IRAP Compliance | Australische Cybersecurity-Standards
Was ist das Information Security Registered Assessors Program? Was bedeutet es, mit dem IRAP konform zu sein? Hier erfahren Sie es.
Was ist IRAP? Die Assessoren des Information Security Registered Assessors Program (IRAP) unterstützen Unternehmen, die für die australische Regierung arbeiten, indem sie deren Cybersicherheit unabhängig bewerten, Risiken identifizieren und Maßnahmen zur Risikominderung vorschlagen. Dadurch wird sichergestellt, dass diese Unternehmen über die erforderlichen Sicherheitsrichtlinien und -kontrollen verfügen, um die Anforderungen des Australian Government Information Security Manual zu erfüllen.
Was ist IRAP?
Australien hat, wie andere Länder auch, wichtige Gesetze und Vorschriften zur Cybersicherheit erlassen, um den zunehmenden Herausforderungen durch Hackerangriffe, Betrug und Angriffen anderer Staaten zu begegnen. Wie bei jedem anderen Regelwerk müssen qualifizierte Institutionen, die die Gesetze verstehen und wissen, wie sie in der realen Welt angewendet werden, diese Vorschriften bewerten.
Das Information Security Registered Assessors Program ist ein einzigartiges Compliance-Programm, das privaten und öffentlichen Unternehmen die Fähigkeit attestiert, die Anforderungen an die Cybersicherheit zu erfüllen. Unabhängige Assessoren verwenden zwei verschiedene Richtlinien:
- Information Security Manual: Ein Dokument mit Richtlinien, die Unternehmen beim Aufbau interner Sicherheitsstandards auf der Grundlage von Risikobewertungen helfen sollen.
- Protective Security Policy Framework (PSPF): Eine Reihe von Vorschriften, die für australische Regierungsbehörden gelten und gemeinsame Sicherheitsstandards vorsehen.
Das IRAP legt Richtlinien und Verfahren für die Bewertung der Assessoren anhand dieser Sicherheitsstandards fest, so dass ein Audit-Standard vorhanden ist, der eine hohe Sicherheit gewährleistet.
Um eine IRAP-Zertifizierung zu erhalten, müssen die Bewerber verschiedene Voraussetzungen erfüllen:
- Australische Staatsbürger sein
- sich ethisch verhalten
- alle Voraussetzungen für die Beantragung der Negative Vetting Stufe 1 (NV1) erfüllen, die eine Sicherheitsfreigabe der Stufe “secret” ermöglicht
Zusätzlich zu den oben genannten Punkten muss jeder Bewerber Qualifikationen aus zwei verschiedenen Kategorien nachweisen können, eine pro Kategorie:
Kategorie A | Kategorie B |
| |
|
Schließlich muss der Assessor über fünf Jahre Erfahrung in der technischen Informations- und Kommunikationstechnologie verfügen, davon zwei Jahre in der Systemabsicherung gemäß den Informationssicherheitsvorschriften der australischen Regierung. Danach muss er das IRAP New Starter Training und die Assessor-Prüfungen absolvieren.
Wie aus der Tabelle hervorgeht, sollte ein potenzieller IRAP-Assessor mit verschiedenen Bewertungstechniken und Zertifizierungen vertraut sein. Darüber hinaus erfordert der Standard nicht nur Kenntnisse der australischen Cybersicherheitsgesetze, sondern auch ein potenzielles Verständnis von CISSP, ISO-Bewertungsrichtlinien, Payment Card Industry (PCI) Bewertungsstandards und anderer Frameworks.
Was ist das Information Security Manual (ISM)?
Ein Teil dessen, was ein IRAP-Assessor untersucht, ist die Einhaltung des ISM. Der Schwerpunkt des ISM liegt darauf, Unternehmen bei der Umsetzung eines auf Verfahren des Risikomanagements basierenden Rahmenkonzepts für die Cybersicherheit zu unterstützen.
Das ISM ist ein kodifizierter Ratgeber für Cybersicherheit, der vom Australian Cyber Security Centre als Teil des Australian Signals Directorate bereitgestellt wird und sich an Chief Information Security Officers (CISOs) und Chief Information Officers (CIOs) in Unternehmen und anderen Organisationen richtet. Das ISM ist nicht zwingend gesetzlich vorgeschrieben, es sei denn, das Unternehmen arbeitet mit der Regierung oder in einer anderen Funktion, in der es gesetzlich zur Einhaltung der ISM-Richtlinien verpflichtet ist.
Das ISM bietet Richtlinien für eine umfangreiche IT- und Cybersecurity-Infrastruktur. Ähnlich wie das National Institute of Standards and Technology in den Vereinigten Staaten umfasst das ISM Richtlinien für die Sicherheit in den folgenden Bereichen:
- Rollen: Wie Unternehmen Positionen im Zusammenhang mit der Cybersicherheit besetzen und verwalten – allen voran das Amt des CISO
- Reaktion auf Vorfälle: Wie das Unternehmen Hackerangriffe oder Sicherheitsverletzungen aufspürt, verwaltet und meldet
- Outsourcing: Wie ein Unternehmen externe Dienste wie Cloud-Infrastruktur und Applikationen auswählt und sicher implementiert
- Dokumentation: Wie ein Unternehmen Sicherheitspläne, Richtlinien und Implementierungen dokumentiert
- Physische Sicherheit: Wie Unternehmen Ressourcen wie Rechenzentren, Workstations, Büros und IT-Equipment physisch sichern
- Personalsicherheit: Wie man Mitarbeiter sicher einstellt, anstellt, schult, Zugang gewährt und entlässt
- Kommunikationsinfrastruktur: Wie das Unternehmen die Kommunikationstechnologie installiert und schützt, insbesondere die Verkabelung und die Wi-Fi/RF-Kommunikation
- Kommunikationssysteme: Wie Unternehmen Kommunikationstechnologie wie Telefone, Videokonferenzen, Faxgeräte und digitale VoIP-Dienste schützen
- Unternehmensmobilität: Wie Unternehmen die Nutzung von IT-Systemen sichern, die mit mobilen Geräten verbunden sind, wie diese Geräte gesichert werden und bereitgestellt werden
- Systemverwaltung: Wie ein Unternehmen Ereignisse in einem System protokolliert, einschließlich Vorfällen, und sichere Logs für das Reporting und die Forensik aufbewahrt
- Datenbanksysteme: Wie Datenbanken verwaltet und geschützt werden, und wie diese Datenbankplattformen ausgewählt werden
- E-Mail: Verwendung von sicheren E-Mail-Plattformen, sichere E-Mails mit Verschlüsselung und Vermeidung der Weitergabe sensibler Informationen per E-Mail
- Kryptographie: Mindestanforderungen an die Kryptographie, einschließlich der Verwendung von Transport Layer Security, Secure Shell und S/MIME
Eine vollständige Liste der Richtlinien finden Sie in der ISM-Dokumentation.
Was ist eine IRAP-Prüfung?
Eine IRAP-Prüfung ist im Rahmen von ISM für Unternehmen zulässig und erforderlich, die entweder 1) gesetzlich verpflichtet sind, eine ISM-Zertifizierung anzustreben, oder 2) die eine Zertifizierung außerhalb der gesetzlichen Anforderungen anstreben.
Im Allgemeinen sind die IRAP-Prüfungen in zwei Phasen unterteilt:
- Phase 1: Der Assessor berät sich mit dem zu prüfenden Unternehmen, um den Umfang der Untersuchung festzulegen, die IT-Systeme des Unternehmens zu erfassen und eine Reihe von Dokumenten im Zusammenhang mit der Untersuchung zu sichten, darunter:
- eine übergreifende Richtlinie zur Informationssicherheit und Risikobewertung für Bedrohungen
- ein System-Sicherheitsplan
- ein Management-Plan für Sicherheitsrisiken
- ein Plan zur Reaktion auf Vorfälle
- ein Dokument mit den standardmäßigen Arbeitsabläufen
- Darüber hinaus prüft der Assessor die IT-Infrastruktur des Unternehmens im Hinblick auf diese Dokumente und den Umfang der Untersuchung. Dabei beleuchtet er die Compliance oder deren Fehlen und dokumentiert Möglichkeiten zur Nachbesserung von Systemen, die den Anforderungen nicht entsprechen.
- Phase 2: Obwohl Phase 1 bereits sehr ausführlich ist, geht Phase 2 noch weiter, indem die IT-Systeme des Unternehmens genauer untersucht werden. Dazu gehört ein Besuch vor Ort, bei dem der Assessor das Personal befragt, die tatsächliche Systemimplementierung untersucht, die physischen Sicherheitsmaßnahmen prüft und allgemein feststellt, ob die tatsächliche Realität dieser Systeme mit der Dokumentation aus Stufe 1 übereinstimmt.
- Darüber hinaus erstellt der Assessor einen Bericht zur Sicherheitsbewertung der Phase 2, in dem der Zustand der Systeme beschrieben wird und weitere Vorschläge für Korrekturmaßnahmen gemacht werden.
Unterschiedliche Datenkategorien erfordern eine gründlichere Prüfung auf der Grundlage ihrer Klassifizierungen.
Kiteworks IRAP Compliance mit australischen Cybersecurity-Standards
Die australische Regierung ist sich der Bedrohungen für die Versorgungskette ihrer Bundes- und Landesbehörden bewusst, und das IRAP spielt eine wichtige Rolle bei der Sicherstellung, dass Technologieanbieter und -lieferanten Technologien verwenden, die einer Reihe von strengen Governance- und Sicherheitsstandards entsprechen. Kiteworks ist der einzige globale Anbieter im Bereich der Kommunikation sensibler Inhalte, der vom IRAP mit dem Sicherheitsniveau PROTECTED bewertet wurde. Für Bundes- und Landesbehörden sowie für Unternehmen, die mit der australischen Regierung zusammenarbeiten, stellt Kiteworks sicher, dass sie die volle Kontrolle über den Datenschutz ihrer in Single-Tenancy-Clouds gehosteten Daten behalten. Das bedeutet, dass es keine Vermischung von Daten, Metadaten oder gemeinsam genutzten Anwendungsressourcen gibt. Kiteworks ermöglicht auch das Risikomanagement für externe Parteien (Third-Party Risk Management, TPRM), indem es sicherstellt, dass die Kommunikation sensibler Inhalte mit Dritten gemäß den vorgeschriebenen Richtlinien geschützt und gesteuert wird.
IRAP Compliance ist nur einer von vielen globalen Compliance-Standards, die Kiteworks erfüllt, darunter FedRAMP, General Data Protection Regulation (GDPR), SOC 2, Cybersecurity Maturity Model Certification (CMMC), Federal Information Processing Standard (FIPS) und andere. Das CISO Dashboard von Kiteworks bietet Unternehmen einen Echtzeitüberblick darüber, wer auf welche vertraulichen Inhalte zugreift, an wen sie weitergegeben und übertragen werden, über welche Kommunikationskanäle und wann dies geschieht.
Vereinbaren Sie einen Termin für eine individuelle Demo, um zu sehen, wie Kiteworks funktioniert und um mehr über die IRAP-Prüfung von Kiteworks im Hinblick auf das Sicherheitsniveau PROTECTED zu erfahren.
–>