Australian Government Information Security Registered Assessor Program (IRAP)
Il programma IRAP (Information Security Registered Assessor Program) fornisce un processo completo per la valutazione indipendente della sicurezza di un sistema rispetto alle politiche e alle linee guida del governo australiano. L'obiettivo di IRAP è quello di massimizzare la sicurezza dei dati federali, statali e locali dell'amministrazione australiana, concentrandosi sull'infrastruttura tecnologica delle informazioni e delle comunicazioni che archivia, elabora e comunica.
Panoramica di IRAP
L'Information Security Registered Assessors Program (IRAP) è disciplinato e amministrato dall'Australian Cyber Security Centre (ACSC). L'IRAP fornisce il quadro per approvare gli individui del settore privato e pubblico per fornire servizi di valutazione della sicurezza informatica al governo australiano. I valutatori IRAP approvati possono fornire una valutazione indipendente della sicurezza delle TIC, suggerire mitigazioni ed evidenziare i rischi residui. IRAP fornisce un processo completo per la valutazione indipendente della sicurezza di un sistema rispetto alle politiche e alle linee guida del governo australiano. L'obiettivo di IRAP è quello di massimizzare la sicurezza dei dati federali, statali e locali dell'amministrazione australiana, concentrandosi sull'infrastruttura tecnologica delle informazioni e delle comunicazioni che archivia, elabora e comunica.
- Nel 2014 Azure è stato lanciato come primo servizio cloud valutato da IRAP in Australia, ospitato dai data center di Melbourne e Sydney. Questi due data center offrono ai clienti australiani il controllo sulla posizione in cui vengono archiviati i dati dei clienti, offrendo al tempo stesso una maggiore durabilità dei dati in caso di emergenze tramite backup in entrambe le posizioni.
- All'inizio del 2015, Office 365 è diventato il primo servizio di produttività cloud a completare questa valutazione.
- Nell'aprile 2015, l'ASD ha annunciato la certificazione CCSL di Azure e Office 365, e nel novembre 2015, di Dynamics 365.
- Nel giugno 2017, ASD ha annunciato la ricertificazione di Microsoft Azure e Office 365 per un set di servizi notevolmente ampliato.
- Nell'aprile 2018, acsc ha annunciato la certificazione di Azure e Office 365 alla classificazione PROTECTED. Microsoft è il primo e unico provider di cloud pubblico a ottenere questo livello di certificazione.
- A settembre 2019, l'ambito di valutazione IRAP aggiornato di Microsoft è stato ampliato per includere 113 servizi nella classificazione PROTECTED.
- Nel dicembre 2020 Microsoft ha rilasciato due valutazioni IRAP incrementali per Azure e Office 365. Questi report hanno utilizzato le nuove linee guida dopo la cessazione dell'elenco di Servizi cloud certificati (CCSL). I report contengono sia una valutazione di Microsoft come provider di servizi cloud (CSP) che altri servizi incrementali ai report 2019 in Azure, Dynamics e Office 365.
Microsoft e IRAP
Nel dicembre 2020 Microsoft ha completato due valutazioni incrementali di Azure & Dynamics e Office 365. Queste valutazioni hanno aggiunto altri servizi valutati al livello di classificazione di PROTECTED. Inoltre, queste valutazioni sono state condotte nell'ambito delle nuove linee guida post CCSL Cloud Security, come descritto nella guida Anatomia di una valutazione e autorizzazione cloud dell'ACSC.
Per ogni valutazione, Microsoft ha coinvolto un valutatore IRAP accreditato da ACSC che ha esaminato i controlli e i processi di sicurezza usati dal team operativo IT di Microsoft, data center fisici, rilevamento delle intrusioni, crittografia, sicurezza tra domini e rete, controllo di accesso e gestione dei rischi di sicurezza delle informazioni dei servizi nell'ambito. Le valutazioni IRAP hanno rilevato che l'architettura di sistema Microsoft si basa su principi di sicurezza validi e che i controlli ISM (Australian Government Information Security Manual) applicabili sono in vigore e pienamente efficaci all'interno dei servizi valutati.
Il quadro di gestione dei rischi utilizzato dall'ISM deriva dalla pubblicazione speciale NIST (National Institute of Standards and Technology) (SP) 800-37 Rev. 2. All'interno di questo quadro di gestione dei rischi, l'identificazione dei rischi e la selezione dei controlli di sicurezza possono essere eseguite usando vari standard di gestione dei rischi, ad esempio International Organization for Standardization (ISO) 31000:2018, Gestione dei rischi - Linee guida. In generale, il framework di gestione dei rischi usato dall'ISM prevede sei passaggi:
- Definire il sistema
- Selezionare i controlli di sicurezza
- Implementare controlli di sicurezza
- Valutare i controlli di sicurezza
- Autorizzare il sistema
- Monitorare il sistema
Come sempre, controlli di compensazione aggiuntivi possono essere implementati a livello di rischio dalle singole agenzie prima dell'autorizzazione dell'agenzia e del successivo uso di questi servizi cloud.
La valutazione IRAP dei servizi e delle operazioni cloud di Microsoft consente di garantire ai clienti del settore pubblico del settore pubblico e ai loro partner che Microsoft dispone di controlli di sicurezza appropriati ed efficaci per l'elaborazione, l'archiviazione e la trasmissione dei dati classificati fino al livello di PROTECTED incluso. Questa valutazione include la maggior parte dei dati relativi a enti pubblici, sanità e istruzione in Australia.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Dynamics 365
- Microsoft Managed Desktop
- Office 365
- Windows 365
Azure, Dynamics 365 e IRAP
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta IRAP di Azure.
Office 365 e IRAP
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
Commerciale | Exchange Online, Exchange Online Protection, Moduli, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura di servizi di Office, OneDrive for Business, Planner, SharePoint Online, Skype for Business, lavagna, Viva Engage |
Domande frequenti
A chi si applica l'IRAP?
IRAP si applica a tutte le agenzie governative federali, statali e locali australiane che usano servizi cloud. Le agenzie governative della Nuova Zelanda richiedono la conformità con uno standard simile all'ISM del governo australiano, quindi possono anche usare le valutazioni IRAP.
È possibile usare la conformità di Microsoft nel processo di valutazione e approvazione dei rischi dell'organizzazione?
Sì. Se l'organizzazione richiede o sta cercando un'approvazione per operare in linea con l'ISM, è possibile usare le valutazioni di sicurezza IRAP di Azure, Dynamics 365, Microsoft Managed Desktop e Office 365 nella valutazione dei rischi. L'utente è tuttavia responsabile di coinvolgere un valutatore per valutare l'implementazione distribuita nelle piattaforme Microsoft e per i controlli e i processi all'interno della propria organizzazione.
Da dove iniziare con la valutazione dei rischi e l'approvazione dell'organizzazione per operare?
È consigliabile leggere le linee guida sulle valutazioni di Cloud Security fornite da ACSC.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.