Centro Canadiano de Cibersegurança (CCCS) Medium
Descrição geral do CCCS Medium
O nível de segurança B protegido pelo Governo do Canadá (GC) para informações confidenciais e bens governamentais aplica-se a informações ou bens que, se comprometidos, podem causar ferimentos graves a um indivíduo, organização ou governo. Com base na Documentação de Orientação de Segurança das Tecnologias de Informação (ITSG) 33 sobre a gestão de riscos de segurança de TI publicada pelo Centro Canadiano de Cibersegurança (CCCS), a GC desenvolveu a Documentação de Orientação sobre a Categorização de Segurança dos Serviços de Cloud-Based (ITSP.50.103) e o Perfil de Controlo de Segurança do Governo do Canadá para Serviços GC baseados na Cloud (Perfil de Controlo de Segurança GC), que identifica os controlos de segurança de linha de base aplicáveis ao processamento de informações com uma categoria de segurança de B protegido, integridade média e disponibilidade média (PBMM). O perfil de controlo de segurança do PBMM original evoluiu para o que é agora as Recomendações de Perfil de Nuvem Média CCCS.
O Perfil de Controlo de Segurança do GC foi desenvolvido com o ITSG-33 e o Programa Federal de Gestão de Risco e Autorização (FedRAMP) dos EUA, ambos com base nos controlos de segurança e privacidade do National Institute of Standards and Technology (NIST) 800-53. O GC alinhou o Perfil de Controlo de Segurança do GC com o FedRAMP para maximizar a interoperabilidade dos serviços cloud e a reutilização das provas de autorização produzidas pelos fornecedores de serviços cloud (CSPs).
O Conselho do Tesouro do Secretariado do Canadá (TBS) é responsável pela governação, estratégia e política empresarial do GC para os serviços cloud, incluindo a manutenção da supervisão e monitorização da conformidade departamal com os Gc Cloud Guardrails, conforme mandatado pela Diretiva sobre Serviços e Digital. O GC evoluiu a sua Estratégia de Adoção da Cloud, defendendo agora um princípio inteligente na cloud em que a cloud é a opção preferida para novas aplicações e racionalizará os portefólios de aplicações existentes para se alinharem com o modelo de alojamento mais adequado.
O Centro Canadiano de Cibersegurança (CCCS) estabeleceu um Processo de Avaliação de Segurança do Fornecedor de Serviços Cloud que revê a capacidade de um CSP implementar os controlos de segurança CCCS Medium (Nota: o perfil de controlo CCCS Medium substituiu o Perfil de Controlo de Segurança original do Governo do Canadá para serviços GC baseados na cloud). O relatório de avaliação de risco técnico resultante contém os resultados do processo de revisão. A Documentação de Orientação Departamal sobre Avaliação e Autorização de Segurança da Cloud (ITSP.50.105) também está disponível no CCCS.
Plataformas e serviços em nuvem no escopo da Microsoft
O Centro Canadiano de Cibersegurança realiza avaliações em que os controlos de segurança e os processos dos fornecedores de serviços cloud são avaliados em relação aos requisitos de segurança do Governo do Canadá para informações e serviços até B Protegidos, integridade média, disponibilidade média (PBMM), de acordo com o perfil de controlo de segurança CCCS Medium. Até à data, o CCCS avaliou formalmente os seguintes serviços online da Microsoft:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform e CCCS Medium
A Microsoft foi um dos primeiros fornecedores globais de serviços cloud a ser qualificado para serviços cloud seguros do Governo do Canadá quando entrou num acordo-quadro com o governo federal em 2019. O acordo-quadro apoia as ambições do Governo canadiano de simplificar os processos governamentais e é um passo fundamental no caminho para um verdadeiro Governo digital. Os serviços avaliados do Azure CCCS Medium da Microsoft desencadeiam novas oportunidades de inovação, transformação e agilidade do setor público à medida que os funcionários públicos têm acesso a uma série de capacidades sofisticadas que suportam o armazenamento e o processamento de dados Protegidos B. Além disso, as agências governamentais beneficiam do ecossistema próspero da Microsoft de parceiros e programadores que criam soluções inovadoras e seguras no Azure.
A Microsoft estabeleceu duas regiões da cloud canadiana do Azure: Canadá Central em Toronto e Canadá Leste na Cidade do Québec, cada uma composta por vários sites de datacenters na cloud de hiperescala. Estas regiões adicionam residência de dados no país/região canadiana para armazenamento de Dados de Cliente inativos, ativação pós-falha e recuperação após desastre para aplicações e Dados do Cliente para muitos Serviços Online Principais. Os investimentos adicionais na infraestrutura de datacenters na Região Central do Canadá também ativaram uma Zona de Disponibilidade do Azure na região Central do Canadá para ajudar os clientes a criar aplicações ainda mais resilientes e de elevada disponibilidade para cargas de trabalho fundamentais para a missão.
Para obter uma lista completa dos serviços cloud avaliados pelo CCCS no âmbito em todo o Azure, Dynamics 365 e Power Platform, veja os relatórios de avaliação de resumo na secção regional do Canadá do Portal de Confiança do Serviço.
Office 365 e CCCS Medium
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Utilize a tabela seguinte para determinar a aplicabilidade dos serviços e subscrições do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Advanced eDiscovery, Customer Lockbox, Ponto Final do Defender, Defender para Aplicativos de Nuvem, Defender para M365, Defender de Identidade, Exchange Online (EXO), Loki, Microsoft Proteção de Informações, Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, Office para a Web (Word, Excel, OneNote, PowerPoint), PODS do Office (Serviço de Documentos do PowerPoint Online), Office Project, Infraestrutura de Serviços do Office, Office Sway, Serviço OneNote, Chamadas & do Sistema Telefónico, Serviço procurar conteúdos, Sharepoint Online, SharePoint Syntex, Experiência de Utilizador do Conjunto de Aplicações, ToDo, Viva Insights, Viva Learning, Viva Topics Windows 365 |
Relatórios de avaliação
Os relatórios de avaliação CCCS de resumo dos serviços Microsoft estão disponíveis para os clientes na secção regional do Canadá do Portal de Confiança do Serviço. Os relatórios detalhados de avaliação de segurança dos serviços Microsoft estão disponíveis para clientes governamentais canadianos ao contactar o CCCS através do contact@cyber.gc.ca.
Perguntas frequentes
Que serviços cloud da Microsoft estão disponíveis para o Governo do Canadá através do contrato de cloud serviços partilhados do Canadá?
Um dos primeiros fornecedores globais de cloud a receber um Contrato Framework da Cloud pelo Governo do Canadá, a Microsoft oferece uma variedade de serviços cloud comerciais , incluindo o Azure, o Dynamics 365, o Power Platform e o Microsoft 365. O catálogo de mediador de cloud dos Serviços Partilhados do Canadá fornece detalhes sobre os serviços cloud da Microsoft que estão atualmente disponíveis para os departamentos de GC.
Que nível de conformidade do FedRAMP dos EUA cumpre os serviços cloud da Microsoft e como é que isto se aplica às regiões de cloud canadianas?
O microsoft Azure comercial (incluindo Dynamics 365) mantém uma Autoridade Provisória Elevada de FedRAMP para Operar (P-ATOs). O microsoft 365 comercial mantém uma Equivalência Elevada fedRAMP. As regiões do Azure fora do Estados Unidos não são formalmente autorizadas pelo Conselho de Autorização Conjunta (JAB) da FedRAMP e não estão no âmbito fedRAMP High P-ATO. No entanto, os controlos de segurança e os processos operacionais do Azure são consistentes em todas as execuções do Azure. O FedRAMP baseia-se nas linhas de base de controlo do NIST SP 800-53. Todos os controlos NIST SP 800-53 que suportam o Azure FedRAMP High P-ATO no Estados Unidos também estão operacionais noutras regiões do Azure fora do Estados Unidos. Por conseguinte, os clientes do Azure fora do Estados Unidos podem contar com os mesmos detalhes de implementação de controlo relativos à linha de base de controlo NIST SP 800-53 High control. Veja Federal Risk and Authorization Management Program (FedRAMP) para obter mais detalhes. As provas de auditoria do FedRAMP estão disponíveis no Portal de Confiança do Serviço.
Existem restrições geográficas sobre onde os dados B protegidos têm de ser armazenados?
O Governo do Canadá desenvolveu uma política de residência flexível dos dados (armazenamento de dados inativos) para o armazenamento de dados Protegidos B de acordo com a Secção 4.4.3.14 da Diretiva sobre Serviços e Digital. Isto é clarificado na Secção 4.4 da Orientação sobre Serviço e Digital. A residência dos dados canadianos tem de ser identificada e avaliada como uma opção de entrega principal para o armazenamento de dados Protegidos B na cloud, no entanto, o CIO departamático (ou, em alguns casos, o CIO do Canadá), tem a flexibilidade e é responsável por aprovar decisões para armazenar dados fora do Canadá com base nos seguintes critérios comerciais identificados na Secção 4.4.3 Considerações na implementação do requisito:
- Reputação
- Considerações legais e contratuais
- Contratos comerciais
- Disponibilidade do mercado
- Valor comercial
- Capacidades técnicas
Os controlos e processos de segurança da Microsoft são implementados de forma consistente em todas as regiões da cloud a nível global. Embora os controlos no perfil CCCS Medium possam referenciar a política de residência dos dados do GC, a avaliação da localização dos dados inativos não tem em conta a classificação de risco de um relatório de avaliação da cloud CCCS.
Secção 4.4.2 (Porque é que isto é importante?) também esclarece que os dados encriptados em trânsito não são restringidos pelo requisito de residência dos dados.
Os seguintes recursos fornecem informações sobre a residência dos dados para muitos produtos e serviços comuns:
- Descrição geral da residência dos dados do Microsoft 365, Onde estão armazenados os dados do cliente do Microsoft 365 e a oferta do Microsoft 365 Advanced Data Residency
- Residência dos dados no Azure
- Microsoft Entra ID (anteriormente Azure Active Directory) e residência dos dados
- Microsoft Defender para Aplicativos de Nuvem - segurança e privacidade de dados
- Microsoft Defender para Ponto de Extremidade armazenamento de dados e privacidade
- Microsoft Defender para Identidade segurança e privacidade de dados
- Localização de dados do Microsoft Dynamics 365
- Microsoft Intune armazenamento e processamento de dados
- Localização de dados do Microsoft Power Platform
- Localização de dados dos Serviços Profissionais da Microsoft
- Segurança e privacidade de dados do Microsoft 365 Defender
O que são serviços cloud não regionais ?
Os serviços não regionais do Azure são serviços que não têm dependência numa região específica do Azure e não fornecem atualmente aos clientes a capacidade de especificar uma região de implementação. Estes serviços foram arquitetados e otimizados para estarem sempre disponíveis como parte da cloud global do Azure. Um exemplo de um serviço não regional é o Azure Active Directory. Pode encontrar uma lista completa em Produtos do Azure por Região.
Onde ocorre o processamento de dados na cloud?
Muitos serviços do Azure permitem-lhe especificar a região onde os Dados do Cliente serão armazenados e processados. Para obter mais informações, veja Data Residency no Azure. O SaaS serviços online, como o Microsoft 365, normalmente processam os dados mais próximos do local onde os dados são armazenados. No entanto, o processamento dos Dados do Cliente pode ocorrer em regiões da cloud fora do Canadá. A prestação de serviços de suporte também pode envolver o processamento de dados fora do Canadá.
Recursos
A Microsoft desenvolveu vários recursos para ajudar os clientes na implementação de serviços cloud adequados para executar cargas de trabalho Protegidas B, incluindo:
- Zona de Destino do Azure para o Setor Público do Canadá: uma implementação de referência concebida para orientar os departamentos governamentais nos seus esforços para cumprir os requisitos do CCCS Medium que são da responsabilidade do cliente.
- Canada Federal PBMM Azure Blueprint: um conjunto de recursos e padrões do Azure repetíveis que permitem às organizações criar novos ambientes na cloud com conformidade com controlos CCCS Medium específicos e Proteções da Cloud GC.
- Avaliações de Impacto de Privacidade Fundamentais (PIAs): as PIAs Fundamentais destinam-se a informar melhor os líderes de privacidade, os profissionais e os gestores de risco, que podem considerar a utilização desta análise como o núcleo do seu próprio trabalho pia durante a adoção das ofertas de serviços baseadas na cloud da Microsoft.
- Modelo de avaliação B Protegido do Gestor de Conformidade do Microsoft Purview: o Gestor de Conformidade é uma funcionalidade no portal de conformidade do Microsoft Purview para o ajudar a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gestor de Conformidade fornece um mecanismo incorporado para avaliar e controlar continuamente a implementação de muitos dos controlos de cliente CCCS Medium no ambiente do Microsoft 365. Localize o modelo B Protegido na página modelos de avaliação no Gestor de Conformidade. Saiba como criar avaliações no Compliance Manager.