Autorizzazione provvisoria del dipartimento della difesa degli Stati Uniti (DoD) ai livelli di impatto 2, 4 e 5US Department of Defense (DoD) Provisional Authorization at Impact Levels 2, 4, and 5

Panoramica di DoD e DISADoD and DISA overview

La Defense Information Systems Agency (DISA) è un'agenzia di supporto per il combattimento del dipartimento della difesa degli Stati Uniti (DoD).The Defense Information Systems Agency (DISA) is a combat support agency of the US Department of Defense (DoD). Fornisce un'infrastruttura di informazioni aziendali, un supporto per le comunicazioni e un ambiente cloud aziendale sicuro e resiliente per il DoD, la casa bianca e qualsiasi altra organizzazione che svolga un ruolo nella difesa degli Stati Uniti.It provides an enterprise information infrastructure, communications support, and a secure, resilient enterprise cloud environment for the DoD, the White House, and any other organization that plays a role in the defense of the United States.

Per implementare il suo mandato, DISA ha sviluppato la guida alla sicurezza dei requisiti di protezione del cloud computing (SRG).To implement its mandate, DISA developed the DoD Cloud Computing Security Requirements Guide (SRG). La SRG definisce i requisiti di sicurezza di base per i provider di servizi cloud che ospitano informazioni, sistemi e applicazioni di DoD e per l'utilizzo da parte di DoD dei servizi cloud.The SRG defines the baseline security requirements for cloud service providers (CSPs) that host DoD information, systems, and applications, and for DoD's use of cloud services. Sostituisce il modello di sicurezza del cloud DoD e viene mappato al Framework di gestione dei rischi DoD e al NIST 800-37/53.It replaces the DoD Cloud Security Model, and maps to the DoD Risk Management Framework and NIST 800-37/53.

Il supporto del servizio cloud di DoD definisce i criteri, i controlli di sicurezza e altri requisiti nella SRG, che pubblica e gestisce.DoD Cloud Service Support defines the policies, security controls, and other requirements in the SRG, which it publishes and maintains. Guida le agenzie e i reparti del dipartimento della difesa per pianificare e autorizzare l'utilizzo di un provider di servizi cloud.It guides DoD agencies and departments in planning and authorizing the use of a cloud service provider. Il supporto del servizio cloud valuta inoltre le offerte del CSP per la conformità alla SRG, ovvero un processo di autorizzazione per il quale i DSN possono fornire attestazioni di conformità con gli standard di DoD.Cloud Service Support also evaluates CSP offerings for compliance with the SRG — an authorization process whereby CSPs can provide attestations of compliance with DoD standards. Se necessario, rilascia le autorizzazioni di provisioning (PAs) del DoD, quindi le agenzie di DoD e le organizzazioni di supporto possono utilizzare i servizi cloud senza dover passare attraverso un processo di approvazione completo, risparmiando tempo e fatica.It issues DoD Provisional Authorizations (PAs) when appropriate, so DoD agencies and supporting organizations can use cloud services without having to go through a full approval process on their own, saving time and effort.

Autorizzazione provvisoria Microsoft and US DoDMicrosoft and US DoD Provisional Authorization

I servizi cloud governativi di Microsoft soddisfano i requisiti esigenti del dipartimento della difesa degli Stati Uniti, dai livelli di impatto da 2 a 5, consentendo alle agenzie di difesa degli Stati Uniti di trarre vantaggio dai risparmi sui costi e dalla sicurezza rigorosa del cloud Microsoft.Microsoft's government cloud services meet the demanding requirements of the US Department of Defense, from impact levels 2 through 5, enabling U.S. defense agencies to benefit from the cost savings and rigorous security of the Microsoft Cloud. Distribuendo servizi protetti, tra cui Azure Government, Office 365 US Government e Dynamics 365 Government, le agenzie di difesa possono utilizzare una vasta gamma di servizi conformi.By deploying protected services including Azure Government, Office 365 U.S. Government, and Dynamics 365 Government, defense agencies can use a rich array of compliant services.

  • Informazioni su come accelerare la distribuzione di un programma di installazione di Microsoft DoD L2, L4 con il modello di Azure DODLearn how to accelerate your DoD DISA L2, L4 deployment with our Azure DoD Blueprint

Autorizzazione provvisoria del livello di impatto del DoD 5DoD Impact Level 5 Provisional Authorization

Il supporto del servizio di cloud DISA ha concesso un livello di impatto 5 PA per Microsoft Azure Government per la difesa.DISA Cloud Service Support has granted a DoD Impact Level 5 PA for Microsoft Azure Government for DoD. DISA ha anche concesso a Office 365 US Government Defense un livello di impatto 5 della difesa.DISA has also granted Office 365 U.S. Government Defense a DoD Impact Level 5 PA. Il livello di impatto 5 copre le informazioni non classificate controllate (cui) ritenute dalla legge, da altre normative governative o dall'agenzia che possiede le informazioni e ha bisogno di un livello di protezione superiore a quello previsto dal livello 4.Impact Level 5 covers Controlled Unclassified Information (CUI) deemed by law, other government regulations, or the agency that owns the information and needs a higher level of protection than Level 4 provides. Copre anche sistemi di sicurezza nazionali non classificati.It also covers unclassified National Security Systems.

Autorizzazione provvisoria del livello di impatto del DoD 4DoD Impact Level 4 Provisional Authorization

Il supporto del servizio di cloud DISA ha concesso un livello di impatto di DoD 4 PA per Microsoft Azure Government.DISA Cloud Service Support has granted a DoD Impact Level 4 PA for Microsoft Azure Government. Questo si basava su una revisione delle autorizzazioni di FedRAMP e sui controlli di sicurezza aggiuntivi richiesti dal cloud computing SRG.This was based on a review of their FedRAMP authorizations and additional security controls required by the Cloud Computing SRG. (FedRAMP è un programma statunitense che consente di proteggere il cloud computing per il governo).(FedRAMP is a US program that enables secure cloud computing for the government.)

Il livello di impatto 4 copre le informazioni non classificate controllate, ovvero i dati che richiedono la protezione dalla divulgazione non autorizzata in base all'ordine esecutivo 13556 (novembre 2010) e ad altri dati mission-critical.Impact Level 4 covers Controlled Unclassified Information — data requiring protection from unauthorized disclosure under Executive Order 13556 (November 2010) and other mission-critical data. Può includere i dati designati solo per uso ufficiale, per le autorità di protezione sensibili o per le informazioni di sicurezza riservate.It may include data designated as For Official Use Only, Law Enforcement Sensitive, or Sensitive Security Information. Questa autorizzazione consente ai clienti del governo federale degli Stati Uniti di distribuire questi tipi di dati altamente riservati su servizi cloud di Microsoft Government nell'ambito.This authorization enables US federal government customers to deploy these types of highly sensitive data on in-scope Microsoft government cloud services.

Servizi coperti per l'autorizzazione DoD Impact Level 2Covered services for DoD Impact Level 2 Authorization

In base alle autorizzazioni di FedRAMP, il supporto di servizi cloud DISA ha concesso un livello di impatto 2 PA di DoD a:Based on FedRAMP authorizations, DISA Cloud Service Support granted a DoD Impact Level 2 PA to:

  • L'infrastruttura di Azure e Azure Government As an Service (IaaS) e Platform as a Service (PaaS) sono stati concessi a questa autorizzazione in base all'autorità provvisoria di operare (P-ATO) dall'organo di autorizzazione comune di FedRAMP.Azure and Azure Government Infrastructure as a Service (IaaS) and Platform as a Service (PaaS) were granted this authorization based on the Provisional Authority to Operate (P-ATO) from the FedRAMP Joint Authorization Board.
  • Dynamics 365 US Government software as a Service (SaaS) è stata concessa questa autorizzazione in base all'Agenzia FedRAMP Authority to Operating (ATO) del Department of Housing and Urban Development (HUD).Dynamics 365 U.S. Government Software as a Service (SaaS) was granted this authorization based on the Agency FedRAMP Authority to Operate (ATO) from the Department of Housing and Urban Development (HUD).
  • Office 365 US Government è stata concessa questa autorizzazione in base all'Agenzia FedRAMP ATO del Department of Health and Human Services (DHHS).Office 365 U.S. Government was granted this authorization based on the Agency FedRAMP ATO from the Department of Health and Human Services (DHHS).

Impact Level 2 include informazioni non classificate non controllate, ovvero dati autorizzati per il rilascio pubblico.Impact Level 2 covers Non-Controlled Unclassified Information — data that is authorized for public release. Include anche altre informazioni non classificate che, pur non essendo considerate "mission critical", richiedono comunque un livello minimo di controllo di accesso.It also covers other unclassified information that, while not considered 'mission critical,' still requires a minimal level of access control. Questa autorizzazione consente ai clienti del governo federale statunitense di distribuire informazioni non sensibili e applicazioni e siti Web di difesa di base sui servizi cloud Microsoft in ambito.This authorization enables US federal government customers to deploy non-sensitive information and basic defense applications and websites on in-scope Microsoft cloud services.

Servizi cloud Microsoft inclusi nell'ambitoMicrosoft in-scope cloud services

Servizi coperti per il livello di impatto 5 di DoDCovered services for DoD Impact Level 5

Servizi coperti per il livello di impatto di DoD 4Covered services for DoD Impact Level 4

Servizi coperti per il livello di impatto 2 di DoDCovered services for DoD Impact Level 2

Controlli, report e certificatiAudits, reports, and certificates

Una volta concesso un DoD PA, i servizi cloud Microsoft vengono monitorati e valutati annualmente: autorizzazioni di Microsoft FedRAMPOnce granted a DoD PA, Microsoft cloud services are monitored and assessed annually: Microsoft FedRAMP authorizations

Monitorare rapidamente la distribuzione delle soluzioni DoD su AzureFast track your deployment of DoD solutions on Azure

Ottenere un vantaggio su come approfittare dei vantaggi del cloud in Government con il reparto di sicurezza e conformità di Azure della Defense Blueprint.Get a head start on taking advantage of the benefits of the cloud in government with the Azure Security and Compliance Department of Defense Blueprint. In questo modello sono disponibili strumenti e linee guida per iniziare a creare soluzioni conformi alla difesa oggi.This blueprint provides tools and guidance to get you started building DoD-compliant solutions today. Iniziare a usare il modello di Azure DOD.Start using the Azure DoD Blueprint.

Domande frequentiFrequently asked questions

Posso usare la conformità di Microsoft nel processo di certificazione della mia organizzazione?Can I use Microsoft's compliance in my organization's certification process?

Sì.Yes. Tutte le agenzie DoD possono fare affidamento sulle certificazioni dei servizi cloud Microsoft come fondamento per qualsiasi programma o iniziativa che richiede un'autorizzazione DoD.All DoD agencies may rely on the certifications of Microsoft cloud services as the foundation for any program or initiative that requires a DoD authorization. Questo vale anche per altre organizzazioni che supportano DoD e richiedono servizi cloud. Tuttavia, è necessario ottenere le autorizzazioni per i componenti esterni a questi servizi.(This also applies to other organizations that support DoD and require cloud services.) However, you need to achieve your own authorizations for components outside these services.

La certificazione DoD di Microsoft soddisfa i requisiti del NIST 800 – 171?Does Microsoft's DoD certification meet NIST 800–171 requirements?

Nell'ottobre 2016, il Department of Defense (DoD) ha promulgato una regola finale che implementa la Defense Federal Acquisition Regulation Supplement (DFARS) clausole che si applicano a tutti i responsabili della difesa che elaborano, archiviano o trasmettono ' informazioni di protezione coperte ' tramite i propri sistemi informativi.In October 2016, the Department of Defense (DoD) promulgated a final rule implementing Defense Federal Acquisition Regulation Supplement (DFARS) clauses that apply to all DoD contractors who process, store, or transmit 'covered defense information' through their information systems. La regola stabilisce che tali sistemi devono soddisfare i requisiti di sicurezza definiti in NIST SP 800 – 171, per proteggere le informazioni non classificate controllate nei sistemi informativi e nelle organizzazioni non federalioppure in una misura di sicurezza alternativa, ma altrettanto efficace, approvata dal responsabile del contratto di DOD.The rule states that such systems must meet the security requirements set forth in NIST SP 800–171, Protecting Controlled Unclassified Information in nonfederal information systems and organizations, or an 'alternative, but equally effective, security measure' that is approved by the DoD contracting officer. E se un appaltatore di DoD utilizza un provider di servizi cloud esterno per elaborare, archiviare o trasmettere informazioni di difesa coperte, tale provider deve soddisfare i requisiti di sicurezza equivalenti alla linea di base moderata FedRAMP.And where a DoD contractor uses an external cloud service provider to process, store, or transmit covered defense information, such provider must meet security requirements that are equivalent to the FedRAMP Moderate baseline.

I seguenti servizi cloud di Microsoft hanno ricevuto un'autorizzazione di FedRAMP moderata: Azure, Azure Government, Dynamics 365 US Government, Office 365 MT, Office 365 US Government e Office 365 US Government Defense.The following Microsoft cloud services have received a FedRAMP moderate authorization: Azure, Azure Government, Dynamics 365 U.S. Government, Office 365 MT, Office 365 U.S. Government, and Office 365 U.S. Government Defense.

Inoltre, le offerte Microsoft al di fuori del limite certificato FedRAMP che potrebbe essere utilizzato dai contraenti della DoD per elaborare, archiviare o trasmettere ' informazioni sulla difesa trattate ' sono sottoposto a revisione per soddisfare una scadenza di conformità del 31 dicembre 2017.Also, Microsoft offerings outside the FedRAMP-certified boundary that could potentially be used by DoD contractors to process, store, or transmit 'covered defense information' are undergoing a review to meet a December 31, 2017, compliance deadline. Microsoft sta lavorando per documentare il modo in cui i servizi interni e di servizio clienti sono conformi al NIST SP 800 – 171 o a un equivalente di sicurezza accettabile per soddisfare le clausole rilevanti di DFARS.Microsoft is working to document how these internal and customer-facing services comply with NIST SP 800–171 or an acceptable security equivalent, to meet the DFARS relevant clauses.

RisorseResources