NIST SP 800-171
Acerca de NIST SP 800-171
El Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. promueve y mantiene estándares y directrices de medición para ayudar a proteger los sistemas de información e información de las agencias federales. En respuesta a la Orden Ejecutiva 13556 sobre la administración de información controlada sin clasificar (CUI), publicó NIST SP 800-171, Protecting Controlled Unclassified Information In NonFederal Information Systems and Organizations. CUI se define como información, tanto digital como física, creada por un gobierno (o una entidad en su nombre) que, aunque no está clasificada, sigue siendo confidencial y requiere protección.
NIST SP 800-171 se publicó originalmente en junio de 2015 y se ha actualizado varias veces desde entonces en respuesta a la evolución de las ciberamenazas. Proporciona directrices sobre cómo se debe acceder a CUI de forma segura, transmitirse y almacenarse en organizaciones y sistemas de información no federales; sus requisitos se dividen en cuatro categorías principales:
- Controles y procesos para administrar y proteger
- Supervisión y administración de sistemas de TI
- Procedimientos y procedimientos claros para los usuarios finales
- Implementación de medidas de seguridad tecnológicas y físicas
Microsoft y NIST SP 800-171
Las organizaciones de evaluación de terceros acreditadas, Kratos Secureinfo y Coalfire, se asociaron con Microsoft para dar fe de que sus servicios en la nube en el ámbito cumplen los criterios de NIST SP 800-171, Protección de la información no clasificada controlada (CUI) en sistemas de información no condicional y organizaciones, cuando procesan CUI. La implementación de Microsoft de los requisitos de FedRAMP ayuda a garantizar que los servicios en la nube en el ámbito de Microsoft cumplan o superen los requisitos de NIST SP 800-171 mediante los sistemas y prácticas ya existentes.
Los requisitos de NIST SP 800-171 son un subconjunto de NIST SP 800-53, el estándar que usa FedRAMP. El apéndice D de NIST SP 800-171 proporciona una asignación directa de sus requisitos de seguridad CUI a los controles de seguridad pertinentes en NIST SP 800-53, para los que los servicios en la nube en el ámbito ya se han evaluado y autorizado en el marco del programa FedRAMP.
Cualquier entidad que procese o almacene cui del gobierno de EE. UU.: instituciones de investigación, empresas de consultoría, contratistas de fabricación, deben cumplir los estrictos requisitos de NIST SP 800-171. Esta atestación significa que los servicios en la nube de ámbito de Microsoft pueden dar cabida a los clientes que desean implementar cargas de trabajo cui con la garantía de que Microsoft está en pleno cumplimiento. Por ejemplo, todos los contratistas del DoD que procesan, almacenan o transmiten "información de defensa cubierta" mediante servicios en la nube de Microsoft en el ámbito de sus sistemas de información cumplen las cláusulas DFARS del Departamento de Defensa de EE. UU. que requieren el cumplimiento de los requisitos de seguridad de NIST SP 800-171.
Servicios y plataformas en la nube dentro de Microsoft
- Azure Commercial, Azure Government
- Dynamics 365 gobierno de EE. UU.
- Intune
- Office 365 U.S. Government Community Cloud (GCC), Office 365 GCC High y DoD
- Tenga en cuenta que Office 365 Comercial no está incluido en la auditoría de terceros realizada para NIST 800-171 y no está en el ámbito.
Azure, Dynamics 365 y NIST SP 800-171
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure NIST SP 800-171.
Office 365 y NIST SP 800-171
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
GCC | Servicio de fuente de actividad, Bing Services, Delve, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
GCC High | Servicio de fuente de actividad, Bing Services, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
DoD | Servicio de fuente de actividad, Servicios de Bing, Exchange Online, Intelligent Services, Office 365 Portal de clientes, Office Online, Infraestructura de servicios de Office, Informes de uso de Office, OneDrive para la Empresa, tarjeta de Personas, Microsoft Teams, SharePoint Online, Skype Empresarial, Windows Ink |
Preguntas más frecuentes
¿Puedo usar el cumplimiento de Microsoft con NIST SP 800-171 para mi organización?
Sí. Los clientes de Microsoft pueden usar los controles auditados descritos en los informes de organizaciones de evaluación de terceros independientes (3PAO) en los estándares de FedRAMP como parte de sus propios esfuerzos de análisis y calificación de riesgos de FedRAMP y NIST. Estos informes atestiguan la eficacia de los controles que Microsoft ha implementado en sus servicios en la nube en el ámbito. Los clientes son responsables de asegurarse de que sus cargas de trabajo cui cumplen con las directrices de NIST SP 800-171.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.