Programma per valutatori registrati per la sicurezza delle informazioni (IRAP)
Panoramica
L'IRAP (Information Security Registered Assessors Program) permette ai clienti del governo australiano di verificare che i controlli appropriati siano implementati e di determinare il modello di responsabilità adatto a soddisfare i requisiti del Manuale sulla sicurezza delle informazioni (ISM) del governo australiano pubblicato dall'Australian Cyber Security Centre (ACSC).
Proteggere i dati del governo australiano dall'accesso, dall'uso non autorizzato e dalla divulgazione rimane un presupposto fondamentale per quanto riguarda l'approvvigionamento e l'uso di servizi cloud. AWS sa che i clienti contano sulla distribuzione sicura dell'infrastruttura AWS e sull'importanza di avere funzionalità che permettano loro di creare ambienti sicuri. AWS permette ai clienti di raggiungere questi obiettivi dando priorità alla sicurezza della fornitura dei suoi servizi attraverso la creazione di un ambiente di controllo stabile e mettendo a disposizione una vasta gamma di servizi e funzionalità riguardanti la sicurezza.
I servizi cloud AWS in ambito, valutati da IRAP, sono disponibili in AWS Services in Scope by Compliance Program. Un valutatore IRAP indipendente ha esaminato i controlli AWS, tra cui le persone, i processi e la tecnologia, per garantire il soddisfacimento dei requisiti dell'ISM. Per ulteriori informazioni sull'utilizzo di questi servizi oppure se sei interessato ad altri servizi, contattaci.
Domande frequenti
-
Qual è stato l'impatto in seguito alla chiusura di CSCP e CCSL?
Lunedì 2 marzo 2020 l'Australian Signals Directorate (ASD) e la Digital Transformation Agency (DTA) hanno annunciato i risultati degli esami relativi al Programma di certificazione dei servizi cloud (CSCP) e al Programma per valutatori registrati per la sicurezza delle informazioni (IRAP). Dagli esami sono emerse le seguenti raccomandazioni:
- Chiudere il CSCP e creare nuove linee guida per la sicurezza del cloud in co-progettazione con il settore
- Sviluppare e migliorare l'IRAP
- Istituire fori consultivi governativi e settoriali in materia di sicurezza informatica
- Aggiornare gli incentivi nelle istruzioni e linee guida per l'approvvigionamento e l'amministrazione affinché riflettano la chiusura del CSCP
A decorrere dal 2 marzo 2020, l'ASD non è più l'autorità di certificazione e ha cessato tutte le attività in materia, incluse quelle di ri-certificazione. Tutte le certificazioni e le lettere di ri-certificazione dell'ASD saranno nulle a partire dal 27 luglio 2020 e l'Information Security Manual (ISM) del governo australiano è stato aggiornato per eliminare il requisito di selezione dei servizi cloud dall'elenco dei servizi cloud certificati (CCSL).
In conformità alla Secure Cloud Strategy del governo australiano, gli enti pubblici del Commonwealth sono in grado di valutare autonomamente i servizi cloud avvalendosi di procedure già in uso per valutare i sistemi ICT.
La situazione attuale:
Il 27 luglio 2020 l'Australian Cyber Security Centre (ACSC) e la Digital Transformation Agency (DTA) hanno pubblicato una nuova serie di linee guida per la sicurezza nel cloud in co-progettazione con il settore per supportare l'adozione sicura dei servizi cloud tra governo e settore. AWS continua a svolgere valutazioni IRAP per garantire che i risultati siano aggiornati e per accogliere nuovi servizi. Gli enti del Commonwealth manterranno la responsabilità delle rispettive attività di assicurazione e gestione dei rischi. In conformità alla Secure Cloud Strategy del governo australiano, le agenzie del Commonwealth sono in grado di valutare autonomamente i servizi cloud avvalendosi di procedure già in uso per valutare i sistemi ICT. L'ASD perfezionerà le linee guida per la sicurezza nel cloud già esistenti sviluppando direttive in co-progettazione con il settore. Tali direttive aiuteranno ulteriormente gli enti del Commonwealth e le aziende australiane ad aumentare la sicurezza e la resilienza in ambito informatico.
A oggi, l'ASD ha sviluppato una serie di linee guida che assistono le organizzazioni nel provvedere a valutazioni di sicurezza appropriate in materia di servizi cloud. Si raccomanda che ogni valutazione affronti in modo chiaro i controlli di sicurezza nell'ISM e le linee guida per la sicurezza nel cloud dell'ASD, tra cui:
La DTA incoraggia costantemente gli enti del Commonwealth a utilizzare la Secure Cloud Strategy del governo australiano per supportare l'adozione dei servizi cloud.
-
Quali sono i documenti IRAP a mia disposizione?
A supporto dei nostri clienti del governo australiano, offriamo un pacchetto di linee guida e documentazione sulla sicurezza approfondire la conoscenza degli aspetti di sicurezza e conformità relativi all'utilizzo di AWS. AWS fornisce il seguente materiale pubblico:
- Uso di AWS nell'ambito delle considerazioni sulla privacy in Australia
- Il nuovo Quick Start distribuisce l'architettura di riferimento di conformità IRAP PROTECTED su AWS Cloud
È possibile accedere al pacchetto IRAP PROTECTED attraverso AWS Artifact, un portale self-service per l'accesso on demand ai report di conformità di AWS. Accedi ad AWS Artifact nella Console di gestione AWS o scopri di più nella pagina Nozioni di base su AWS Artifact. Queste informazioni permettono di pianificare, progettare e sottoporre ad autovalutazione i sistemi costruiti in AWS in conformità alla Secure Cloud Strategy del governo australiano. Il pacchetto offre ai clienti del settore pubblico tutto il necessario per valutare AWS al livello PROTECTED e favorisce la semplificazione del processo di adozione dei servizi AWS da parte dei singoli enti. Nel pacchetto è inclusa la seguente documentazione:
- Lettera di valutazione;
- Rapporto di valutazione del cloud;
- Matrice dei controlli di sicurezza del cloud;
- Architettura di riferimento; e
- Guida per il cliente.
