Livello di impatto del Dipartimento della Difesa (DoD) 5 (IL5)
Panoramica di DoD IL5
La Defense Information Systems Agency (DISA) è un'agenzia del Dipartimento della Difesa (DoD) degli Stati Uniti responsabile dello sviluppo e della gestione della Guida ai requisiti di sicurezza del cloud computing DoD (SRG). L'SRG definisce i requisiti di sicurezza di base usati da DoD per valutare il comportamento di sicurezza di un provider di servizi cloud (CSP), supportando la decisione di concedere un'autorizzazione provvisoria DoD (PA) che consenta a un CSP di ospitare missioni DoD. Incorpora, sostituisce e revoca il modello CSM (DoD Cloud Security Model) pubblicato in precedenza e esegue il mapping a DoD Risk Management Framework (RMF).
DISA guida le agenzie e i reparti DoD nella pianificazione e nell'autorizzazione dell'uso di un CSP. Valuta anche le offerte CSP per la conformità con SRG, un processo di autorizzazione in base al quale i CSP possono fornire documentazione che ne delinea la conformità agli standard DoD. Rilascia autorizzazioni provvisorie DoD (PA) quando appropriato, quindi le agenzie DoD e le organizzazioni di supporto possono usare i servizi cloud senza dover eseguire autonomamente un processo di approvazione completo, risparmiando tempo e fatica.
Secondo la sezione 3.2 dei livelli di impatto informativo di SRG, le informazioni IL5 riguardano:
Informazioni non classificate controllate (CUI) che richiedono un livello di protezione superiore a quello offerto da IL4
- Il Registro di sistema CUI fornisce categorie specifiche di informazioni che sono protetti dal ramo Esecutivo, ad esempio più di 20 raggruppamenti di categorie sono inclusi nell'elenco di categorie CUI.
- NIST SP 800-171Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations è destinato all'uso da parte di agenzie federali in contratti o altri contratti stabiliti con organizzazioni non federali.
Sistemi di sicurezza nazionale (NSS)
- Le linee guida NIST SP 800-59per l'identificazione di un sistema informativo come sistema di sicurezza nazionale forniscono definizioni di NSS.
- CNSSI 1253Security Categorization and Control Selection for National Security Systems fornisce indicazioni sugli standard di sicurezza che le agenzie federali devono applicare per classificare le informazioni sulla sicurezza nazionale.
La nota del CIO del 15 dicembre 2014 relativa alle linee guida aggiornate sull'acquisizione e l'uso dei servizi di cloud computing commerciali afferma che "FedRAMP fungerà da baseline di sicurezza minima per tutti i servizi cloud DoD". L'SRG usa la linea di base FedRAMP Moderate a tutti i livelli di impatto delle informazioni (IL) e considera la baseline elevata in alcuni casi.
La sezione 5.1.1doD di SRG Usa controlli di sicurezza FedRAMP afferma che un fedRAMP High PA, integrato con i controlli DoD FedRAMP+ e i miglioramenti dei controlli (C/CE) e i requisiti nel SRG, vengono usati per valutare i CSP per l'assegnazione di un DoD PA a IL5. Indipendentemente dalla baseline C/CE usata come base per un pa FedRAMP High, sarà necessario valutare e/o approvare ulteriori considerazioni e/o requisiti prima di poter concedere una PA DoD a IL5. In particolare, la sezione 5.1.2di SRG FedRAMP+ Security Controls/Enhancements indica nella tabella 2 che sono necessari 10 C/CE aggiuntivi oltre la baseline FedRAMP High per una pa DoD IL5.
Inoltre, secondo la sezione SRG 5.2.2.3IL5 Requisiti di ubicazione e separazione, i requisiti seguenti (tra gli altri) devono essere applicati per un livello 5 PA:
- È sufficiente la separazione virtuale/logica tra tenant/missioni del DoD e del governo federale. È necessaria la separazione virtuale/logica tra i sistemi tenant/mission.
- È necessaria la separazione fisica dai tenant non DoD/non federali (ovvero tenant pubblici, enti locali/statali).
- Il CSP limita l'accesso potenziale alle informazioni del DoD e della community ai dipendenti CSP che sono cittadini degli Stati Uniti.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- servizio clienti Dynamics 365
- Microsoft Defender per endpoint (in precedenza Microsoft Defender Advanced Threat Protection)
- Microsoft Graph
- Microsoft Stream
- Office 365 U.S. Government Defense
- Power Automate (in precedenza Microsoft Flow)
- Power BI
Azure, Dynamics 365 e DoD IL5
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure DoD IL5.
Office 365 e DoD IL5
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| DoD | Servizio Feed attività, Servizi Bing, Prenotazioni, Exchange Online Protection, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, Persone Scheda, SharePoint Online, Skype for Business, Windows Ink |
Documenti di attestazione
I clienti del governo degli Stati Uniti possono richiedere Office 365 documentazione fedRAMP di U.S. Government Defense direttamente da FedRAMP Marketplace inviando un modulo di richiesta di accesso ai pacchetti. È necessario disporre di un indirizzo di posta elettronica con estensione gov o mil per accedere a un pacchetto di sicurezza FedRAMP direttamente da FedRAMP.
Selezionare la documentazione di FedRAMP e DoD, tra cui piano di sicurezza del sistema (SSP), report di monitoraggio continuo, piano d'azione e attività cardine (POA&M) e così via, è disponibile per i clienti in NDA e in attesa dell'autorizzazione di accesso dalla sezione Report di controllo del portale trust del servizio - Report FedRAMP . Per assistenza, contattare il rappresentante dell'account Microsoft.
Risorse
- Soluzioni microsoft per enti pubblici
- Documenti FedRAMP
- Istruzione DoD 8510.01DoD Risk Management Framework (RMF) per DoD Information Technology (IT)
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
- Controlli di sicurezza e privacy NIST SP 800-53per sistemi informativi e organizzazioni
- Linee guida NIST SP 800-59per identificare un sistema informativo come sistema di sicurezza nazionale
- CnSSI 1253Security Categorization and Control Selection for National Security Systems
- NIST SP 800-171Protezione di informazioni non classificate controllate in sistemi e organizzazioni nonfederal
- Registro di sistema e categoria CUI (Controlled Unclassified Information) (CUI).
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per