Министерство обороны (DoD) Влияние уровня 5 (IL5)

Общие сведения о DoD IL5

Агентство оборонных информационных систем (DISA) — это агентство Министерства обороны США (DoD), которое отвечает за разработку и обслуживание Руководства по требованиям безопасности облачных вычислений (SRG) Министерства обороны США. SRG определяет базовые требования к безопасности, используемые DoD для оценки состояния безопасности поставщика облачных служб (CSP), поддерживая решение о предоставлении временного разрешения DoD (PA), которое позволяет CSP размещать миссии DoD. Он включает, заменяет и отменяет ранее опубликованную модель DoD Cloud Security Model (CSM) и сопоставляет с DoD Risk Management Framework (RMF).

DISA направляет агентства и департаменты Министерства обороны в планировании и авторизации использования CSP. Он также оценивает предложения CSP на соответствие SRG, процесс авторизации, в котором поставщики услуг могут предоставить документацию, в которой они соответствуют стандартам DoD. По мере необходимости он выдает временные разрешения (PAS) DoD, поэтому агентства DoD и вспомогательные организации могут использовать облачные службы без необходимости самостоятельно проходить полный процесс утверждения, экономя время и усилия.

В соответствии с разделом 3.2 SRGInformation Impact Levels информация IL5 охватывает:

  • Контролируемая неклассифицированная информация (CUI), требующая более высокого уровня защиты, чем у IL4

    • Реестр CUI предоставляет определенные категории информации, которая находится под защитой исполнительной ветви власти, например, более 20 групп категорий включены в список категорий CUI.
    • NIST SP 800-171Защита контролируемой неклассифицированной информации в нефедеральных системах и организациях предназначена для использования федеральными учреждениями в контрактах или других соглашениях, заключенных с нефедеральными организациями.
  • Системы национальной безопасности (NSS)

    • NIST SP 800-59Руководство по идентификации информационной системы как системы национальной безопасности содержит определения NSS.
    • CNSSI 1253Классификация безопасности и выбор контроля для систем национальной безопасности содержит рекомендации по стандартам безопасности, которые федеральные агентства должны применять для классификации информации о национальной безопасности.

В памятке CIO От 15 декабря 2014 г., касающейся обновленного руководства по приобретению и использованию коммерческих облачных служб вычислений , говорится, что "FedRAMP будет служить минимальным базовым показателем безопасности для всех облачных служб DoD". SRG использует базовый план FedRAMP Moderate на всех уровнях влияния на информацию (IL) и учитывает высокий базовый план на некоторых.

SRG Раздел 5.1.1DoD использование элементов управления безопасностью FedRAMP говорит, что FedRAMP High PA, дополненный элементами управления DoD FedRAMP+ и улучшениями управления (C/CEs) и требованиями в SRG, используются для оценки CSP для присуждения PA DoD в IL5. Независимо от того, какой базовый план C/CE используется в качестве основы для FedRAMP High PA, дополнительные рекомендации и /или требования должны быть оценены и утверждены, прежде чем DOD PA может быть награжден в IL5. В частности, раздел 5.1.2SRG DoD FedRAMP+ Security Controls/Усовершенствования в таблице 2 указывает, что для PA DOD IL5 требуется 10 дополнительных C/CEs за пределами базового плана FedRAMP High.

Кроме того, в соответствии с разделом 5.2.2.3 SRG в соответствии с требованиями к расположению и разделению IL5 для уровня 5 должны быть выполнены следующие требования (среди прочего):

  • Виртуальное/логическое разделение между клиентами и миссиями DoD и федерального правительства является достаточным. Требуется виртуальное и логическое разделение между системами клиента и миссии.
  • Требуется физическое отделение от клиентов, не относящихся к DoD или не федеральному правительству (то есть общедоступных, местных или государственных арендаторов).
  • CSP ограничивает потенциальный доступ к информации DoD и сообщества сотрудникам CSP, которые являются гражданами США.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure
  • Служба поддержки клиентов Dynamics 365
  • Microsoft Defender для конечной точки (ранее Расширенная защита от угроз в Microsoft Defender)
  • Microsoft Graph
  • Microsoft Stream
  • Office 365 для министерства обороны США
  • Power Automate (прежнее название Microsoft Flow)
  • Power BI

Azure, Dynamics 365 и DoD IL5

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия требованиям см. в разделе Предложение Azure DoD IL5.

Office 365 и DoD IL5

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
DoD Служба веб-канала действий, службы Bing, Bookings, Exchange Online Protection, Exchange Online, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink

Документы аттестации

Клиенты государственных организаций США могут запросить Office 365 документацию FedRAMP для государственных организаций США непосредственно из FedRAMP Marketplace, отправив форму запроса на доступ к пакету. Для доступа к пакету безопасности FedRAMP непосредственно из FedRAMP требуется адрес электронной почты .gov или .mil.

Выберите Документацию По FedRAMP и DoD, включая План безопасности системы (SSP), отчеты о непрерывном мониторинге, План действий и вехи (POA&M) и т. д., доступна клиентам в разделе NDA и ожидающих авторизации доступа из раздела Отчеты об аудите на портале управления безопасностью служб — Отчеты FedRAMP . Обратитесь за помощью к представителю учетной записи Майкрософт.

Ресурсы