Defense Federal Acquisition Regulation Supplement (DFARS)Defense Federal Acquisition Regulation Supplement (DFARS)

DFARS-ÜbersichtDFARS overview

Am 21. Oktober 2016 hat das Verteidigungsministerium (Department of Defense, DoD) seine letzte Regel zur Änderung der Defense Federal Acquisition Regulation Supplement (DFARS) und zur Einführung von Schutz-und Cyber-Vorfall Berichterstattungspflichten für Verteidigungsunternehmen erteilt, deren Informationssysteme Prozess, Speicherung oder Übertragung von abgedeckten Verteidigungsinformationen (CDI) vorsehen.On October 21, 2016, the Department of Defense (DoD) issued its Final Rule amending the Defense Federal Acquisition Regulation Supplement (DFARS) and imposing safeguarding and cyber incident reporting obligations on defense contractors whose information systems process, store, or transmit covered defense information (CDI).

Die endgültige DFARS-Klausel 252.204-7012 (Schutz von abgedeckten Verteidigungsinformationen und Cyber-Vorfall Berichten) enthält Sicherheitsvorkehrungen, um Anforderungen an die Cyber-Vorfall Berichterstattung sowie zusätzliche Überlegungen für Cloud-Dienstanbieter einzubeziehen.The final DFARS clause 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) specifies safeguards to include cyber incident reporting requirements and additional considerations for cloud service providers. Pro DFARS 252.204-7012 müssen alle DoD-Auftragnehmer und die industrielle Basis für die Verteidigung DFARS Anforderungen für eine angemessene Sicherheit "so bald wie praktisch, aber nicht später als 31. Dezember 2017 entsprechen."Per DFARS 252.204-7012, all DoD contractors and the defense industrial base are required to comply with DFARS requirements for adequate security 'as soon as practical, but not later than December 31, 2017.'

Microsoft und DFARSMicrosoft and DFARS

Microsoft Government Cloud Services unterstützen die US-amerikanische Rüstungsindustrie und Verteidigungs Auftragnehmer-Kunden erfüllen die DFARS-Anforderungen, die in den DFARS-Klauseln von 252.204-7012 aufgeführt sind, die für Anbieter von Cloud-Diensten gelten.Microsoft Government Cloud services help the United States defense industrial base and defense contractor customers meet the DFARS requirements as enumerated in the DFARS clauses of 252.204-7012 that apply to cloud service providers. Wenn Verteidigungsunternehmen die DFARS-Klausel 252.204-7012 in Verträgen einhalten müssen, kann Microsoft die Anforderungen für Anbieter von Cloud-Diensten für Azure Government und Office 365 US Government Defense Services unterstützen.When defense contractors are required to comply with DFARS clause 252.204-7012 in contracts, Microsoft can support the requirements applicable to cloud service providers for Azure Government and Office 365 U.S. Government Defense services. Beide Dienste demonstrieren die Unterstützung für die Funktionen, die Kunden benötigen, um die DFARS 7012-Klauseln über Ihre L5-Akkreditierung zum Sicherheits Anforderungs Handbuch für Verteidigungsministerium einzuhalten.Both services demonstrate support for the capabilities necessary for customers to comply with the DFARS 7012 clauses through their L5 accreditation to the Department of Defense Security Requirements Guide.

Erfahren Sie, wie Sie Ihre DFARS-Bereitstellung mit unserem Azure Security and Compliance Blueprint beschleunigen: Download the Azure-Blueprint DFARS Customer Responsibilities MatrixLearn how to accelerate your DFARS deployment with our Azure Security and Compliance Blueprint: Download the Azure — Blueprint DFARS Customer Responsibilities Matrix

Microsoft Cloud Services im LeistungsumfangMicrosoft in-scope cloud services

Abgedeckte Dienste für DoD-Impact Level 5Covered services for DoD Impact Level 5

Audits, Berichte und ZertifikateAudits, reports, and certificates

Häufig gestellte FragenFrequently asked questions

Welche DFARS-Anforderungen werden von Microsoft Azure Regierung und Office 365 US-Regierungs Verteidigung unterstützt?Which DFARS requirements are supported by Microsoft Azure Government and Office 365 U.S. Government Defense?

Azure Government und Office 365 US Government Defense ermöglichen unseren Defense Industrial Base-und Verteidigungs Auftragnehmer-Kunden die Erfüllung der DFARS-Anforderungen, die in den DFARS-Klauseln von 252.204-7012 aufgeführt sind, die für Cloud-Dienstanbieter gelten.Azure Government and Office 365 U.S. Government Defense allow our defense industrial base and defense contractor customers to meet the DFARS requirements as enumerated in the DFARS clauses of 252.204-7012 that apply to cloud service providers.

Hat ein unabhängiger Gutachter bestätigt, dass Azure Government und Office 365 US Government Defense DFARS-Anforderungen unterstützt?Has an independent assessor validated that Azure Government and Office 365 U.S. Government Defense supports DFARS requirements?

Ja, eine Drittanbieter-Bewertungs Organisation hat bestätigt, dass das Angebot von Azure Government und Office 365 US Government Defense Cloud Service den geltenden Anforderungen der DFARS-Klausel 252.204-7012 (Schutz nicht klassifizierter gesteuerter technischer Informationen) entspricht.Yes, a third-party assessment organization has attested that the Azure Government and Office 365 U.S. Government Defense cloud service offering meets the applicable requirements of DFARS Clause 252.204-7012 (Safeguarding Unclassified Controlled Technical Information).

Was ist die Beziehung zwischen kontrollierten nicht klassifizierten Informationen (CUI) und abgedeckten Verteidigungsinformationen (CDI)?What is the relationship between Controlled Unclassified Information (CUI) and covered defense information (CDI)?

Cui ist eine Information, die die Sicherung oder Verbreitung von Kontrollen gemäß Gesetz, Regulierung oder regierungsweiter Richtlinie erfordert.CUI is information that requires safeguarding or disseminating controls according to law, regulation, or government-wide policy. Die Cui-Registrierung identifiziert genehmigte Cui-Kategorien und Unterkategorien.The CUI Registry identifies approved CUI categories and subcategories.

CDI ist eine kontrollierte technische Information oder andere Informationen (wie in der Cui-Registrierung beschrieben), die Schutz-oder Verbreitungs Kontrollen erfordern und entweder:CDI is controlled technical information or other information (as described in the CUI Registry) that requires safeguarding or dissemination controls and is either:

  • Im Vertrag, im Auftrag oder im Zustellungs Auftrag markierte oder anderweitig identifizierte und dem Auftragnehmer vom oder im Auftrag von DoD im Zusammenhang mit der Vertragserfüllung zur Verfügung gestellte oderMarked or otherwise identified in the contract, task order, or delivery order, and provided to the contractor by or on behalf of DoD in connection with the performance of the contract or
  • Gesammelt, entwickelt, empfangen, übermittelt, verwendet oder von oder im Namen des Auftragnehmers zur Unterstützung der Vertragserfüllung gespeichertCollected, developed, received, transmitted, used, or stored by or on behalf of the contractor in support of the performance of the contract

Erfüllen alle Microsoft-Dienste die Anforderungen für "angemessene Sicherheit" gemäß der DFARS-Verordnung für "abgedeckte Verteidigungsinformationen"?Do all Microsoft services meet the 'adequate security' requirements applicable to 'covered defense information' under the DFARS regulation?

Im Oktober 2016 verkündete das Verteidigungsministerium (Department of Defense, DoD) eine abschließende Regel zur Implementierung der Defense Federal Acquisition Regulation Supplement (DFARS)-Klauseln, die für alle DoD-Auftragnehmer gelten, die über ihre Informationssysteme "abgedeckte Verteidigungsinformationen" verarbeiten, speichern oder übertragen.In October 2016, the Department of Defense (DoD) promulgated a final rule implementing Defense Federal Acquisition Regulation Supplement (DFARS) clauses that apply to all DoD contractors who process, store, or transmit 'covered defense information' through their information systems. Die Regel besagt, dass diese Systeme die in NIST SP 800-171 festgelegten Sicherheitsanforderungen erfüllen müssen, um kontrollierte nicht klassifizierte Informationen in nicht föderalen Informationssystemen und Organisationen zu schützen, oder um eine Alternative, aber gleichzeitig effektive Sicherheitsmaßnahme, die vom DoD-Vertrags beauftragten genehmigt wird.The rule states that such systems must meet the security requirements set forth in NIST SP 800-171, Protecting Controlled Unclassified Information in nonfederal information systems and organizations, or an 'alternative, but equally effective, security measure' that is approved by the DoD contracting officer. Wenn ein DoD-Auftragnehmer einen externen Cloud-Dienstanbieter zum verarbeiten, speichern oder übertragen von abgedeckten Verteidigungsinformationen verwendet, muss dieser Anbieter Sicherheitsanforderungen entsprechen, die dem FedRAMP moderaten Basisplan entsprechen.And where a DoD contractor uses an external cloud service provider to process, store, or transmit covered defense information, such provider must meet security requirements that are equivalent to the FedRAMP Moderate baseline.

Die folgenden Microsoft Cloud-Dienste haben eine FedRAMP mäßige Autorisierung erhalten und sind für DFARS angemessen: Azure Government, Dynamics 365 u.s. Government, Office 365 US Government und Office 365 US Government Defense.The following Microsoft cloud services have received a FedRAMP moderate authorization and are adequate for DFARS: Azure Government, Dynamics 365 U.S. Government, Office 365 U.S. Government, and Office 365 U.S. Government Defense.

Darüber hinaus werden Microsoft-Angebote außerhalb der FedRAMP-zertifizierten Grenze, die potenziell von DoD-Auftragnehmern zum verarbeiten, speichern oder übertragen von "abgedeckten Verteidigungsinformationen" verwendet werden können, einer Überprüfung unterzogen, um den Termin für den Compliance-Abschluss am 31. Dezember 2017 zu erfüllen.Also, Microsoft offerings outside the FedRAMP-certified boundary that could potentially be used by DoD contractors to process, store, or transmit 'covered defense information' are undergoing a review to meet a December 31, 2017, compliance deadline. Microsoft arbeitet daran, zu dokumentieren, wie diese internen und kundenorientierten Dienste mit NIST SP 800-171 oder einem akzeptablen Sicherheits Äquivalent übereinstimmen, um die DFARS relevanten Klauseln zu erfüllen.Microsoft is working to document how these internal and customer-facing services comply with NIST SP 800-171 or an acceptable security equivalent, to meet the DFARS relevant clauses.

Bewerten des Risikos mithilfe von Microsoft Compliance-ManagerUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist ein Feature im Microsoft 365 Compliance Center , mit dem Sie die Compliance-Haltung ihrer Organisation besser verstehen und Maßnahmen zur Verringerung von Risiken unterstützen können.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine Premium-Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite " Bewertungs Vorlagen " im Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Hier erfahren Sie, wie Sie Assessments im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources