Suplemento de Regulação de Aquisição Federal de Defesa (DFARS)
Visão geral do DFARS
Em 21 de outubro de 2016, o Departamento de Defesa (DoD) emitiu sua Regra Final alterando o DFARS (Suplemento de Regulamentação de Aquisição Federal de Defesa) e impondo obrigações de proteção e relatório de incidentes cibernéticos em empreiteiros de defesa cujos sistemas de informações processam, armazenam ou transmitem informações de defesa cobertas (CDI).
A cláusula DFARS final 252.204-7012 (Proteção de Informações de Defesa Coberta e Relatórios de Incidentes Cibernéticos) especifica salvaguardas para incluir requisitos de relatório de incidentes cibernéticos e considerações adicionais para provedores de serviços de nuvem. De acordo com o DFARS 252.204-7012, todos os empreiteiros do DoD e a base industrial de defesa são obrigados a cumprir os requisitos DFARS para segurança adequada "tão logo prático, mas não mais tarde do que 31 de dezembro de 2017".
Microsoft e DFARS
Os serviços de Nuvem do Governo da Microsoft ajudam a Estados Unidos clientes contratados da base industrial de defesa e defesa a atender aos requisitos DFARS conforme enumerado nas cláusulas DFARS de 252.204-7012 que se aplicam aos provedores de serviços de nuvem. Quando os empreiteiros de defesa são obrigados a cumprir a cláusula DFARS 252.204-7012 em contratos, a Microsoft pode dar suporte aos requisitos aplicáveis aos provedores de serviços de nuvem para Azure Governamental e Office 365 serviços de Defesa do Governo dos EUA. Ambos os serviços demonstram suporte para os recursos necessários para que os clientes cumpram as cláusulas DFARS 7012 por meio de seu credenciamento L5 para o Guia de Requisitos de Segurança do Departamento de Defesa.
Plataformas e serviços em nuvem no escopo da Microsoft
Serviços cobertos para o nível 5 de impacto do DoD
- Azure e Azure Governamental
- Office 365 governo dos EUA e Office 365 defesa do governo dos EUA
Azure, Dynamics 365 e DFARS
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do Azure DFARS.
Office 365 e DFARS
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Microsoft Entra ID, Gerenciador de Conformidade, Delve, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
| GCC Alta | Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
| DoD | Microsoft Entra ID, Exchange Online, Formulários, Microsoft Defender para Office 365, Microsoft Teams, Conformidade Avançada do Office 365 complemento, Office 365 Central de Conformidade & de Segurança, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Auditorias, relatórios e certificados
Perguntas frequentes
Quais requisitos DFARS têm suporte Office 365 Defesa do Governo dos EUA?
Office 365 Defesa do Governo dos EUA permite que nossos clientes contratados de defesa e base industrial de defesa atendam aos requisitos DFARS conforme enumerado nas cláusulas DFARS de 252.204-7012 que se aplicam aos provedores de serviços de nuvem.
Um assessor independente validou que Office 365 Defesa do Governo dos EUA dá suporte aos requisitos DFARS?
Sim, uma organização de avaliação de terceiros atestou que o Office 365 oferta de serviços de nuvem de Defesa do Governo dos EUA atende aos requisitos aplicáveis da Cláusula DFARS 252.204-7012 (Salvaguardando informações técnicas controladas não classificadas).
Qual é a relação entre a CUI (Informações Não Classificadas Controladas) e as informações de defesa cobertas (CDI)?
CUI são informações que exigem a proteção ou disseminação de controles de acordo com a lei, a regulamentação ou a política em todo o governo. O Registro CUI identifica categorias e subcategorias cui aprovadas.
O CDI é uma informação técnica controlada ou outras informações (conforme descrito no Registro cui) que exige controles de proteção ou disseminação e é:
- Marcado ou identificado de outra forma no contrato, ordem de tarefa ou ordem de entrega, e fornecido ao contratante por ou em nome do DoD em conexão com o desempenho do contrato ou
- Coletado, desenvolvido, recebido, transmitido, usado ou armazenado por ou em nome do contratante em apoio ao desempenho do contrato
Todos os serviços de Microsoft Office 365 atendem aos requisitos de "segurança adequada" aplicáveis a "informações de defesa cobertas" sob a regulamentação DFARS?
Em outubro de 2016, o Departamento de Defesa (DoD) promulgou uma regra final implementando cláusulas de DFARS (Suplemento de Regulamentação de Aquisição Federal de Defesa) que se aplicam a todos os empreiteiros do DoD que processam, armazenam ou transmitem "informações de defesa cobertas" por meio de seus sistemas de informações. A regra estabelece que esses sistemas devem atender aos requisitos de segurança estabelecidos no NIST SP 800-171, protegendo informações não classificadas controladas em sistemas e organizações de informações não confiáveis ou uma "medida de segurança alternativa, mas igualmente eficaz" aprovada pelo oficial de contratação do DoD. E quando um empreiteiro do DoD usa um provedor de serviços de nuvem externo para processar, armazenar ou transmitir informações de defesa cobertas, esse provedor deve atender aos requisitos de segurança equivalentes à linha de base moderada do FedRAMP.
Os seguintes serviços de nuvem Microsoft Office 365 receberam uma autorização moderada do FedRAMP e são adequados para DFARS: Office 365 governo dos EUA e Office 365 Defesa do Governo dos EUA.
Além disso, as ofertas da Microsoft fora do limite certificado pelo FedRAMP que poderiam potencialmente ser usadas por empreiteiros do DoD para processar, armazenar ou transmitir "informações de defesa cobertas" estão passando por uma revisão para cumprir um prazo de conformidade de 31 de dezembro de 2017. A Microsoft está trabalhando para documentar como esses serviços internos e voltados para o cliente estão em conformidade com o NIST SP 800-171 ou um equivalente de segurança aceitável, para atender às cláusulas relevantes do DFARS.
Use o Microsoft Purview Compliance Manager para avaliar seu risco
O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de