Compartilhar via


NIST SP 800-171

Sobre o NIST SP 800-171

O NIST (Instituto Nacional de Padrões e Tecnologia) dos EUA promove e mantém padrões e diretrizes de medição para ajudar a proteger os sistemas de informações e informações de agências federais. Em resposta à Ordem Executiva 13556 sobre o gerenciamento de informações não classificadas controladas (CUI), ela publicou o NIST SP 800-171, protegendo informações não classificadas controladas em sistemas e organizações de informações não classificadas. A CUI é definida como informações, tanto digitais quanto físicas, criadas por um governo (ou uma entidade em seu nome) que, embora não classificada, ainda seja confidencial e exija proteção.

O NIST SP 800-171 foi originalmente publicado em junho de 2015 e foi atualizado várias vezes desde então em resposta à evolução das ameaças cibernéticas. Ele fornece diretrizes sobre como a CUI deve ser acessada, transmitida e armazenada com segurança em sistemas e organizações de informações nãonfederais; seus requisitos se enquadram em quatro categorias de main:

  • Controles e processos para gerenciar e proteger
  • Monitoramento e gerenciamento de sistemas de TI
  • Limpar práticas e procedimentos para usuários finais
  • Implementação de medidas de segurança física e tecnológica

Microsoft e NIST SP 800-171

Organizações de avaliação de terceiros credenciadas, Kratos Secureinfo e Coalfire, fizeram uma parceria com a Microsoft para atestar que seus serviços de nuvem no escopo atendem aos critérios no NIST SP 800-171, Protegendo INFORMAÇÕES Não Classificadas Controladas (CUI) em Sistemas e Organizações de Informações Não Confiáveis, quando processam a CUI. A implementação da Microsoft dos requisitos fedRAMP ajuda a garantir que os serviços de nuvem no escopo da Microsoft atendam ou excedam os requisitos do NIST SP 800-171 usando os sistemas e as práticas já em vigor.

Os requisitos NIST SP 800-171 são um subconjunto do NIST SP 800-53, o padrão que o FedRAMP usa. O apêndice D do NIST SP 800-171 fornece um mapeamento direto de seus requisitos de segurança cui para os controles de segurança relevantes no NIST SP 800-53, para o qual os serviços de nuvem no escopo já foram avaliados e autorizados no programa FedRAMP.

Qualquer entidade que processe ou armazene a CUI do governo dos EUA – instituições de pesquisa, empresas de consultoria, empresas de fabricação, devem cumprir os requisitos rigorosos do NIST SP 800-171. Esse atestado significa que os serviços de nuvem no escopo da Microsoft podem acomodar clientes que buscam implantar cargas de trabalho cui com a garantia de que a Microsoft está em conformidade total. Por exemplo, todos os empreiteiros do DoD que processam, armazenam ou transmitem "informações de defesa cobertas" usando serviços de nuvem da Microsoft no escopo em seus sistemas de informações atendem às cláusulas DFARS do Departamento de Defesa dos EUA que exigem conformidade com os requisitos de segurança do NIST SP 800-171.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Comercial do Azure, Azure Governamental
  • Dynamics 365 governo dos EUA
  • Intune
  • Office 365 GCC (U.S. Government Community Cloud), Office 365 GCC High e DoD
    • Observe que Office 365 Comercial não está incluído na auditoria de terceiros realizada para nIST 800-171 e não está no escopo.

Azure, Dynamics 365 e NIST SP 800-171

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do Azure NIST SP 800-171.

Office 365 e NIST SP 800-171

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
GCC Serviço de Feed de Atividades, Bing Services, Delve, Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, cartão Pessoas, SharePoint Online, Skype for Business, Windows Ink
GCC Alta Serviço de Feed de Atividades, Serviços do Bing, Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, cartão Pessoas, SharePoint Online, Skype for Business, Windows Ink
DoD Serviço de Feed de Atividades, Serviços do Bing, Exchange Online, Serviços Inteligentes, Portal do Cliente Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, Cartão Pessoas, Microsoft Teams, SharePoint Online, Skype for Business, Windows Ink

Perguntas frequentes

Posso usar a conformidade da Microsoft com o NIST SP 800-171 para minha organização?

Sim. Os clientes da Microsoft podem usar os controles auditados descritos nos relatórios de organizações independentes de avaliação de terceiros (3PAO) nos padrões fedRAMP como parte de seus próprios esforços de análise e qualificação de risco FedRAMP e NIST. Esses relatórios atestam a eficácia dos controles que a Microsoft implementou em seus serviços de nuvem no escopo. Os clientes são responsáveis por garantir que suas cargas de trabalho cui estejam em conformidade com as diretrizes do NIST SP 800-171.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos