles adequados em um ambiente de ICT. Além disso, as agências do Commonwealth devem considerar orientações relevantes publicadas especificamente por ou para elas.

    Em 2017, a Digital Transformation Agency (DTA) trabalhou com órgãos governamentais e a indústria para desenvolver a Estratégia de Nuvem Segura. A estratégia é voltada a ajudar órgãos governamentais a usar a tecnologia de nuvem.

    O ISM é publicado pelo Australian Cyber Security Centre (ACSC), a organização líder do governo australiano em cibersegurança nacional e parte do Australian Signals Directorate (ASD).

    Para mais informações sobre o papel do ACSC em promover e aprimorar a cibersegurança australiana, consulte a página de cibersegurança no site do ASD ou do ACSC.

  • A AWS atende aos requisitos do ISM?

    Sim, os Serviços de Nuvem AWS foram avaliados por um avaliador do IRAP independente. A avaliação examinou os controles de segurança de pessoal, processo e tecnologia da Amazon. Essa avaliação oferece uma garantia de que, a respeito desses produtos, a AWS possui os controles aplicáveis necessários para as cargas de trabalho do governo australiano no nível PROTECTED. Para mais informações, acesse também o AWS Artifact para acessar o pacote do IRAP PROTECTED da mais recente avaliação.

  • Onde posso encontrar mais informações sobre o programa do IRAP?

    Para obter mais informações, consulte a página do IRAP no site do ACSC.

  • Quais serviços da AWS são cobertos pela avaliação do IRAP?

    A avaliação do IRAP cobre os serviços dentro do escopo da região AWS Sydney. Os serviços da AWS cobertos que pertencem ao escopo da avaliação do IRAP podem ser encontrados nos Serviços da AWS na página de escopo por programa de conformidade.

  • Posso usar outros serviços da AWS que não estão incluídos na avaliação do IRAP?

    Sim, sujeito à conformidade com regulamentações, políticas e diretrizes aplicáveis que regem o uso dos serviços em nuvem. Se um serviço que você quer usar não estiver listado nos Serviços da AWS na página de escopo pelo programa de conformidade, você pode avaliar a adequação de suas cargas de trabalho para outros serviços da AWS.

Recursos do IRAP

Guia de início rápido da arquitetura de referência IRAP PROTECTED na Nuvem AWS
Como compreender a segurança da computação em nuvem da ACSC para locatários no contexto da AWS
Como usar a AWS no contexto das considerações sobre a privacidade na Austrália
Carta de conformidade com o IRAP de 2019
Carta de conformidade com o IRAP de 2020 H1
compliance-contactus-icon
Dúvidas? Entre em contato com um representante comercial da AWS
Você está explorando funções de conformidade?
Inscreva-se hoje »
Você quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »