Публикация службы внутренних доходов США 1075

Обзор публикации 1075 службы внутренних доходов США

Публикация внутренней службы доходов 1075 (IRS 1075) предоставляет рекомендации для государственных учреждений США и их агентов, которые имеют доступ к федеральным налоговым данным (FTI), чтобы обеспечить использование политик, методов и средств контроля для защиты конфиденциальности. IRS 1075 призван свести к минимуму риск потери, нарушения безопасности или неправильного использования FTI, удерживаемого внешними правительственными учреждениями. Например, в отделе доходов штата, который обрабатывает FTI в налоговых отчетах для резидентов, или в учреждениях служб здравоохранения, которые имеют доступ к FTI, должны быть программы для защиты этой информации.

Чтобы защитить FTI, IRS 1075 контролирует безопасность и конфиденциальность для служб приложений, платформ и центров обработки данных. Например, он определяет приоритеты безопасности действий центра обработки данных, таких как правильная обработка FTI, и контроль подрядчиков центров обработки данных для ограничения доступа. Чтобы убедиться, что правительственные учреждения, получающее FTI, применяют эти средства контроля, iRS на платформе IRS установили программу мер безопасности, которая включает периодические проверки этих учреждений и их подрядчиков.

Публикация службы внутренних доходов Майкрософт и США 1075

Облачные службы Microsoft Azure для государственных организаций и Microsoft Office 365 для государственных организаций США предоставляют договорное обязательство о наличии соответствующих средств контроля и возможностей безопасности, необходимых клиентам учреждений Майкрософт для удовлетворения требований IRS 1075.

Эти облачные службы Майкрософт для государственных организаций предоставляют платформу, на которой клиенты могут создавать и использовать свои решения, но клиенты должны самостоятельно определять, работают ли эти конкретные решения в соответствии с IRS 1075 и, следовательно, подлежат аудиту IRS.

Чтобы помочь государственным учреждениям в обеспечении соответствия требованиям, корпорация Майкрософт:

  • Содержит подробное руководство, помогающее организациям понять свои обязанности и то, как различные элементы управления IRS сопоставляются с возможностями Azure для государственных организаций и Office 365 правительства США. В отчете О безопасности IRS 1075 (SSR) подробно описано, как службы Майкрософт реализуют применимые элементы управления IRS и основаны на пакетах FedRAMP Azure для государственных организаций и Office 365 правительства США. Так как IRS 1075 и FedRAMP основаны на NIST 800-53, граница соответствия для IRS 1075 совпадает с границей авторизации FedRAMP.
  • Службы IRS должны явно утвердить выпуск любого документа мер безопасности IRS, чтобы только правительственные клиенты в рамках NDA могли просматривать SSR.
  • Предоставляет доступные отчеты аудита и сведения о мониторинге, созданные независимыми оценщиков для облачных служб.
  • Содержит рекомендации по соответствию требованиям iRS Azure для государственных организаций и рекомендации по соответствию требованиям Office 365 правительства США, в которых описывается, как агентство может использовать Microsoft Cloud для государственных служб в соответствии с IRS 1075. Клиенты из государственных организаций, которые используют NDA, могут запрашивать эти документы.
  • Предоставляет клиентам возможность (за их счет) при необходимости взаимодействовать с экспертами майкрософт или внешними аудиторами.

Службы облачных & платформ Майкрософт в области действия

Авторизация FedRAMP предоставляется на трех уровнях влияния на основе рекомендаций NIST: низкий, средний и высокий. Они ранжирует влияние потери конфиденциальности, целостности или доступности на организацию — низкий (ограниченный эффект), средний (серьезный отрицательный эффект) и высокий (серьезный или катастрофическое воздействие).

  • Azure и Azure для государственных организаций
  • Dynamics 365 для государственных организаций США
  • Office 365, Office 365 правительства США
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365

Azure, Dynamics 365 и IRS 1075

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы см. в предложении Azure IRS 1075.

Office 365 и IRS 1075

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.

В этом разделе описываются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
GCC Служба веб-канала активности, службы Bing, Delve, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, портал Office 365 клиента, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink

Аудит, отчеты и сертификаты Office 365

Соответствие нормативным требованиям IRS 1075 распространяется на аудит FedRAMP каждый год.

Вопросы и ответы

Как корпорация Майкрософт соответствует требованиям IRS 1075?

Корпорация Майкрософт регулярно отслеживает свои средства управления безопасностью, конфиденциальностью и эксплуатацией, а также NIST 800-53 ред. 4 элемента управления, необходимых базовым планом FedRAMP для информационных систем среднего влияния. Она предоставляет ежеквартально доступ к этой информации через отчеты непрерывного мониторинга. Azure для государственных организаций и Office 365 государственных организаций США могут получить доступ к этим конфиденциальным сведениям о соответствии с помощью портала Service Trust Portal.

Кроме того, корпорация Майкрософт стремится включить элементы управления IRS 1075 в главный набор элементов управления для Azure для государственных организаций и Office 365 правительства США, а также проводить ежегодный аудит для них.

Можно ли просмотреть пакеты FedRAMP или план безопасности системы?

Да, если ваша организация соответствует требованиям к Azure для государственных организаций и Office 365 правительства США. Чтобы просмотреть эти документы, обратитесь непосредственно к представителю учетной записи Майкрософт. Вы также можете просмотреть список поставщиков облачных служб, соответствующих требованиям FedRAMP.

Можно ли использовать среды Общедоступного облака Azure или Office 365 и по-прежнему соответствовать требованиям IRS 1075?

Нет. Единственными средами, в которых можно хранить и обрабатывать FTI, являются Azure для государственных организаций или Office 365 правительства США. Для использования этих сред клиенты из государственных организаций должны соответствовать требованиям.

Использование диспетчера соответствия требованиям Microsoft Purview для оценки рисков

Диспетчер соответствия требованиям Microsoft Purview — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия вашей организации и принимать меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы