Information Security Registered Assessors Program (IRAP)

Visão geral

O Information Security Registered Assessors Program (IRAP, Programa de avaliadores registrados de segurança da informação) permite aos clientes do governo australiano validar se os controles adequados estão implantados e determinar o modelo de responsabilidade adequado para abordar os requisitos do Information Security Manual (ISM, Manual de segurança da informação) produzidos pelo Australian Cyber Security Centre (ACSC).

• Qual é o impacto desde a cessação do CSCP e do CCSL?

  Na segunda-feira, 2 de março de 2020, o Australian Signals Directorate (ASD) e a Digital Transformation Agency (DTA) anunciaram os resultados da análise do Cloud Services Certification Program (CSCP) e Information Security Registered Assessors Program (IRAP). A análise sugeriu as seguintes recomendações:

  • Fechar o CSCP e criar novas orientações de segurança coprojetadas com o setor
  • Desenvolver e aprimorar o IRAP
  • Estabelecer fóruns de consulta do governo e do setor para cibersegurança
  • Atualizar incentivos nas Procurement and Administrative Instructions and Guidance (Orientações e Instruções Administrativas e de Aquisição) para refletir a cessação do CSCP

  A partir de 2 de março de 2020, o ASD não mais será a autoridade de certificação e cessará todas as atividades de certificação, incluindo as de recertificação. Todas as cartas de certificações e de recertificações do ASD se tornarão nulas a partir de 27 de julho de 2020 e o Information Security Manual (ISM) do governo australiano foi atualizado para remover os requisitos de seleção de serviços de nuvem da Certified Cloud Services List (CCSL).

  Sob os termos da Estratégia de Nuvem Segura do governo australiano, as agências do Commonwealth são capazes de avaliar por conta própria os serviços em nuvem usando práticas já utilizadas para avaliar sistemas de ICT.

  E agora:

  Em 27 de julho de 2020, o Australian Cyber Security Centre (ACSC) e a Digital Transformation Agency (DTA) divulgaram a nova Orientação de Segurança da Nuvem, coprojetada com as empresas do setor para apoiar a adoção segura de serviços na nuvem em todo o governo e setor. A AWS continua a se submeter às avaliações do IRAP para manter sua avaliação atualizada e trazer novos serviços. As entidades do Commonwealth continuarão a ser responsáveis por suas próprias garantias e atividades de gestão de riscos. Sob os termos da Estratégia de Nuvem Segura do governo australiano, as entidades do Commonwealth são capazes de avaliar por conta própria os serviços em nuvem usando práticas já utilizadas para avaliar sistemas de ICT. O ASD refinará a orientação de segurança da nuvem já existente com o desenvolvimento de orientações coprojetadas com o setor. Essas orientações auxiliarão ainda mais as entidades do Commonwealth e as empresas australianas a aumentar sua cibersegurança e resiliência.

  Até o momento, o ASD desenvolveu diversos guias úteis para que as organizações realizem as avaliações de segurança adequadas em relação aos serviços em nuvem. Recomenda-se que qualquer avaliação aborde claramente os controles de segurança no ISM e na orientação de segurança da nuvem do ASD, incluindo:

  • Cloud Computing Security Considerations (Considerações de segurança de computação na nuvem) e
  • Segurança de computação em nuvem para locatários.

  O DTA continua a incentivar as agências do Commonwealth a usarem a Estratégia de Nuvem Segura do governo australiano para apoiar a adoção dos serviços em nuvem.
  

• Quais documentos do IRAP estão disponíveis?

  Em apoio aos nossos clientes do governo australiano, disponibilizamos um pacote com as diretrizes e a documentação de segurança, o que visa melhorar a compreensão sobre segurança e conformidade ao utilizar a AWS. A AWS oferece os seguintes materiais disponíveis para o público:

  • Como compreender a segurança da computação em nuvem da ACSC para locatários no contexto da AWS
  • Como usar a AWS no contexto das considerações sobre a privacidade na Austrália
  • Novo Quick Start implanta a arquitetura de referência com conformidade IRAP PROTECTED na Nuvem AWS

  Se você deseja acessar o pacote do IRAP PROTECTED, use o AWS Artifact, um portal de autoatendimento para acesso sob demanda de relatórios de conformidade da AWS. Faça login no AWS Artifact no Console de gerenciamento da AWS ou saiba mais em Conceitos básicos do AWS Artifact. Essa informação permite planejar, arquitetar e autoavaliar sistemas criados na AWS de acordo com a Estratégia de nuvem segura do Governo Australiano. Esse pacote oferece aos clientes do setor público tudo o que eles precisam saber para avaliar a AWS no nível PROTECTED e ajuda agências a simplificar o processo de adoção dos serviços da AWS. A documentação no pacote inclui:

  • A carta de conformidade;
  • O resumo de implantação de controles;
  • Relatório do estágio 2 do IRAP;
  • Arquitetura de referência; e
  • Guia do cliente.

