Дополнение к федеральному регламенту по закупкам обороны (DFARS)

Статья
01/31/2024

Общие сведения о DFARS

21 октября 2016 года Министерство обороны (DoD) издало окончательное правило, внося изменения в дополнение к федеральному регламенту по приобретению обороны (DFARS) и налагающее обязательства по защите и отчетности о киберагрессах на оборонных подрядчиков, чьи информационные системы обрабатывают, хранят или передают охваченную оборонную информацию (CDI).

В заключительном пункте DFARS 252.204-7012 (Защита информации о защите и отчетности о кибер-инцидентах) указаны меры безопасности, включающие требования к отчетности о кибер-инцидентах и дополнительные рекомендации для поставщиков облачных служб. Согласно DFARS 252.204-7012, все подрядчики DoD и оборонно-промышленная база обязаны соблюдать требования DFARS к адекватной безопасности "как можно скорее, но не позднее 31 декабря 2017 года".

Майкрософт и DFARS

Облачные службы Майкрософт для государственных организаций помогают клиентам США оборонной промышленной базы и оборонным подрядчикам соответствовать требованиям DFARS, перечисленным в положениях DFARS от 252.204-7012, которые применяются к поставщикам облачных служб. Если оборонные подрядчики обязаны соблюдать положения DFARS 252.204-7012 в контрактах, корпорация Майкрософт может поддержать требования, применимые к поставщикам облачных служб для Azure для государственных организаций и Office 365 служб обороны правительства США. Обе службы демонстрируют поддержку возможностей, необходимых клиентам для соблюдения положений DFARS 7012 путем их аккредитации L5 в Руководстве по требованиям безопасности Министерства обороны.

Затрагиваемые облачные платформы и службы Майкрософт

Охваченные службы для уровня влияния DoD 5

Azure и Azure для государственных организаций
Office 365 правительства США и Office 365 обороны правительства США

Azure, Dynamics 365 и DFARS

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствии см. в разделе Предложение Azure DFARS.

Office 365 и DFARS

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость	Затрагиваемые службы
GCC	идентификатор Microsoft Entra, диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, MyAnalytics, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream
GCC High	идентификатор Microsoft Entra, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям безопасности &, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, PowerApps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса
DoD	идентификатор Microsoft Entra, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Teams, надстройка Office 365 Advanced Compliance, Office 365 Центр соответствия требованиям & безопасности, Office Online, Office Pro Plus, OneDrive для бизнеса, Планировщик, Power BI, SharePoint Online, Skype для бизнеса

Аудит, отчеты и сертификаты Office 365

Вопросы и ответы

Какие требования DFARS поддерживаются Office 365 обороны правительства США?

Office 365 обороны правительства США позволяет нашим клиентам оборонно-промышленной базы и оборонных подрядчиков соответствовать требованиям DFARS, перечисленным в положениях DFARS от 252.204-7012, которые применяются к поставщикам облачных служб.

Подтвердил ли независимый оценитель, что Office 365 обороны правительства США поддерживает требования DFARS?

Да, сторонняя организация оценки подтвердила, что предложение Office 365 облачной службы обороны правительства США соответствует применимым требованиям положения DFARS 252.204-7012 (Защита неклассифицированной контролируемой технической информации).

Какова связь между управляемой неклассифицированной информацией (CUI) и защищенной информацией (CDI)?

CUI — это информация, которая требует сохранения или распространения контроля в соответствии с законодательством, нормативными актами или политикой на уровне правительства. Реестр CUI определяет утвержденные категории и подкатегории CUI.

CDI — это контролируемая техническая информация или другая информация (как описано в Реестре CUI), которая требует контроля за защитой или распространением.

Помечены или иным образом определены в контракте, заказе задачи или заказе на поставку и предоставляются подрядчику или от имени Министерства управления сша в связи с выполнением контракта или
Сбор, разработка, получение, передача, использование или хранение подрядчиком или от его имени в поддержку выполнения контракта

Соответствуют ли все Microsoft Office 365 службы требованиям "адекватной безопасности", применимым к "защищенной информации о защите" в соответствии с регламентом DFARS?

В октябре 2016 года Министерство обороны (DoD) обнародовало окончательное правило, реализующее положения Федерального дополнения к регулированию оборонных закупок (DFARS), которые применяются ко всем подрядчикам Министерства обороны, которые обрабатывают, хранят или передают "охваченную оборонную информацию" через свои информационные системы. В правиле говорится, что такие системы должны соответствовать требованиям безопасности, изложенным в NIST SP 800-171 , Защита контролируемой несекретной информации в нефедеральных информационных системах и организациях, или "альтернативной, но в равной степени эффективной меры безопасности", которая одобрена контрактным сотрудником DoD. Если подрядчик DoD использует внешнего поставщика облачных служб для обработки, хранения или передачи информации о защите, такой поставщик должен соответствовать требованиям безопасности, эквивалентным базовым показателям FedRAMP Moderate.

Следующие Microsoft Office 365 облачные службы получили умеренное разрешение FedRAMP и достаточно для DFARS: Office 365 правительства США и Office 365 обороны правительства США.

Кроме того, предложения Майкрософт за пределами границы, сертифицированной FedRAMP, которые потенциально могут использоваться подрядчиками Министерства обороны для обработки, хранения или передачи "информации о защите покрытой информации", проходят проверку, чтобы соответствовать крайнему сроку соответствия требованиям 31 декабря 2017 года. Корпорация Майкрософт работает над документом о том, как эти внутренние и клиентские службы соответствуют требованиям NIST SP 800-171 или приемлемому эквиваленту безопасности, чтобы соответствовать соответствующим условиям DFARS.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.