Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP)

Обзор

IRAP

Программа зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) позволяет австралийским клиентам из числа правительственных организаций убедиться в наличии соответствующих средств управления безопасностью и определить подходящую модель ответственности за соответствие требованиям стандарта Руководства по информационной безопасности (ISM) Управления радиотехнической обороны Австралии (ASD).

При приобретении и использовании облачных сервисов решающим фактором остается защита данных австралийских правительственных организаций от несанкционированного доступа, нелегального использования и разглашения. AWS осознает, что для клиентов важна возможность безопасной доставки инфраструктуры AWS и самостоятельного создания безопасных сред на ее основе. AWS помогает клиентам выполнить эти задачи и при доставке сервисов ставит безопасность на первое место, создавая надежную среду управления и предоставляя широкий спектр возможностей и сервисов для обеспечения безопасности. Эти сервисы предоставляют комплексные средства контроля безопасности для ИТ-среды управления клиента, упрощают управление сервисами для обеспечения безопасности и позволяют повысить уровень безопасности для австралийского правительства.

AWS соответствует требованиям IRAP. Независимый эксперт IRAP проверил средства управления безопасностью AWS, включая сотрудников, процессы и технологию, на соответствие требованиям стандарта ISM. Благодаря этой оценке и заключению о соответствии требованиям сертифицирующий орган получает заверение в том, что инфраструктуру AWS можно сертифицировать, и выпускает для аккредитационного органа рекомендации по соответствующему использованию платформы.

Аккредитация агентства является кульминацией процесса оценки IRAP и формальной сертификации ASD, выступающего в качестве сертифицирующего органа от лица австралийского правительства. Эта сертификация гарантирует, что AWS обладает соответствующими стандарту ISM средствами управления безопасностью и непосредственно предшествует аккредитации AWS для исполнения рабочих процессов австралийских правительственных организаций.

  • Какие документы IRAP открыты для ознакомления?

    В рамках поддержки австралийских правительственных клиентов мы предоставляем пакет документации и руководства по безопасности для улучшения понимания принципов безопасности и соответствия требованиям при использовании AWS в качестве сертифицированного поставщика облачных сервисов. AWS предоставляет доступ к следующим открытым техническим описаниям.

    Австралийские правительственные клиенты могут использовать сертификацию ASD и заключение независимых экспертов IRAP о соответствии требованиям, чтобы ускорить собственную сертификацию и аккредитацию. В открытом доступе имеются следующие документы.

    Дополнительные документы IRAP можно получить с помощью AWS Artifact, портала самообслуживания, который по требованию предоставляет доступ к отчетам AWS по соответствию требованиям. Войдите в раздел AWS Artifact в Консоли управления AWS или см. подробности на странице Начало работы с AWS Artifact.

    • Краткое описание реализации управления
    • Отчет IRAP стадии 2

    В рамках соглашений по неразглашению информации (при необходимости) доступны следующие дополнительные отчеты, которые оценивают и проверяют средства управления безопасностью инфраструктуры AWS.

    • Отчет Service Organisation Controls 1 (SOC 1) Type II
    • Отчет Service Organisation Controls 2 (SOC 2) Type II
    • Сертификат ISO 27001 и декларация о применимости
    • Аттестат соответствия требованиям PCI и обзор сферы ответственности PCI

    Подробную информацию о дополнительных отчетах см. в разделе Вопросы и ответы по соответствию AWS нормативным требованиям.

  • Зачем нужен аккредитованный эксперт IRAP?

    Эксперты IRAP – это лица, аккредитованные Управлением радиотехнической обороны Австралии (ASD) в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности в качестве специалистов, обладающих соответствующей квалификацией для проведения оценки соответствия данных систем требованиям Руководства по информационной безопасности (ISM) ASD.

    Аккредитованные эксперты IRAP являются единственными лицами, сертифицированными для выполнения оценки соответствия информационно-коммуникационных систем (ICT) требованиям Руководства по информационной безопасности (ISM) правительства Австралии. Аккредитованные эксперты IRAP описывают области, которые соответствуют либо не соответствуют нормативным требованиям, остаточные риски и возможные меры по их устранению, а также дают рекомендации по сертификации сертифицирующему органу правительства Австралии.

  • Что такое ISM?

    ISM – это Руководство по информационной безопасности (ISM) правительства Австралии, опубликованное Управлением радиотехнической обороны Австралии (ASD), организацией, входящей в состав Министерства обороны, миссия которой состоит в защите систем и информации австралийского правительства.

    ISM является стандартом, который управляет безопасностью государственных систем информационно-коммуникационных технологий (ICT) Австралии. Он дополняет документ Protective Security Policy Framework (PSPF), выпущенный кабинетом генерального прокурора правительства Австралии. Вместе, ISM и PSPF задают принципы внедрения соответствующих механизмов контроля для управления любыми рабочими процессами, протекающими в правительственной ICT-среде.

    Соответствие требованиям стандарта ISM обеспечивает поставщику облачных сервисов позицию в перечне Certified Cloud Services List ASD, содержащем список облачных сервисов, для которых ASD выступает в роли сертифицирующего органа. Сертификация необходима агентствам для того, чтобы аккредитовать рабочие процессы для запуска на облачных сервисах, которые закупаются через группу общеправительственных облачных сервисов Министерства финансов, основного механизма закупок облачных сервисов для австралийского правительства.

    В октябре 2014 года Министерство финансов Австралии и Министерство связи совместно выпустили документ Australian Government Cloud Computing Policy 3.0, что сделало правомочным подход «сначала облако» для применения облачных сервисов федеральными правительственными агентствами.

    «Согласно политике правительства Австралии в отношении облачных технологий, государственные учреждения должны внедрять облачные технологии везде, где это целесообразно, обеспечивает адекватную защиту данных и является выгодным с экономической точки зрения».

    Подробную информацию о роли ASD в обеспечении защиты данных см. на странице Information security (InfoSec) role веб-сайта ASD.

    irap_graphics
  • Соответствует ли AWS требованиям ISM?

    Да. AWS прошла проверку независимого эксперта в рамках Программы зарегистрированных экспертов по оценке систем информационной безопасности (IRAP). При оценке проводилась проверка средств контроля безопасности в отношении сотрудников компании Amazon, процессов и технологии на их соответствие требованиям стандарта ASD 2014 ISM. Подробные сведения см. на странице Заключение о соответствии требованиям ISM в рамках программы IRAP сайта AWS.

  • Где можно найти дополнительную информацию о программе IRAP?

    Подробнее см. на странице программы IRAP веб-сайта ASD.

  • Какие регионы AWS подвергаются оценке в рамках программы IRAP?

    Оценка в рамках программы IRAP и сертификация ASD действует в регионе AWS Сидней. Однако с точки зрения средств управления безопасностью, политик и процессов, которые используются при их эксплуатации, AWS работает одинаково со всеми своими регионами. Агентства должны оценивать свои рабочие процессы и требования бизнеса, чтобы определить, какие регионы AWS использовать.

    Список сервисов AWS, которые охвачены действием программы IRAP, можно найти на странице Сервисы AWS в программе соответствия требованиям.

  • Можно ли использовать другие сервисы AWS, не включенные в программу оценки IRAP?

    Да. Если желаемого сервиса нет в списке Сервисов AWS в программе соответствия требованиям, клиенты могут провести оценку своих рабочих процессов с помощью других сервисов AWS.

  • Повышает ли соответствие требованиям стандарта ISM стоимость сервисов AWS?

    Нет, соответствие AWS требованиям стандарта ISM не повышает стоимость сервисов.

  • Входит ли AWS в перечень Certified Cloud Services List, разработанный ASD?

    Да, Управление радиотехнической обороны Австралии (ASD) провело оценку AWS в рамках программы IRAP и выдало платформе правительственный сертификат для незасекреченных рабочих DLM-нагрузок. Подробные сведения см. на странице ASD Certified Cloud Services List (CCSL).

    Правительственные учреждения Австралии могут существенно снизить свои издержки и риски, полагаясь на глубокую компетенцию управления ASD как сертифицирующего органа, способного гарантировать, что остаточные риски используемых сервисов хорошо изучены и соответственно учтены. Это значительно повышает степень обеспечения безопасности для австралийских правительственных ведомств. При этом снижаются издержки, связанные с такими оценками.

  • Является ли AWS членом Группы общеправительственных облачных сервисов Министерства финансов?

    Да. AWS является членом Группы с 31 марта 2015 года. Используя перечень предварительно оцененных поставщиков облачных сервисов и общую структуру договорных отношений, правительственные учреждения получают преимущества упрощенной процедуры закупок и максимальную отдачу от затраченных средств. Такое упрощение процесса закупок позволяет агентствам двигаться в необходимом для их миссии темпе и эффективно предоставлять услуги гражданам Австралии.

compliance-contactus-icon
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »