Публикация Внутренней налоговой службы США 1075

  • Статья

Обзор публикации 1075 налоговой службы США

Публикация 1075 Внутренней налоговой службы (IRS 1075) предоставляет рекомендации для государственных учреждений США и их агентов, которые получают доступ к федеральной налоговой информации (FTI), чтобы гарантировать, что они используют политики, методики и средства контроля для защиты ее конфиденциальности. IRS 1075 стремится свести к минимуму риск потери, нарушения или неправильного использования FTI, удерживаемых внешними правительственными учреждениями. Например, департамент доходов штата, который обрабатывает FTI в налоговых возвратах для своих жителей, или агентства здравоохранения, которые получают доступ к FTI, должны иметь программы для защиты этой информации.

Для защиты FTI в IRS 1075 предписывается управление безопасностью и конфиденциальностью для приложений, платформ и служб центров обработки данных. Например, он уделяет приоритетное внимание безопасности действий центра обработки данных, таких как правильная обработка FTI, и надзор за подрядчиками центров обработки данных, чтобы ограничить вход. Для обеспечения того, чтобы государственные учреждения, получающие FTI, применяли эти средства контроля, IRS создала Программу гарантий, которая включает периодические проверки этих учреждений и их подрядчиков.

Публикация Службы внутренних доходов Майкрософт и США 1075

Облачные службы Microsoft Azure для государственных организаций и Microsoft Office 365 государственных организаций США предоставляют договорные обязательства о наличии надлежащих средств контроля и возможностей безопасности, необходимых клиентам агентства Майкрософт для удовлетворения существенных требований IRS 1075.

Эти облачные службы Майкрософт для государственных организаций предоставляют платформу, на которой клиенты могут создавать и эксплуатировать свои решения, но клиенты должны сами определить, работают ли эти конкретные решения в соответствии с IRS 1075 и, следовательно, подлежат ли аудиту IRS.

Чтобы помочь государственным учреждениям в их усилиях по обеспечению соответствия требованиям, корпорация Майкрософт:

  • Предлагает подробные рекомендации, помогающие учреждениям понять их обязанности и то, как различные средства управления IRS сопоставляют возможности в Azure для государственных организаций и Office 365 правительства США. В отчете irs 1075 Security Security Report (SSR) подробно описано, как службы Майкрософт реализуют применимые элементы управления IRS, и основаны на пакетах FedRAMP Azure для государственных организаций и Office 365 правительства США. Поскольку и IRS 1075, и FedRAMP основаны на NIST 800-53, граница соответствия для IRS 1075 совпадает с авторизацией FedRAMP.
  • IRS должна явно утвердить выпуск любого документа о гарантиях IRS, поэтому только правительственные клиенты в рамках NDA могут просматривать SSR.
  • Предоставляет отчеты об аудите и сведения о мониторинге, созданные независимыми экспертами для облачных служб.
  • Предоставляет в IRS Azure для государственных организаций рекомендации по соответствию требованиям и Office 365 рекомендации по соответствию требованиям правительства США, в которых показано, как агентство может использовать Microsoft Cloud для государственных служб в соответствии с IRS 1075. Клиенты из государственных организаций в рамках NDA могут запросить эти документы.
  • Предоставляет клиентам возможность (за их счет) общаться с профильными экспертами Майкрософт или внешними аудиторами, если это необходимо.

Затрагиваемые облачные платформы и службы Майкрософт

Разрешения FedRAMP предоставляются на трех уровнях влияния на основе руководящих принципов NIST: низкий, средний и высокий. Они ранжируют влияние, которое может оказать потеря конфиденциальности, целостности или доступности на организацию— низкое (ограниченный эффект), среднее (серьезное негативное воздействие) и высокое (серьезное или катастрофическое воздействие).

  • Azure и Azure для государственных организаций
  • Dynamics 365 правительства США
  • Office 365, Office 365 правительство США
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
  • Windows 365 (правительство США)

Azure, Dynamics 365 и IRS 1075

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в разделе Предложение Azure IRS 1075.

Office 365 и IRS 1075

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
GCC Служба веб-канала действий, службы Bing, Delve, Exchange Online Protection, Exchange Online, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink

Аудит, отчеты и сертификаты Office 365

Соответствие основным требованиям IRS 1075 ежегодно покрывается аудитом FedRAMP.

Вопросы и ответы

Как корпорация Майкрософт выполняет требования IRS 1075?

Корпорация Майкрософт регулярно следит за безопасностью, конфиденциальностью и операционными средствами управления, а также средствами управления NIST 800-53 ред. 4, требуемыми базовыми показателями FedRAMP для информационных систем умеренного воздействия. Он предоставляет ежеквартальный доступ к этой информации с помощью отчетов непрерывного мониторинга. клиенты Azure для государственных организаций и Office 365 государственных организаций США могут получить доступ к этой конфиденциальной информации о соответствии через портал service Trust Portal.

Кроме того, корпорация Майкрософт обязалась включать элементы управления IRS 1075 в свой master контрольный набор для Azure для государственных организаций и Office 365 правительства США, а также проводить аудит в отношении них ежегодно.

Можно ли просмотреть пакеты FedRAMP или план безопасности системы?

Да, если ваша организация соответствует требованиям для Azure для государственных организаций и Office 365 правительства США. Чтобы просмотреть эти документы, обратитесь к представителю учетной записи Майкрософт напрямую. Вы также можете ознакомиться со списком поставщиков облачных служб, совместимых с FedRAMP.

Можно ли использовать Azure или Office 365 общедоступных облачных сред и по-прежнему соответствовать требованиям IRS 1075?

Нет. Единственными средами, в которых можно хранить и обрабатывать FTI, являются Azure для государственных организаций или Office 365 правительства США. Клиенты из государственных организаций должны соответствовать требованиям для использования этих сред.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы