Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP)

Genel Bakış

IRAP

Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP), Avustralya hükümeti müşterilerinin, uygun denetimlerin uygulandığını doğrulamasını ve Avustralya Siber Güvenlik Merkezi (ACSC) tarafından oluşturulan Avustralya Hükümeti Bilgi Güvenliği Kılavuzu’ndaki (ISM) gereksinimlere yönelik uygun bir sorumluluk modeli belirlemelerini sağlar.

Bulut hizmetlerini tedarik ederken ve kullanırken dikkat edilmesi gereken en önemli konu Avustralya hükümeti verilerine erişimi, verilere yetkisiz erişimi ve verilerin ifşa edilmesidir. AWS, müşterilerin AWS altyapısının güvenli dağıtımına güvendiğini ve müşterilerin güvenli ortamlar oluşturmasını sağlayan özelliklere sahip olmasının önemini biliyor. AWS, güçlü bir denetim ortamı aracılığıyla ve hizmetlerini sunarken güvenliğe öncelik vererek ve çok çeşitli güvenlik hizmetleri ve özelliklerinin kullanımını sağlayarak müşterilerin bu hedefleri gerçekleştirmelerini sağlıyor. Bu hizmetler, müşterinin IT denetim ortamı üzerinde kapsamlı kontroller sunar, güvenlik hizmetlerinin yönetimini basitleştirir ve Avustralya Hükümeti’nin gelişmiş güvenlik sonuçları elde etmesini sağlar.

AWS Cloud hizmetleri ISM’ye uyumlu olarak değerlendirilmiştir. Bağımsız bir IRAP denetçisi, ISM’nin gerekliliklerine yönelik olduğundan emin olmak için kişiler, süreç ve teknoloji dahil olmak üzere AWS denetimlerini incelemiştir. Bu değerlendirme, AWS’nin yerini aldığı ürünlerle ilgili olarak, KORUNAN seviyedeki Avustralya hükümet iş yükleri için gerekli olan geçerli kontrollerin uygulandığına dair güvence sağlar.

  • CSCP ve CCSL’nin durdurulmasından bu yana etkisi ne olmuştur?

    2 Mart 2020 Pazartesi günü, Avustralya Sinyalleri Müdürlüğü (ASD) ve Dijital Dönüşüm Ajansı (DTA), Bulut Hizmetleri Sertifika Programı (CSCP) ve Kayıtlı Bilgi Güvenliği Denetçileri Programı’nın (IRAP) incelenme sonuçlarını açıkladı. İnceleme sonucundan aşağıdaki öneriler yapıldı:

    • CSCP’yi kapatın ve sektörle birlikte yeni düzenlenmiş bulut güvenlik yönergeleri oluşturma
    • IRAP’yi büyütme ve geliştirme
    • Siber güvenlik için Devlet ve Sanayi Danışma Forumlarının kurulması
    • CSCP’nin durdurulmasını yansıtmak için Tedarik ve İdari Talimatlar ve Rehberlik teşviklerini güncelleme

    2 Mart 2020 itibariyle, ASD artık Sertifika Yetkilisi değildir ve yeniden belgelendirme faaliyetleri de dahil olmak üzere tüm belgelendirme faaliyetlerini durdurmuştur. Tüm ASD sertifikaları ve yeniden sertifikalandırma mektupları 27 Temmuz 2020 tarihinden itibaren geçersiz olacaktır ve Avustralya’nın resmi Bilgi Güvenliği Kılavuzu (ISM), Bulut hizmetlerini Sertifikalı Bulut Hizmetleri Listesi’nden (CCSL) çıkarmak için gereksinimi ortadan kaldıracak şekilde güncellenmiştir.

    Avustralya’nın resmi Güvenli Bulut Stratejisi kapsamında, Milletler Topluluğu kurumları, ICT sistemlerini değerlendirmek için zaten kullanılmakta olan uygulamaları kullanarak bulut hizmetlerini kendi kendine değerlendirebilir.

    Şimdi ne olacak:

    27 Temmuz 2020 tarihinde Avustralya Siber Güvenlik Merkezi (ACSC) ve Dijital Dönüşüm Ajansı (DTA), bulut hizmetlerinin devlet ve sektör genelinde güvenli bir şekilde benimsenmesini desteklemek için sektör ile birlikte tasarlanmış yeni Bulut Güvenlik Rehberliği yayınladı. AWS, değerlendirmenin geçerliliğini korumak ve yeni hizmetler sunmak için IRAP değerlendirmeleri yapmaya devam ediyor. Milletler Topluluğu kurumları kendi güvence ve risk yönetimi faaliyetlerinden sorumlu olmaya devam edecek. Avustralya’nın resmi Güvenli Bulut Stratejisi’ne uygun olarak, Milletler Topluluğu kurumları, ICT sistemlerini değerlendirmek için zaten kullanılmakta olan uygulamaları kullanarak bulut hizmetlerini kendi kendine değerlendirebilir. ASD, sektör ile birlikte oluşturulmuş kılavuzlar geliştirerek mevcut bulut güvenliği rehberliğini genişletecektir. Bu kılavuz, Milletler Topluluğu kuruluşlarına ve Avustralya şirketlerine siber güvenlik ve dayanıklılıklarını artırmalarında yardımcı olacaktır.

    Bugüne kadar ASD, kuruluşların bulut hizmetleriyle ilgili uygun güvenlik değerlendirmelerini üstlenmeleri için bir dizi yararlı kılavuz geliştirmiştir. Tüm değerlendirmelerin ISM ve ASD bulut güvenlik kılavuzundaki güvenlik kontrollerini açıkça ele alması önerilir:

    DTA, Commonwealth kurumlarının bulut hizmetlerini benimsemelerini desteklemek için Avustralya resmi Güvenli Bulut Stratejisi’ni kullanmaya teşvik etmeye devam ediyor.

  • Hangi IRAP belgelerine ulaşabilirim?

    Avustralya devleti müşterilerimizi desteklemek için, AWS’yi kullanarak güvenlik ve uyumluluk anlayışınızı geliştirmek amacıyla güvenlik yönergelerinden ve belgelerinden oluşturulmuş bir paket sunarız. AWS, aşağıdaki genel kullanıma sunulmuş materyalleri sunar:

    AWS uyumluluk raporlarına isteğe bağlı erişim için self servis bir portal olan AWS Artifact aracılığıyla IRAP KORUMALI paketine erişebilirsiniz. AWS Yönetim Konsolu’ndaAWS Artifact’te oturum açın veya AWS Artifact’i Kullanmaya Başlama konusunda daha fazla bilgi edinin. Bu bilgiler, Avustralya resmi Güvenli Bulut Stratejisi kapsamında AWS’de yerleşik sistemleri planlama, yapılandırma ve kendi kendine değerlendirme yeteneği sağlar. Bu paket, kamu sektörü müşterilerine AWS’yi KORUMALI düzeyde değerlendirmek için gereken her şeyi sağlar ve her bir ajansın AWS hizmetlerini benimseme sürecini basitleştirmesine yardımcı olur. Paketteki belgeler şunları içerir:

    • Mevzuat Uyumluluğu Mektubu
    • Denetim Uygulama Özeti;
    • IRAP Aşama 2 Raporu;
    • Başvuru Amaçlı Sunulan Mimari ve
    • Tüketici Kılavuzu.

    NDA (gerektiğinde) AWS altyapısı tarafından uygulanan ve denetimleri değerlendirip test eden ve NDA altında mevcut olan (gerektiğinde) ilave raporlar mevcuttur:

    • Hizmet Organizasyon Denetimleri 1 (SOC 1) Tip II Raporu;
    • Hizmet Organizasyon Denetimleri 2 (SOC 2) Tip II Raporu;
    • ISO 27001 Sertifikası ve Uygulanabilirlik Bildirimi ve
    • PCI Uyumluluk Onayı ve PCI Sorumluluğu Özeti.

    Hızlı Başlangıç, KORUMALI sınıflandırma seviyesinde hassas yönetim veri kullanımı için ISM gereksinimlerini karşılayan AWS kontrol birimlerini kullanan bulut tabanlı iş yükleri oluşturmak isteyen kullanıcılar için kullanıma hazırdır. Bu, AWS Cloud üzerindeki IRAP KORUMALI Referans Mimarisini otomatik olarak yaklaşık bir saatte dağıtır. Referans Mimarisi, ISM KORUMALI gereksinimlerini karşılayan ilgili güvenlik ve yönetim hizmetlerine sahip çok katmanlı web uygulamasını desteklemek için çoklu AWS hizmetlerinin nasıl bir araya getirildiğini gösteriyor. Bu çözüm, IRAP KORUMALI Referans Mimarisi’nde ana hatlarıyla belirtilen çoğu kontrol birimini uygularken, tavsiye edilen kontrol birimlerinin tümü bu Hızlı Başlangıç’ta bulunmamaktadır. KORUMALI verileri depolamak için bu çözümü kullanmadan önce, AWS Artifact üzerinde bulunan IRAP KORUMALI paketindeki kılavuzu izlemeyi unutmayın.

    İlave raporlar hakkında daha fazla bilgi için, bkz. AWS Mevzuat Uyumluluğu programları.

  • Neden IRAP resmi onaylı bir denetçiye ihtiyacım var?

    IRAP akreditifli denetçiler, Kayıtlı Bilgi Güvenliği Denetçileri Programı (IRAP) altında Avustralya Sinyalleri Müdürlüğü (ASD) tarafından, ASD’nin denetim entegrasyonu olan Bilgi Güvenliği Kılavuzu’na (ISM) göre değerlendirmeye yapmaya nitelikli olarak onaylanan ICT uzmanlarıdır.

    IRAP denetçileri; ICT, güvenlik değerlendirmesi ve risk yönetimi konularında gerekli deneyim ve niteliklere ve Avustralya resmi bilgi güvenliği uyumluluk gereksinimleri hakkında ayrıntılı bilgiye sahiptir.

  • ISM nedir?

    Avustralya resmi Bilgi Güvenliği El Kitabı (ISM), kuruluşların bilgi ve iletişim teknolojisi (ICT) sistemlerini siber tehditlerden korumak için başvurabilecekleri bir siber güvenlik çerçevesinin ana hatlarını çizmektedir. Avustralya Hükümeti Başsavcı ofisi tarafından oluşturulan Koruyucu Güvenlik Politikası Entegrasyonu'nu (PSPF) tamamlar. ISM ve PSPF, Milletler Topluluğu kurumlarına bir ICT ortamında uygun kontrolleri uygulama konusunda rehberlik ve yükümlülükler sağlar. Ayrıca, Milletler Topluluğu kurumları, kendileri tarafından veya kendileri için özel olarak yayınlanan ilgili kılavuzu göz önünde bulundurmalıdır.

    2017'de, Dijital Dönüşüm Kurumu (DTA), Güvenli Bulut Stratejisi'ni geliştirmek için diğer devlet kurumları ve sektörleriyle çalıştı. Bu strateji, devlet kurumlarının bulut teknolojisini kullanmasını sağlamaya odaklanmaktadır.

    ISM, Avustralya hükümetinin ulusal siber güvenlik konusunda önde gelen kuruluşu ve Avustralya Sinyalleri Müdürlüğü’nün (ASD) bir bölümü olan Avustralya siber güvenlik merkezi (ACSC) tarafından yayınlanmaktadır.

    ACSC’nin Avustralya siber güvenliğini geliştirme ve iyileştirmedeki rolü hakkında daha fazla bilgi için, ASD veya ACSC web sitesindeki Siber Güvenlik web sayfasına bakınız.

  • AWS, ISM'nin gereksinimlerini karşılıyor mu?

    Evet, AWS Cloud hizmetleri bağımsız bir IRAP denetçisi tarafından değerlendirilmiştir. Değerlendirmede, Amazon çalışanlarının, sürecinin ve teknolojisinin güvenlik denetimleri incelenmiştir. Bu değerlendirme, AWS’nin yerini aldığı ürünlerle ilgili olarak, KORUMALI seviyedeki Avustralya resmi iş yükleri için gerekli olan geçerli kontrollerin uygulandığına dair güvence sağlar. Daha fazla bilgi için, en son değerlendirmeden IRAP KORUMALI paketine erişmek için AWS Artifact’e gidebilirsiniz.

  • IRAP programı hakkında daha fazla bilgiyi nereden bulabilirim?

    Daha fazla bilgi için, ACSC web sitesindeki IRAP programı sayfasına bakınız.

  • Hangi AWS Bölgeleri ve hizmetleri IRAP Değerlendirmesi kapsamındadır?

    IRAP değerlendirmesi, AWS Sydney Bölgesi’ndeki kapsam içi hizmetleri kapsamaktadır. IRAP Değerlendirmesi kapsamında bulunan AWS hizmetleri Mevzuat Uyumluluğu Programı Kapsamındaki AWS Hizmetleri web sayfasında bulunabilir.

  • IRAP Değerlendirmesine dahil olmayan diğer AWS hizmetlerini kullanabilir miyim?

    Evet, bulut hizmetlerini kullanımınızı düzenleyen geçerli düzenlemelere, politikalara ve mevzuatlara uyulmasına tabidir. Kullanmak istediğiniz bir hizmet Mevzuat Uyumluluğu Programı web sayfası Kapsamındaki AWS Hizmetleri web sayfasında belirtilmemişse, iş yüklerinizin diğer AWS hizmetlerine uyumluluğunu değerlendirebilirsiniz.

compliance-contactus-icon
Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »