Nivel de impacto 5 (IL5) del Departamento de Defensa (DoD)
Introducción a DoD IL5
La Agencia de Sistemas de Información de Defensa (DISA) es una agencia del Departamento de Defensa de EE. UU. (DoD) responsable de desarrollar y mantener la Guía de requisitos de seguridad de informática en la nube (SRG) del DoD. El SRG define los requisitos de seguridad de línea base que usa el DoD para evaluar la posición de seguridad de un proveedor de servicios en la nube (CSP), lo que respalda la decisión de conceder una autorización provisional (PA) del DoD que permita a un CSP hospedar misiones de DoD. Incorpora, reemplaza y anula el modelo de seguridad en la nube (CSM) de DoD publicado anteriormente y se asigna a DoD Risk Management Framework (RMF).
DISA guía a las agencias y departamentos del Departamento de Desarrollo en la planificación y autorización del uso de un CSP. También evalúa las ofertas de CSP para el cumplimiento con el SRG, un proceso de autorización mediante el cual los CSP pueden proporcionar documentación que describa su cumplimiento con los estándares del DoD. Emite autorizaciones provisionales (PA) del DoD cuando corresponda, por lo que las agencias del DoD y las organizaciones auxiliares pueden usar servicios en la nube sin tener que pasar por un proceso de aprobación completa por su cuenta, lo que ahorra tiempo y esfuerzo.
De acuerdo con los niveles de impacto de la información de la sección 3.2 de SRG, la información de IL5 cubre:
Información controlada sin clasificar (CUI) que requiere un mayor nivel de protección que el que ofrece IL4
- El Registro CUI proporciona categorías específicas de información que está bajo protección por la rama ejecutiva; por ejemplo, se incluyen más de 20 agrupaciones de categorías en la lista de categorías cui.
- NIST SP 800-171Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations está diseñado para su uso por las agencias federales en contratos u otros acuerdos establecidos con organizaciones no federales.
Sistemas de seguridad nacional (NSS)
- NIST SP 800-59Guía para identificar un sistema de información como sistema de seguridad nacional proporciona definiciones de NSS.
- CNSSI 1253Security Categorization and Control Selection for National Security Systems proporciona orientación sobre los estándares de seguridad que las agencias federales deben aplicar para clasificar la información de seguridad nacional.
En la nota del CIO del DoD del 15 de diciembre de 2014sobre la guía actualizada sobre la adquisición y el uso de Commercial Cloud Computing Services se indica que "FedRAMP servirá como línea base de seguridad mínima para todos los servicios en la nube del DoD". El SRG usa la línea base moderada de FedRAMP en todos los niveles de impacto de información (IL) y considera la línea base alta en algunos.
SRG Sección 5.1.1Uso del DoD de los controles de seguridad de FedRAMP indica que un FedRAMP High PA, complementado con controles y mejoras de control (C/CEs) y requisitos de DoD FedRAMP+ en el SRG, se usan para evaluar los CSP para conceder un DoD PA en IL5. Independientemente de qué línea base de C/CE se use como base para un Pa alto de FedRAMP, las consideraciones o requisitos adicionales tendrán que evaluarse y aprobarse antes de que se pueda otorgar un PA de DoD en IL5. Específicamente, la sección 5.1.2 del DoD FedRAMP+ controles de seguridad/mejoras de SRG indica en la tabla 2 que se requieren 10 C/CEs adicionales más allá de la línea base de FedRAMP High para un DOD IL5 PA.
Además, de acuerdo con la Sección 5.2.2.3IL5 de SRG Requisitos de ubicación y separación, deben cumplirse los siguientes requisitos (entre otros) para un PA de nivel 5:
- Es suficiente la separación virtual/lógica entre los inquilinos y las misiones del DoD y el Gobierno Federal. Se requiere una separación virtual o lógica entre sistemas de inquilino o misión.
- Se requiere separación física de inquilinos que no son del DoD o del Gobierno Federal (es decir, inquilinos públicos, locales o estatales).
- El CSP restringe el posible acceso a la información del DoD y de la comunidad a los empleados de CSP que son ciudadanos estadounidenses.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- servicio al cliente de Dynamics 365
- Microsoft Defender para punto de conexión (anteriormente Protección contra amenazas avanzada de Microsoft Defender)
- Microsoft Graph
- Microsoft Stream
- Office 365 U.S. Government Defense
- Power Automate (anteriormente Microsoft Flow)
- Power BI
Azure, Dynamics 365 y DoD IL5
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure DoD IL5.
Office 365 y DoD IL5
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| DoD | Servicio de fuente de actividad, Bing Services, Bookings, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
Documentos de atestación
Los clientes del gobierno de EE. UU. pueden solicitar Office 365 documentación de FedRAMP de defensa del gobierno de EE. UU. directamente desde el Marketplace de FedRAMP mediante el envío de un formulario de solicitud de acceso a paquetes. Debe tener una dirección de correo electrónico .gov o .mil para acceder a un paquete de seguridad de FedRAMP directamente desde FedRAMP.
Seleccione la documentación de FedRAMP y DoD, incluido el plan de seguridad del sistema (SSP), los informes de supervisión continua, el plan de acción y los hitos (POA&M), etc., está disponible para los clientes bajo NDA y la autorización de acceso pendiente de la sección Informes de auditoría del Portal de confianza de servicios - Informes de FedRAMP . Póngase en contacto con el representante de su cuenta microsoft para obtener ayuda.
Recursos
- Soluciones gubernamentales de Microsoft
- Documentos de FedRAMP
- DoD Instruction 8510.01DoD Risk Management Framework (RMF) for DoD Information Technology (IT)
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
- Controles de seguridad y privacidad de NIST SP 800-53para sistemas de información y organizaciones
- NIST SP 800-59Guía para identificar un sistema de información como sistema de seguridad nacional
- Selección de categorización y control de seguridad de CNSSI 1253para sistemas de seguridad nacionales
- NIST SP 800-171Protección de información controlada sin clasificar en sistemas y organizaciones nofederales
- Lista de categorías cui y registro de información sin clasificar controlada (CUI).
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de