Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP)

Обзор

IRAP

Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) позволяет австралийским клиентам из числа правительственных организаций убедиться в наличии соответствующих средств управления безопасностью и определить подходящую модель ответственности за соответствие требованиям стандарта Руководства по информационной безопасности (ISM) Австралийского центра кибербезопасности (ACSC).

При приобретении и использовании облачных сервисов решающим фактором остается защита данных австралийских правительственных организаций от несанкционированного доступа, нелегального использования и разглашения. AWS осознает, что для них важна возможность безопасной доставки инфраструктуры AWS и самостоятельного создания безопасных сред на ее основе. AWS помогает клиентам выполнить эти задачи и при доставке сервисов ставит безопасность на первое место, создавая надежную среду управления и предоставляя широкий спектр возможностей и сервисов для обеспечения безопасности. Эти сервисы предоставляют комплексные средства контроля безопасности для ИТ‑среды управления клиента, упрощают управление сервисами для обеспечения безопасности и позволяют повысить уровень безопасности для австралийского правительства.

Облачные сервисы AWS оценены как соответствующие требованиям ISM. Независимый эксперт IRAP проверил средства управления безопасностью AWS, включая сотрудников, процессы и технологию, на соответствие требованиям стандарта ISM. Эта оценка гарантирует, что в отношении имеющихся продуктов AWS обладает соответствующими стандарту ISM средствами управления, наличия которых требуют австралийские правительственные организации для уровня PROTECTED.

  • Каковы результаты прекращения программ CSCP и CCSL?

    В понедельник, 2 марта 2020 г., Управление радиотехнической обороны Австралии (ASD) и Агентство цифровой трансформации (DTA) объявили о результатах проверки программы сертификации облачных сервисов (CSCP) и программы зарегистрированных экспертов по оценке систем информационной безопасности (IRAP). В ходе проверки были даны указанные ниже рекомендации.

    • Закрыть CSCP и создать новые рекомендации по безопасности, разработанные совместно с предприятиями отрасли
    • Расширить и улучшить IRAP
    • Создать правительственные и отраслевые консультационные форумы по кибербезопасности
    • Обновить программы по созданию инструкций и рекомендаций по снабжению и управлению с учетом прекращения действия CSCP

    Со 2 марта 2020 г. ASD больше не является сертификационным органом и прекращает свою сертификационную деятельность, в том числе действия по повторной сертификации. С 27 июля 2020 г. все письма ASD относительно сертификации и повторной сертификации теряют силу, а Руководство Information Security Manual (ISM) австралийского правительства обновляется: из него удаляются требования относительно выбора облачных сервисов из списка сертифицированных облачных сервисов (CCSL).

    Согласно австралийской стратегии обеспечения безопасности в облаке, органы Содружества могут самостоятельно проводить оценку облачных сервисов с применением практик, которые уже используются для оценки систем ICT.

    Теперь

    27 июля 2020 г. Австралийский центр кибербезопасности (ACSC) и Агентство по цифровой трансформации (DTA) издали новое Руководство по обеспечению безопасности в облаке совместно с представителями отрасли, чтобы поддержать безопасный переход правительственных органов и отраслевых предприятий к использованию облачных сервисов. AWS продолжает проводить оценку IRAP, чтобы обеспечить актуальность оценки и внедрение новых сервисов. Предприятия Содружества будут оставаться ответственными за обеспечение своей безопасности и оценку рисков. Согласно австралийской стратегии обеспечения безопасности в облаке, предприятия Содружества могут самостоятельно проводить оценку облачных сервисов с применением практик, которые уже используются для оценки систем ICT. ASD будет улучшать существующие рекомендации по обеспечению безопасности в облаке путем их согласования с отраслевыми предприятиями. Впоследствии эти рекомендации будут помогать органам Содружества и австралийским предприятиям повышать кибербезопасность и надежность.

    На сегодняшний день ASD разработало для организаций несколько полезных рекомендаций по проведению соответствующей оценки безопасности облачных сервисов. Рекомендуется в любой оценке четко ссылаться на средства обеспечения безопасности в ISM и рекомендации ASD по обеспечению безопасности в облаке, в том числе на следующие:

    DTA продолжает поощрять агентства Содружества использовать Австралийскую стратегию обеспечения безопасности в облаке, чтобы поддержать их переход к использованию облачных сервисов.

  • Какие документы IRAP открыты для ознакомления?

    В рамках поддержки австралийских правительственных клиентов мы предоставляем пакет документации и руководства по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS. AWS предоставляет доступ к следующим открытым материалам.

    Получить пакет IRAP PROTECTED можно с помощью AWS Artifact, портала самообслуживания, который предоставляет доступ по требованию к отчетам AWS о соответствии требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact. Эта информация предоставляет возможность планирования, создания архитектуры и самостоятельной оценки систем, созданных в AWS в соответствии с Австралийской стратегией обеспечения безопасности в облаке. Этот пакет предоставляет клиентам из государственного сектора все необходимое для оценки AWS на уровне PROTECTED и помогает отдельными органам упростить процесс перехода к использованию сервисов AWS. В пакет включена указанная ниже документация:

    • заключение о соответствии требованиям;
    • краткое описание реализации управления;
    • отчет IRAP стадии 2;
    • эталонная архитектура;
    • руководство для потребителя.

    В рамках соглашений по неразглашению информации (при необходимости) доступны следующие дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью инфраструктуры AWS:

    • отчет Service Organisation Controls 1 (SOC 1) Type II;
    • отчет Service Organisation Controls 2 (SOC 2) Type II;
    • сертификация стандарта ISO 27001 и положение о применимости (SoA);
    • аттестат соответствия требованиям PCI и обзор сферы ответственности PCI.

    Инструмент Быстрое начало работы доступен для пользователей, которые намерены создавать облачные рабочие нагрузки, которые используют средства контроля AWS, отвечающие требованиям ISM относительно обработки конфиденциальных государственных данных на уровне грифа секретности PROTECTED. Он автоматически развертывает эталонную архитектуру IRAP PROTECTED в облаке AWS примерно за час. Эталонная архитектура демонстрирует, как объединить несколько сервисов AWS для поддержки многоуровневого веб-приложения со связанными сервисами безопасности и управления, которые отвечают требованиям ISM PROTECTED. Хотя в решении реализованы многие средства управления, описанные в эталонной архитектуре IRAP PROTECTED, в этот инструмент включены не все рекомендованные средства управления. Обязательно выполните инструкции из пакета IRAP PROTECTED, которые доступны в Артефакте AWS, перед использованием этого решения для хранения данных с грифом PROTECTED.

    Подробную информацию о дополнительных отчетах см. в разделе Программы соответствия AWS нормативным требованиям.

  • Зачем нужен аккредитованный эксперт IRAP?

    Эксперты IRAP – это специалисты по ICT из Австралии, аккредитованные Управлением радиотехнической обороны Австралии (ASD) в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности в качестве специалистов, обладающих соответствующей квалификацией для оценки соответствия систем информационных и коммуникационных систем (ICT) требованиям Руководства по информационной безопасности (ISM) ASD.

    Оценщики IRAP обладают необходимым опытом и должной квалификацией в сфере ICT, оценки безопасности и управления рисками, а также подробными знаниями требований австралийского правительства к информационной безопасности.

  • Что такое ISM?

    В документе Information Security Manual (ISM), который издан австралийским правительством, описана среда кибербезопасности, которую должны реализовать организации для защиты своих информационных и коммуникационных систем (ICT) от киберугроз. Он дополняет документ Protective Security Policy Framework (PSPF), выпущенный кабинетом генерального прокурора правительства Австралии. ISM и PSPF задают принципы и обязательства для органов Содружества по реализации управления рабочими процессами, протекающими в правительственной ICT‑среде. Кроме того, органы Содружества должны учитывать соответствующие рекомендации, опубликованные специально для них или ими самими.

    В 2017 году агентство Digital Transformation Agency (DTA) совместно с другими государственными органами и промышленными компаниями занималось разработкой стратегии безопасного облака (Secure Cloud Strategy). Стратегия направлена на оказание содействия правительственным учреждениям при использовании облачных технологий.

    ISM публикуется Австралийским центром кибербезопасности (ACSC), главной австралийской организацией по национальной кибербезопасности, которая входит в состав Управления радиотехнической обороны Австралии (ASD).

    Чтобы получить дополнительную информацию о роли ACSC в продвижении и улучшении кибербезопасности в Австралии, посетите веб-страницу по кибербезопасности на веб-сайте ASD или веб-сайт ACSC.

  • Соответствует ли AWS требованиям ISM?

    Да, облачные сервисы AWS оценены независимым оценщиком IRAP. При оценке проводилась проверка средств контроля безопасности в отношении сотрудников компании Amazon, процессов и технологии. Эта оценка гарантирует, что в отношении имеющихся продуктов AWS обладает соответствующими стандарту ISM средствами управления, наличия которых требуют австралийские правительственные организации для уровня PROTECTED. Чтобы получить дополнительную информацию, можно также перейти к AWS Artifact, чтобы получить пакет IRAP PROTECTED с момента самой новой оценки.

  • Где можно найти дополнительную информацию о программе IRAP?

    Подробнее см. на веб-странице IRAP веб‑сайта ACSC.

  • Какие регионы AWS подвергаются оценке в рамках программы IRAP?

    Оценка в рамках программы IRAP действует в регионе AWS Сидней. Список сервисов AWS, на которые распространяется действие программы IRAP, можно найти на веб-странице «Сервисы AWS в программе соответствия требованиям».

  • Можно ли использовать другие сервисы AWS, не включенные в программу оценки IRAP?

    Да, при условии соблюдения применимых нормативов, рекомендаций и политик, которые регулируют использование вами облачных сервисов. Если желаемого сервиса нет в списке Сервисов AWS в программе соответствия требованиям, клиенты могут провести оценку своих рабочих процессов с помощью других сервисов AWS.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »