Information Security Registered Assessors Program (IRAP)

Visão geral

O Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança da informação) permite aos clientes do governo australiano validar se os controles adequados estão implantados e determinar o modelo de responsabilidade adequado para abordar os requisitos do Information Security Manual (ISM, Manual de segurança da informação) produzidos pelo Australian Cyber Security Centre (ACSC).

Proteger os dados do governo australiano contra acesso, abuso e divulgação permanece uma consideração fundamental ao comprar e utilizar os serviços de nuvem. A AWS reconhece que os clientes confiam no fornecimento seguro da infraestrutura da AWS e na importância de ter recursos que permitam ao cliente criar ambientes seguros. A AWS permite aos clientes atender a esses objetivos, priorizando a segurança na entrega dos serviços por meio do estabelecimento de um ambiente de controle robusto e disponibilizando uma ampla variedade de serviços e recursos de segurança.

Os Serviços de nuvem AWS no escopo que foram avaliados pelo IRAP podem ser encontrados em Serviços da AWS no escopo por programa de conformidade. Um avaliador independente do IRAP examinou os controles da AWS, incluindo de pessoal, processos e tecnologia, para garantir que atendem às necessidades do ISM. Se quiser saber mais sobre o uso desses serviços e/ou tiver interesse em outros serviços, entre em contato conosco.

  • Na segunda-feira, 2 de março de 2020, o Australian Signals Directorate (ASD) e a Digital Transformation Agency (DTA) anunciaram os resultados da análise do Cloud Services Certification Program (CSCP) e Information Security Registered Assessors Program (IRAP). A análise sugeriu as seguintes recomendações:

    • Fechar o CSCP e criar novas orientações de segurança coprojetadas com o setor
    • Desenvolver e aprimorar o IRAP
    • Estabelecer fóruns de consulta do governo e do setor para cibersegurança
    • Atualizar incentivos nas Procurement and Administrative Instructions and Guidance (Orientações e Instruções Administrativas e de Aquisição) para refletir a cessação do CSCP

    A partir de 2 de março de 2020, o ASD não mais será a autoridade de certificação e cessará todas as atividades de certificação, incluindo as de recertificação. Todas as cartas de certificações e de recertificações do ASD se tornarão nulas a partir de 27 de julho de 2020 e o Information Security Manual (ISM) do governo australiano foi atualizado para remover os requisitos de seleção de serviços de nuvem da Certified Cloud Services List (CCSL).

    Sob os termos da Estratégia de Nuvem Segura do governo australiano, as agências do Commonwealth são capazes de avaliar por conta própria os serviços em nuvem usando práticas já utilizadas para avaliar sistemas de ICT.

    E agora:

    Em 27 de julho de 2020, o Australian Cyber Security Centre (ACSC) e a Digital Transformation Agency (DTA) divulgaram a nova Orientação de Segurança da Nuvem, coprojetada com as empresas do setor para apoiar a adoção segura de serviços na nuvem em todo o governo e setor. A AWS continua a se submeter às avaliações do IRAP para manter sua avaliação atualizada e trazer novos serviços. As entidades do Commonwealth continuarão a ser responsáveis por suas próprias garantias e atividades de gestão de riscos. Sob os termos da Estratégia de Nuvem Segura do governo australiano, as entidades do Commonwealth são capazes de avaliar por conta própria os serviços em nuvem usando práticas já utilizadas para avaliar sistemas de ICT. O ASD refinará a orientação de segurança da nuvem já existente com o desenvolvimento de orientações coprojetadas com o setor. Essas orientações auxiliarão ainda mais as entidades do Commonwealth e as empresas australianas a aumentar sua cibersegurança e resiliência.

    Até o momento, o ASD desenvolveu diversos guias úteis para que as organizações realizem as avaliações de segurança adequadas em relação aos serviços em nuvem. Recomenda-se que qualquer avaliação aborde claramente os controles de segurança no ISM e na orientação de segurança da nuvem do ASD, incluindo:

    O DTA continua a incentivar as agências do Commonwealth a usarem a Estratégia de Nuvem Segura do governo australiano para apoiar a adoção dos serviços em nuvem.

  • Em apoio aos nossos clientes do governo australiano, disponibilizamos um pacote com as diretrizes e a documentação de segurança, o que visa melhorar a compreensão sobre segurança e conformidade ao utilizar a AWS. A AWS oferece os seguintes materiais disponíveis para o público:

    Se você deseja acessar o pacote do IRAP PROTECTED, use o AWS Artifact, um portal de autoatendimento para acesso sob demanda de relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact. Essa informação permite planejar, arquitetar e autoavaliar sistemas criados na AWS de acordo com a Estratégia de nuvem segura do Governo Australiano. Esse pacote oferece aos clientes do setor público tudo o que eles precisam saber para avaliar a AWS no nível PROTECTED e ajuda agências a simplificar o processo de adoção dos serviços da AWS. A documentação no pacote inclui:

    • A carta de conformidade;
    • O resumo de implantação de controles;
    • Relatório do estágio 2 do IRAP;
    • Arquitetura de referência; e
    • Guia do cliente.

    Relatórios adicionais são disponibilizados conforme um acordo de confidencialidade (conforme necessário) para avaliar e testar os controles implantados pela infraestrutura da AWS que estejam disponíveis conforme um acordo de confidencialidade (conforme necessário):

    • Relatório Tipo II de controles de organização de serviço 1 (SOC 1);
    • Relatório Tipo II de controles de organização de serviço 2 (SOC 2);
    • Certificado ISO 27001 e Declaração de Aplicabilidade; e
    • Certificado de Conformidade do PCI e Resumo de Responsabilidade do PCI.

    Um Guia de início rápido está disponível para usuários que queiram criar cargas de trabalho baseadas em nuvem que usem controles da AWS que atendam aos requisitos do ISM quanto ao processamento de dados governamentais confidenciais em nível de classificação PROTECTED. Ele implanta automaticamente a arquitetura de referência IRAP PROTECTED na Nuvem AWS em cerca de uma hora. A arquitetura de referência demonstra como vários serviços da AWS são reunidos para dar suporte a aplicações web multicamada com serviços de segurança e gerenciamento associados que atendem aos requisitos do ISM PROTECTED. Embora essa solução implante muitos dos controles descritos na arquitetura de referência IRAP PROTECTED, nem todos os controles recomendados estão incluídos neste Guia de início rápido. Lembre-se de seguir as orientações no pacote IRAP PROTECTED, disponível no AWS Artifact, antes de usar esta solução para armazenar dados PROTECTED.

    Para obter mais informações sobre relatórios adicionais, consulte os programas de conformidade da AWS.

  • Os Avaliadores do IRAP são profissionais de TIC certificados pela ASD de toda a Austrália, que possuem a experiência e as qualificações necessárias em TIC, avaliação de segurança e gerenciamento de riscos e um conhecimento detalhado dos requisitos de conformidade de segurança das informações do governo australiano.

  • O Information Security Manual (ISM) do governo australiano define um framework de cibersegurança que as organizações podem aplicar para proteger seus sistemas de tecnologia de informação e comunicação (ICT) de ameaças cibernéticas. Ele complementa o Protective Security Policy Framework (PSPF) criado pelo departamento da Procuradoria Geral do governo australiano. O ISM e o PSPF fornecem orientações e obrigações para as agências do Commonwealth para a implantação de controles adequados em um ambiente de ICT. Além disso, as agências do Commonwealth devem considerar orientações relevantes publicadas especificamente por ou para elas.

    Em 2017, a Digital Transformation Agency (DTA) trabalhou com órgãos governamentais e o setor para desenvolver a Estratégia de nuvem segura. A estratégia é voltada a ajudar órgãos governamentais a usar a tecnologia de nuvem.

    O ISM é publicado pelo Australian Cyber Security Centre (ACSC), a organização líder do governo australiano em cibersegurança nacional e parte do Australian Signals Directorate (ASD).

    Para obter mais informações sobre o papel do ACSC em promover e aprimorar a cibersegurança australiana, consulte a página da Web de cibersegurança no site do ASD ou do ACSC.

  • Sim, os serviços de nuvem AWS foram avaliados por um avaliador independente do IRAP em relação aos controles do ISM aplicáveis. A avaliação examinou os controles de segurança de pessoal, processo e tecnologia da Amazon. Essa avaliação oferece uma garantia de que, a respeito desses produtos, a AWS possui os controles aplicáveis necessários para as cargas de trabalho do governo australiano no nível PROTECTED. Para mais informações, acesse também o AWS Artifact para acessar o pacote do IRAP PROTECTED da mais recente avaliação.

  • Para obter mais informações, consulte a página do IRAP no site do ACSC.

  • A avaliação do IRAP cobre os serviços no escopo das regiões AWS Sydney e Melbourne. Os serviços da AWS cobertos que pertencem ao escopo da avaliação do IRAP podem ser encontrados nos Serviços da AWS na página de escopo por programa de conformidade.

  • Sim, sujeito à conformidade com regulamentações, políticas e diretrizes aplicáveis que regem o uso dos serviços em nuvem. Se um serviço que você quer usar não estiver listado nos Serviços da AWS na página de escopo pelo programa de conformidade, você pode avaliar a adequação de suas workloads para outros serviços da AWS.

Recursos do IRAP

Guia de início rápido da arquitetura de referência IRAP PROTECTED na Nuvem AWS
Como usar a AWS no contexto das considerações sobre a privacidade na Austrália
Essential 8 Conformance Pack
ISM Conformance Pack
Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »