Австралийская государственная программа для оценки информационной безопасности (IRAP)

Программа зарегистрированного оценчика информационной безопасности (IRAP) обеспечивает комплексный процесс независимой оценки безопасности системы в отношении политики и руководящих принципов австралийского правительства. Цель IRAP заключается в том, чтобы максимально повысить безопасность австралийских данных федерального, государственного и местного управления, сосредоточив внимание на информационно-коммуникационной технологической инфраструктуре, которая хранит, обрабатывает и передает их.

Обзор IRAP

Программа зарегистрированных оценщиков информационной безопасности (IRAP) управляется и управляется Австралийским центром кибербезопасности (ACSC). IRAP предоставляет платформу для поддержки лиц из частного и государственного секторов для предоставления услуг по оценке кибербезопасности австралийскому правительству. Утвержденные оценщики IRAP могут проводить независимую оценку безопасности ИКТ, предлагать меры по устранению рисков и выделять остаточные риски. IRAP обеспечивает комплексный процесс независимой оценки безопасности системы в отношении политики и руководящих принципов австралийского правительства. Цель IRAP заключается в том, чтобы максимально повысить безопасность австралийских данных федерального, государственного и местного управления, сосредоточив внимание на информационно-коммуникационной технологической инфраструктуре, которая хранит, обрабатывает и передает их.

  • В 2014 году Azure была запущена как первая облачная служба, оцениваемая IRAP в Австралии, размещенная в центрах обработки данных в Мельбурне и Сиднее. Эти два центра обработки данных дают австралийским клиентам контроль над местом хранения данных клиентов, а также обеспечивают повышенную устойчивость данных в случае аварий с помощью резервного копирования в обоих расположениях.
  • В начале 2015 года Office 365 стала первой облачной службой производительности, завершив эту оценку.
  • В апреле 2015 г. ASD объявила о сертификации CCSL для Azure и Office 365, а в ноябре 2015 г. Dynamics 365.
  • В июне 2017 года ASD объявила о повторной сертификации Microsoft Azure и Office 365 для значительно расширенного набора служб.
  • В апреле 2018 года ACSC объявила о сертификации Azure и Office 365 по классификации PROTECTED. Корпорация Майкрософт является первым и единственным поставщиком общедоступных облачных служб, который получил этот уровень сертификации.
  • В сентябре 2019 г. обновленная область оценки IRAP корпорации Майкрософт, включив в нее 113 служб в классификации PROTECTED.
  • В декабре 2020 г. корпорация Майкрософт выпустила две добавочные оценки IRAP для Azure и Office 365. В этих докладах использовался новый руководящий принцип прекращения работы списка сертифицированных Облачные службы (CCSL). Отчеты содержат оценку корпорации Майкрософт как поставщика облачных служб (CSP) и других служб, которые являются добавочными к отчетам за 2019 год в Azure, Dynamics и Office 365.

Майкрософт и IRAP

В декабре 2020 г. корпорация Майкрософт завершила две добавочные оценки Azure & Dynamics и Office 365. Эти оценки добавили дополнительные службы, оцененные на уровне классификации PROTECTED. Кроме того, эти оценки были проведены в соответствии с новым руководством по безопасности облака CCSL, как описано в руководстве ACSC по анатомии оценки и авторизации облака .

Для каждой оценки корпорация Майкрософт привлекла эксперта IRAP, аккредитованного ACSC, который изучил элементы управления безопасностью и процессы, используемые ит-операционной группой Майкрософт, физическими центрами обработки данных, обнаружением вторжений, шифрованием, междоменной и сетевой безопасностью, контролем доступа и управлением рисками информационной безопасности в область службах. Оценки IRAP показали, что системная архитектура Майкрософт основана на обоснованных принципах безопасности и что применимые австралийские правительственные средства управления информационной безопасности (ISM) имеются и полностью эффективны в наших оцениваемых службах.

Платформа управления рисками, используемая ISM, опирается на Национальный институт стандартов и технологий (NIST) Специальная публикация (SP) 800-37 ред. 2. В рамках этой платформы управления рисками выявление рисков и выбор средств контроля безопасности можно осуществлять с помощью различных стандартов управления рисками, таких как Международная организация по стандартизации (ISO) 31000:2018, Управление рисками — Руководящие принципы. В целом, платформа управления рисками, используемая ISM, состоит из шести этапов:

  • Определение системы
  • Выбор элементов управления безопасностью
  • Реализация элементов управления безопасностью
  • Оценка элементов управления безопасностью
  • Авторизация системы
  • Мониторинг системы

Как всегда, дополнительные средства компенсации могут быть реализованы отдельными агентствами на основе управления рисками до авторизации агентства и последующего использования этих облачных служб.

Оценка IRAP служб и облачных операций Майкрософт помогает обеспечить клиентам государственного сектора в государственном секторе и их партнерам, что корпорация Майкрософт имеет соответствующие и эффективные средства контроля безопасности для обработки, хранения и передачи данных, классифицированных до уровня PROTECTED. Эта оценка включает большинство данных о правительстве, здравоохранении и образовании в Австралии.

Затрагиваемые облачные платформы и службы Майкрософт

Azure, Dynamics 365 и IRAP

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствии см. в разделе Предложение Azure IRAP.

Office 365 и IRAP

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
Коммерческий сектор Exchange Online, Exchange Online Protection, Forms, Microsoft Teams, Office 365 клиентский портал, Office Online, Office Service Infrastructure, OneDrive для бизнеса, Planner, SharePoint Online, Skype для бизнеса, доска, Viva Engage

Вопросы и ответы

К кому применяется IRAP?

IRAP применяется ко всем австралийским федеральным, государственным и местным государственным учреждениям, которые используют облачные службы. Правительственные учреждения Новой Зеландии требуют соблюдения стандарта, аналогичного австралийскому государственному ISM, поэтому они также могут использовать оценки IRAP.

Можно ли использовать соответствие требованиям Майкрософт в процессе оценки и утверждения рисков в моей организации?

Да. Если вашей организации требуется или требуется утверждение для работы в соответствии с ISM, вы можете использовать оценки безопасности IRAP Azure, Dynamics 365, Microsoft Managed Desktop и Office 365 в оценке рисков. Однако вы несете ответственность за привлечение оценчика для оценки вашей реализации, развернутой на платформах Майкрософт, а также за элементы управления и процессы в вашей организации.

С чего начать с собственной оценки рисков и утверждения для работы в моей организации?

Рекомендуется ознакомиться с руководством по оценке облачной безопасности в ACSC.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы