Nivel de impacto 2 (IL2) del Departamento de Defensa (DoD)
Introducción a DoD IL2
La Agencia de Sistemas de Información de Defensa (DISA) es una agencia del Departamento de Defensa de EE. UU. (DoD) responsable de desarrollar y mantener la Guía de requisitos de seguridad de informática en la nube (SRG) del DoD. El SRG define los requisitos de seguridad de línea base que usa el DoD para evaluar la posición de seguridad de un proveedor de servicios en la nube (CSP), lo que respalda la decisión de conceder una autorización provisional (PA) del DoD que permita a un CSP hospedar misiones de DoD. Incorpora, reemplaza y anula el modelo de seguridad en la nube (CSM) de DoD publicado anteriormente y se asigna a DoD Risk Management Framework (RMF).
DISA guía a las agencias y departamentos del Departamento de Desarrollo en la planificación y autorización del uso de un CSP. También evalúa las ofertas de CSP para el cumplimiento con el SRG, un proceso de autorización mediante el cual los CSP pueden proporcionar documentación que describa su cumplimiento con los estándares del DoD. Emite autorizaciones provisionales (PA) del DoD cuando corresponda, por lo que las agencias del DoD y las organizaciones auxiliares pueden usar servicios en la nube sin tener que pasar por un proceso de aprobación completa por su cuenta, lo que ahorra tiempo y esfuerzo.
En la nota del CIO del DoD del 15 de diciembre de 2014sobre la guía actualizada sobre la adquisición y el uso de Commercial Cloud Computing Services se indica que "FedRAMP servirá como línea base de seguridad mínima para todos los servicios en la nube del DoD". El SRG usa la línea base moderada de FedRAMP en todos los niveles de impacto de información (IL) y considera la línea base alta en algunos.
El uso del DoD de la sección 5.1.1 de SRGde los controles de seguridad de FedRAMP indica que la información de IL2 se puede hospedar en un CSP que tenga mínimamente un PA moderado de FedRAMP y un PA de nivel 2 de DoD, sujeto al cumplimiento de los requisitos de seguridad del personal descritos en la Sección 5.6.2. Sin embargo, este enfoque no impide que el CSP cumpla otros requisitos de seguridad e integración según lo requiera el propietario de la misión. De acuerdo con la sección 5.2.2.1de los requisitos de ubicación y separación del nivel de impacto 2 de SRG, DoD IL2 PA está cubierto adecuadamente por un PA moderado de FedRAMP, de modo que los requisitos no se evaluarán adicionalmente para una PA IL2.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender para punto de conexión
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 gobierno de EE. UU., Office 365 gobierno de EE. UU. - Alto
- Power Apps
- Power Automate
- Power BI
Azure, Dynamics 365 y DoD IL2
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure DoD IL2.
Office 365 y DoD IL2
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| GCC | Activity Feed Service, Bing Services, Bookings, Delve, Exchange Online, Exchange Online Protection, Infrastructure, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
| GCC High | Activity Feed Service, Bing Services, Bookings, Exchange Online, Exchange Online Protection, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink |
Recursos
- Soluciones gubernamentales de Microsoft
- Guía de requisitos de seguridad de DoD Cloud Computing
- Documentos de FedRAMP
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
- Controles de seguridad y privacidad de NIST SP 800-53para sistemas de información y organizaciones
- DoD Instruction 8510.01DoD Risk Management Framework (RMF) for DoD Information Technology (IT)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de