Соответствие требованиям IRAP

При приобретении и использовании облачных сервисов решающим фактором остается защита данных австралийских правительственных организаций от несанкционированного доступа, нелегального использования и разглашения. AWS осознает, что для клиентов важна возможность безопасной доставки инфраструктуры AWS и средств для создавания более безопасных сред. AWS помогает клиентам выполнить эти задачи и при доставке сервисов ставит безопасность на первое место, создавая надежную среду управления и предоставляя широкий спектр возможностей и сервисов для обеспечения безопасности. Эти сервисы предоставляют комплексные средства управления безопасностью для ИТ-среды управления клиента, упрощают управление сервисами для обеспечения безопасности и позволяют повысить уровень безопасности для австралийского правительства.

Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) позволяет австралийским правительственным клиентам убедиться в наличии соответствующих средств управления безопасностью и определить подходящую модель ответственности за соответствие требованиям стандарта Руководства по информационной безопасности (ISM) Управления радиотехнической обороны Австралии (ASD).

Независимый эксперт IRAP проверил средства управления сотрудниками AWS, процессом и технологиями на соответствие требованиям стандарта ISM. Благодаря этой оценке и заключению о соответствии требованиям сертифицирующий орган получает заверение в том, что инфраструктуру AWS можно сертифицировать, и выпускает для аккредитационного органа рекомендации по соответствующему использованию платформы.

Аккредитация агентства является кульминацией процесса оценки IRAP и формальной сертификации ASD, выступающего в качестве сертифицирующего органа от лица австралийского правительства. Эта сертификация гарантирует, что AWS обладает соответствующими стандарту ISM ASD средствами управления безопасностью, и непосредственно предшествует аккредитации AWS для рабочих процессов австралийских правительственных организаций.

Она снимет значительную нагрузку с отдельных агентств или их коммерческих партнеров, которым необходимо провести оценку и сертификацию облачной платформы для своих рабочих процессов, и позволит им сосредоточиться на процессах аккредитации системы.

AWS является ключевым партнером компании Healthdirect Australia. Соответствие требованиям стандарта ISM означает, что мы можем везде и всегда предоставить всем гражданам Австралии более безопасный доступ к информации по вопросам состояния их здоровья. »

Команда We Feel получает текущее финансирование от CSIRO и использует AWS для анализа сотен миллионов публикаций в Twitter, прежде чем опубликовать результаты на своем веб-сайте. В результате удается получить невероятно подробное представление об эмоциональном состоянии разнообразных и многочисленных демографических групп. Посетители веб-сайта могут изучить зависимость результатов от пола, местоположения и эмоционального состояния. В настоящее время имеется шесть основных эмоциональных категорий, от радости до страха, а также подкатегории, соответствующие более тонким эмоциональным состояниям, например оптимизму или волнению. »

«Масштабируемость AWS чрезвычайно полезна, – говорит доцент Винсен. – Я могу добавлять ресурсы в нужном объеме без каких-либо проблем. Использование AWS позволяет нам каждый месяц обрабатывать свыше 150 ГБ фотографий неба и сохранять более 400 ГБ изображений». »

«Требуется только создать один популярный курс, и количество пользователей, входящих в систему, может вырасти хоть до 100 000. Используя AWS, мы готовы адаптироваться к такому росту». »

«Речь идет не просто о почасовой оплате инфраструктуры. Это принципиально новый способ работы, который идеально соответствует нашему новому подходу и принципу непрерывной доставки». »

Как защитить данные в AWS?

AWS предоставляет своим клиентам широкий спектр функциональных возможностей для обеспечения безопасности, которые защищают данные в соответствии со средствами управления безопасностью стандарта ISM ASD, инструкциями и политиками учреждения. Мы постоянно перерабатываем средства обеспечения безопасности, предоставляемые нашим клиентам, и регулярно выпускаем обновления существующих решений. Кроме того, мы предоставляем нашим клиентам разнообразную техническую и электронную документацию, а также видео по обеспечению безопасности. Наша общая техническая документация содержит рекомендации по защите данных, которые также применяются к рабочим процессам AWS для австралийских правительственных организаций.

Как я могу использовать документацию и руководства по безопасности IRAP AWS?

Как я могу использовать документацию и руководства по безопасности IRAP AWS?

Австралийские правительственные клиенты могут использовать сертификацию ASD и заключение независимых экспертов IRAP о соответствии требованиям, чтобы ускорить собственную сертификацию и аккредитацию.

В рамках поддержки австралийских правительственных клиентов мы предоставляем пакет документации и руководства по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS в качестве сертифицированного поставщика облачных сервисов.

В частности, в рамках соглашения о неразглашении информации (при необходимости) при оценке инфраструктуры AWS на соответствие требованиям стандарта ISM по программе IRAP мы предоставляем государственным организациям и их партнерам следующие документы.

– Отчет о соответствии AWS требованиям стандарта ISM в рамках программы IRAP

– Заключение о сертификации ASD платформы с инфраструктурой AWS

- Заключение о соответствии требованиям ISM в рамках программы IRAP

– Краткое описание реализации управления

В рамках соглашений по неразглашению информации (при необходимости) доступны следующие дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью инфраструктуры AWS.

– Отчет Service Organisation Controls 1 (SOC1) II типа

– Отчет Service Organisation Controls 2 (SOC2) II типа

– Сертификат ISO 27001 и декларация о применимости

– Аттестат соответствия требованиям PCI и краткое описание ответственности PCI

Подробную информацию о дополнительных отчетах см. в разделе Вопросы и ответы о соответствии AWS нормативным требованиям.

Чтобы отправить запрос на получение документации AWS по вопросам безопасности, относящейся к клиентам австралийского правительства или организациям, сотрудничающим с австралийским правительством, обратитесь в отдел AWS по продажам и развитию бизнеса или напишите нам по адресу awscompliance@amazon.com.

Зачем нужен аккредитованный эксперт IRAP?

Эксперт IRAP является единственным человеком, аккредитованным в качестве квалифицированного специалиста для выполнения оценки информационно-коммуникационных систем на соответствие требованиям стандарта ISM австралийского правительства. Он описывает области соблюдения и несоблюдения требований, остаточные риски и корректирующие меры, а также дает сертифицирующему органу рекомендации по сертификации.

Какие пакеты и документы IRAP доступны для предоставления клиентам?

Контроль документов	Документация	Пакет федерального агентства	Пакет SLED	Партнер AWS
DRM	Отчет IRAP стадии 2	X
DRM	Отчет о сертификации ASD	X
Публичный	Заключение о сертификации ASD	X	X	X
Публичный	Заключение о соответствии требованиям ISM в рамках программы IRAP	X	X	X
DRM	Краткое описание реализации управления	X	X	X

Какой пакет соответствия требованиям необходим?

Пакет федерального агентства необходим служащим федерального правительства или авторизованным правительством подрядчикам, которые должны проводить формальную аккредитацию на основе сертификации ASD и в дальнейшем знать, каким образом AWS обращается с применимыми средствами управления безопасностью стандарта ISM.
Пакет SLED предназначен для государственных или местных органов власти и государственных образовательных организаций, которые для обеспечения информационной безопасности опираются на федеральное правительство и на документацию Protective Security Policy Framework (PSPF), а также на руководства по управлению рисками.
Пакет партнера AWS предназначен для тех партнеров, которые хотят создавать приложения на базе AWS для использования федеральным правительством и которым нужно четко понимать, какие средства управления безопасностью они наследуют и за какие средства отвечают.

Каким образом распространяются эти документы?

· Публичные документы отсылаются по электронной почте или размещаются на этом сайте в открытом доступе.

· Документы, подпадающие под требования соглашения о неразглашении информации, отсылаются по электронной почте в виде защищенных паролем вложений в формате Adobe PDF, после подтверждения подписания данного соглашения. Для доступа к таким документам требуется Adobe Reader 9.0 или более поздней версии.

· Документы DRM строго контролируются с помощью управления цифровыми правами менеджера Adobe LiveCycle. Чтобы открыть такой документ, требуется Adobe Reader 9.0 или более поздней версии. Обычно они защищены от копирования содержимого и доступны для просмотра в течение определенного периода времени только тем лицам, которые их запросили.

Каковы требования доступа для этих документов?

Для всех пакетов необходимы соответствующие соглашения о неразглашении информации между организацией и AWS. Для запросов от подрядчиков, проводящих оценку безопасности для аккредитации от имени федеральных правительственных агентств или SLED, также потребуется письменное разрешение от представителя правительства по вопросам безопасности с санкцией на предоставление доступа.

Какая доступная дополнительная документация позволяет удостовериться в том, что рабочие процессы австралийских правительственных организаций можно запускать на базе AWS?

См. техническое описание AWS Risk and Compliance

наряду с сертификатами и отчетами AWS, которые можно найти на странице программ соответствия требованиям. Все эти материалы подтверждают масштаб и глубину применения средств управления и контроля, которые AWS внедряет по всему миру. Также следует отметить, что AWS обладает правом на использование (ATO) в рамках Федеральной программы управления рисками и авторизацией (FedRAMP) правительства США, где средства управления безопасностью взяты из документа NIST800-53Rev4. Эти обширные и общедоступные средства управления безопасностью могут дать клиенту дополнительную уверенность в наличии гарантий высокого уровня при запуске рабочих процессов в AWS.

Доступны дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью, реализованные инфраструктурой AWS.

– Отчет Service Organisation Controls 1 (SOC1) II типа

– Отчет Service Organisation Controls 2 (SOC2) II типа

o Доступность SOC2

o Обеспечение безопасности SOC2

– Service Organisation Controls 3 (SOC3)

– Сертификат ISO 27001 и декларация о применимости

– Аттестат соответствия требованиям PCI и краткое описание ответственности PCI

– Краткое описание средств управления безопасностью AWS

Чтобы отправить запрос на получение документации AWS по вопросам соответствия требованиям, обратитесь в отдел AWS по продажам и развитию бизнеса или напишите нам по адресу awscompliance@amazon.com.

Является ли AWS членом Группы общеправительственных облачных сервисов Министерства финансов?

Да. AWS является членом Группы с 31 марта 2015 года. Агентства получают оптимальное соотношение цены и качества по отношению к облачным сервисам и упрощенный процесс закупок, проходящий через предварительно оцененного поставщика и общую договорную базу. Такое упрощение процесса закупок позволяет агентствам двигаться в необходимом для их миссии темпе, чтобы эффективно предоставлять услуги гражданам Австралии.

Что такое ISM?

ISM – это Руководство по информационной безопасности (ISM) австралийского правительства, опубликованное Управлением радиотехнической обороны Австралии (ASD), организацией, входящей в состав Министерства обороны и отвечающей за защиту систем и информации правительства Австралии.

Дополнительную информацию о роли ASD в обеспечении информационной безопасности в Австралии см. на странице http://www.asd.gov.au/about/roleinfosec.htm.

Соответствует ли AWS требованиям стандарта ISM?

Да. AWS прошла проверку независимого эксперта в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности. При оценке проводилась проверка средств управления безопасностью сотрудников компании Amazon, процесса и технологии на их соответствие требованиям стандарта ASD 2014 ISM.

Где можно найти дополнительную информацию о программе IRAP?

http://www.asd.gov.au/infosec/irap/index.htm

Какие сервисы AWS подвергаются оценке в рамках программы IRAP?

Список сервисов AWS, на которые распространяется действие программы IRAP, можно найти на странице Сервисы AWS в программе соответствия требованиям. Чтобы подробнее узнать об использовании этих сервисов и/или задать вопросы о других сервисах, свяжитесь с нами.

Повышает ли соответствие требованиям стандарта ISM стоимость сервисов AWS?

Нет. Соответствие требованиям стандарта ISM не повышает стоимость сервисов AWS ни в одном регионе.

Где можно найти стандарт ISM?

Перейдите по ссылке: Information Security Manual (ISM)

Присутствует ли AWS в списке сертифицированных облачных сервисов Управления радиотехнической обороны Австралии?

Да. Платформа AWS была сертифицирована для неклассифицированных DLM (UD) рабочих процессов сертифицирующим органом, в роли которого выступило Управление радиотехнической обороны Австралии (ASD), и является первым членом в списке сертифицированных облачных сервисов Управления радиотехнической обороны Австралии (CCSL).

Расходы и риски агентств значительно снижаются благодаря тщательной проверке со стороны ASD как сертифицирующего органа, цель которой – определить, что остаточный риск сервисов хорошо понятен и оценен соответствующим образом. Это значительно повышает степень обеспечения безопасности для австралийских правительственных ведомств. При этом снижаются издержки, связанные с такими оценками.

Почему стандарт ISM так важен?

В октябре 2014 года Министерство финансов Австралии и Министерство связи совместно выпустили документ Australian Government Cloud Computing Policy 3.0, что сделало правомочным принцип «преимущество за облаком» при использовании облачных сервисов федеральными правительственными агентствами.

«Согласно политике правительства Австралии в отношении облачных технологий, государственные учреждения должны внедрять облачные технологии везде, где это целесообразно, обеспечивает адекватную защиту данных и является выгодным с экономической точки зрения».

ISM является стандартом, который управляет безопасностью государственных систем информационно-коммуникационных технологий (ICT). Он дополняет документ Protective Security Policy Framework (PSPF), выпущенный кабинетом генерального прокурора австралийского правительства. Вместе они составляют руководство по применению соответствующих средств управления безопасностью для работы со всеми вариантами рабочих нагрузок в среде информационно-коммуникационных технологий.

Это соответствует требованиям стандарта ISM, которые применяются для оценки членства поставщиков облачных сервисов в перечне Certified Cloud Services List ASD, содержащем список облачных сервисов, для которых ASD выступает в роли сертифицирующего органа. Сертификация необходима агентствам для того, чтобы аккредитовать рабочие процессы для запуска на облачных сервисах, которые закупаются через группу общеправительственных облачных сервисов Министерства финансов, выступающую в качестве основного средства закупок облачных сервисов для австралийского правительства.

Кто такие аккредитованные эксперты IRAP?

Это лица, аккредитованные Управлением радиотехнической обороны Австралии (ASD) в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности в качестве специалистов, обладающих соответствующей квалификацией для проведения оценки соответствия требованиям Руководства по информационной безопасности (ISM) ASD.

На какие регионы AWS это распространяется?

Оценка в рамках программы IRAP и сертификация ASD действует в регионе AWS «Сидней». Тем не менее AWS работает со всеми регионами одинаково с точки зрения средств управления безопасностью, политик и процессов, которые используются при их эксплуатации. Агентства должны оценить свои рабочие процессы и требования бизнеса, чтобы определить, какие регионы AWS использовать.

Можно ли использовать другие сервисы?

Да. Клиенты могут оценить свои рабочие процессы с точки зрения целесообразности применения других сервисов AWS. Для получения подробной информации о средствах управления безопасностью и для обсуждения рисков свяжитесь с отделом AWS по продажам и развитию бизнеса.

Где можно найти заключение независимых аудиторов IRAP о соответствии AWS требованиям?

Заключение о соответствии требованиям ISM в рамках программы IRAP

Ресурсы по соответствию требованиям IRAP

Хотите получать дополнительную информацию о соответствии AWS требованиям IRAP?

Свяжитесь с нами