Sono disponibili report aggiuntivi previo accordo di non divulgazione (all'occorrenza) che valutano e verificano i controlli implementati dall'infrastruttura AWS e che sono disponibili previo accordo di non divulgazione (all'occorrenza):
- Report Service Organisation Controls 1 (SOC1) di tipo II;
- Report Service Organisation Controls 2 (SOC2) di tipo II;
- Certificazione ISO 27001 e Statement of Applicability; e
- Attestazione di conformità allo standard PCI e riepilogo delle responsabilità rispetto allo standard PCI.
È disponibile un Quick Start destinato agli utenti che desiderano creare carichi di lavoro basati sul cloud che utilizzino controlli AWS conformi ai requisiti dell'ISM per il trattamento dei dati sensibili della pubblica amministrazione con livello di classificazione PROTECTED. In circa un'ora, la funzione distribuisce automaticamente l'architettura di riferimento IRAP PROTECTED su AWS Cloud. L'architettura di riferimento dimostra come più servizi AWS vengono riuniti per supportare un'applicazione web multilivello con servizi di sicurezza e di gestione associati che soddisfano i requisiti ISM PROTECTED. Anche se questa soluzione implementa molti dei controlli descritti nell'architettura di riferimento IRAP PROTECTED, il Quick Start non include tutti i controlli consigliati. Ricorda di seguire le indicazioni nel pacchetto IRAP PROTECTED, disponibile su AWS Artifact, prima di utilizzare questa soluzione per archiviare dati PROTECTED.
Per ulteriori informazioni sui report aggiuntivi, consultare i programmi per la conformità AWS.
-
Chi sono i valutatori IRAP?
I valutatori IRAP sono professionisti ICT certificati ASD che dispongono dell'esperienza e delle qualifiche necessarie in materia di ICT, valutazione della sicurezza e gestione dei rischi, nonché di una conoscenza approfondita dei requisiti di conformità del governo australiano nell'ambito della sicurezza informatica.
-
Che cos'è l'ISM?
L'Information Security Manual (ISM) del governo australiano delinea un framework di sicurezza informatica che le organizzazioni possono applicare per proteggere i loro sistemi informatici e di tecnologia delle comunicazioni (ICT) dalle minacce informatiche. Il manuale integra il Protective Security Policy Framework (PSPF) creato dal dipartimento del Procuratore generale del governo australiano. L'ISM e il PSPF offrono linee guida e condizioni obbligatorie per l'implementazione dei controlli appropriati in un ambiente ICT da parte degli enti del Commonwealth. In aggiunta, le agenzie del Commonwealth dovrebbero osservare eventuali linee guida rilevanti pubblicate da o per loro.
Nel 2017 la Digital Transformation Agency (DTA) ha collaborato con altri enti governativi e con il settore per sviluppare la Secure Cloud Strategy. Questa strategia mira ad aiutare gli enti pubblici a utilizzare la tecnologia cloud.
L'ISM è pubblicato dall'Australian Cyber Security Centre (ACSC), la principale organizzazione del governo australiano dedicata alla sicurezza informatica nazionale e parte dell'Australian Signals Directorate (ASD).
Per ulteriori informazioni sul ruolo dell'ACSC nella promozione e nello sviluppo della sicurezza informatica australiana, consultare la pagina Cyber Security nel sito Web dell'ASD o dell'ACSC.
-
AWS soddisfa i requisiti dell'ISM?
Sì, i servizi AWS Cloud sono stati valutati da un valutatore IRAP indipendente con i controlli ISM applicabili. La valutazione ha esaminato i controlli di sicurezza delle persone, dei processi e della tecnologia di Amazon. La valutazione garantisce che, per quanto riguarda questi prodotti, AWS implementa i controlli pertinenti necessari per i carichi di lavoro del governo australiano al livello PROTECTED. Per ulteriori informazioni, puoi aprire AWS Artifact per accedere al pacchetto IRAP PROTECTED dalla valutazione più recente.
-
Dove è possibile trovare ulteriori informazioni sul programma IRAP?
Per ulteriori informazioni, consulta la pagina dell'IRAP sul sito Web dell'ACSC.
-
Quali delle regioni e dei servizi AWS rientrano nell'ambito della valutazione IRAP?
La valutazione dell'IRAP comprende i servizi in esame nella regione AWS Sydney e Melbourne. I servizi AWS coperti nell'ambito della certificazione IRAP sono riportati nella pagina Web Servizi AWS nell'ambito per programma di conformità.
-
Posso utilizzare altri servizi AWS che non sono inclusi nella valutazione IRAP?
Sì, ferma restando la conformità a norme, policy e linee guida pertinenti che regolano l'uso dei servizi cloud. Se un servizio che si desidera utilizzare non è elencato nella pagina Web Servizi AWS nell'ambito per programma di conformità, è possibile valutare l'idoneità dei carichi di lavoro con altri servizi AWS.