Supplemento per la normativa federale sull'acquisizione della difesa (DFARS)Defense Federal Acquisition Regulation Supplement (DFARS)

Panoramica di DFARSDFARS overview

Il 21 ottobre 2016, il Department of Defense (DoD) ha emesso la sua regola finale che modifica la difesa Federal Acquisition Regulation Supplement (DFARS) e imponendo la salvaguardia e gli obblighi per la segnalazione degli incidenti informatici sui contraenti della difesa i cui sistemi informativi elaborano, archiviano o trasmettono informazioni sulla difesa (CDI).On October 21, 2016, the Department of Defense (DoD) issued its Final Rule amending the Defense Federal Acquisition Regulation Supplement (DFARS) and imposing safeguarding and cyber incident reporting obligations on defense contractors whose information systems process, store, or transmit covered defense information (CDI).

La clausola DFARS finale 252.204-7012 (protezione delle informazioni riportate sulla difesa e segnalazione degli incidenti informatici) specifica le misure di sicurezza per includere i requisiti per la segnalazione degli incidenti cibernetici e altre considerazioni per i provider di serviziThe final DFARS clause 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) specifies safeguards to include cyber incident reporting requirements and additional considerations for cloud service providers. Per DFARS 252.204-7012, tutti i responsabili della difesa e la base industriale difensiva sono tenuti a rispettare i requisiti di DFARS per una sicurezza adeguata, non appena possibile, ma non oltre il 31 dicembre 2017.Per DFARS 252.204-7012, all DoD contractors and the defense industrial base are required to comply with DFARS requirements for adequate security 'as soon as practical, but not later than December 31, 2017.'

Microsoft e DFARSMicrosoft and DFARS

I servizi cloud di Microsoft Government aiutano la difesa degli Stati Uniti i clienti del contraente di base industriale e della difesa soddisfano i requisiti di DFARS enumerati nelle clausole DFARS di 252.204-7012 che si applicano ai provider di servizi cloud.Microsoft Government Cloud services help the United States defense industrial base and defense contractor customers meet the DFARS requirements as enumerated in the DFARS clauses of 252.204-7012 that apply to cloud service providers. Quando i contraenti della difesa sono tenuti a conformarsi alla clausola DFARS 252.204-7012 nei contratti, Microsoft è in grado di supportare i requisiti applicabili ai provider di servizi cloud per Azure Government e Office 365 US Government Defense Services.When defense contractors are required to comply with DFARS clause 252.204-7012 in contracts, Microsoft can support the requirements applicable to cloud service providers for Azure Government and Office 365 U.S. Government Defense services. Entrambi i servizi dimostrano il supporto per le funzionalità necessarie ai clienti per conformarsi alle clausole di DFARS 7012 tramite la loro certificazione L5 per il reparto di Defense Security Requirements guide.Both services demonstrate support for the capabilities necessary for customers to comply with the DFARS 7012 clauses through their L5 accreditation to the Department of Defense Security Requirements Guide.

Informazioni su come accelerare la distribuzione di DFARS con il modello di sicurezza e conformità di Azure: scaricare la matrice Azure-Blueprint DFARS Customer responsibilitiesLearn how to accelerate your DFARS deployment with our Azure Security and Compliance Blueprint: Download the Azure — Blueprint DFARS Customer Responsibilities Matrix

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Servizi coperti per il livello di impatto 5 di DoDCovered services for DoD Impact Level 5

Controlli, report e certificatiAudits, reports, and certificates

Domande frequentiFrequently asked questions

Quali requisiti di DFARS sono supportati da Microsoft Azure Government e dalla difesa del governo degli Stati Uniti di Office 365?Which DFARS requirements are supported by Microsoft Azure Government and Office 365 U.S. Government Defense?

Azure Government e Office 365 US Government Defense consentono ai clienti di Defense Industrial base e Defense contracter di soddisfare i requisiti di DFARS enumerati nelle clausole DFARS di 252.204-7012 che si applicano ai provider di servizi cloud.Azure Government and Office 365 U.S. Government Defense allow our defense industrial base and defense contractor customers to meet the DFARS requirements as enumerated in the DFARS clauses of 252.204-7012 that apply to cloud service providers.

Un valutatore indipendente ha convalidato che Azure Government e Office 365 US Government Defense supporta i requisiti di DFARS?Has an independent assessor validated that Azure Government and Office 365 U.S. Government Defense supports DFARS requirements?

Sì, un'organizzazione di valutazione di terze parti ha attestato che il governo di Azure e l'offerta del servizio cloud di Office 365 degli Stati Uniti è conforme ai requisiti applicabili della clausola DFARS 252.204-7012 (protezione delle informazioni tecniche controllate non classificate).Yes, a third-party assessment organization has attested that the Azure Government and Office 365 U.S. Government Defense cloud service offering meets the applicable requirements of DFARS Clause 252.204-7012 (Safeguarding Unclassified Controlled Technical Information).

Qual è la relazione tra le informazioni non classificate controllate (cui) e le informazioni relative alla difesa (CDI)?What is the relationship between Controlled Unclassified Information (CUI) and covered defense information (CDI)?

Cui sono le informazioni che richiedono la salvaguardia o la divulgazione dei controlli in base a criteri legali, normativi o a livello governativo.CUI is information that requires safeguarding or disseminating controls according to law, regulation, or government-wide policy. Il Registro di sistema cui vengono identificate le categorie e le sottocategorie approvate.The CUI Registry identifies approved CUI categories and subcategories.

CDI è controllata informazioni tecniche o altre informazioni (come descritto nel registro di sistema di cui) che richiede controlli di protezione o disseminazione ed è uno dei seguenti:CDI is controlled technical information or other information (as described in the CUI Registry) that requires safeguarding or dissemination controls and is either:

  • Contrassegnate o altrimenti identificate nel contratto, nell'ordine di attività o nell'ordine di recapito e fornite al contraente da o per conto del dipartimento della difesa in relazione alle prestazioni del contratto oMarked or otherwise identified in the contract, task order, or delivery order, and provided to the contractor by or on behalf of DoD in connection with the performance of the contract or
  • Raccolte, sviluppate, ricevute, trasmesse, utilizzate o conservate da o per conto del contraente a supporto delle prestazioni del contrattoCollected, developed, received, transmitted, used, or stored by or on behalf of the contractor in support of the performance of the contract

Tutti i servizi Microsoft soddisfano i requisiti di sicurezza adeguati applicabili alle informazioni sulla difesa trattate nell'ambito del regolamento DFARS?Do all Microsoft services meet the 'adequate security' requirements applicable to 'covered defense information' under the DFARS regulation?

Nell'ottobre 2016, il Department of Defense (DoD) ha promulgato una regola finale che implementa la Defense Federal Acquisition Regulation Supplement (DFARS) clausole che si applicano a tutti i responsabili della difesa che elaborano, archiviano o trasmettono ' informazioni di protezione coperte ' tramite i propri sistemi informativi.In October 2016, the Department of Defense (DoD) promulgated a final rule implementing Defense Federal Acquisition Regulation Supplement (DFARS) clauses that apply to all DoD contractors who process, store, or transmit 'covered defense information' through their information systems. La regola stabilisce che tali sistemi devono soddisfare i requisiti di sicurezza definiti in NIST SP 800-171, per proteggere le informazioni non classificate controllate in sistemi e organizzazioni non federali, oppure come misura di sicurezza alternativa, ma altrettanto efficace, approvata dal responsabile del contratto di difesa.The rule states that such systems must meet the security requirements set forth in NIST SP 800-171, Protecting Controlled Unclassified Information in nonfederal information systems and organizations, or an 'alternative, but equally effective, security measure' that is approved by the DoD contracting officer. E se un appaltatore di DoD utilizza un provider di servizi cloud esterno per elaborare, archiviare o trasmettere informazioni di difesa coperte, tale provider deve soddisfare i requisiti di sicurezza equivalenti alla linea di base moderata FedRAMP.And where a DoD contractor uses an external cloud service provider to process, store, or transmit covered defense information, such provider must meet security requirements that are equivalent to the FedRAMP Moderate baseline.

I seguenti servizi cloud di Microsoft hanno ricevuto un'autorizzazione di FedRAMP moderata e sono adeguati per DFARS: Azure Government, Dynamics 365 US Government, Office 365 US Government e Office 365 US Government Defense.The following Microsoft cloud services have received a FedRAMP moderate authorization and are adequate for DFARS: Azure Government, Dynamics 365 U.S. Government, Office 365 U.S. Government, and Office 365 U.S. Government Defense.

Inoltre, le offerte Microsoft al di fuori del limite certificato FedRAMP che potrebbe essere utilizzato dai contraenti della DoD per elaborare, archiviare o trasmettere ' informazioni sulla difesa trattate ' sono sottoposto a revisione per soddisfare una scadenza di conformità del 31 dicembre 2017.Also, Microsoft offerings outside the FedRAMP-certified boundary that could potentially be used by DoD contractors to process, store, or transmit 'covered defense information' are undergoing a review to meet a December 31, 2017, compliance deadline. Microsoft sta lavorando per documentare il modo in cui i servizi interni e quelli del cliente devono essere conformi al NIST SP 800-171 o a un equivalente di sicurezza accettabile per soddisfare le clausole rilevanti di DFARS.Microsoft is working to document how these internal and customer-facing services comply with NIST SP 800-171 or an acceptable security equivalent, to meet the DFARS relevant clauses.

Utilizzo di Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del centro conformità di Microsoft 365 che consente di comprendere la posizione di conformità dell'organizzazione e di intraprendere azioni per contribuire alla riduzione dei rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello Premium per la creazione di una valutazione per questo regolamento.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazione in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources