FedRAMP (Programa Federal de Gerenciamento de Autorização e Risco)

Visão geral do FedRAMP

O Programa Federal de Gerenciamento de Riscos e Autorização dos EUA (FedRAMP) foi estabelecido para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem sob a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) e acelerar a adoção de soluções de nuvem seguras por agências federais.

A Office de Gerenciamento e Orçamento agora exige que todas as agências federais executivas usem FedRAMP para validar a segurança dos serviços de nuvem. (Outras agências também a adotaram, portanto, é útil em outras áreas do setor público também.) O Instituto Nacional de Padrões e Tecnologia (NIST) SP 800-53 define os padrões obrigatórios, estabelece categorias de segurança de sistemas de informações — confidencialidade, integridade e disponibilidade — para avaliar o impacto potencial em uma organização caso seus sistemas de informações e informações sejam comprometidos. FedRAMP é o programa que certifica que um provedor de serviços de nuvem (CSP) atende a esses padrões.

Os CSPs que desejam vender serviços para uma agência federal podem tomar três caminhos para demonstrar a conformidade fedRAMP:

  • Ganhe uma Autoridade Provisória para Operar (P-ATO) do Conselho de Autorização Conjunto (JAB). O RAM é o principal corpo de governança e tomada de decisões para FedRAMP. Representantes do Departamento de Defesa, do Departamento de Segurança interna e da Administração de Serviços Gerais servem no quadro. O conselho concede um P-ATO a CSPs que demonstraram a conformidade fedRAMP.
  • Receba uma Autoridade para Operar (ATO) de uma agência federal.
  • Ou trabalhe independentemente para desenvolver um pacote fornecido pelo CSP que atenda aos requisitos do programa.

Cada um desses caminhos requer uma revisão técnica rigorosa pelo PMO (Gerenciamento de Programas fedRAMP) Office e uma avaliação por uma organização de terceiros independente credenciada pelo programa.

As autorizações fedRAMP são concedidas em três níveis de impacto com base nas diretrizes do NIST— baixo, médio e alto. Esses níveis classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade poderia ter em uma organização — baixo (efeito limitado), médio (efeito adverso grave) e alto (efeito grave ou catastrófico).

Microsoft e FedRAMP

Os serviços de nuvem governamentais da Microsoft, incluindo o Governo do Azure, o Dynamics 365 Government e o Office 365 governo dos EUA atendem aos requisitos exigentes do Programa Federal de Gerenciamento de Riscos e Autorizações dos EUA (FedRAMP), permitindo que as agências federais dos EUA se beneficiem da economia de custos e da segurança rigorosa do Microsoft Cloud.

Os serviços de nuvem do governo da Microsoft oferecem aos clientes do setor público uma rica matriz de serviços em conformidade com FedRAMP e ferramentas robustas de orientação e implementação, incluindo o plano High fedRAMP, que ajuda os clientes a implantar um conjunto principal de políticas para qualquer arquitetura implantada pelo Azure que deve implementar controles FedRAMP High.

Plataformas e serviços de nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Dynamics 365 U.S. Government
  • Intune
  • Office 365 Governo dos EUA, Office 365 governo dos EUA - Alta, Office 365 defesa do governo dos EUA
  • Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365

Azure, Dynamics 365 e FedRAMP

Para obter mais informações sobre a conformidade do Azure, do Dynamics 365 e de outros serviços online, consulte a oferta fedRAMP do Azure.

Office 365 e FedRAMP

  • Office 365 e Office 365 eua têm um ATO do Departamento de Saúde e Serviços Humanos dos EUA (DHHS).
  • Office 365 A Defesa do Governo dos EUA tem um P-ATO da DISA (Agência de Sistemas de Informações de Defesa dos EUA). Qualquer cliente que deseje implantar Office 365 defesa governamental dos EUA pode usar o DISA P-ATO para gerar uma ato de agência para documentar sua aceitação.
  • Office 365 (planos corporativos e corporativos) e Office 365 governo dos EUA têm uma Agência FEDRAMP ATO no Nível de Impacto Moderado do DHHS Office do Inspetor Geral. Office 365 O Governo dos EUA foi o primeiro serviço de colaboração e email baseado em nuvem a obter essa autorização.

Ambientes de nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
GCC Serviço de Feed de Atividades, Serviços do Bing, Bookings, Delve, Exchange Online, Proteção do Exchange Online, Infraestrutura, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, serviço Office, relatórios de uso Office, OneDrive for Business, Cartão de Pessoas, SharePoint Online, Skype for Business, Windows Ink
GCC Alta Serviço de Feed de Atividades, serviços Bing, Reservas, Exchange Online, Proteção do Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, Office Infraestrutura de serviço, Office relatórios de uso, OneDrive for Business, Cartão de Pessoas, SharePoint Online, Skype for Business, Windows Ink
DoD Serviço de Feed de Atividades, serviços Bing, Reservas, Proteção do Exchange Online, Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, Office Infraestrutura de serviço, Office relatórios de uso, OneDrive for Business, Cartão de Pessoas, SharePoint Online, Skype for Business, Windows Ink

Auditorias Office 365, relatórios e certificados

A Microsoft tem a obrigação de certificar novamente seus serviços de nuvem todos os anos para manter os P-ATOs e ATOs. Para fazer isso, a Microsoft deve monitorar e avaliar seus controles de segurança continuamente e demonstrar que a segurança de seus serviços permanece em conformidade.

Perguntas frequentes

Os serviços de nuvem da Microsoft estão em conformidade com a Lei Federal de Gerenciamento de Segurança da Informação (FISMA)?

A FISMA é a lei federal que exige que as agências federais dos EUA e seus parceiros adquirirem sistemas e serviços de informações apenas de organizações que aderam aos requisitos fisma. A maioria das agências e seus fornecedores que indicam que são compatíveis com FISMA estão se referindo a como atendem aos controles identificados pelo NIST na Publicação Especial 800-53 rev 4. O processo FISMA (mas não os próprios padrões subjacentes) foi substituído pelo FedRAMP em 2011.

A quem o FedRAMP se aplica?

'FedRAMP é obrigatório para implantações de nuvem de agências federais e modelos de serviço nos níveis de impacto de baixo e moderado risco.' Qualquer agência federal que queira envolver um CSP pode ser necessária para atender às especificações fedRAMP. Além disso, as empresas que empregam tecnologias de nuvem em produtos ou serviços usados pelo governo federal podem ser necessárias para obter um ATO.

Onde minha agência inicia seu próprio esforço de conformidade?

Para obter uma visão geral das etapas que as agências federais devem seguir para navegar com êxito pela FedRAMP e atender aos seus requisitos, acesse Get Authorized: Agency Authorization.

Posso usar a conformidade da Microsoft no processo de autorização da minha agência?

Sim. Você pode usar as certificações dos serviços de nuvem da Microsoft como base para qualquer programa ou iniciativa que exija um ATO de uma agência governamental federal. No entanto, você precisa obter suas próprias autorizações para componentes fora desses serviços.

Usar o Gerenciador de conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos