Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP)

Обзор

IRAP

Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) позволяет австралийским клиентам из числа правительственных организаций убедиться в наличии соответствующих средств управления безопасностью и определить подходящую модель ответственности за соответствие требованиям стандарта Руководства по информационной безопасности (ISM) Управления радиотехнической обороны Австралии (ASD).

При приобретении и использовании облачных сервисов решающим фактором остается защита данных австралийских правительственных организаций от несанкционированного доступа, нелегального использования и разглашения. AWS осознает, что для клиентов важна возможность безопасной доставки инфраструктуры AWS и самостоятельного создания безопасных сред на ее основе. AWS помогает клиентам выполнить эти задачи и при доставке сервисов ставит безопасность на первое место, создавая надежную среду управления и предоставляя широкий спектр возможностей и сервисов для обеспечения безопасности. Эти сервисы предоставляют комплексные средства контроля безопасности для ИТ‑среды управления клиента, упрощают управление сервисами для обеспечения безопасности и позволяют повысить уровень безопасности для австралийского правительства.

AWS соответствует требованиям IRAP. Независимый эксперт IRAP проверил средства управления безопасностью AWS, включая сотрудников, процессы и технологию, на соответствие требованиям стандарта ISM. Благодаря этой оценке и заключению о соответствии требованиям сертифицирующий орган получает заверение в том, что инфраструктуру AWS можно сертифицировать, и выпускает для аккредитационного органа рекомендации по соответствующему использованию платформы.

Аккредитация агентства является кульминацией процесса оценки IRAP и формальной сертификации ASD, выступающего в качестве сертифицирующего органа от лица австралийского правительства. Эта сертификация гарантирует, что AWS обладает соответствующими стандарту ISM средствами управления безопасностью и непосредственно предшествует аккредитации AWS для исполнения рабочих процессов австралийских правительственных организаций.

  • Какие документы IRAP открыты для ознакомления?

    В рамках поддержки австралийских правительственных клиентов мы предоставляем пакет документации и руководства по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS в качестве сертифицированного поставщика облачных сервисов. AWS предоставляет доступ к следующим открытым техническим описаниям.

    Австралийские правительственные клиенты могут использовать сертификацию ASD и заключение независимых экспертов IRAP о соответствии требованиям, чтобы ускорить собственную сертификацию и аккредитацию. В открытом доступе имеются следующие документы.

    Дополнительные документы IRAP можно получить с помощью AWS Artifact, портала самообслуживания, который по требованию предоставляет доступ к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

    • Краткое описание реализации управления
    • Отчет IRAP стадии 2

    В рамках соглашений по неразглашению информации (при необходимости) доступны следующие дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью инфраструктуры AWS.

    • Отчет Service Organisation Controls 1 (SOC 1) Type II
    • Отчет Service Organisation Controls 2 (SOC 2) Type II
    • Сертификат ISO 27001 и декларация о применимости
    • Аттестат соответствия требованиям PCI и обзор сферы ответственности PCI

    Инструмент Быстрое начало работы доступен для пользователей, которые намерены создавать облачные рабочие нагрузки, которые используют средства контроля AWS, отвечающие требованиям ISM относительно обработки конфиденциальных государственных данных на уровне грифа секретности PROTECTED. Он автоматически развертывает эталонную архитектуру IRAP PROTECTED в облаке AWS примерно за час. Эталонная архитектура демонстрирует, как объединить несколько сервисов AWS для поддержки многоуровневого веб-приложения со связанными сервисами безопасности и управления, которые отвечают требованиям ISM PROTECTED. Хотя в решении реализованы многие средства управления, описанные в эталонной архитектуре IRAP PROTECTED, в этот инструмент включены не все рекомендованные средства управления. Обязательно выполните инструкции из пакета IRAP PROTECTED, которые доступны в Артефакте AWS, перед использованием этого решения для хранения данных с грифом PROTECTED. 

    Подробную информацию о дополнительных отчетах см. в разделе Вопросы и ответы по соответствию AWS нормативным требованиям.

  • Зачем нужен аккредитованный эксперт IRAP?

    Эксперты IRAP – это лица, аккредитованные Управлением радиотехнической обороны Австралии (ASD) в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности в качестве специалистов, обладающих соответствующей квалификацией для проведения оценки соответствия данных систем требованиям Руководства по информационной безопасности (ISM) ASD.

