FedRAMP (Federal Risk and Authorization Management Program)Federal Risk and Authorization Management Program (FedRAMP)

Panoramica di FedRAMPFedRAMP overview

Il programma per la gestione delle autorizzazioni e dei rischi degli Stati Uniti (FedRAMP) è stato stabilito per fornire un approccio standardizzato per valutare, monitorare e autorizzare i prodotti e servizi cloud computing nell'ambito del Federal Information Security Management Act (FISMA) e per accelerare l'adozione di soluzioni cloud sicure da parte di agenzie federali.The US Federal Risk and Authorization Management Program (FedRAMP) was established to provide a standardized approach for assessing, monitoring, and authorizing cloud computing products and services under the Federal Information Security Management Act (FISMA), and to accelerate the adoption of secure cloud solutions by federal agencies.

L'Office of Management and budget Now richiede a tutte le agenzie federali esecutive di utilizzare FedRAMP per convalidare la sicurezza dei servizi cloud.The Office of Management and Budget now requires all executive federal agencies to use FedRAMP to validate the security of cloud services. (Anche altre agenzie l'hanno adottata, quindi è utile in altre aree del settore pubblico). Il National Institute of Standards and Technology (NIST) SP 800-53 stabilisce gli standard obbligatori, stabilisce le categorie di sicurezza dei sistemi informativi, la riservatezza, l'integrità e la disponibilità, per valutare l'impatto potenziale su un'organizzazione nel caso in cui le informazioni e i sistemi informativi vengano compromessi.(Other agencies have also adopted it, so it is useful in other areas of the public sector as well.) The National Institute of Standards and Technology (NIST) SP 800-53 sets the mandatory standards, establish security categories of information systems—confidentiality, integrity, and availability—to assess the potential impact on an organization should its information and information systems be compromised. FedRAMP è il programma che certifica che un provider di servizi cloud risponde a tali standard.FedRAMP is the program that certifies that a cloud service provider (CSP) meets those standards.

I DSN che desiderano vendere i servizi a un ente federale possono intraprendere tre percorsi per dimostrare la conformità di FedRAMP:CSPs desiring to sell services to a federal agency can take three paths to demonstrate FedRAMP compliance:

  • Guadagnare un'autorità provvisoria per operare (P-ATO) dall'organo di autorizzazione comune (JAB).Earn a Provisional Authority to Operate (P-ATO) from the Joint Authorization Board (JAB). Il JAB è il corpo di governance principale e decisionale per FedRAMP.The JAB is the primary governance and decision-making body for FedRAMP. I rappresentanti del dipartimento della difesa, del Department of Homeland Security e dell'amministrazione generale dei servizi vengono serviti sul forum.Representatives from the Department of Defense, the Department of Homeland Security, and the General Services Administration serve on the board. La scheda concede un P-ATO ai DSN che hanno dimostrato la conformità di FedRAMP.The board grants a P-ATO to CSPs that have demonstrated FedRAMP compliance.
  • Ricevere un'autorità per il funzionamento (ATO) da un ente federale.Receive an Authority to Operate (ATO) from a federal agency.
  • In alternativa, lavorare in modo indipendente per sviluppare un pacchetto CSP fornito che soddisfi i requisiti del programma.Or, work independently to develop a CSP Supplied Package that meets program requirements.

Ognuno di questi percorsi richiede una revisione tecnica rigorosa da parte dell'ufficio di gestione del programma di FedRAMP (PMO) e una valutazione da parte di un'organizzazione indipendente di terze parti accreditata dal programma.Each of these paths requires a stringent technical review by the FedRAMP Program Management Office (PMO) and an assessment by an independent third-party organization that is accredited by the program.

Le autorizzazioni di FedRAMP sono concesse a tre livelli di impatto in base alle linee guida del NIST: basso, medio e alto.FedRAMP authorizations are granted at three impact levels based on NIST guidelines—low, medium, and high. Tali livelli influiscono sull'impatto che la perdita di riservatezza, integrità o disponibilità potrebbe avere su un'organizzazione, ovvero bassa (effetto limitato), media (effetto avverso grave) e alto (effetto grave o catastrofico).These levels rank the impact that the loss of confidentiality, integrity, or availability could have on an organization—low (limited effect), medium (serious adverse effect), and high (severe or catastrophic effect).

Microsoft e FedRAMPMicrosoft and FedRAMP

I servizi cloud governativi di Microsoft, tra cui il governo di Azure, il governo Dynamics 365 e il governo di Office 365 US soddisfano i requisiti esigenti del programma per la gestione delle autorizzazioni e dei rischi federali degli Stati Uniti (FedRAMP), che consente alle agenzie federali degli Stati Uniti di trarre vantaggio dai risparmi e dalla sicurezza rigorosa del cloud Microsoft.Microsoft’s government cloud services, including Azure Government, Dynamics 365 Government, and Office 365 U.S. Government meet the demanding requirements of the US Federal Risk and Authorization Management Program (FedRAMP), enabling U.S. federal agencies to benefit from the cost savings and rigorous security of the Microsoft Cloud.

I servizi cloud di Microsoft Government offrono ai clienti del settore pubblico una vasta gamma di servizi conformi a FedRAMP e strumenti di guida e implementazione robusti, tra cui la cianografia FedRAMP High, che consente ai clienti di distribuire un insieme di criteri di base per qualsiasi architettura distribuita in Azure che deve implementare FedRAMP alti controlli.Microsoft government cloud services offer public sector customers a rich array of services compliant with FedRAMP, and robust guidance and implementation tools, including the FedRAMP High blueprint, which helps customers deploy a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.

Microsoft Azure P-ATOsMicrosoft Azure P-ATOs

Azure e Azure Government hanno guadagnato una P-ATO a livello di impatto elevato dall'organo di autorizzazione comune, la barra più alta per l'accreditamento di FedRAMP, che autorizza l'utilizzo di Azure e Azure Government per elaborare dati estremamente riservati.Azure and Azure Government have earned a P-ATO at the High Impact Level from the Joint Authorization Board, the highest bar for FedRAMP accreditation, which authorizes the use of Azure and Azure Government to process highly sensitive data.

Il controllo di FedRAMP di Azure e Azure Government includeva il sistema di gestione della sicurezza delle informazioni che include l'infrastruttura, lo sviluppo, le operazioni, la gestione e il supporto dei servizi nell'ambito.The FedRAMP audit of Azure and Azure Government included the information security management system that encompasses infrastructure, development, operations, management, and support of in-scope services. Una volta che un P-ATO è stato concesso, un CSP richiede ancora un'autorizzazione (ATO) da qualsiasi ente governativo con cui funziona.Once a P-ATO is granted, a CSP still requires an authorization (an ATO) from any government agency it works with. Per Azure, un ente governativo può utilizzare la P-ATO di Azure nel proprio processo di autorizzazione di sicurezza e fare affidamento su di essa come base per l'emissione di un ATO Agency che soddisfi anche i requisiti di FedRAMP.For Azure, a government agency can use the Azure P-ATO in its own security authorization process and rely on it as the basis for issuing an agency ATO that also meets FedRAMP requirements.

Azure continua a supportare più servizi a FedRAMP con livelli di impatto elevato rispetto a qualsiasi altro provider cloud.Azure continues to support more services at FedRAMP High Impact levels than any other cloud provider. Mentre FedRAMP High nel cloud pubblico di Azure soddisferà le esigenze di molti clienti del governo degli Stati Uniti, le agenzie con requisiti più severi continueranno a contare su Azure Government, che fornisce ulteriori misure di salvaguardia come la proiezione accresciuta del personale.And while FedRAMP High in the Azure public cloud will meet the needs of many US government customers, agencies with more stringent requirements will continue to rely on Azure Government, which provides additional safeguards such as the heightened screening of personnel. Microsoft elenca tutti i servizi pubblici di Azure attualmente disponibili in Azure Government per il FedRAMP High Boundary, nonché i servizi pianificati per l'anno corrente.Microsoft lists all Azure public services currently available in Azure Government to the FedRAMP High boundary, as well as services planned for the current year.

Microsoft Dynamics 365 US Government ATOMicrosoft Dynamics 365 U.S. Government ATO

Il governo degli Stati Uniti Dynamics 365 è stato concesso a FedRAMP Agency ATO ad alto impatto dal Department of Housing and Urban Development (HUD) degli Stati Uniti.Dynamics 365 U.S. Government was granted a FedRAMP Agency ATO at the High Impact Level by the US Department of Housing and Urban Development (HUD). Anche se lo scopo della certificazione è limitato al Government community Cloud, Dynamics 365 US Government business and Enterprise plans opera seguendo lo stesso set di severi controlli di FedRAMP.Although the scope of the certification is limited to the Government Community Cloud, Dynamics 365 U.S. Government business and enterprise plans operate following the same set of stringent FedRAMP controls.

Microsoft Office 365 e Office 365 US Government ATOsMicrosoft Office 365 and Office 365 U.S. Government ATOs

  • Il governo degli Stati Uniti di Office 365 e Office 365 ha un ATO proveniente dal Dipartimento per la salute e i servizi umani degli Stati Uniti (DHHS).Office 365 and Office 365 U.S. Government have an ATO from the US Department of Health and Human Services (DHHS).
  • La difesa del governo degli Stati Uniti di Office 365 ha un P-ATO dalla US Defense Information Systems Agency (DISA).Office 365 U.S. Government Defense has a P-ATO from the US Defense Information Systems Agency (DISA). Tutti i clienti che desiderano distribuire Office 365 US Government Defense possono utilizzare la DISA P-ATO per generare un'agenzia ATO per documentarne l'accettazione.Any customer wishing to deploy Office 365 U.S. Government Defense may use the DISA P‑ATO to generate an agency ATO to document their acceptance of it.
  • Office 365 (Enterprise and business plans) e Office 365 US Government dispongono di un'agenzia di FedRAMP ATO a livello di impatto moderato dall'ufficio DHHS dell'ispettore generale.Office 365 (enterprise and business plans) and Office 365 U.S. Government have a FedRAMP Agency ATO at the Moderate Impact Level from the DHHS Office of the Inspector General. Office 365 US Government è stato il primo servizio di collaborazione e di posta elettronica basato sul cloud per ottenere questa autorizzazione.Office 365 U.S. Government was the first cloud-based email and collaboration service to obtain this authorization.

Servizi cloud Microsoft in ambitoMicrosoft in-scope cloud services

Nota

L'utilizzo di Azure Active Directory all'interno di Azure Government richiede l'utilizzo di componenti distribuiti all'esterno di Azure Government sul cloud pubblico di Azure.The use of Azure Active Directory within Azure Government requires the use of components that are deployed outside of Azure Government on the Azure public cloud.

Controlli, report e certificatiAudits, reports, and certificates

Microsoft è tenuta a ricertificare i suoi servizi cloud ogni anno per mantenere le proprie autorizzazioni P-ATO e ATO.Microsoft is required to recertify its cloud services each year to maintain its P-ATOs and ATOs. A tale scopo, Microsoft deve monitorare e valutare continuamente i propri controlli di sicurezza e dimostrare che la sicurezza dei suoi servizi resta conforme.To do so, Microsoft must monitor and assess its security controls continuously, and demonstrate that the security of its services remains in compliance.

Per ricevere altri report di FedRAMP, inviare messaggi di posta elettronica alla documentazione di Azure Federal.To receive other FedRAMP reports, send email to Azure Federal Documentation.

Distribuire rapidamente le soluzioni di FedRAMP su Azure GovernmentQuickly deploy your FedRAMP solutions on Azure Government

Microsoft vi guiderà attraverso il processo ATO e distribuirà rapidamente le soluzioni di FedRAMP utilizzando la cianografia FedRAMP High, che aiuta i clienti a implementare un insieme di criteri di base per qualsiasi architettura distribuita in Azure che deve implementare FedRAMP alti controlli.Let Microsoft guide you through the ATO process and quickly deploy your FedRAMP solutions using the FedRAMP High blueprint, which helps customers implement a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.

Iniziare a usare la cianografia di Azure FedRAMP HighStart using the Azure FedRAMP High Blueprint

Domande frequentiFrequently asked questions

I servizi cloud Microsoft sono conformi alla Federal Information Security Management Act (FISMA)?Do Microsoft cloud services comply with the Federal Information Security Management Act (FISMA)?

FISMA è la legge federale che richiede alle agenzie federali degli Stati Uniti e ai loro partner di procurarsi sistemi informativi e servizi solo dalle organizzazioni che aderiscono ai requisiti di FISMA.FISMA is the federal law that requires US federal agencies and their partners to procure information systems and services only from organizations that adhere to FISMA requirements. La maggior parte delle agenzie e dei loro fornitori che indicano che sono conformi a FISMA si riferiscono al modo in cui soddisfano i controlli identificati dal NIST nella pubblicazione speciale 800-53 Rev 4.Most agencies and their vendors that indicate that they are FISMA-compliant are referring to how they meet the controls identified by the NIST in Special Publication 800-53 rev 4. Il processo di FISMA (ma non gli stessi standard sottostanti) è stato sostituito da FedRAMP in 2011.The FISMA process (but not the underlying standards themselves) was replaced by FedRAMP in 2011.

A chi si applica FedRAMP?To whom does FedRAMP apply?

' FedRAMP è obbligatorio per le distribuzioni di cloud dell'Agenzia federale e i modelli di servizio a basso e moderato livello di impatto del rischio.'FedRAMP is mandatory for federal agency cloud deployments and service models at the low and moderate risk impact levels.' Qualsiasi agenzia federale che vuole coinvolgere un CSP può essere tenuta a rispettare le specifiche di FedRAMP.Any federal agency that wants to engage a CSP may be required to meet FedRAMP specifications. Inoltre, le aziende che impiegano tecnologie cloud in prodotti o servizi utilizzati dal governo federale possono essere tenute a ottenere un ATO.In addition, companies that employ cloud technologies in products or services used by the federal government may be required to obtain an ATO.

Dove viene avviata la propria attività di conformità da parte dell'Agenzia?Where does my agency start its own compliance effort?

Per una panoramica dei passaggi che devono essere intraprese dalle agenzie federali per accedere correttamente a FedRAMP e soddisfare i suoi requisiti, andare a ottenere autorizzato: autorizzazione dell'Agenzia.For an overview of the steps federal agencies must take to successfully navigate FedRAMP and meet its requirements, go to Get Authorized: Agency Authorization.

È possibile utilizzare la conformità di Microsoft nel processo di autorizzazione dell'organizzazione?Can I use Microsoft compliance in my agency’s authorization process?

Sì.Yes. È possibile utilizzare le certificazioni dei servizi cloud Microsoft come fondamento per qualsiasi programma o iniziativa che richiede un ATO da un ente governativo federale.You may use the certifications of Microsoft cloud services as the foundation for any program or initiative that requires an ATO from a federal government agency. Tuttavia, è necessario ottenere le autorizzazioni per i componenti esterni a questi servizi.However, you need to achieve your own authorizations for components outside these services.

Utilizzo di Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità del centro conformità di Microsoft 365 che consente di comprendere la posizione di conformità dell'organizzazione e di intraprendere azioni per contribuire alla riduzione dei rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello Premium per la creazione di una valutazione per questo regolamento.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazione in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources