Compartilhar via


Impacto do Departamento de Defesa (DoD) Nível 5 (IL5)

Descrição geral do DoD IL5

A Agência de Sistemas de Informação de Defesa (DISA) é uma agência do Departamento de Defesa dos EUA (DoD) responsável pelo desenvolvimento e manutenção do Guia de Requisitos de Segurança de Computação na Cloud do DoD (SRG). O SRG define os requisitos de segurança de linha de base utilizados pelo DoD para avaliar a postura de segurança de um fornecedor de serviços cloud (CSP), suportando a decisão de conceder uma Autorização Provisória (PA) DoD que permite a um CSP alojar missões DoD. Incorpora, substitui e rescinde o Modelo de Segurança da Cloud (CSM) do DoD publicado anteriormente e mapeia para o DoD Risk Management Framework (RMF).

A DISA orienta as agências e departamentos do DoD no planeamento e autorização da utilização de um CSP. Também avalia as ofertas de CSP para conformidade com o SRG, um processo de autorização através do qual os CSPs podem fornecer documentação que delineia a sua conformidade com as normas DoD. Emite Autorizações Provisórias (ACs) DoD quando apropriado, para que as agências do DoD e as organizações de suporte possam utilizar serviços cloud sem terem de passar por um processo de aprovação total por conta própria, poupando tempo e esforço.

De acordo com os Níveis de Impacto de Informaçõesda Secção 3.2 da SRG, as informações do IL5 abrangem:

  • Informações Não Classificadas Controladas (CUI) que requerem um nível de proteção mais elevado do que o concedido pelo IL4

    • O Registo CUI fornece categorias específicas de informações que estão sob proteção pelo Ramo executivo, por exemplo, mais de 20 agrupamentos de categorias estão incluídos na lista de categorias CUI.
    • O NIST SP 800-171Proteger Informações Não Classificadas Controladas em Sistemas e Organizações Não Federais destina-se a ser utilizado por agências federais em contratos ou outros acordos estabelecidos com organizações não federais.
  • Sistemas de Segurança Nacional (NSS)

    • A Diretriz NIST SP 800-59para Identificar um Sistema de Informação como um Sistema de Segurança Nacional fornece definições de NSS.
    • CNSSI 1253Seleção de Controlo e Categorização de Segurança para Sistemas de Segurança Nacional fornece orientações sobre as normas de segurança que as agências federais devem aplicar para categorizar as informações de segurança nacional.

O memorando do DoD CIO de 15 de dezembro de 2014 sobre a Documentação de Orientação Atualizada sobre a Aquisição e Utilização dos Serviços de Computação na Cloud Comercial afirma que "o FedRAMP servirá como linha de base de segurança mínima para todos os serviços cloud DoD". O SRG utiliza a linha de base FedRAMP Moderado em todos os níveis de impacto da informação (IL) e considera a Linha base alta em alguns.

A Secção SRG 5.1.1Utilização do DoD dos Controlos de Segurança fedRAMP indica que um FEDRAMP High PA, complementado com controlos DoD FedRAMP+ e melhoramentos de controlo (C/CEs) e requisitos no SRG, são utilizados para avaliar os CSPs para a atribuição de uma PA DoD no IL5. Independentemente da linha de base C/CE utilizada como base para uma PA Elevada fedRAMP, as considerações e/ou requisitos adicionais terão de ser avaliados e aprovados antes de uma PA DoD poder ser concedida na IL5. Especificamente, a Secção SRG 5.1.2DoD FedRAMP+ Estados de Controlo/Melhoramentos de Segurança na Tabela 2 que são necessárias 10 C/CEs adicionais para além da linha de base DoRAMP High para um PA DoD IL5.

Além disso, de acordo com a Secção SRG 5.2.2.3Il5 Localização e Requisitos de Separação, os seguintes requisitos (entre outros) têm de estar em vigor para uma PA de Nível 5:

  • A separação virtual/lógica entre os inquilinos/missões do DoD e do Governo Federal é suficiente. É necessária uma separação virtual/lógica entre os sistemas de inquilino/missão.
  • É necessária a separação física de inquilinos não DoD/não governamentais federais (ou seja, inquilinos públicos, locais/governamentais do estado).
  • O CSP restringe o potencial acesso às informações do DoD e da comunidade aos funcionários do CSP que são cidadãos americanos.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure
  • Dynamics 365 Customer Service
  • Microsoft Defender para Ponto de Extremidade (anteriormente Proteção avançada contra ameaças do Microsoft Defender)
  • Microsoft Graph
  • Microsoft Stream
  • Office 365 U.S. Government Defense
  • Power Automate (anteriormente Microsoft Flow)
  • Power BI

Azure, Dynamics 365 e DoD IL5

Para obter mais informações sobre a conformidade com o Azure, o Dynamics 365 e outros serviços online, veja a oferta IL5 do Azure DoD.

Office 365 e DoD IL5

Ambientes do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
DoD Serviço de Feed de Atividades, Serviços Bing, Bookings, Proteção do Exchange Online, Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente do Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive para Empresas, Cartão Pessoas, SharePoint Online, Skype para Empresas, Windows Ink

Documentos de atestado

Os clientes do governo norte-americano podem pedir a documentação do FedRAMP da Defesa do Governo norte-americano do Office 365 diretamente a partir do FedRAMP Marketplace ao submeter um formulário de pedido de acesso a pacotes. Tem de ter um endereço de e-mail .gov ou .mil para aceder a um pacote de segurança FedRAMP diretamente a partir do FedRAMP.

Selecione a documentação fedRAMP e DoD, incluindo o Plano de Segurança do Sistema (SSP), relatórios de monitorização contínua, Plano de Ação e Marcos (POA&M), etc., está disponível para clientes em NDA e autorização de acesso pendente na secção Relatórios de Auditoria do Portal de Confiança do Serviço – Relatórios fedRAMP . Contacte o representante da conta Microsoft para obter assistência.

Recursos