FedRAMP (Federal Risk and Authorization Management Program)

FedRAMP-Übersicht

Das US Federal Risk and Authorization Management Program (FedRAMP) wurde eingerichtet, um einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud Computing-Produkten und -Diensten gemäß dem Federal Information Security Management Act (FISMA) bereitzustellen und die Einführung sicherer Cloud-Lösungen durch Bundesbehörden zu beschleunigen.

Die Office von Verwaltung und Budget erfordert jetzt, dass alle leitenden Bundesbehörden FedRAMP verwenden, um die Sicherheit von Clouddiensten zu überprüfen. (Andere Behörden haben sie auch angenommen, sodass sie auch in anderen Bereichen des öffentlichen Sektor nützlich ist.) Das National Institute of Standards and Technology (NIST) SP 800-53 legt die obligatorischen Standards fest, legt Sicherheitskategorien von Informationssystemen fest – Vertraulichkeit, Integrität und Verfügbarkeit –, um die potenziellen Auswirkungen auf eine Organisation zu bewerten, wenn ihre Informations- und Informationssysteme kompromittiert werden. FedRAMP ist das Programm, das bestätigt, dass ein Clouddienstanbieter (CSP) diese Standards erfüllt.

CSPs, die Dienstleistungen an eine Bundesstelle verkaufen möchten, können drei Wege gehen, um die FedRAMP-Compliance nachzuweisen:

  • Verdienen Sie eine vorläufige Betriebsautorität (P-ATO) vom Joint Authorization Board (JAB). Die JAB ist die primäre Governance- und Entscheidungsinstanz für FedRAMP. Vertreter des Verteidigungsministeriums, des Department of Security und der General Services Administration sind im Board tätig. Das Board gewährt CSPs, die die FedRAMP-Compliance nachgewiesen haben, eine P-ATO.
  • Erhalten Sie eine Autorität zum Arbeiten (Authority to Operate, ATO) von einer Bundesstelle.
  • Oder arbeiten Sie unabhängig daran, ein vom CSP bereitgestelltes Paket zu entwickeln, das die Programmanforderungen erfüllt.

Jeder dieser Pfade erfordert eine strenge technische Überprüfung durch die FedRAMP-Programmverwaltung Office (PMO) und eine Bewertung durch eine unabhängige Drittanbieterorganisation, die vom Programm akkreditiert ist.

FedRAMP-Autorisierungen werden auf drei Auswirkungsstufen basierend auf den NIST-Richtlinien gewährt: niedrig, mittel und hoch. Diese Stufen bewerten die Auswirkungen, die der Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit auf eine Organisation haben könnte – niedrig (begrenzte Auswirkung), mittel (schwerwiegende nachteilige Auswirkung) und hoch (schwerwiegende oder schwerwiegende Auswirkung).

Microsoft und FedRAMP

Die Clouddienste von Microsoft, einschließlich Azure Government, Dynamics 365 Government und Office 365 U.S. Government, erfüllen die anspruchsvollen Anforderungen des US Federal Risk and Authorization Management Program (FedRAMP), sodass US-Bundesbehörden von den Kosteneinsparungen und der strengen Sicherheit der Microsoft Cloud profitieren können.

Microsoft Government Cloud Services bieten Kunden aus dem öffentlichen Sektor eine vielzahl von Diensten, die FedRAMP entsprechen, sowie robuste Anleitungen und Implementierungstools, einschließlich des FedRAMP High-Blueprints,das Kunden dabei hilft, eine reihe von Kernrichtlinien für alle von Azure bereitgestellten Architekturen bereitzustellen, die FedRAMP High-Kontrollen implementieren müssen.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure und Azure Government
  • Dynamics 365 U.S. Government
  • Intune
  • Office 365 U.S. Government, Office 365 U.S. Government – High, Office 365 U.S. Government Defense
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder enthalten in einem Office 365-Plan oder -Suite

Azure, Dynamics 365 und FedRAMP

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure FedRAMP-Angebot.

Office 365 und FedRAMP

  • Office 365 und Office 365 U.S. Government verfügen über eine ATO des US Department of Health and Human Services (DHHS).
  • Office 365 Us Government Defense has a P-ATO from the US Defense Information Systems Agency (DISA). Jeder Kunde, der Office 365 U.S. Government Defense bereitstellen möchte, kann die DISA P-ATO verwenden, um eine Agentur-ATO zu generieren, um deren Zustimmung zu dokumentieren.
  • Office 365 (Unternehmens- und Geschäftspläne) und Office 365 US-Regierung verfügen über eine FedRAMP-Agentur ATO auf der Stufe "Moderate Auswirkungen" aus der DHHS-Office des Generalinspektors. Office 365 U.S. Government war der erste cloudbasierte E-Mail- und Zusammenarbeitsdienst, der diese Autorisierung erhielt.

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
GCC Activity Feed Service, Bing Services, Bookings, Delve, Exchange Online, Exchange Online Protection, Infrastructure, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service, Office Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink
GCC Hoch Activity Feed Service, Bing Services, Bookings, Exchange Online, Exchange Online Protection, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastruktur, Office Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink
DoD Activity Feed Service, Bing Services, Bookings, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastruktur, Office Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink

Office 365-Audits, -Berichte und -Zertifikate

Microsoft muss seine Clouddienste jedes Jahr rezertifizieren, um seine P-ATOs und ATOs zu behalten. Dazu muss Microsoft seine Sicherheitskontrollen kontinuierlich überwachen und bewerten und nachweisen, dass die Sicherheit seiner Dienste weiterhin eingehalten wird.

Häufig gestellte Fragen

Entsprechen Microsoft Cloud Services dem Federal Information Security Management Act (FISMA)?

FISMA ist das Bundesgesetz, nach dem US-Bundesbehörden und ihre Partner Informationssysteme und -dienste nur von Organisationen beschaffen müssen, die den FISMA-Anforderungen entsprechen. Die meisten Behörden und deren Lieferanten, die angeben, dass sie FISMA-konform sind, beziehen sich darauf, wie sie die vom NIST in special Publication 800-53 rev 4 identifizierten Kontrollen erfüllen. Der FISMA-Prozess (aber nicht die zugrunde liegenden Standards selbst) wurde 2011 durch FedRAMP ersetzt.

Für wen gilt FedRAMP?

"FedRAMP ist für Cloudbereitstellungen und Dienstmodelle der Federal Agency auf niedriger und moderater Risikostufe obligatorisch." Jede Bundesstelle, die einen CSP einbinden möchte, muss möglicherweise die FedRAMP-Spezifikationen erfüllen. Darüber hinaus müssen Unternehmen, die Cloudtechnologien in Produkten oder Diensten verwenden, die von der Regierung verwendet werden, möglicherweise eine ATO erhalten.

Wo startet meine Agentur ihre eigenen Compliance-Anstrengungen?

Eine Übersicht über die Schritte, die Bundesbehörden ausführen müssen, um FedRAMP erfolgreich zu navigieren und seine Anforderungen zu erfüllen, finden Sie unter "Autorisiert: Autorisierungder Agentur".

Kann ich die Microsoft-Compliance im Autorisierungsprozess meiner Organisation verwenden?

Ja. Sie können die Zertifizierungen von Microsoft Cloud Services als Grundlage für jedes Programm oder jede Initiative verwenden, die eine ATO einer Bundesbehörden erfordert. Sie müssen jedoch Ihre eigenen Autorisierungen für Komponenten außerhalb dieser Dienste erreichen.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des Risikos

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen