Министерство обороны (DoD) Влияние уровня 2 (IL2)
Общие сведения о DoD IL2
Агентство оборонных информационных систем (DISA) — это агентство Министерства обороны США (DoD), которое отвечает за разработку и обслуживание Руководства по требованиям безопасности облачных вычислений (SRG) Министерства обороны США. SRG определяет базовые требования к безопасности, используемые DoD для оценки состояния безопасности поставщика облачных служб (CSP), поддерживая решение о предоставлении временного разрешения DoD (PA), которое позволяет CSP размещать миссии DoD. Он включает, заменяет и отменяет ранее опубликованную модель DoD Cloud Security Model (CSM) и сопоставляет с DoD Risk Management Framework (RMF).
DISA направляет агентства и департаменты Министерства обороны в планировании и авторизации использования CSP. Он также оценивает предложения CSP на соответствие SRG, процесс авторизации, в котором поставщики услуг могут предоставить документацию, в которой они соответствуют стандартам DoD. По мере необходимости он выдает временные разрешения (PAS) DoD, поэтому агентства DoD и вспомогательные организации могут использовать облачные службы без необходимости самостоятельно проходить полный процесс утверждения, экономя время и усилия.
В памятке CIO От 15 декабря 2014 г., касающейся обновленного руководства по приобретению и использованию коммерческих облачных служб вычислений , говорится, что "FedRAMP будет служить минимальным базовым показателем безопасности для всех облачных служб DoD". SRG использует базовый план FedRAMP Moderate на всех уровнях влияния на информацию (IL) и учитывает высокий базовый план на некоторых.
SRG в разделе 5.1.1DoD использование средств управления безопасностью FedRAMP говорит, что информация IL2 может размещаться в CSP, который минимально содержит FedRAMP Moderate PA и DoD уровня 2 PA при соблюдении требований безопасности персонала, описанных в разделе 5.6.2. Однако такой подход не позволяет поставщику служб CSP выполнить другие требования к безопасности и интеграции, как это требуется владельцу миссии. В соответствии с разделом 5.2.2.1 SRGУровень воздействия 2 и требования к разделению, DoD IL2 PA надлежащим образом охватывается FedRAMP Moderate PA таким образом, что требования не будут дополнительно оцениваться для IL2 PA.
Затрагиваемые облачные платформы и службы Майкрософт
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender для конечной точки
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 правительство США, Office 365 правительство США - Высокий
- Power Apps
- Power Automate
- Power BI
Azure, Dynamics 365 и DoD IL2
Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в разделе Предложение Azure DoD IL2.
Office 365 и DoD IL2
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| GCC | Служба веб-канала действий, службы Bing, Bookings, Delve, Exchange Online, Exchange Online Protection, инфраструктура, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, Office Service, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink |
| GCC High | Служба веб-канала действий, службы Bing, Bookings, Exchange Online, Exchange Online Protection, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink |
Ресурсы
- Решения Майкрософт для государственных организаций
- Руководство по требованиям к безопасности облачных вычислений DoD
- Документы FedRAMP
- NIST SP 800-37Платформа управления рисками для информационных систем и организаций: системный Life-Cycle подход к безопасности и конфиденциальности
- NIST SP 800-53Средства управления безопасностью и конфиденциальностью для информационных систем и организаций
- DoD Инструкция 8510.01DoD Risk Management Framework (RMF) для DoD Information Technology (IT)
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по