Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST)
Introducción a NIST CSF
El Instituto Nacional de Estándares y Tecnología (NIST) promueve y mantiene estándares de medición e instrucciones para ayudar a las organizaciones a evaluar los riesgos. En respuesta a la Orden Ejecutiva 13636 sobre el fortalecimiento de la ciberseguridad de las redes federales y la infraestructura crítica, NIST publicó el Marco para mejorar la ciberseguridad de infraestructura crítica (FICIC) en febrero de 2014.
Las principales prioridades de la FICIC eran establecer un conjunto de estándares y prácticas para ayudar a las organizaciones a administrar el riesgo de ciberseguridad, a la vez que se habilitaba la eficiencia empresarial. Nist Framework aborda el riesgo de ciberseguridad sin imponer requisitos normativos adicionales para las organizaciones gubernamentales y del sector privado.
La FICIC hace referencia a estándares reconocidos a nivel mundial, incluido NIST SP 800-53 que se encuentra en el Apéndice A del Marco del NIST para mejorar la ciberseguridad de la infraestructura crítica. Cada control dentro del marco FICIC se asigna a los controles NIST 800-53 correspondientes dentro de la línea base moderada de FedRAMP.
Microsoft y el CSF de NIST
NIST Cybersecurity Framework (CSF) es un marco voluntario que consta de estándares, directrices y procedimientos recomendados para administrar los riesgos relacionados con la ciberseguridad. Los servicios en la nube de Microsoft se han sometido a auditorías independientes de FedRAMP Moderate y High Baseline de terceros y están certificadas según los estándares de FedRAMP. Además, a través de una evaluación validada realizada por HITRUST, una organización líder en desarrollo y acreditación de estándares de seguridad y privacidad, Office 365 está certificada según los objetivos especificados en el CSF de NIST.
Aprenda a acelerar la implementación de NIST Cybersecurity Framework con el Administrador de cumplimiento y nuestro plano técnico de seguridad y cumplimiento de Azure:
- Introducción al ejemplo de plano técnico de NIST SP 800-53 R4
- Más información sobre la evaluación del CSF de NIST para Office 365 en el Administrador de cumplimiento
Servicios y plataformas en la nube dentro de Microsoft
- Azure Government
- Dynamics 365 para el gobierno
- Office 365
CSF de Azure, Dynamics 365 y NIST
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de CSF de Azure NIST.
Office 365 y NIST CSF
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Servicio de fuente de actividad, Bing Services, Delve, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
Office 365 ciclo de auditoría y certificación
La certificación NIST CSF de Office 365 es válida durante dos años.
Preguntas más frecuentes
¿Ha validado un evaluador independiente que Office 365 admite los requisitos de NIST CSF?
Sí, Office 365 obtuvo la carta de certificación del NIST CSF de HITRUST en julio de 2019.
¿Cómo demuestra Microsoft Cloud Services el cumplimiento del marco?
Con los informes de auditoría formales preparados por terceros para la acreditación de FedRAMP, Microsoft puede mostrar cómo los controles pertinentes indicados en estos informes demuestran el cumplimiento con nist Framework para mejorar la ciberseguridad de infraestructura crítica. Los controles auditados implementados por Microsoft sirven para garantizar la confidencialidad, integridad y disponibilidad de los datos almacenados, procesados y transmitidos por Azure, Office 365 y Dynamics 365 que se han identificado como responsabilidad de Microsoft.
¿Cuáles son las responsabilidades de Microsoft para mantener el cumplimiento de esta iniciativa?
La participación en la FICIC es voluntaria. Sin embargo, Microsoft garantiza que Office 365 cumpla los términos definidos en los Términos de servicios en línea y los contratos de nivel de servicio aplicables.
¿Puedo usar el cumplimiento de Microsoft para mi organización?
Sí. Los informes de cumplimiento de terceros independientes a los estándares de FedRAMP atestiguan la eficacia de los controles que Microsoft ha implementado para mantener la seguridad y privacidad de microsoft Cloud Services. Los clientes de Microsoft pueden usar los controles auditados descritos en estos informes relacionados como parte de sus propios esfuerzos de análisis de riesgos y calificación de FedRAMP y NIST FICIC.
¿Qué organizaciones considera el Estados Unidos Gobierno como infraestructura crítica?
Según el Departamento de Seguridad Nacional, estas incluyen organizaciones en los siguientes sectores: Química, Instalaciones Comerciales, Comunicaciones, Fabricación Crítica, Represas, Base Industrial de Defensa, Servicios de Emergencia, Energía, Servicios Financieros, Alimentación y Agricultura, Instalaciones gubernamentales, Salud y Salud Pública, Tecnología de la Información, Nuclear (Materiales y Desechos de Reactores), Sistemas de Transporte y Agua (y Aguas Residuales).
¿Por qué algunos servicios de Office 365 no están en el ámbito de esta certificación?
Microsoft proporciona las ofertas más completas en comparación con otros proveedores de servicios en la nube. Para mantenerse al día con nuestras amplias ofertas de cumplimiento entre regiones e industrias, se incluyen servicios en el ámbito de nuestros esfuerzos de garantía en función de la demanda del mercado, los comentarios de los clientes y el ciclo de vida del producto. Si un servicio no está incluido en el ámbito actual de una oferta de cumplimiento específica, su organización tiene la responsabilidad de evaluar los riesgos en función de sus obligaciones de cumplimiento y determinar la forma en que procesa los datos en ese servicio. Recopilamos continuamente comentarios de los clientes y trabajamos con reguladores y auditores para ampliar nuestra cobertura de cumplimiento para satisfacer sus necesidades de seguridad y cumplimiento.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Recursos
- Asignación de ofertas cibernéticas de Microsoft a: NIST Cybersecurity Framework (CSF), controles CIS, ISO27001:2013 e HITRUST CSF
- Marco para mejorar la ciberseguridad de la infraestructura crítica
- Orden ejecutiva presidencial sobre el fortalecimiento de la ciberseguridad de las redes federales y la infraestructura crítica
- Nube de Microsoft para la Administración Pública
- Términos de Online Services
- Cumplimiento normativo en el Centro de confianza de Microsoft