ASD отказывается от программы сертификации облачной безопасности
Чтобы разблокировать правительственный облачный рынок.
Австралийское агентство кибершпионов закрыло правительственную программу сертификации облачных сервисов (CSCP), чтобы устранить узкие места и путаницу вокруг аккредитации облачных сервисов.
В ходе акции, которая обещает открыть облачный рынок страны, Австралийское управление сигналов и Агентство цифровой трансформации объявили в понедельник, что программа прекратится с июля.
Это следует из результатов независимого обзора программы и программы зарегистрированных оценщиков информационной безопасности (IRAP), заказанной ASD в июле прошлого года.
В обзоре, в котором рассматривались перспективы отрасли и правительства, было рекомендовано закрыть CCSP и создать «новые совместно разработанные руководящие принципы облачной безопасности с участием промышленности».
«В соответствии с этими рекомендациями ASD сегодня прекратит CSCP, ASD больше не будет органом по сертификации и не будет заниматься сертификационной деятельностью», - говорится в заявлении агентства.
«Это включает в себя повторную сертификацию».
Это изменение будет означать, что поставщики облачных услуг потеряют свою защищенную и несекретную печать одобрения DLM с июля 2020 года.
«Все сертификаты ASD и письма о повторной сертификации будут недействительны с этой даты, и Руководство по информационной безопасности правительства Австралии (ISM) будет обновлено, чтобы отменить требование выбора облачных сервисов из CCSL», - заявили ASD и DTA.
CSCP был введен для обеспечения всесторонней оценки облачных сервисов, чтобы максимизировать безопасность данных в федеральном, штатном и территориальном правительствах.
Но процесс сертификации уже давно подвергается критике как обременительный, дорогостоящий и многоплановый для облачных провайдеров, желающих продать Канберре, а также правительств штатов и территорий.
Только шесть поставщиков облачных услуг (Amazon Web Services, Microsoft, Vault Systems, Macquarie Government, Sliced Tech и NTT Australia) были сертифицированы на защищенный уровень с 2017 года.
Еще семь провайдеров, включая Google, IBM, Salesforce и ServiceNow, сертифицированы на неклассифицированном уровне.
Например, поставщики Hyperscale Cloud, такие как Microsoft, ждали еще 12 месяцев после получения защищенной сертификации IRAP, прежде чем были подписаны ASD.
DTA впервые признал CSCP «существенным барьером» два года назад в своей стратегии безопасного облака, в которой говорится, что наличие единой ответственности за сертификацию создает узкие места и путаницу .
Стратегия ввела многоуровневую модель облачной сертификации, которая дала агентствам возможность самооценки облачных услуг путем повторного использования «практики, уже имеющейся для сертификации систем ИКТ».
С тех пор DTA выпустила отдельную общегосударственную стратегию хостинга , которая вводит новые требования для центров обработки данных и поставщиков управляемых услуг, которые обрабатывают правительственные данные.
«Прекращение CSCP откроет австралийский облачный рынок, что позволит работать большему количеству доморощенных австралийских провайдеров», - заявили ASD и DTA.
«Это также предоставит государственным заказчикам более широкий спектр безопасных и экономически эффективных облачных услуг».
В отчете также рекомендовано, чтобы ASD «развивал и улучшал [доставку] IRAP». Агентство планирует начать прием заявок на новых оценщиков IRAP и возобновить обучение IRAP.
«Поддержка сообщества IRAP предоставит больше ресурсов и более высоких стандартов для поддержки правительства в поддержании его деятельности по обеспечению безопасности и управлению рисками», - сказали ASD и DTA.
ASD также планирует создать консультативные форумы по кибербезопасности, состоящие из «избранных представителей правительства и отрасли».
Тема первого форума будет посвящена облачной безопасности.
«ASD будет использовать этот форум для улучшения существующих руководств по безопасности облачных вычислений посредством разработки совместно разработанных руководств с промышленностью», - заявили ASD и DTA.
«Эти руководящие принципы помогут организациям Содружества и австралийским предприятиям повысить свою кибербезопасность и устойчивость».
ASD планирует пригласить представителей для участия в первом консультативном форуме по облачной безопасности в ближайшие недели.