Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP)

Обзор

Программа зарегистрированных экспертов по оценке систем информационной безопасности (Information Security Registered Assessors Program, IRAP) позволяет австралийским клиентам из числа правительственных организаций убедиться в наличии соответствующих средств управления безопасностью и определить подходящую модель ответственности за соответствие требованиям стандарта Руководства по информационной безопасности (Information Security Manual, ISM) Австралийского центра кибербезопасности (Australian Cyber Security Centre, ACSC).

• Каковы результаты прекращения программ CSCP и CCSL?

  В понедельник, 2 марта 2020 г., Управление радиотехнической обороны Австралии (ASD) и Агентство цифровой трансформации (DTA) объявили о результатах проверки программы сертификации облачных сервисов (CSCP) и программы зарегистрированных экспертов по оценке систем информационной безопасности (IRAP). В ходе проверки были даны указанные ниже рекомендации.

  • Закрыть CSCP и создать новые рекомендации по безопасности, разработанные совместно с предприятиями отрасли
  • Расширить и улучшить IRAP
  • Создать правительственные и отраслевые консультационные форумы по кибербезопасности
  • Обновить программы по созданию инструкций и рекомендаций по снабжению и управлению с учетом прекращения действия CSCP

  Со 2 марта 2020 г. ASD больше не является сертификационным органом и прекращает свою сертификационную деятельность, в том числе действия по повторной сертификации. С 27 июля 2020 г. все письма ASD относительно сертификации и повторной сертификации теряют силу, а Руководство Information Security Manual (ISM) австралийского правительства обновляется: из него удаляются требования относительно выбора облачных сервисов из списка сертифицированных облачных сервисов (CCSL).

  Согласно австралийской стратегии обеспечения безопасности в облаке, органы Содружества могут самостоятельно проводить оценку облачных сервисов с применением практик, которые уже используются для оценки систем ICT.

  Теперь

  27 июля 2020 г. Австралийский центр кибербезопасности (ACSC) и Агентство по цифровой трансформации (DTA) издали новое Руководство по обеспечению безопасности в облаке совместно с представителями отрасли, чтобы поддержать безопасный переход правительственных органов и отраслевых предприятий к использованию облачных сервисов. AWS продолжает проводить оценку IRAP, чтобы обеспечить актуальность оценки и внедрение новых сервисов. Предприятия Содружества будут оставаться ответственными за обеспечение своей безопасности и оценку рисков. Согласно австралийской стратегии обеспечения безопасности в облаке, предприятия Содружества могут самостоятельно проводить оценку облачных сервисов с применением практик, которые уже используются для оценки систем ICT. ASD будет улучшать существующие рекомендации по обеспечению безопасности в облаке путем их согласования с отраслевыми предприятиями. Впоследствии эти рекомендации будут помогать органам Содружества и австралийским предприятиям повышать кибербезопасность и надежность.

  На сегодняшний день ASD разработало для организаций несколько полезных рекомендаций по проведению соответствующей оценки безопасности облачных сервисов. Рекомендуется в любой оценке четко ссылаться на средства обеспечения безопасности в ISM и рекомендации ASD по обеспечению безопасности в облаке, в том числе на следующие:

  • требования к безопасности облачных вычислений;
  • требования к безопасности облачных вычислений для клиентов.

  DTA продолжает поддерживать органы Содружества в использовании австралийской стратегии обеспечения безопасности в облаке, чтобы поддержать их переход к использованию облачных сервисов.
  

• Какие документы IRAP открыты для ознакомления?

  В рамках поддержки австралийских правительственных клиентов мы предоставляем пакет документации и руководства по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS. AWS предоставляет доступ к следующим открытым материалам.

  • Использование AWS в рамках требований правительства Австралии к защите конфиденциальности
  • Новое быстрое начало работы развертывает эталонную архитектуру IRAP PROTECTED в облаке AWS

  Получить пакет IRAP PROTECTED можно с помощью AWS Artifact, портала самообслуживания, который предоставляет доступ по требованию к отчетам AWS о соответствии требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact. Эта информация предоставляет возможность планирования, создания архитектуры и самостоятельной оценки систем, созданных в AWS в соответствии с Австралийской стратегией обеспечения безопасности в облаке. Этот пакет предоставляет клиентам из государственного сектора все необходимое для оценки AWS на уровне PROTECTED и помогает отдельными органам упростить процесс перехода к использованию сервисов AWS. В пакет включена указанная ниже документация:

  • заключение о соответствии требованиям;
  • краткое описание реализации управления;
  • отчет IRAP стадии 2;
  • эталонная архитектура;
  • руководство для потребителя.

  В рамках соглашений по неразглашению информации (при необходимости) доступны следующие дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью инфраструктуры AWS:

  • отчет Service Organisation Controls 1 (SOC 1) Type II;
  • отчет Service Organisation Controls 2 (SOC 2) Type II;
  • сертификация стандарта ISO 27001 и положение о применимости (SoA);
  • аттестат соответствия требованиям PCI и обзор сферы ответственности PCI.

  Инструмент Быстрое начало работы доступен для пользователей, которые намерены создавать облачные рабочие нагрузки, которые используют средства контроля AWS, отвечающие требованиям ISM относительно обработки конфиденциальных государственных данных на уровне грифа секретности PROTECTED. Он автоматически развертывает эталонную архитектуру IRAP PROTECTED в облаке AWS примерно за час. Эталонная архитектура демонстрирует, как объединить несколько сервисов AWS для поддержки многоуровневого веб-приложения со связанными сервисами безопасности и управления, которые отвечают требованиям ISM PROTECTED. Хотя в решении реализованы многие средства управления, описанные в эталонной архитектуре IRAP PROTECTED, в этот инструмент включены не все рекомендованные средства управления. Обязательно выполните инструкции из пакета IRAP PROTECTED, которые доступны в Артефакте AWS, перед использованием этого решения для хранения данных с грифом PROTECTED.

  Подробную информацию о дополнительных отчетах см. в разделе о программах нормативно-правового соответствия AWS.
  

• Кто такие эксперты IRAP?

  Эксперты IRAP – это австралийские ИКТ-специалисты, которые прошли сертификацию Управления радиотехнической обороны и обладают необходимым опытом и навыками в области ИКТ, оценки безопасности и управления рисками, а также углубленными знаниями требований австралийского правительства к информационной безопасности.
  

• Что такое ISM?

  В документе Information Security Manual (ISM), который издан австралийским правительством, описана среда кибербезопасности, которую должны реализовать организации для защиты своих информационных и коммуникационных систем (ICT) от киберугроз. Он дополняет документ Protective Security Policy Framework (PSPF), выпущенный кабинетом генерального прокурора правительства Австралии. ISM и PSPF задают принципы и обязательства для органов Содружества по реализации управления рабочими процессами, протекающими в правительственной ICT‑среде. Кроме того, органы Содружества должны учитывать соответствующие рекомендации, опубликованные специально для них или ими самими.

  В 2017 году агентство Digital Transformation Agency (DTA) совместно с другими государственными органами и промышленными компаниями занималось разработкой стратегии безопасного облака (Secure Cloud Strategy). Стратегия направлена на оказание содействия правительственным учреждениям при использовании облачных технологий.

  ISM публикуется Австралийским центром кибербезопасности (ACSC), главной австралийской организацией по национальной кибербезопасности, которая входит в состав Управления радиотехнической обороны Австралии (ASD).

  Чтобы получить дополнительную информацию о роли ACSC в продвижении и улучшении кибербезопасности в Австралии, посетите веб-страницу с информацией о кибербезопасности на веб-сайте ASD или веб-сайт ACSC.
  

• Соответствует ли AWS требованиям ISM?

  Да, сервисы AWS Cloud прошли тестирование независимого эксперта IRAP на предмет соответствия применимых средств управления ISM. В ходе тестирования была проведена проверка средств управления безопасностью, применимых к сотрудникам, процессам и технологиям компании Amazon. Эта оценка гарантирует, что в отношении имеющихся продуктов AWS обладает соответствующими стандарту ISM средствами управления, наличия которых требуют австралийские правительственные организации для уровня PROTECTED. Чтобы получить дополнительную информацию, можно также перейти к AWS Artifact, чтобы получить пакет IRAP PROTECTED с момента самой новой оценки.
  

• Где можно найти дополнительную информацию о программе IRAP?

  Подробнее см. на веб-странице IRAP веб‑сайта ACSC.
  

• Какие регионы AWS проходят тестирование IRAP?

  Оценка в рамках программы IRAP действует в регионах AWS Сидней и Мельбурн. Список сервисов AWS, на которые распространяется действие программы IRAP, можно найти на веб-странице «Сервисы AWS в программе соответствия требованиям».
  

• Можно ли использовать другие сервисы AWS, не включенные в программу тестирования IRAP?

  Да, при условии соблюдения применимых нормативов, рекомендаций и политик, которые регулируют использование вами облачных сервисов. Если желаемого сервиса нет в списке Сервисов AWS в программе соответствия требованиям, клиенты могут провести оценку своих рабочих процессов с помощью других сервисов AWS.