  Relatórios adicionais são disponibilizados conforme um acordo de confidencialidade (conforme necessário) para avaliar e testar os controles implantados pela infraestrutura da AWS que estejam disponíveis conforme um acordo de confidencialidade (conforme necessário):

  • Relatório Tipo II de controles de organização de serviço 1 (SOC 1);
  • Relatório Tipo II de controles de organização de serviço 2 (SOC 2);
  • Certificado ISO 27001 e Declaração de Aplicabilidade; e
  • Certificado de Conformidade do PCI e Resumo de Responsabilidade do PCI.

  Um Guia de início rápido está disponível para usuários que queiram criar cargas de trabalho baseadas em nuvem que usem controles da AWS que atendam aos requisitos do ISM quanto ao processamento de dados governamentais confidenciais em nível de classificação PROTECTED. Ele implanta automaticamente a arquitetura de referência IRAP PROTECTED na Nuvem AWS em cerca de uma hora. A arquitetura de referência demonstra como vários serviços da AWS são reunidos para dar suporte a aplicações web multicamada com serviços de segurança e gerenciamento associados que atendem aos requisitos do ISM PROTECTED. Embora essa solução implante muitos dos controles descritos na arquitetura de referência IRAP PROTECTED, nem todos os controles recomendados estão incluídos neste Guia de início rápido. Lembre-se de seguir as orientações no pacote IRAP PROTECTED, disponível no AWS Artifact, antes de usar esta solução para armazenar dados PROTECTED.

  Para obter mais informações sobre relatórios adicionais, consulte os programas de conformidade da AWS.
  

• Quem são os Avaliadores do IRAP?

  Os Avaliadores do IRAP são profissionais de TIC certificados pela ASD de toda a Austrália, que possuem a experiência e as qualificações necessárias em TIC, avaliação de segurança e gerenciamento de riscos e um conhecimento detalhado dos requisitos de conformidade de segurança das informações do governo australiano.
  

• O que é o ISM?

  O Information Security Manual (ISM) do governo australiano define um framework de cibersegurança que as organizações podem aplicar para proteger seus sistemas de tecnologia de informação e comunicação (ICT) de ameaças cibernéticas. Ele complementa o Protective Security Policy Framework (PSPF) criado pelo departamento da Procuradoria Geral do governo australiano. O ISM e o PSPF fornecem orientações e obrigações para as agências do Commonwealth para a implantação de controles adequados em um ambiente de ICT. Além disso, as agências do Commonwealth devem considerar orientações relevantes publicadas especificamente por ou para elas.

  Em 2017, a Digital Transformation Agency (DTA) trabalhou com órgãos governamentais e o setor para desenvolver a Estratégia de nuvem segura. A estratégia é voltada a ajudar órgãos governamentais a usar a tecnologia de nuvem.

  O ISM é publicado pelo Australian Cyber Security Centre (ACSC), a organização líder do governo australiano em cibersegurança nacional e parte do Australian Signals Directorate (ASD).

  Para obter mais informações sobre o papel do ACSC em promover e aprimorar a cibersegurança australiana, consulte a página da Web de cibersegurança no site do ASD ou do ACSC.
  

• A AWS atende aos requisitos do ISM?

  Sim, os serviços de nuvem AWS foram avaliados por um avaliador independente do IRAP em relação aos controles do ISM aplicáveis. A avaliação examinou os controles de segurança de pessoal, processo e tecnologia da Amazon. Essa avaliação oferece uma garantia de que, a respeito desses produtos, a AWS possui os controles aplicáveis necessários para as cargas de trabalho do governo australiano no nível PROTECTED. Para mais informações, acesse também o AWS Artifact para acessar o pacote do IRAP PROTECTED da mais recente avaliação.
  

• Onde posso encontrar mais informações sobre o programa do IRAP?

  Para obter mais informações, consulte a página do IRAP no site do ACSC.
  

• Quais serviços da AWS são cobertos pela avaliação do IRAP?

  A avaliação do IRAP cobre os serviços dentro do escopo da região AWS Sydney. Os serviços da AWS cobertos que pertencem ao escopo da avaliação do IRAP podem ser encontrados nos Serviços da AWS na página de escopo por programa de conformidade.
  

• Posso usar outros serviços da AWS que não estão incluídos na avaliação do IRAP?

  Sim, sujeito à conformidade com regulamentações, políticas e diretrizes aplicáveis que regem o uso dos serviços em nuvem. Se um serviço que você quer usar não estiver listado nos Serviços da AWS na página de escopo pelo programa de conformidade, você pode avaliar a adequação de suas cargas de trabalho para outros serviços da AWS.