Australian Government Information Security Registered Assessor Program (IRAP)

Das Information Security Registered Assessor Program (IRAP) bietet einen umfassenden Prozess für die unabhängige Bewertung der Sicherheit eines Systems im Vergleich zu den Richtlinien und Richtlinien der australischen Regierung. Das IRAP-Ziel besteht darin, die Sicherheit von Daten der australischen Bundesstaaten, Bundesstaaten und lokalen Behörden zu maximieren, indem sie sich auf die Informations- und Kommunikationstechnologieinfrastruktur konzentrieren, die sie speichert, verarbeitet und kommuniziert.

IRAP-Übersicht

Das Information Security Registered Assessors Program (IRAP) wird vom Australian Cyber Security Center (ACSC) gesteuert und verwaltet. IRAP bietet den Rahmen, um Einzelpersonen aus dem privaten und öffentlichen Sektor bei der Bereitstellung von Cybersicherheitsbewertungsdiensten für die australische Regierung zu unterstützen. Unterstützte IRAP-Bewerter können eine unabhängige Bewertung der IKT-Sicherheit liefern, Risikominderungen vorschlagen und Restrisiken hervorheben. IRAP bietet einen umfassenden Prozess für die unabhängige Bewertung der Sicherheit eines Systems im Vergleich zu den Richtlinien und Richtlinien der australischen Regierung. Das IRAP-Ziel besteht darin, die Sicherheit von Daten der australischen Bundesstaaten, Bundesstaaten und lokalen Behörden zu maximieren, indem sie sich auf die Informations- und Kommunikationstechnologieinfrastruktur konzentrieren, die sie speichert, verarbeitet und kommuniziert.

  • Im Jahr 2014 wurde Azure als erster von IRAP bewerteter Clouddienst in Australien eingeführt, der von Rechenzentren in Melbourne und Sydney gehostet wird. Diese beiden Rechenzentren ermöglichen australischen Kunden die Kontrolle darüber, wo ihre Kundendaten gespeichert werden, und bieten gleichzeitig eine verbesserte Datenbeständigkeit bei Notfallereignissen durch Sicherungen an beiden Standorten.
  • Anfang 2015 wurde Office 365 der erste Cloudproduktivitätsdienst, der diese Bewertung abgeschlossen hat.
  • Im April 2015 gab die ASD die CCSL-Zertifizierung von Azure und Office 365 sowie im November 2015 von Dynamics 365 bekannt.
  • Im Juni 2017 kündigte ASD die Rezertifizierung von Microsoft Azure und Office 365 für einen stark erweiterten Satz von Diensten an.
  • Im April 2018 gab das ACSC die Zertifizierung von Azure und Office 365 bei der PROTECTED-Klassifizierung bekannt. Microsoft ist der erste und einzige öffentliche Cloudanbieter, der diese Zertifizierungsebene erreicht.
  • Im September 2019 wurde der aktualisierte IRAP-Bewertungsbereich von Microsoft auf 113 Dienste der PROTECTED-Klassifizierung erweitert.
  • Im Dezember 2020 hat Microsoft zwei inkrementelle IRAP-Bewertungen für Azure und Office 365 veröffentlicht. Diese Berichte nutzten den neuen Leitfaden nach der Einstellung der Certified Cloud Services List (CCSL). Die Berichte enthalten sowohl eine Bewertung von Microsoft als Cloud-Dienstanbieter (Cloud Service Provider, CSP) als auch andere Dienste, die inkrementell für die 2019-Berichte in Azure, Dynamics und Office 365 sind.

Microsoft und IRAP

Im Dezember 2020 hat Microsoft zwei inkrementelle Bewertungen von Azure & Dynamics und Office 365 abgeschlossen. Diese Bewertungen fügten weitere Dienstleistungen hinzu, die der Klassifizierungsstufe VON PROTECTED bewertet wurden. Darüber hinaus wurden diese Bewertungen im Rahmen des neuen CcSL Cloud Security Guidance durchgeführt, wie im Leitfaden zur Anatomie einer Cloudbewertung und -autorisierung des ACSC beschrieben.

Für jede Bewertung beauftragte Microsoft einen ACSC-akkreditierten IRAP-Gutachter, der die Sicherheitskontrollen und -prozesse untersuchte, die vom IT-Betriebsteam von Microsoft, physischen Rechenzentren, Angriffserkennung, Kryptografie, domänenübergreifender und Netzwerksicherheit, Zugriffssteuerung und Informationssicherheitsrisikomanagement von bereichsinternen Diensten verwendet werden. Die IRAP-Bewertungen ergaben, dass die Microsoft-Systemarchitektur auf soliden Sicherheitsprinzipien basiert und dass die anwendbaren ISM-Kontrollen (Australian Government Information Security Manual) innerhalb unserer bewerteten Dienste vorhanden und voll wirksam sind.

Das vom ISM verwendete Risikomanagement-Framework stammt aus der Sonderveröffentlichung des National Institute of Standards and Technology (NIST) (SP) 800-37 Rev. 2. Innerhalb dieses Risikomanagement-Frameworks kann die Identifizierung von Risiken und die Auswahl von Sicherheitskontrollen mithilfe verschiedener Risikomanagementstandards erfolgen, wie z. B. International Organization for Standardization (ISO) 31000:2018, Risikomanagement - Guidelines. Im Großen und Ganzen umfasst das vom ISM verwendete Risikomanagement-Framework sechs Schritte:

  • Definieren des Systems
  • Auswählen von Sicherheitskontrollen
  • Implementieren von Sicherheitskontrollen
  • Bewerten von Sicherheitskontrollen
  • Autorisieren des Systems
  • Überwachen des Systems

Wie immer können zusätzliche ausgleichende Kontrollen von einzelnen Agenturen vor der Genehmigung der Behörden und der anschließenden Nutzung dieser Clouddienste risikogewaltet implementiert werden.

Die IRAP-Bewertung der Dienste und cloudbasierten Vorgänge von Microsoft trägt dazu bei, kunden aus dem öffentlichen Sektor und ihren Partnern die Gewissheit zu bieten, dass Microsoft über geeignete und effektive Sicherheitskontrollen für die Verarbeitung, Speicherung und Übertragung von Daten verfügt, die bis einschließlich der Stufe PROTECTED klassifiziert sind. Diese Bewertung umfasst die meisten Behörden-, Gesundheits- und Bildungsdaten in Australien.

Zu Microsoft gehörende Cloudplattformen und -dienste

Azure, Dynamics 365 und IRAP

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure IRAP-Angebot.

Office 365 und IRAP

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Exchange Online, Exchange Online Protection, Forms, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, OneDrive for Business, Planner, SharePoint Online, Skype for Business, Whiteboard, Viva Engage

Häufig gestellte Fragen

Für wen gilt der IRAP?

IRAP gilt für alle australischen Bundes-, Landes- und Kommunalbehörden, die Clouddienste verwenden. Neuseeländische Regierungsbehörden erfordern die Einhaltung eines Standards, der dem ism der australischen Regierung ähnelt, sodass sie auch die IRAP-Bewertungen verwenden können.

Kann ich die Compliance von Microsoft im Risikobewertungs- und Genehmigungsprozess meiner organization verwenden?

Ja Wenn Ihr organization eine Genehmigung für den Betrieb im Einklang mit dem ISM erfordert oder anstrebt, können Sie die IRAP-Sicherheitsbewertungen von Azure, Dynamics 365, Microsoft Managed Desktop und Office 365 in Ihrer Risikobewertung verwenden. Sie sind jedoch dafür verantwortlich, einen Bewerter zu beauftragen, Ihre Implementierung so zu bewerten, wie sie auf den Plattformen von Microsoft bereitgestellt wird, sowie für die Kontrollen und Prozesse innerhalb Ihrer eigenen organization.

Wo beginne ich mit der Risikobewertung und Genehmigung meiner organization für den Betrieb?

Es wird empfohlen, den Leitfaden zu Cloudsicherheitsbewertungen aus dem ACSC zu lesen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen