FedRAMP (Federal Risk and Authorization Management Program)
Panoramica di FedRAMP
Il Federal Risk and Authorization Management Program (FedRAMP) degli Stati Uniti è stato istituito per fornire un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing ai sensi del Federal Information Security Management Act (FISMA) e per accelerare l'adozione di soluzioni cloud sicure da parte delle agenzie federali.
L'Office of Management and Budget richiede ora a tutte le agenzie federali esecutive di usare FedRAMP per convalidare la sicurezza dei servizi cloud. (Anche altre agenzie lo hanno adottato, quindi è utile anche in altre aree del settore pubblico. Il National Institute of Standards and Technology (NIST) SP 800-53 definisce gli standard obbligatori, stabilisce categorie di sicurezza dei sistemi informativi ( riservatezza, integrità e disponibilità) per valutare il potenziale impatto su un'organizzazione qualora i sistemi informativi e di informazione vengano compromessi. FedRAMP è il programma che certifica che un provider di servizi cloud (CSP) soddisfa tali standard.
I CSP che desiderano vendere servizi a un'agenzia federale possono adottare tre percorsi per dimostrare la conformità fedRAMP:
- Ottenere un'autorità provvisoria per operare (P-ATO) dal comitato di autorizzazione congiunto (JAB). Il JAB è il principale organo decisionale e di governance per FedRAMP. I rappresentanti del Dipartimento della Difesa, del Dipartimento della Sicurezza Interna e dell'Amministrazione dei Servizi Generali servono nel consiglio di amministrazione. La scheda concede un P-ATO ai CSP che hanno dimostrato la conformità fedRAMP.
- Ricevere un'autorità di gestione (ATO) da un'agenzia federale.
- In alternativa, lavorare in modo indipendente per sviluppare un pacchetto fornito da CSP che soddisfi i requisiti del programma.
Ognuno di questi percorsi richiede una revisione tecnica rigorosa da parte di FedRAMP Program Management Office (PMO) e una valutazione da parte di un'organizzazione di terze parti indipendente accreditata dal programma.
Le autorizzazioni FedRAMP vengono concesse a tre livelli di impatto in base alle linee guida NIST: bassa, media e alta. Questi livelli classificano l'impatto che la perdita di riservatezza, integrità o disponibilità potrebbe avere su un'organizzazione: basso (effetto limitato), medio (grave effetto negativo) e alto (effetto grave o catastrofico).
Microsoft e FedRAMP
I servizi cloud di Microsoft per enti pubblici, tra cui Azure per enti pubblici, Dynamics 365 governo e Office 365 governo degli Stati Uniti soddisfano i requisiti rigorosi del Federal Risk and Authorization Management Program (FedRAMP) degli Stati Uniti, consentendo alle agenzie federali statunitensi di beneficiare dei risparmi sui costi e della rigorosa sicurezza del cloud Microsoft.
I servizi cloud microsoft per enti pubblici offrono ai clienti del settore pubblico una vasta gamma di servizi conformi a FedRAMP e strumenti di guida e implementazione affidabili, tra cui il progetto FedRAMP High, che consente ai clienti di distribuire un set di criteri di base per qualsiasi architettura distribuita in Azure che deve implementare controlli FedRAMP High.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure e Azure per enti pubblici
- Dynamics 365 governo degli Stati Uniti
- Intune
- Office 365 (U.S. Government, U.S. Government - High, U.S. Government Defense)
- Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
- Windows 365 (Governo degli Stati Uniti, Governo degli Stati Uniti - Alto)
Azure, Dynamics 365 e FedRAMP
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta FedRAMP di Azure.
Office 365 e FedRAMP
- Office 365 e Office 365 governo degli Stati Uniti hanno un ATO del Dipartimento della Salute e dei Servizi Umani degli Stati Uniti (DHHS).
- Office 365 U.S. Government Defense ha un P-ATO della US Defense Information Systems Agency (DISA). Qualsiasi cliente che desideri distribuire Office 365 U.S. Government Defense può usare il P-ATO DISA per generare un'agenzia ATO per documentarne l'accettazione.
- Office 365 (piani aziendali e aziendali) e Office 365 governo degli Stati Uniti hanno una FedRAMP Agency ATO al livello di impatto moderato dall'ufficio DHHS dell'ispettore generale. Office 365 governo degli Stati Uniti è stato il primo servizio di posta elettronica e collaborazione basato sul cloud a ottenere questa autorizzazione.
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft può replicare i dati dei clienti in altre aree all'interno della stessa area geografica (ad esempio, il Stati Uniti) per la resilienza dei dati, ma Microsoft non replica i dati dei clienti all'esterno dell'area geografica scelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): elencato nel marketplace FedRAMP come Office 365 (commerciale) e noto anche come Office 365 multi-tenant e l'ambiente GCC. Office 365 servizio cloud GCC è disponibile per Stati Uniti enti federali, statali, locali e tribali e gli appaltatori che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono consulenza legale ed è consigliabile consultare i consulenti legali per eventuali domande relative alla conformità alle normative per l'organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
GCC | Servizio Feed attività, Servizi Bing, Prenotazioni, Delve, Exchange Online, Exchange Online Protection, Infrastruttura, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Servizio Office, Report sull'utilizzo di Office, OneDrive for Business, scheda Persone, SharePoint Online, Skype for Business, Windows Ink |
GCC High | Servizio Feed attività, Servizi Bing, Prenotazioni, Exchange Online, Exchange Online Protection, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura del servizio Office, Report sull'utilizzo di Office, OneDrive for Business Persone Scheda, SharePoint Online, Skype for Business, Windows Ink |
DoD | Servizio Feed attività, Servizi Bing, Prenotazioni, Exchange Online Protection, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, Persone Scheda, SharePoint Online, Skype for Business, Windows Ink |
Controlli, report e certificati di Office 365
Microsoft è tenuta a ricertificare i suoi servizi cloud ogni anno per mantenere le proprie autorizzazioni P-ATO e ATO. A tale scopo, Microsoft deve monitorare e valutare continuamente i controlli di sicurezza e dimostrare che la sicurezza dei servizi rimane conforme.
Domande frequenti
I servizi cloud Microsoft sono conformi al Federal Information Security Management Act (FISMA)?
FISMA è la legge federale che richiede alle agenzie federali degli Stati Uniti e ai loro partner di procurarsi sistemi informativi e servizi solo da organizzazioni che rispettano i requisiti FISMA. La maggior parte delle agenzie e i relativi fornitori che indicano di essere conformi a FISMA si riferiscono a come soddisfano i controlli identificati dal NIST nella pubblicazione speciale 800-53 rev 4. Il processo FISMA (ma non gli stessi standard sottostanti) è stato sostituito da FedRAMP nel 2011.
A chi si applica FedRAMP?
"FedRAMP è obbligatorio per le distribuzioni cloud e i modelli di servizio delle agenzie federali a livelli di impatto di rischio bassi e moderati." Qualsiasi agenzia federale che vuole coinvolgere un CSP potrebbe essere necessaria per soddisfare le specifiche FedRAMP. Inoltre, le aziende che impiegano tecnologie cloud in prodotti o servizi usati dal governo federale potrebbero essere tenute a ottenere un ATO.
Da dove inizia la mia agenzia il proprio impegno per la conformità?
Per una panoramica dei passaggi che le agenzie federali devono intraprendere per navigare correttamente in FedRAMP e soddisfare i suoi requisiti, vedere Ottenere l'autorizzazione: Autorizzazione dell'agenzia.
È possibile usare la conformità Microsoft nel processo di autorizzazione dell'agenzia?
Sì. È possibile usare le certificazioni dei servizi cloud Microsoft come base per qualsiasi programma o iniziativa che richieda un ATO da un'agenzia governativa federale. Tuttavia, è necessario ottenere autorizzazioni personalizzate per i componenti esterni a questi servizi.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.