FedRAMP (Federal Risk and Authorization Management Program)Federal Risk and Authorization Management Program (FedRAMP)

Übersicht über FedRAMPFedRAMP overview

Das US Federal Risk and Authorization Management Program (FedRAMP) wurde eingerichtet, um einen standardisierten Ansatz für die Bewertung, Überwachung und Autorisierung von Cloud Computing-Produkten und -Diensten gemäß dem Federal Information Security Management Act (FISMA) zu bieten und die Einführung sicherer Cloudlösungen durch Bundesbehörden zu beschleunigen.The US Federal Risk and Authorization Management Program (FedRAMP) was established to provide a standardized approach for assessing, monitoring, and authorizing cloud computing products and services under the Federal Information Security Management Act (FISMA), and to accelerate the adoption of secure cloud solutions by federal agencies.

Das Office of Management and Budget erfordert nun, dass alle leitenden Bundesbehörden FedRAMP verwenden, um die Sicherheit von Clouddiensten zu überprüfen.The Office of Management and Budget now requires all executive federal agencies to use FedRAMP to validate the security of cloud services. (Andere Behörden haben sie ebenfalls übernommen, daher ist sie auch in anderen Bereichen des öffentlichen Sektors nützlich.) Das National Institute of Standards and Technology (NIST) SP 800-53 legt die verbindlichen Standards fest, richtet Sicherheitskategorien von Informationssystemen ein ( Vertraulichkeit, Integrität und Verfügbarkeit), um die potenziellen Auswirkungen auf eine Organisation zu bewerten, wenn ihre Informations- und Informationssysteme gefährdet werden.(Other agencies have also adopted it, so it is useful in other areas of the public sector as well.) The National Institute of Standards and Technology (NIST) SP 800-53 sets the mandatory standards, establish security categories of information systems—confidentiality, integrity, and availability—to assess the potential impact on an organization should its information and information systems be compromised. FedRAMP ist das Programm, das bestätigt, dass ein Clouddienstanbieter (Cloud Service Provider, CSP) diese Standards erfüllt.FedRAMP is the program that certifies that a cloud service provider (CSP) meets those standards.

CSPs, die Dienste an eine Bundesbehörde verkaufen wollen, können drei Wege gehen, um die FedRAMP-Compliance zu demonstrieren:CSPs desiring to sell services to a federal agency can take three paths to demonstrate FedRAMP compliance:

  • Erhalten Sie eine provisorische Autorität für den Betrieb (P-ATO) vom Gemeinsamen Autorisierungsrat (Joint Authorization Board, JAB).Earn a Provisional Authority to Operate (P-ATO) from the Joint Authorization Board (JAB). Die JAB ist das primäre Steuerungs- und Entscheidungsgremium für FedRAMP.The JAB is the primary governance and decision-making body for FedRAMP. Vertreter des Verteidigungsministeriums, des Department of Homeland Security und der General Services Administration sind im Board.Representatives from the Department of Defense, the Department of Homeland Security, and the General Services Administration serve on the board. Das Board gewährt CSPs, die die FedRAMP-Compliance nachgewiesen haben, eine P-ATO.The board grants a P-ATO to CSPs that have demonstrated FedRAMP compliance.
  • Erhalten Sie eine Authority to Operate (ATO) von einer Bundesbehörde.Receive an Authority to Operate (ATO) from a federal agency.
  • Oder arbeiten Sie unabhängig daran, ein von CSP bereitgestelltes Paket zu entwickeln, das die Programmanforderungen erfüllt.Or, work independently to develop a CSP Supplied Package that meets program requirements.

Jeder dieser Pfade erfordert eine strenge technische Überprüfung durch das FedRAMP Program Management Office (PMO) und eine Bewertung durch eine unabhängige, vom Programm akkreditierte Drittanbieterorganisation.Each of these paths requires a stringent technical review by the FedRAMP Program Management Office (PMO) and an assessment by an independent third-party organization that is accredited by the program.

FedRAMP-Autorisierungen werden auf drei Auswirkungsebenen basierend auf den NIST-Richtlinien erteilt– niedrig, mittel und hoch.FedRAMP authorizations are granted at three impact levels based on NIST guidelines—low, medium, and high. Auf diesen Ebenen werden die Auswirkungen, die der Verlust der Vertraulichkeit, Integrität oder Verfügbarkeit auf eine Organisation haben könnte, nachrangig: niedrig (begrenzte Auswirkung), mittel (schwerwiegende negative Auswirkungen) und hoch (schwerwiegende oder katastrophale Auswirkungen).These levels rank the impact that the loss of confidentiality, integrity, or availability could have on an organization—low (limited effect), medium (serious adverse effect), and high (severe or catastrophic effect).

Microsoft und FedRAMPMicrosoft and FedRAMP

Die Clouddienste von Microsoft, einschließlich Azure Government, Dynamics 365 Government und Office 365 U.S. Government, erfüllen die anspruchsvollen Anforderungen des US Federal Risk and Authorization Management Program (FedRAMP), sodass US-Bundesbehörden von den Kosteneinsparungen und der strikten Sicherheit der Microsoft Cloud profitieren können.Microsoft’s government cloud services, including Azure Government, Dynamics 365 Government, and Office 365 U.S. Government meet the demanding requirements of the US Federal Risk and Authorization Management Program (FedRAMP), enabling U.S. federal agencies to benefit from the cost savings and rigorous security of the Microsoft Cloud.

Microsoft government cloud services offer public sector customers a rich array of services compliant with FedRAMP, and robust guidance and implementation tools, including the FedRAMP High blueprint, which helps customers deploy a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.Microsoft government cloud services offer public sector customers a rich array of services compliant with FedRAMP, and robust guidance and implementation tools, including the FedRAMP High blueprint, which helps customers deploy a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.

Microsoft Azure P-ATOsMicrosoft Azure P-ATOs

Azure und Azure Government haben eine P-ATO auf hoher Auswirkungsebene vom Gemeinsamen Autorisierungsrat erhalten, der höchsten Leiste für die FedRAMP-Akkreditierung, die die Verwendung von Azure und Azure Government zum Verarbeiten hochsensibler Daten autorisiert.Azure and Azure Government have earned a P-ATO at the High Impact Level from the Joint Authorization Board, the highest bar for FedRAMP accreditation, which authorizes the use of Azure and Azure Government to process highly sensitive data.

Die FedRAMP-Überwachung von Azure und Azure Government umfasste das Informationssicherheitsverwaltungssystem, das Infrastruktur, Entwicklung, Betrieb, Verwaltung und Unterstützung von In-Scope-Diensten umfasst.The FedRAMP audit of Azure and Azure Government included the information security management system that encompasses infrastructure, development, operations, management, and support of in-scope services. Sobald ein P-ATO erteilt wurde, benötigt ein CSP weiterhin eine Autorisierung (ATO) von jeder Behörde, mit der er arbeitet.Once a P-ATO is granted, a CSP still requires an authorization (an ATO) from any government agency it works with. Für Azure kann eine Regierungsstelle die Azure P-ATO in ihrem eigenen Sicherheitsautorisierungsprozess verwenden und sich darauf verlassen, um eine Agentur-ATO ausstellen zu können, die auch die FedRAMP-Anforderungen erfüllt.For Azure, a government agency can use the Azure P-ATO in its own security authorization process and rely on it as the basis for issuing an agency ATO that also meets FedRAMP requirements.

Azure unterstützt weiterhin mehr Dienste auf FedRAMP High Impact-Ebenen als alle anderen Cloudanbieter.Azure continues to support more services at FedRAMP High Impact levels than any other cloud provider. Und während FedRAMP High in der öffentlichen Azure-Cloud die Anforderungen vieler US-Regierungskunden erfüllen wird, verlassen sich Behörden mit strengeren Anforderungen weiterhin auf Azure Government, das zusätzliche Garantien bietet, z. B. die erhöhte Überprüfung des Personals.And while FedRAMP High in the Azure public cloud will meet the needs of many US government customers, agencies with more stringent requirements will continue to rely on Azure Government, which provides additional safeguards such as the heightened screening of personnel. Microsoft listet alle öffentlichen Azure-Dienste auf, die derzeit in Azure Government für die FedRAMP High-Grenze verfügbar sind, sowie für das aktuelle Jahr geplante Dienste.Microsoft lists all Azure public services currently available in Azure Government to the FedRAMP High boundary, as well as services planned for the current year.

Microsoft Dynamics 365 U.S. Government ATOMicrosoft Dynamics 365 U.S. Government ATO

Dynamics 365 U.S. Government wurde vom US Department of Housing and Urban Development (HUD) eine FedRAMP Agency ATO auf der High Impact Level erteilt.Dynamics 365 U.S. Government was granted a FedRAMP Agency ATO at the High Impact Level by the US Department of Housing and Urban Development (HUD). Obwohl der Umfang der Zertifizierung auf die Government Community Cloud beschränkt ist, funktionieren Dynamics 365 U.S. Government Business and Enterprise Plans nach demselben Satz strenger FedRAMP-Steuerelemente.Although the scope of the certification is limited to the Government Community Cloud, Dynamics 365 U.S. Government business and enterprise plans operate following the same set of stringent FedRAMP controls.

Microsoft Office 365 und Office 365 U.S. Government ATOsMicrosoft Office 365 and Office 365 U.S. Government ATOs

  • Office 365 und Office 365 U.S. Government verfügen über eine ATO des US Department of Health and Human Services (DHHS).Office 365 and Office 365 U.S. Government have an ATO from the US Department of Health and Human Services (DHHS).
  • Office 365 U.S. Government Defense verfügt über ein P-ATO der US Defense Information Systems Agency (DISA).Office 365 U.S. Government Defense has a P-ATO from the US Defense Information Systems Agency (DISA). Jeder Kunde, der Office 365 U.S. Government Defense bereitstellen möchte, kann die DISA P-ATO verwenden, um eine Agentur-ATO zu generieren, um ihre Akzeptanz zu dokumentieren.Any customer wishing to deploy Office 365 U.S. Government Defense may use the DISA P‑ATO to generate an agency ATO to document their acceptance of it.
  • Office 365 (Unternehmens- und Geschäftspläne) und Office 365 U.S. Government verfügen über eine FedRAMP-Agentur-ATO auf der Moderate Impact Level vom DHHS Office des Generalinspektors.Office 365 (enterprise and business plans) and Office 365 U.S. Government have a FedRAMP Agency ATO at the Moderate Impact Level from the DHHS Office of the Inspector General. Office 365 U.S. Government war der erste cloudbasierte E-Mail- und Zusammenarbeitsdienst, der diese Autorisierung erhalten hat.Office 365 U.S. Government was the first cloud-based email and collaboration service to obtain this authorization.

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Hinweis

Die Verwendung von Azure Active Directory in Azure Government erfordert die Verwendung von Komponenten, die außerhalb von Azure Government in der öffentlichen Azure Cloud bereitgestellt werden.The use of Azure Active Directory within Azure Government requires the use of components that are deployed outside of Azure Government on the Azure public cloud.

Prüfungen, Berichte und ZertifikateAudits, reports, and certificates

Microsoft muss seine Clouddienste jedes Jahr rezertifizieren, um seine P-ATOs und ATOs zu behalten.Microsoft is required to recertify its cloud services each year to maintain its P-ATOs and ATOs. Dazu muss Microsoft seine Sicherheitskontrollen kontinuierlich überwachen und bewerten und nachweisen, dass die Sicherheit seiner Dienste weiterhin im Einklang steht.To do so, Microsoft must monitor and assess its security controls continuously, and demonstrate that the security of its services remains in compliance.

Um andere FedRAMP-Berichte zu erhalten, senden Sie eine E-Mail an die Azure Federal Documentation.To receive other FedRAMP reports, send email to Azure Federal Documentation.

Schnelles Bereitstellen Ihrer FedRAMP-Lösungen in Azure GovernmentQuickly deploy your FedRAMP solutions on Azure Government

Lassen Sie sich von Microsoft durch den ATO-Prozess führen und Ihre FedRAMP-Lösungen schnell mithilfe des FedRAMP High-Blueprints bereitstellen, der Kunden dabei hilft, einen Kernsatz von Richtlinien für alle azure bereitgestellten Architekturen zu implementieren, die FedRAMP High-Steuerelemente implementieren müssen.Let Microsoft guide you through the ATO process and quickly deploy your FedRAMP solutions using the FedRAMP High blueprint, which helps customers implement a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.

Verwenden des Azure FedRAMP High BlueprintStart using the Azure FedRAMP High Blueprint

Häufig gestellte FragenFrequently asked questions

Entsprechen Microsoft-Clouddienste dem Federal Information Security Management Act (FISMA)?Do Microsoft cloud services comply with the Federal Information Security Management Act (FISMA)?

FISMA ist das Bundesgesetz, das US-Bundesbehörden und ihre Partner verpflichtet, Informationssysteme und -dienste nur von Organisationen zu beschaffen, die die FISMA-Anforderungen erfüllen.FISMA is the federal law that requires US federal agencies and their partners to procure information systems and services only from organizations that adhere to FISMA requirements. Die meisten Behörden und ihre Anbieter, die angeben, dass sie FISMA-konform sind, beziehen sich darauf, wie sie die vom NIST in Special Publication 800-53 rev 4 identifizierten Steuerelemente erfüllen.Most agencies and their vendors that indicate that they are FISMA-compliant are referring to how they meet the controls identified by the NIST in Special Publication 800-53 rev 4. Der FISMA-Prozess (jedoch nicht die zugrunde liegenden Standards selbst) wurde 2011 durch FedRAMP ersetzt.The FISMA process (but not the underlying standards themselves) was replaced by FedRAMP in 2011.

Für wen gilt FedRAMP?To whom does FedRAMP apply?

"FedRAMP ist für Cloudbereitstellungen und Dienstmodelle der Bundesagentur bei niedrigen und moderaten Risikoauswirkungen obligatorisch."'FedRAMP is mandatory for federal agency cloud deployments and service models at the low and moderate risk impact levels.' Jede Bundesbehörde, die einen CSP engagieren möchte, muss möglicherweise die FedRAMP-Spezifikationen erfüllen.Any federal agency that wants to engage a CSP may be required to meet FedRAMP specifications. Darüber hinaus müssen Unternehmen, die Cloudtechnologien in Produkten oder Diensten verwenden, die von der Bundesregierung verwendet werden, möglicherweise eine ATO erhalten.In addition, companies that employ cloud technologies in products or services used by the federal government may be required to obtain an ATO.

Wo startet meine Agentur eigene Compliance-Anstrengungen?Where does my agency start its own compliance effort?

Eine Übersicht über die Schritte, die Bundesbehörden zum erfolgreichen Navigieren in FedRAMP und zur Erfüllung ihrer Anforderungen unternehmen müssen, finden Sie unter Get Authorized: Agency Authorization.For an overview of the steps federal agencies must take to successfully navigate FedRAMP and meet its requirements, go to Get Authorized: Agency Authorization.

Kann ich die Microsoft-Compliance im Autorisierungsprozess meiner Agentur verwenden?Can I use Microsoft compliance in my agency’s authorization process?

Ja.Yes. Sie können die Zertifizierungen von Microsoft-Clouddiensten als Grundlage für jedes Programm oder jede Initiative verwenden, die eine ATO von einer Bundesbehörde erfordert.You may use the certifications of Microsoft cloud services as the foundation for any program or initiative that requires an ATO from a federal government agency. Sie müssen jedoch eigene Autorisierungen für Komponenten außerhalb dieser Dienste erreichen.However, you need to achieve your own authorizations for components outside these services.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources