Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP)
Genel Bakış
Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP), Avustralya hükümeti müşterilerinin, uygun denetimlerin uygulandığını doğrulamasını ve Avustralya Siber Güvenlik Merkezi (ACSC) tarafından oluşturulan Avustralya Hükümeti Bilgi Güvenliği Kılavuzu’ndaki (ISM) gereksinimlere yönelik uygun bir sorumluluk modeli belirlemelerini sağlar.
Bulut hizmetlerini tedarik ederken ve kullanırken dikkat edilmesi gereken en önemli konu Avustralya hükümeti verilerine erişimi, verilere yetkisiz erişimi ve verilerin ifşa edilmesidir. AWS, müşterilerin AWS altyapısının güvenli dağıtımına güvendiğini ve müşterilerin güvenli ortamlar oluşturmasını sağlayan özelliklere sahip olmasının önemini biliyor. AWS, güçlü bir denetim ortamı aracılığıyla ve hizmetlerini sunarken güvenliğe öncelik vererek ve çok çeşitli güvenlik hizmetleri ve özelliklerinin kullanımını sağlayarak müşterilerin bu hedefleri gerçekleştirmelerini sağlıyor.
IRAP tarafından değerlendirilen kapsam dahilindeki AWS Bulut hizmetleri, Uyumluluk Programına Göre Kapsamdaki AWS Hizmetleri bölümünde bulunabilir. Bağımsız bir IRAP denetçisi, ISM'nin gerekliliklerine göre kişiler, süreç ve teknoloji dahil olmak üzere AWS denetimlerini incelemiştir. Bu hizmetleri kullanma hakkında daha fazla bilgi edinmek istiyorsanız ve/veya diğer hizmetlerle ilgileniyorsanız lütfen bize ulaşın.
-
CSCP ve CCSL’nin durdurulmasından bu yana etkisi ne olmuştur?
2 Mart 2020 Pazartesi günü, Avustralya Sinyaller Müdürlüğü (ASD) ve Dijital Dönüşüm Ajansı (DTA), Bulut Hizmetleri Sertifika Programı (CSCP) ve Kayıtlı Bilgi Güvenliği Denetçileri Programı'nın (IRAP) incelenme sonuçlarını açıkladı. İnceleme sonucundan aşağıdaki öneriler yapıldı:
- CSCP’yi kapatın ve sektörle birlikte yeni düzenlenmiş bulut güvenlik yönergeleri oluşturma
- IRAP’yi büyütme ve geliştirme
- Siber güvenlik için Devlet ve Sanayi Danışma Forumlarının kurulması
- CSCP’nin durdurulmasını yansıtmak için Tedarik ve İdari Talimatlar ve Rehberlik teşviklerini güncelleme
2 Mart 2020 itibariyle, ASD artık Sertifika Yetkilisi değildir ve yeniden belgelendirme faaliyetleri de dahil olmak üzere tüm belgelendirme faaliyetlerini durdurmuştur. Tüm ASD sertifikaları ve yeniden sertifikalandırma mektupları 27 Temmuz 2020 tarihinden itibaren geçersiz olacaktır ve Avustralya’nın resmi Bilgi Güvenliği Kılavuzu (ISM), Bulut hizmetlerini Sertifikalı Bulut Hizmetleri Listesi’nden (CCSL) çıkarmak için gereksinimi ortadan kaldıracak şekilde güncellenmiştir.
Avustralya’nın resmi Güvenli Bulut Stratejisi kapsamında, Milletler Topluluğu kurumları, ICT sistemlerini değerlendirmek için zaten kullanılmakta olan uygulamaları kullanarak bulut hizmetlerini kendi kendine değerlendirebilir.
Şimdi ne olacak:
27 Temmuz 2020 tarihinde Avustralya Siber Güvenlik Merkezi (ACSC) ve Dijital Dönüşüm Ajansı (DTA), bulut hizmetlerinin devlet ve sektör genelinde güvenli bir şekilde benimsenmesini desteklemek için sektör ile birlikte tasarlanmış yeni Bulut Güvenlik Rehberliği'ni yayınladı. AWS, değerlendirmenin geçerliliğini korumak ve yeni hizmetler sunmak için IRAP değerlendirmeleri yapmaya devam ediyor. Milletler Topluluğu kurumları kendi güvence ve risk yönetimi faaliyetlerinden sorumlu olmaya devam edecek. Avustralya’nın resmi Güvenli Bulut Stratejisi’ne uygun olarak, Milletler Topluluğu kurumları, ICT sistemlerini değerlendirmek için zaten kullanılmakta olan uygulamaları kullanarak bulut hizmetlerini kendi kendine değerlendirebilir. ASD, sektör ile birlikte oluşturulmuş kılavuzlar geliştirerek mevcut bulut güvenliği rehberliğini genişletecektir. Bu kılavuz, Milletler Topluluğu kuruluşlarına ve Avustralya şirketlerine siber güvenlik ve dayanıklılıklarını artırmalarında yardımcı olacaktır.
Bugüne kadar ASD, kuruluşların bulut hizmetleriyle ilgili uygun güvenlik değerlendirmelerini üstlenmeleri için bir dizi yararlı kılavuz geliştirmiştir. Tüm değerlendirmelerin ISM ve ASD bulut güvenlik kılavuzundaki güvenlik kontrollerini açıkça ele alması önerilir:
DTA, Commonwealth kurumlarının bulut hizmetlerini benimsemesini desteklemek amacıyla onları Avustralya resmi Güvenli Bulut Stratejisi'ni kullanmaya teşvik etmeye devam ediyor.
-
Hangi IRAP belgelerine ulaşabilirim?
Avustralya devleti müşterilerimizi desteklemek için, AWS’yi kullanarak güvenlik ve uyumluluk anlayışınızı geliştirmek amacıyla güvenlik yönergelerinden ve belgelerinden oluşturulmuş bir paket sunarız. AWS, aşağıdaki genel kullanıma sunulmuş materyalleri sağlar:
- Avustralya'da Gizlilik Açısından Dikkat Edilmesi Gerekenler bağlamında AWS'yi kullanma
- Yeni Hızlı Başlangıç, AWS Cloud üzerinde Uyumluluk IRAP KORUMALI Referans Mimarisini dağıtır
AWS uyumluluk raporlarına isteğe bağlı erişim için self servis bir portal olan AWS Artifact aracılığıyla IRAP KORUMALI paketine erişebilirsiniz. AWS Yönetim Konsolu’ndaAWS Artifact’te oturum açın veya AWS Artifact’i Kullanmaya Başlama konusunda daha fazla bilgi edinin. Bu bilgiler, Avustralya resmi Güvenli Bulut Stratejisi kapsamında AWS'de yerleşik sistemleri planlama, tasarlama ve kendi kendine değerlendirme yeteneği sağlar. Bu paket, kamu sektörü müşterilerine AWS’yi KORUMALI düzeyde değerlendirmek için gereken her şeyi sağlar ve her bir ajansın AWS hizmetlerini benimseme sürecini basitleştirmesine yardımcı olur. Paketteki belgeler şunları içerir:
- Mevzuat Uyumluluğu Mektubu
- Denetim Uygulama Özeti;
- IRAP Aşama 2 Raporu;
- Başvuru Amaçlı Sunulan Mimari ve
- Tüketici Kılavuzu.
NDA (gerektiğinde) AWS altyapısı tarafından uygulanan ve denetimleri değerlendirip test eden ve NDA altında mevcut olan (gerektiğinde) ilave raporlar mevcuttur:
- Hizmet Organizasyon Denetimleri 1 (SOC 1) Tip II Raporu;
- Hizmet Organizasyon Denetimleri 2 (SOC 2) Tip II Raporu;
- ISO 27001 Sertifikası ve Uygulanabilirlik Bildirimi ve
- PCI Uyumluluk Onayı ve PCI Sorumluluğu Özeti.
Hızlı Başlangıç, KORUMALI sınıflandırma seviyesinde hassas yönetim veri kullanımı için ISM gereksinimlerini karşılayan AWS kontrol birimlerini kullanan bulut tabanlı iş yükleri oluşturmak isteyen kullanıcılar için kullanıma hazırdır. Bu, AWS Cloud üzerindeki IRAP KORUMALI Referans Mimarisini otomatik olarak yaklaşık bir saatte dağıtır. Referans Mimarisi, ISM KORUMALI gereksinimlerini karşılayan ilgili güvenlik ve yönetim hizmetlerine sahip çok katmanlı web uygulamasını desteklemek için çoklu AWS hizmetlerinin nasıl bir araya getirildiğini gösteriyor. Bu çözüm, IRAP KORUMALI Referans Mimarisi’nde ana hatlarıyla belirtilen çoğu kontrol birimini uygularken, tavsiye edilen kontrol birimlerinin tümü bu Hızlı Başlangıç’ta bulunmamaktadır. KORUMALI verileri depolamak için bu çözümü kullanmadan önce, AWS Artifact üzerinde bulunan IRAP KORUMALI paketindeki kılavuzu izlemeyi unutmayın.
İlave raporlar hakkında daha fazla bilgi için, bkz. AWS Mevzuat Uyumluluğu programları.
-
IRAP Denetçileri kimlerdir?
IRAP denetçileri; güvenlik değerlendirmesi ve risk yönetimi konularında gerekli deneyim ve niteliklere ve Avustralya resmi bilgi güvenliği uyumluluk gereksinimleri hakkında ayrıntılı bilgiye sahip ASD sertifikalı ICT uzmanlarıdır.
-
ISM nedir?
Avustralya hükümeti Bilgi Güvenliği El Kitabı (ISM), kuruluşların bilgi ve iletişim teknolojisi (ICT) sistemlerini siber tehditlerden korumak için başvurabilecekleri bir siber güvenlik çerçevesinin ana hatlarını çizmektedir. Avustralya hükümeti Başsavcı ofisi tarafından oluşturulan Koruyucu Güvenlik Politikası Entegrasyonu'nu (PSPF) tamamlar. ISM ve PSPF, Milletler Topluluğu kurumlarına bir ICT ortamında uygun kontrolleri uygulama konusunda rehberlik ve yükümlülükler sağlar. Ayrıca, Milletler Topluluğu kurumları, kendileri tarafından veya kendileri için özel olarak yayınlanan ilgili kılavuzu göz önünde bulundurmalıdır.
2017'de, Dijital Dönüşüm Kurumu (DTA), Güvenli Bulut Stratejisi'ni geliştirmek için diğer devlet kurumları ve sektör ile birlikte çalıştı. Bu strateji, devlet kurumlarının bulut teknolojisini kullanmasını sağlamaya odaklanmaktadır.
ISM, Avustralya hükümetinin ulusal siber güvenlik konusunda önde gelen kuruluşu ve Avustralya Sinyalleri Müdürlüğü’nün (ASD) bir bölümü olan Avustralya siber güvenlik merkezi (ACSC) tarafından yayınlanmaktadır.
ACSC'nin Avustralya siber güvenliğini geliştirme ve iyileştirmedeki rolü hakkında daha fazla bilgi için, ASD veya ACSC web sitesindeki Siber Güvenlik web sayfasına göz atın.
-
AWS, ISM'nin gereksinimlerini karşılıyor mu?
Evet, AWS Cloud hizmetleri, bağımsız bir IRAP denetçisi tarafından geçerli ISM kontrollerine göre değerlendirilmiştir. Değerlendirmede, Amazon çalışanlarının, sürecinin ve teknolojisinin güvenlik denetimleri incelenmiştir. Bu değerlendirme, AWS’nin yerini aldığı ürünlerle ilgili olarak, KORUMALI seviyedeki Avustralya resmi iş yükleri için gerekli olan geçerli kontrollerin uygulandığına dair güvence sağlar. Daha fazla bilgi için, en son değerlendirmeden IRAP KORUMALI paketine erişmek için AWS Artifact’e gidebilirsiniz.
-
IRAP programı hakkında daha fazla bilgiyi nereden bulabilirim?
Daha fazla bilgi için ACSC web sitesindeki IRAP programı sayfasına bakın.
-
Hangi AWS Bölgeleri ve hizmetleri IRAP Değerlendirmesi kapsamındadır?
IRAP değerlendirmesi, AWS Sydney ve Melbourne Bölgelerindeki kapsam içi hizmetleri kapsamaktadır. IRAP Değerlendirmesi kapsamında bulunan AWS hizmetleri Uygunluk Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunabilir.
-
IRAP Değerlendirmesine dahil olmayan diğer AWS hizmetlerini kullanabilir miyim?
Evet, bulut hizmetlerini kullanımınızı düzenleyen geçerli düzenlemelere, politikalara ve mevzuatlara uyulmasına tabidir. Kullanmak istediğiniz bir hizmet Uygunluk Programı Kapsamındaki AWS Hizmetleri web sayfasında belirtilmemişse iş yüklerinizin diğer AWS hizmetlerine uygunluğunu değerlendirebilirsiniz.
