Freigeben über


National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF)

Übersicht über NIST CSF

Das National Institute of Standards and Technology (NIST) fördert und pflegt Messstandards und Anleitungen, um Organisationen bei der Bewertung von Risiken zu helfen. Als Reaktion auf die Executive Order 13636 zur Stärkung der Cybersicherheit von Bundesnetzen und kritischen Infrastrukturen veröffentlichte NIST im Februar 2014 das Framework for Improving Critical Infrastructure Cybersecurity (FICIC).

Die Standard Prioritäten der FICIC waren die Festlegung einer Reihe von Standards und Verfahren, die Organisationen dabei unterstützen, Cybersicherheitsrisiken zu verwalten und gleichzeitig die Geschäftseffizienz zu ermöglichen. Das NIST-Framework behandelt Cybersicherheitsrisiken, ohne zusätzliche regulatorische Anforderungen sowohl für Behörden als auch für Organisationen des privaten Sektors zu erzwingen.

Die FICIC verweist auf weltweit anerkannte Standards, einschließlich NIST SP 800-53 in Anhang A des NIST-Frameworks zur Verbesserung der Cybersicherheit kritischer Infrastrukturen. Jedes Steuerelement innerhalb des FICIC-Frameworks wird den entsprechenden NIST 800-53-Kontrollen innerhalb der FedRAMP Moderate Baseline zugeordnet.

Microsoft und der NIST CSF

Das NIST Cybersecurity Framework (CSF) ist ein freiwilliges Framework, das aus Standards, Richtlinien und bewährten Methoden zum Umgang mit Cybersicherheitsrisiken besteht. Microsoft Cloud Services wurden unabhängigen FedRAMP Moderate- und High Baseline-Audits von Drittanbietern unterzogen und sind nach den FedRAMP-Standards zertifiziert. Darüber hinaus wird Office 365 durch eine validierte Bewertung, die von HITRUST, einem führenden Entwicklungs- und Akkreditierungs-organization für Sicherheits- und Datenschutzstandards, durchgeführt wird, gemäß den im NIST CSF festgelegten Zielen zertifiziert.

Erfahren Sie, wie Sie Ihre NIST Cybersecurity Framework-Bereitstellung mit Compliance Manager und unserem Azure Security and Compliance Blueprint beschleunigen:

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure Government
  • Dynamics 365 für Behörden
  • Office 365

Azure, Dynamics 365 und NIST CSF

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure NIST CSF-Angebot.

Office 365 und NIST CSF

Office 365 Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Aktivitätsfeeddienst, Bing-Dienste, Delve, Exchange Online, Intelligent Services, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink

Office 365 Auditzyklus und Zertifizierung

Die NIST CSF-Zertifizierung von Office 365 ist zwei Jahre gültig.

Häufig gestellte Fragen

Hat ein unabhängiger Bewerter überprüft, dass Office 365 NIST CSF-Anforderungen unterstützt?

Ja, Office 365 im Juli 2019 das Zertifizierungsschreiben des NIST CSF von HITRUST erhalten.

Wie demonstrieren Microsoft Cloud Services konformität mit dem Framework?

Mithilfe der formalen Prüfberichte, die von Dritten für die FedRAMP-Akkreditierung erstellt wurden, kann Microsoft zeigen, wie relevante In diesen Berichten notierte Kontrollen die Konformität mit dem NIST-Framework zur Verbesserung der Cybersicherheit kritischer Infrastrukturen belegen. Überwachte Kontrollen, die von Microsoft implementiert werden, dienen dazu, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen, die von Azure, Office 365 und Dynamics 365 gespeichert, verarbeitet und übertragen werden und für die Microsoft verantwortlich ist.

Welche Verantwortung hat Microsoft für die Einhaltung dieser Initiative?

Die Teilnahme am FICIC ist freiwillig. Microsoft stellt jedoch sicher, dass Office 365 die bedingungen erfüllen, die in den geltenden Bestimmungen für Onlinedienste und den geltenden Vereinbarungen zum Servicelevel definiert sind.

Kann ich die Compliance von Microsoft für meine organization verwenden?

Ja Die unabhängigen Complianceberichte von Drittanbietern zu den FedRAMP-Standards belegen die Wirksamkeit der Kontrollen, die Microsoft implementiert hat, um die Sicherheit und den Datenschutz der Microsoft Cloud Services zu gewährleisten. Microsoft-Kunden können die in diesen zugehörigen Berichten beschriebenen geprüften Kontrollen als Teil ihrer eigenen Risikoanalyse- und Qualifizierungsbemühungen von FedRAMP und NIST FICIC verwenden.

Welche Organisationen werden von der USA Regierung als kritische Infrastruktur eingestuft?

Nach Angaben des Department of Homeland Security gehören dazu Organisationen in den folgenden Sektoren: Chemische, kommerzielle Einrichtungen, Kommunikation, kritische Fertigung, Staudämme, Verteidigungsindustrie, Notdienste, Energie, Finanzdienstleistungen, Lebensmittel und Landwirtschaft, Regierungseinrichtungen, Gesundheitswesen und öffentliche Gesundheit, Informationstechnologie, Kernreaktoren (Reaktormaterialien und Abfälle), Transportsysteme und Wasser (und Abwasser).

Warum sind einige Office 365 Dienste nicht im Rahmen dieser Zertifizierung?

Microsoft bietet im Vergleich zu anderen Clouddienstanbietern die umfassendsten Angebote. Um mit unseren umfassenden Complianceangeboten in allen Regionen und Branchen Schritt zu halten, beziehen wir Dienstleistungen in den Rahmen unserer Zusicherungsbemühungen ein, die auf der Marktnachfrage, dem Kundenfeedback und dem Produktlebenszyklus basieren. Wenn ein Dienst nicht im aktuellen Umfang eines bestimmten Complianceangebots enthalten ist, ist Ihr organization dafür verantwortlich, die Risiken basierend auf Ihren Complianceverpflichtungen zu bewerten und zu bestimmen, wie Sie Daten in diesem Dienst verarbeiten. Wir sammeln kontinuierlich Feedback von Kunden und arbeiten mit Aufsichtsbehörden und Prüfern zusammen, um unsere Complianceabdeckung zu erweitern, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen.

Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos

Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.

Ressourcen