Programa Avaliador de Segurança de Informações do Governo Australiano (IRAP)

O Programa de Assessor de Segurança da Informação (IRAP) fornece um processo abrangente para a avaliação independente da segurança de um sistema em relação às políticas e diretrizes do governo australiano. O objetivo do IRAP é maximizar a segurança dos dados governamentais federais, estaduais e locais australianos, concentrando-se na infraestrutura de tecnologia de informações e comunicações que armazena, processa e comunica.

Visão geral do IRAP

O Programa de Avaliadores Registrados em Segurança de Informações (IRAP) é governado e administrado pelo Centro de Segurança Cibernética Australiana (ACSC). O IRAP fornece a estrutura para endossar indivíduos dos setores público e privado para fornecer serviços de avaliação de segurança cibernética ao governo australiano. Os avaliadores do IRAP endossados podem fornecer uma avaliação independente da segurança de TIC, sugerir mitigações e realçar riscos residuais. O IRAP fornece um processo abrangente para a avaliação independente da segurança de um sistema em relação às políticas e diretrizes do governo australiano. O objetivo do IRAP é maximizar a segurança dos dados governamentais federais, estaduais e locais australianos, concentrando-se na infraestrutura de tecnologia de informações e comunicações que armazena, processa e comunica.

  • Em 2014, o Azure foi lançado como o primeiro serviço de nuvem avaliado pelo IRAP na Austrália, hospedado a partir de datacenters em Melbourne e Sydney. Esses dois datacenters dão aos clientes australianos controle sobre onde os dados do cliente estão armazenados, além de fornecer uma durabilidade aprimorada de dados em que há desastres por meio de backups em ambos os locais.
  • No início de 2015, Office 365 se tornou o primeiro serviço de produtividade na nuvem a concluir essa avaliação.
  • Em abril de 2015, o ASD anunciava a certificação CCSL do Azure e Office 365 e, em novembro de 2015, do Dynamics 365.
  • Em junho de 2017, o ASD anuncia a recertificação de Microsoft Azure e Office 365 para um conjunto de serviços muito expandido.
  • Em abril de 2018, o ACSC anunciava a certificação do Azure e Office 365 na classificação PROTECTED. A Microsoft é o primeiro e único provedor de nuvem pública a atingir esse nível de certificação.
  • Em setembro de 2019, o escopo de avaliação do IRAP atualizado da Microsoft foi expandido para incluir 113 serviços na classificação PROTECTED.
  • Em dezembro de 2020, a Microsoft lançou duas avaliações incrementais do IRAP para o Azure e Office 365. Esses relatórios utilizaram a nova orientação postando a cessação da Lista de Serviços de Nuvem Certificados (CCSL). Os relatórios contêm uma avaliação da Microsoft como um Provedor de Serviços de Nuvem (CSP) e outros serviços incrementais para os relatórios de 2019 no Azure, Dynamics e Office 365.

Microsoft e IRAP

Em dezembro de 2020, a Microsoft concluiu duas avaliações incrementais do Azure & Dynamics e Office 365. Essas avaliações adicionaram mais serviços avaliados ao nível de classificação de PROTECTED. Além disso, essas avaliações foram conduzidas sob as novas diretrizes de segurança na nuvem ccsl pós-CCSL, conforme descrito na Anatomia de uma orientação de Avaliação e Autorização na Nuvem do ACSC.

Para cada avaliação, a Microsoft contratou um avaliador IRAP credenciado pelo ACSC que examinou os controles e processos de segurança usados pela equipe de operações de TI da Microsoft, datacenters físicos, detecção de intrusão, criptografia, segurança entre domínios e rede, controle de acesso e gerenciamento de risco de segurança da informação de serviços no escopo. As avaliações do IRAP descobriram que a arquitetura do sistema microsoft é baseada em princípios de segurança sólida e que os controles ism (manual de segurança de informações) do governo australiano aplicáveis estão em vigor e totalmente eficazes em nossos serviços avaliados.

A estrutura de gerenciamento de riscos usada pelo ISM se desenha da Publicação Especial (SP) 800-37 rev. 2do Instituto Nacional de Padrões e Tecnologia (NIST). Dentro dessa estrutura de gerenciamento de riscos, a identificação de riscos e seleção de controles de segurança pode ser realizada usando vários padrões de gerenciamento de riscos, como a International Organization for Standardization (ISO) 31000:2018, Gerenciamentode riscos - Diretrizes . Amplamente, a estrutura de gerenciamento de riscos usada pelo ISM tem seis etapas:

  • Definir o sistema
  • Selecionar controles de segurança
  • Implementar controles de segurança
  • Avaliar controles de segurança
  • Autorizar o sistema
  • Monitorar o sistema

Como sempre, controles de compensação adicionais podem ser implementados em uma base gerenciada por riscos por agências individuais antes da autorização da agência e do uso subsequente desses serviços de nuvem.

A avaliação do IRAP dos serviços e operações de nuvem da Microsoft ajuda a garantir aos clientes do setor público no governo e seus parceiros que a Microsoft tenha controles de segurança apropriados e eficazes para o processamento, armazenamento e transmissão de dados classificados até e incluindo o nível de PROTECTED. Essa avaliação inclui a maioria dos dados governamentais, de saúde e de educação na Austrália.

Plataformas e serviços em nuvem no escopo da Microsoft

Azure, Dynamics 365 e IRAP

Para obter mais informações sobre a conformidade do Azure, do Dynamics 365 e de outros serviços online, consulte a oferta do Azure IRAP.

Office 365 e IRAP

Ambientes da nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Exchange Online, Proteção do Exchange Online, Formulários, Microsoft Teams, Portal do Cliente Office 365, Office Online, infraestrutura de serviço do Office, OneDrive for Business, Planner, SharePoint Online, Skype for Business, Quadro de Yammer

Perguntas frequentes

A quem o IRAP se aplica?

O IRAP se aplica a todas as agências governamentais federais, estaduais e locais australianas que usam serviços de nuvem. As agências governamentais neozelandesas exigem conformidade com um padrão semelhante ao ISM do Governo Australiano, portanto, também podem usar as avaliações do IRAP.

Posso usar a conformidade da Microsoft no processo de avaliação e aprovação de riscos da minha organização?

Sim. Se sua organização exigir ou estiver procurando uma aprovação para operar em conformidade com o ISM, você pode usar as avaliações de segurança do IRAP do Azure, do Dynamics 365, Área de Trabalho Gerenciada da Microsoft e Office 365 na avaliação de risco. No entanto, você é responsável por envolver um assessor para avaliar sua implementação como implantada nas plataformas da Microsoft e para os controles e processos em sua própria organização.

Por onde começar com a própria avaliação e aprovação de risco da minha organização para operar?

É recomendável que você leia as diretrizes de Avaliações de Segurança na Nuvem do ACSC.

Usar o Gerenciador de Conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos