Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP)

Genel Bakış

IRAP

Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP), Avustralya hükümeti müşterilerinin, uygun denetimlerin uygulandığını doğrulamasını ve Australian Signals Directorate (ASD) tarafından belirlenen Avustralya Hükümeti Bilgi Güvenliği Kılavuzu'ndaki (ISM) gereksinimlere yönelik uygun bir sorumluluk modeli belirlemelerini sağlar.

Bulut hizmetlerini tedarik ederken ve kullanırken dikkat edilmesi gereken en önemli konu Avustralya hükümeti verilerine erişimi, verilerin kötüye kullanımını veya ifşa edilmesini engellemektir. AWS, müşterilerin AWS altyapısının güvenli dağıtımına güvendiğini ve müşterilerin güvenli ortamlar oluşturmasını sağlayan özelliklere sahip olmasının önemini biliyor. AWS, güçlü bir denetim ortamı aracılığıyla ve hizmetlerini sunarken güvenliğe öncelik vererek ve çok çeşitli güvenlik hizmetleri ve özelliklerinin kullanımını sağlayarak müşterilerin bu hedefleri gerçekleştirmelerini sağlıyor. Bu hizmetler, müşterinin BT denetim ortamı üzerinde kapsamlı kontroller sunar, güvenlik hizmetlerinin yönetimini basitleştirir ve Avustralya Hükümetinin gelişmiş güvenlik sonuçları elde etmesini sağlar.

AWS, IRAP mevzuat uyumluluğuna sahiptir. Bağımsız bir IRAP denetçisi, ISM'nin gerekliliklerine yönelik olduğundan emin olmak için kişiler, süreç ve teknoloji dahil olmak üzere AWS denetimlerini incelemiştir. Bu değerlendirme ve Uyumluluk Yazısı, bir Sertifika Yetkilisinin AWS altyapısını tasdiklemek ve platformun uygun kullanımı için bir Akreditasyon Yetkilisine öneride bulunmak için teminat aldığı temellerdir.

Kurum akreditasyonu; IRAP değerlendirmesi ve Avustralya Hükümeti için Sertifika Yetkilisi olan ASD resmi sertifikasının sonucudur. Bu sertifika, AWS'nin ISM tarafından gerekli görülen uygun denetimlere sahip olduğunun ve Avustralya hükümeti iş yükleri için AWS'ye akreditasyon verilmesinin doğrudan öncüsüdür.

  • Hangi IRAP belgelerine ulaşabilirim?

    Avustralya hükümetindeki müşterilerimizi desteklemek için, AWS'yi sertifikalı bir bulut hizmetleri sağlayıcısı olarak kullanırken güvenlik ve uyumluluk anlayışınızı geliştirmek amacıyla güvenlik yönergelerinden ve belgelerinden oluşturulmuş bir paket sunarız. AWS, aşağıdaki genel kullanıma sunulmuş teknik incelemeleri sunar:

    Avustralya hükümeti müşterileri, sertifika ve akreditasyon hedeflerine ulaşmayı hızlandırmak için ASD sertifikamızı ve bağımsız IRAP Denetçileri Uyumluluk Yazımızı kullanabilir. Aşağıdaki belgeler genel kullanıma sunulmuştur:

    İlave IRAP belgeleri, AWS mevzuat uyumluluğu raporlarına isteğe bağlı erişim için self servis portalı olan AWS Artifact kullanılarak müşterilerin kullanımına sunulur. AWS Yönetim Konsolu'nda AWS Artifact'te oturum açın veya AWS Artifact'i Kullanmaya Başlama konusunda daha fazla bilgi edinin.

    • Denetim Uygulama Özeti
    • IRAP Raporu 2. Aşaması

    AWS altyapısı tarafından uygulanan denetimleri değerlendirip test eden ve NDA altında mevcut olan (gerektiğinde) ilave raporlar mevcuttur:

    • Hizmet Organizasyon Denetimleri 1 (SOC 1) Tip II Raporu
    • Hizmet Organizasyon Denetimleri 2 (SOC 2) Tip II Raporu
    • ISO 27001 Sertifikası ve Uygulanabilirlik Bildirimi
    • PCI Uyumluluk Onayı ve PCI Sorumluluğu Özeti

    Hızlı Başlangıç, KORUMALI sınıflandırma seviyesinde hassas yönetim veri kullanımı için ISM gereksinimlerini karşılayan AWS kontrol birimlerini kullanan bulut tabanlı iş yükleri oluşturmak isteyen kullanıcılar için kullanıma hazırdır. Bu, AWS Cloud üzerindeki IRAP KORUMALI Referans Mimarisini otomatik olarak yaklaşık bir saatte dağıtır. Referans Mimarisi, ISM KORUMALI gereksinimlerini karşılayan ilgili güvenlik ve yönetim hizmetlerine sahip çok katmanlı web uygulamasını desteklemek için çoklu AWS hizmetlerinin nasıl bir araya getirildiğini gösteriyor. Bu çözüm, IRAP KORUMALI Referans Mimarisi’nde ana hatlarıyla belirtilen çoğu kontrol birimini uygularken, tavsiye edilen kontrol birimlerinin tümü bu Hızlı Başlangıç’ta bulunmamaktadır. KORUMALI verileri depolamak için bu çözümü kullanmadan önce, AWS Artifact üzerinde bulunan IRAP KORUMALI paketindeki kılavuzu izlemeyi unutmayın. 

    İlave raporlar hakkında daha fazla bilgi için, bkz. AWS Mevzuat Uyumluluğu Hakkında SSS.

  • Neden IRAP resmi onaylı bir denetçiye ihtiyacım var?

    IRAP resmi onaylı denetçiler, Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP) altında Australian Signals Directorate (ASD) tarafından, ASD'nin denetim entegrasyonu olan Bilgi Güvenliği Kılavuzu'na (ISM) göre değerlendirmeye yapmaya nitelikli olarak onaylanan bireylerdir.

    IRAP resmi onaylı denetçiler, Avustralya Hükümeti Bilgi Güvenliği Kılavuzu'na (ISM) göre bilgi ve iletişim teknolojisi (ICT) sistemini değerlendirmeye resmi olarak nitelikli tek bireylerdir. IRAP resmi onaylı denetçi, uyumluluğa tabi olan ve olmayan alanları, artık riskleri ve düzeltme eylemlerini tanımlar, sertifikayla ilgili olarak Sertifika Yetkilisine önerilerde bulunur.

  • ISM nedir?

    ISM, Savunma Bakanlığı bünyesinde Avustralya hükümeti sistemlerini ve bilgilerini koruma görevine sahip bir kurum olan Australian Signals Directorate (ASD) tarafından yayımlanan Avustralya Hükümeti Bilgi Güvenliği Kılavuzu'dur (ISM).

    ISM, Avustralya hükümeti bilgilerini ve iletişim teknolojisi (ICT) sistemlerinin güvenliğini yöneten standarttır. Avustralya Hükümeti Başsavcı ofisi tarafından oluşturulan Koruyucu Güvenlik Politikası Entegrasyonu'nu (PSPF) tamamlar. ISM ve PSPF birlikte, ICT ortamındaki iş yüklerinin tüm sınıflandırmalarını çalıştırmak için uygun denetimleri uygulama yönergeleri sağlar.

    ISM uyumluluğu, bir bulut hizmeti sağlayıcısının, ASD'nin sertifika yetkilisi olduğu bulut hizmetleri listesi olan ASD Sertifikalı Bulut Hizmetleri Listesi'ne üyeliğini denetlemek için kullanılır. Finans Bakanlığı'nın tüm hükümeti kapsayan Bulut Hizmetleri Paneli aracılığıyla Avustralya hükümetine sağlanan bulut hizmetleri için birincil tedarik aracı olarak tedarik edilen bulut hizmetlerinde iş yüklerini çalıştırmak için onay almak isteyen kurumlara sertifika gereklidir.

    2017'de, Dijital Dönüşüm Kurumu (DTA), Güvenli Bulut Stratejisi'ni geliştirmek için diğer devlet kurumları ve sektörleriyle çalıştı. Bu strateji, devlet kurumlarının bulut teknolojisini kullanmasını sağlamaya odaklanmaktadır.

    ASD'nin Avustralya bilgi güvenliğini korumadaki rolü hakkında daha fazla bilgi için, ASD web sitesindeki Bilgi Güvenliği (InfoSec) rolüne bakın.

    irap_graphics
  • AWS, ISM'nin gereksinimlerini karşılıyor mu?

    Evet. AWS, Bilgi Güvenliği Kayıtlı Denetçiler Programı'ndan (IRAP) bağımsız bir denetçi tarafından denetlendi. Değerlendirmede, ASD 2014 ISM gerekliliklerini karşıladıklarından emin olmak için Amazon çalışanlarının, sürecinin ve teknolojisinin güvenlik denetimleri incelenmiştir. Daha fazla bilgi için, AWS web sitesindeki IRAP ISM Uyumluluk Yazısı'na bakın.

  • IRAP programı hakkında daha fazla bilgiyi nereden bulabilirim?

    Daha fazla bilgi için, ASD web sitesindeki IRAP programı sayfasına bakın.

  • Hangi AWS Bölgeleri ve hizmetleri IRAP Değerlendirmesi kapsamındadır?

    IRAP değerlendirmesi ve ASD Sertifikası, AWS Sidney Bölgesi'ni kapsar. Ancak, AWS altyapıyı çalıştırmak için kullanılan denetimler, politikalar ve süreçler açısından tüm AWS Bölgelerine eşit davranır. Kurumların hangi AWS Bölgesini kullanacağını belirlemek için iş yüklerini ve iş ihtiyaçlarını değerlendirmesi gerekir.

    IRAP Değerlendirmesi kapsamında bulunan AWS hizmetleri Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunabilir.

  • IRAP Değerlendirmesine dahil olmayan diğer AWS hizmetlerini kullanabilir miyim?

    Evet. Kullanmak istediğiniz bir hizmet Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında belirtilmemişse, iş yüklerinizin diğer AWS hizmetlerine uyumluluğunu değerlendirebilirsiniz.

  • ISM uyumluluğu AWS hizmet maliyetlerini artırır mı?

    Hayır, AWS'nin ISM ile uyumluluğu hizmet maliyetlerinde artışa neden olmaz.

  • AWS, ASD Sertifikalı Bulut Hizmetleri Listesi'nde yer alıyor mu?

    Evet, Australian Signals Directorate (ASD) AWS üzerinde IRAP Değerlendirmesi yapmış ve KORUMALI ve Sınıflandırılmamış DLM iş yükleri için ASD Sertifikası vermiştir. Daha fazla bilgi için bkz. ASD Sertifikalı Bulut Hizmetleri Listesi (CCSL).

    Avustralya hükümeti kurumları, hizmetlerin artık risklerinin iyi anlaşıldığından ve uygun şekilde değerlendirildiğinden emin olmak için ASD'nin Sertifika Yetkilisi olarak sahip olduğu kapsamlı uzmanlığa güvenerek maliyetlerini ve risklerini büyük ölçüde azaltabilir. Bu durum, Avustralya hükümeti bakanlıklarının güvenliğinin büyük ölçüde iyileşmesini sağlarken bu tür değerlendirmelerle ilişkili maliyetlerini azaltır.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »