Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Panoramica di FedRAMP
Il Federal Risk and Authorization Management Program (FedRAMP) degli Stati Uniti offre un approccio standardizzato per la valutazione, il monitoraggio e l'autorizzazione di prodotti e servizi di cloud computing ai sensi del Federal Information Security Management Act (FISMA). Accelera l'adozione di soluzioni cloud sicure da parte delle agenzie federali.
L'Office of Management and Budget richiede ora a tutte le agenzie federali esecutive di usare FedRAMP per convalidare la sicurezza dei servizi cloud. Anche altre agenzie lo hanno adottato, quindi è utile anche in altre aree del settore pubblico. Il National Institute of Standards and Technology (NIST) SP 800-53 stabilisce gli standard obbligatori. Definisce le categorie di sicurezza dei sistemi informativi, ovvero riservatezza, integrità e disponibilità, per valutare il potenziale impatto su un'organizzazione in caso di compromissione dei sistemi informativi e delle informazioni. FedRAMP è il programma che certifica che un provider di servizi cloud (CSP) soddisfa tali standard.
I CSP che desiderano vendere servizi a un'agenzia federale possono adottare tre percorsi per dimostrare la conformità fedRAMP:
- Ottenere un'autorità provvisoria per operare (P-ATO) dal comitato di autorizzazione congiunto (JAB). Il JAB è il principale organo decisionale e di governance per FedRAMP. I rappresentanti del Dipartimento della Difesa, del Dipartimento della Sicurezza Interna e dell'Amministrazione dei Servizi Generali servono nel consiglio di amministrazione. La scheda concede un P-ATO ai CSP che dimostrano la conformità fedRAMP.
- Ricevere un'autorità di gestione (ATO) da un'agenzia federale.
- Lavorare in modo indipendente per sviluppare un pacchetto fornito da CSP che soddisfi i requisiti del programma.
Ognuno di questi percorsi richiede una rigorosa revisione tecnica da parte di FedRAMP Program Management Office (PMO) e una valutazione da parte di un'organizzazione indipendente di terze parti accreditata dal programma.
Le autorizzazioni FedRAMP vengono concesse a tre livelli di impatto in base alle linee guida NIST: bassa, media e alta. Questi livelli classificano l'impatto che la perdita di riservatezza, integrità o disponibilità potrebbe avere su un'organizzazione: basso (effetto limitato), medio (grave effetto negativo) e alto (effetto grave o catastrofico).
Microsoft e FedRAMP
I servizi cloud di Microsoft per enti pubblici, tra cui Azure per enti pubblici, Dynamics 365 governo e Office 365 governo degli Stati Uniti soddisfano i requisiti rigorosi del Federal Risk and Authorization Management Program (FedRAMP) degli Stati Uniti. Le agenzie federali statunitensi traggono vantaggio dai risparmi sui costi e dalla rigorosa sicurezza di Microsoft Cloud.
I servizi cloud microsoft per enti pubblici offrono ai clienti del settore pubblico una vasta gamma di servizi conformi a FedRAMP e strumenti di guida e implementazione affidabili, tra cui il progetto FedRAMP High, che consente ai clienti di distribuire un set di criteri di base per qualsiasi architettura distribuita Azure che deve implementare controlli FedRAMP High.
Servizi e piattaforme cloud microsoft nell'ambito
- Azure e Azure per enti pubblici
- Dynamics 365 governo degli Stati Uniti
- Intune
- Office 365 (U.S. Government, U.S. Government - High, U.S. Government Defense)
- Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365
- Windows 365 (Governo degli Stati Uniti, Governo degli Stati Uniti - Alto)
Azure, Dynamics 365 e FedRAMP
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure FedRAMP.
Office 365 e FedRAMP
- Office 365 governo degli Stati Uniti (GCC e GCCH) hanno ATO delle agenzie degli Stati Uniti. Per altre informazioni, vedere le voci di FedRAMP Marketplace per GCC e GCCH.
- Office 365 U.S. Government Defense ha un P-ATO della US Defense Information Systems Agency (DISA). Se si vuole distribuire Office 365 U.S. Government Defense, è possibile usare il P-ATO DISA per generare un'agenzia ATO per documentarne l'accettazione.
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabilità multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft può replicare i dati dei clienti in altre aree all'interno della stessa area geografica (ad esempio, il Stati Uniti) per la resilienza dei dati, ma Microsoft non replica i dati dei clienti all'esterno dell'area geografica scelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): elencato nel marketplace FedRAMP come Office 365 (Commerciale) e noto anche come Office 365 Multitenant e l'ambiente GCC. Office 365 servizio cloud GCC è disponibile per Stati Uniti enti federali, statali, locali e tribali e gli appaltatori che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è responsabile di garantire la conformità a tutte le leggi e le normative applicabili. Le informazioni fornite in questa sezione non costituiscono consulenza legale. Per eventuali domande sulla conformità alle normative per l'organizzazione, consultare i consulenti legali.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| GCC | Servizio Feed attività, Servizi Bing, Prenotazioni, Delve, Exchange Online, Exchange Online Protection, Infrastruttura, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Servizio Office, Report sull'utilizzo di Office, OneDrive for Business, scheda Persone, SharePoint Online, Skype for Business, Windows Ink |
| GCC High | Servizio Feed attività, Servizi Bing, Prenotazioni, Exchange Online, Exchange Online Protection, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura del servizio Office, Report sull'utilizzo di Office, OneDrive for Business Persone Scheda, SharePoint Online, Skype for Business, Windows Ink |
| DoD | Servizio Feed attività, Servizi Bing, Prenotazioni, Exchange Online Protection, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, Persone Scheda, SharePoint Online, Skype for Business, Windows Ink |
Controlli, report e certificati di Office 365
Microsoft ricertifica i servizi cloud ogni anno per mantenere i propri P-ATO e ATO. A tale scopo, Microsoft monitora e valuta continuamente i controlli di sicurezza e dimostra che la sicurezza dei servizi rimane conforme.
Domande frequenti
I servizi cloud Microsoft sono conformi al Federal Information Security Management Act (FISMA)?
FISMA è la legge federale che richiede alle agenzie federali degli Stati Uniti e ai loro partner di procurarsi sistemi informativi e servizi solo da organizzazioni che rispettano i requisiti FISMA. La maggior parte delle agenzie e i relativi fornitori che indicano di essere conformi a FISMA si riferiscono a come soddisfano i controlli identificati dal NIST nella pubblicazione speciale 800-53 rev 4. Il processo FISMA (ma non gli stessi standard sottostanti) è stato sostituito da FedRAMP nel 2011.
A chi si applica FedRAMP?
FedRAMP è obbligatorio per le distribuzioni cloud e i modelli di servizio delle agenzie federali a livelli di impatto di rischio bassi e moderati. Qualsiasi agenzia federale che vuole coinvolgere un CSP potrebbe essere necessaria per soddisfare le specifiche FedRAMP. Inoltre, le aziende che impiegano tecnologie cloud in prodotti o servizi usati dal governo federale potrebbero essere tenute a ottenere un ATO.
Da dove inizia la mia agenzia il proprio impegno per la conformità?
Per una panoramica dei passaggi che le agenzie federali devono intraprendere per navigare con successo fedRAMP e soddisfare i suoi requisiti, andare a Rev5 Agency Authorization.
È possibile usare la conformità Microsoft nel processo di autorizzazione dell'agenzia?
Sì. È possibile usare le certificazioni dei servizi cloud Microsoft come base per qualsiasi programma o iniziativa che richiede un ATO da un'agenzia governativa federale. Tuttavia, è necessario ottenere autorizzazioni personalizzate per i componenti esterni a questi servizi.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del portale di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.