Я хочу получать информацию об IRAP в облаке

 

 

Соответствие AWS требованиям программы IRAP

При приобретении и использовании облачных сервисов решающим фактором остается защита данных австралийских правительственных организаций от несанкционированного доступа, нелегального использования и разглашения. AWS осознает, что для клиентов важна возможность безопасной доставки инфраструктуры AWS и средств для создавания более безопасных сред. AWS помогает клиентам выполнить эти задачи и при доставке сервисов ставит безопасность на первое место, создавая надежную среду управления и предоставляя широкий спектр возможностей и сервисов для обеспечения безопасности. Эти сервисы предоставляют комплексные средства управления безопасностью для ИТ-среды управления клиента, упрощают управление сервисами для обеспечения безопасности и позволяют повысить уровень безопасности для австралийского правительства.

Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) позволяет австралийским правительственным клиентам убедиться в наличии соответствующих средств управления безопасностью и определить подходящую модель ответственности за соответствие требованиям стандарта Руководства по информационной безопасности (ISM) Управления радиотехнической обороны Австралии (ASD).

Независимый эксперт IRAP проверил средства управления сотрудниками AWS, процессом и технологиями на соответствие требованиям стандарта ISM. Благодаря этой оценке и заключению о соответствии требованиям сертифицирующий орган получает заверение в том, что инфраструктуру AWS можно сертифицировать, и выпускает для аккредитационного органа рекомендации по соответствующему использованию платформы.

Аккредитация агентства является кульминацией процесса оценки IRAP и формальной сертификации ASD, выступающего в качестве сертифицирующего органа от лица австралийского правительства. Эта сертификация гарантирует, что AWS обладает соответствующими стандарту ISM ASD средствами управления безопасностью, и непосредственно предшествует аккредитации AWS для рабочих процессов австралийских правительственных организаций.

Она снимет значительную нагрузку с отдельных агентств или их коммерческих партнеров, которым необходимо провести оценку и сертификацию облачной платформы для своих рабочих процессов, и позволит им сосредоточиться на процессах аккредитации системы.



AWS предоставляет своим клиентам широкий спектр функциональных возможностей для обеспечения безопасности, которые защищают данные в соответствии со средствами управления безопасностью стандарта ISM ASD, инструкциями и политиками учреждения. Мы постоянно перерабатываем средства обеспечения безопасности, предоставляемые нашим клиентам, и регулярно выпускаем обновления существующих решений. Кроме того, мы предоставляем нашим клиентам разнообразную техническую и электронную документацию, а также видео по обеспечению безопасности. Наша общая техническая документация содержит рекомендации по защите данных, которые также применяются к рабочим процессам AWS для австралийских правительственных организаций.

Облако AWS для IRAP

Как я могу использовать документацию и руководства по безопасности IRAP AWS?

Австралийские правительственные клиенты могут использовать сертификацию ASD и заключение независимых экспертов IRAP о соответствии требованиям, чтобы ускорить собственную сертификацию и аккредитацию.

В рамках поддержки австралийских правительственных клиентов мы предоставляем пакет документации и руководства по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS в качестве сертифицированного поставщика облачных сервисов. 

В частности, в рамках соглашения о неразглашении информации (при необходимости) при оценке инфраструктуры AWS на соответствие требованиям стандарта ISM по программе IRAP мы предоставляем государственным организациям и их партнерам следующие документы.

–          Отчет о соответствии AWS требованиям стандарта ISM в рамках программы IRAP

–          Заключение о сертификации ASD платформы с инфраструктурой AWS

-          Заключение о соответствии требованиям ISM в рамках программы IRAP

–          Краткое описание реализации управления

В рамках соглашений по неразглашению информации (при необходимости) доступны следующие дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью инфраструктуры AWS.

–          Отчет Service Organisation Controls 1 (SOC1) II типа

–          Отчет Service Organisation Controls 2 (SOC2) II типа

–          Сертификат ISO 27001 и декларация о применимости

–          Аттестат соответствия требованиям PCI и краткое описание ответственности PCI

Подробную информацию о дополнительных отчетах см. в разделе Вопросы и ответы о соответствии AWS нормативным требованиям.

Чтобы отправить запрос на получение документации AWS по вопросам безопасности, относящейся к клиентам австралийского правительства или организациям, сотрудничающим с австралийским правительством, обратитесь в отдел AWS по продажам и развитию бизнеса или напишите нам по адресу awscompliance@amazon.com.

     

Эксперт IRAP является единственным человеком, аккредитованным в качестве квалифицированного специалиста для выполнения оценки информационно-коммуникационных систем на соответствие требованиям стандарта ISM австралийского правительства. Он описывает области соблюдения и несоблюдения требований, остаточные риски и корректирующие меры, а также дает сертифицирующему органу рекомендации по сертификации.

Оценка IRAP

Краткое описание реализации управления и Отчет IRAP стадии 2 можно получить с помощью AWS Artifact, портала самообслуживания для доступа по требованию к отчетам AWS по вопросам соответствия требованиям. Начните работу с AWS Artifact уже сегодня.

Да. AWS является членом Группы с 31 марта 2015 года. Агентства получают оптимальное соотношение цены и качества по отношению к облачным сервисам и упрощенный процесс закупок, проходящий через предварительно оцененного поставщика и общую договорную базу. Такое упрощение процесса закупок позволяет агентствам двигаться в необходимом для их миссии темпе, чтобы эффективно предоставлять услуги гражданам Австралии.

ISM – это Руководство по информационной безопасности (ISM) австралийского правительства, опубликованное Управлением радиотехнической обороны Австралии (ASD), организацией, входящей в состав Министерства обороны и отвечающей за защиту систем и информации правительства Австралии.

Дополнительную информацию о роли ASD в обеспечении информационной безопасности в Австралии см. на странице http://www.asd.gov.au/about/roleinfosec.htm.

     

Да. AWS прошла проверку независимого эксперта в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности. При оценке проводилась проверка средств управления безопасностью сотрудников компании Amazon, процесса и технологии на их соответствие требованиям стандарта ASD 2014 ISM.

Список сервисов AWS, на которые распространяется действие программы IRAP, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

Нет. Соответствие требованиям стандарта ISM не повышает стоимость сервисов AWS ни в одном регионе.

Перейдите по ссылке: Information Security Manual (ISM)    

Да. Платформа AWS была сертифицирована для неклассифицированных DLM (UD) рабочих процессов сертифицирующим органом, в роли которого выступило Управление радиотехнической обороны Австралии (ASD), и является первым членом в списке сертифицированных облачных сервисов Управления радиотехнической обороны Австралии (CCSL).

Расходы и риски агентств значительно снижаются благодаря тщательной проверке со стороны ASD как сертифицирующего органа, цель которой – определить, что остаточный риск сервисов хорошо понятен и оценен соответствующим образом. Это значительно повышает степень обеспечения безопасности для австралийских правительственных ведомств. При этом снижаются издержки, связанные с такими оценками.

В октябре 2014 года Министерство финансов Австралии и Министерство связи совместно выпустили документ Australian Government Cloud Computing Policy 3.0, что сделало правомочным принцип «преимущество за облаком» при использовании облачных сервисов федеральными правительственными агентствами.

 «Согласно политике правительства Австралии в отношении облачных технологий, государственные учреждения должны внедрять облачные технологии везде, где это целесообразно, обеспечивает адекватную защиту данных и является выгодным с экономической точки зрения».

 ISM является стандартом, который управляет безопасностью государственных систем информационно-коммуникационных технологий (ICT). Он дополняет документ Protective Security Policy Framework (PSPF), выпущенный кабинетом генерального прокурора австралийского правительства. Вместе они составляют руководство по применению соответствующих средств управления безопасностью для работы со всеми вариантами рабочих нагрузок в среде информационно-коммуникационных технологий.

Это соответствует требованиям стандарта ISM, которые применяются для оценки членства поставщиков облачных сервисов в перечне Certified Cloud Services List ASD, содержащем список облачных сервисов, для которых ASD выступает в роли сертифицирующего органа. Сертификация необходима агентствам для того, чтобы аккредитовать рабочие процессы для запуска на облачных сервисах, которые закупаются через группу общеправительственных облачных сервисов Министерства финансов, выступающую в качестве основного средства закупок облачных сервисов для австралийского правительства.

     
Это лица, аккредитованные Управлением радиотехнической обороны Австралии (ASD) в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности в качестве специалистов, обладающих соответствующей квалификацией для проведения оценки соответствия требованиям Руководства по информационной безопасности (ISM) ASD.      

Оценка в рамках программы IRAP и сертификация ASD действует в регионе AWS «Сидней». Тем не менее AWS работает со всеми регионами одинаково с точки зрения средств управления безопасностью, политик и процессов, которые используются при их эксплуатации. Агентства должны оценить свои рабочие процессы и требования бизнеса, чтобы определить, какие регионы AWS использовать.

Да. Клиенты могут оценить свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.      

 

Свяжитесь с нами