    Аккредитованные эксперты IRAP являются единственными лицами, сертифицированными для выполнения оценки соответствия информационно‑коммуникационных систем (ICT) требованиям Руководства по информационной безопасности (ISM) правительства Австралии. Аккредитованные эксперты IRAP описывают области, которые соответствуют либо не соответствуют нормативным требованиям, остаточные риски и возможные меры по их устранению, а также дают рекомендации по сертификации сертифицирующему органу правительства Австралии.

  • Что такое ISM?

    ISM – это Руководство по информационной безопасности (ISM) правительства Австралии, опубликованное Управлением радиотехнической обороны Австралии (ASD), организацией, входящей в состав Министерства обороны, миссия которой состоит в защите систем и информации австралийского правительства.

    ISM является стандартом, который управляет безопасностью государственных систем информационно‑коммуникационных технологий (ICT) Австралии. Он дополняет документ Protective Security Policy Framework (PSPF), выпущенный кабинетом генерального прокурора правительства Австралии. Вместе, ISM и PSPF задают принципы внедрения соответствующих механизмов контроля для управления любыми рабочими процессами, протекающими в правительственной ICT‑среде.

    Соответствие требованиям стандарта ISM обеспечивает поставщику облачных сервисов позицию в перечне Certified Cloud Services List ASD, содержащем список облачных сервисов, для которых ASD выступает в роли сертифицирующего органа. Сертификация необходима агентствам для того, чтобы аккредитовать рабочие процессы для запуска на облачных сервисах, которые закупаются через группу общеправительственных облачных сервисов Министерства финансов. Это основной механизм закупок облачных сервисов для австралийского правительства.

    В 2017 году агентство Digital Transformation Agency (DTA) совместно с другими государственными органами и промышленными компаниями занималось разработкой стратегии безопасного облака (Secure Cloud Strategy). Стратегия направлена на оказание содействия правительственным учреждениям при использовании облачных технологий.

    Подробную информацию о роли ASD в обеспечении защиты данных в Австралии см. на странице Information security (InfoSec) role веб‑сайта ASD.

    irap_graphics
  • Соответствует ли AWS требованиям ISM?

    Да. AWS прошла проверку независимого эксперта в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности (IRAP). При оценке проводилась проверка средств контроля безопасности в отношении сотрудников компании Amazon, процессов и технологии на их соответствие требованиям стандарта ASD 2014 ISM. Подробные сведения см. на странице Заключение о соответствии требованиям ISM в рамках программы IRAP сайта AWS.

  • Где можно найти дополнительную информацию о программе IRAP?

    Подробнее см. на странице программы IRAP веб‑сайта ASD.

  • Какие регионы AWS подвергаются оценке в рамках программы IRAP?

    Оценка в рамках программы IRAP и сертификация ASD действует в регионе AWS Сидней. Однако с точки зрения средств управления безопасностью, политик и процессов, которые используются при их эксплуатации, AWS работает одинаково со всеми своими регионами. Агентства должны оценивать свои рабочие процессы и требования бизнеса, чтобы определить, какие регионы AWS использовать.

    Список сервисов AWS, которые охвачены действием программы IRAP, можно найти на странице Сервисы AWS в программе соответствия требованиям.

  • Можно ли использовать другие сервисы AWS, не включенные в программу оценки IRAP?

    Да. Если желаемого сервиса нет в списке Сервисов AWS в программе соответствия требованиям, клиенты могут провести оценку своих рабочих процессов с помощью других сервисов AWS.

  • Повышает ли соответствие требованиям стандарта ISM стоимость сервисов AWS?

    Нет, соответствие AWS требованиям стандарта ISM не повышает стоимость сервисов.

  • Входит ли AWS в перечень Certified Cloud Services List, разработанный ASD?

    Да, Управление радиотехнической обороны Австралии (ASD) провело оценку AWS в рамках программы IRAP и выдало платформе правительственный сертификат для ЗАЩИЩЕННЫХ и незасекреченных рабочих DLM‑нагрузок. Подробные сведения см. на странице ASD Certified Cloud Services List (CCSL).

    Правительственные учреждения Австралии могут существенно снизить свои издержки и риски, полагаясь на глубокую компетенцию управления ASD как сертифицирующего органа, способного гарантировать, что остаточные риски используемых сервисов хорошо изучены и соответственно учтены. Это значительно повышает степень обеспечения безопасности для австралийских правительственных ведомств. При этом снижаются издержки, связанные с такими оценками.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »