FedRAMP (Programa Federal de Gerenciamento de Autorização e Risco)Federal Risk and Authorization Management Program (FedRAMP)

Visão geral do FedRAMPFedRAMP overview

O programa de gerenciamento de riscos e autorização (FedRAMP) norte-americano foi estabelecido para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem sob o Federal Information Security Management Act (FISMA) e para acelerar a adoção de soluções de nuvem seguras por agências federais.The US Federal Risk and Authorization Management Program (FedRAMP) was established to provide a standardized approach for assessing, monitoring, and authorizing cloud computing products and services under the Federal Information Security Management Act (FISMA), and to accelerate the adoption of secure cloud solutions by federal agencies.

O Office de gerenciamento e orçamento agora requer que todas as agências do governo federal usem o FedRAMP para validar a segurança dos serviços de nuvem.The Office of Management and Budget now requires all executive federal agencies to use FedRAMP to validate the security of cloud services. (Outras agências também o adotaram, portanto, é útil em outras áreas do setor público também.) A SP 800-53 do Instituto Nacional de normas e tecnologia (NIST) define os padrões obrigatórios, estabelecem categorias de segurança de sistemas de informações — confidencialidade, integridade e disponibilidade — para avaliar o impacto potencial em uma organização, as informações e os sistemas de informação serão comprometidos.(Other agencies have also adopted it, so it is useful in other areas of the public sector as well.) The National Institute of Standards and Technology (NIST) SP 800-53 sets the mandatory standards, establish security categories of information systems—confidentiality, integrity, and availability—to assess the potential impact on an organization should its information and information systems be compromised. FedRAMP é o programa que certifica que um provedor de serviços de nuvem (CSP) atende a esses padrões.FedRAMP is the program that certifies that a cloud service provider (CSP) meets those standards.

Os CSPs que desejam vender serviços para uma agência federal podem ter três caminhos para demonstrar a conformidade do FedRAMP:CSPs desiring to sell services to a federal agency can take three paths to demonstrate FedRAMP compliance:

  • Ganhe uma autoridade provisionada para operar (P-ATO) da placa de autorização conjunta (JAB).Earn a Provisional Authority to Operate (P-ATO) from the Joint Authorization Board (JAB). O JAB é a governança principal e o corpo da tomada de decisões para o FedRAMP.The JAB is the primary governance and decision-making body for FedRAMP. Representantes do departamento de defesa, o departamento de segurança do Homeland e a administração de serviços gerais funcionam no quadro.Representatives from the Department of Defense, the Department of Homeland Security, and the General Services Administration serve on the board. A placa concede um P-ATO aos CSPs que demonstraram a conformidade do FedRAMP.The board grants a P-ATO to CSPs that have demonstrated FedRAMP compliance.
  • Receber uma autoridade para operar (ATO) de uma agência federal.Receive an Authority to Operate (ATO) from a federal agency.
  • Ou trabalhe de forma independente para desenvolver um pacote fornecido pelo CSP que atenda aos requisitos do programa.Or, work independently to develop a CSP Supplied Package that meets program requirements.

Cada um desses caminhos requer uma revisão técnica rigorosa pelo Office FedRAMP (gerenciamento de programas) e uma avaliação por uma organização de terceiros independente que é reconhecida pelo programa.Each of these paths requires a stringent technical review by the FedRAMP Program Management Office (PMO) and an assessment by an independent third-party organization that is accredited by the program.

As autorizações do FedRAMP são concedidas a três níveis de impacto com base nas diretrizes do NIST: baixo, médio e alto.FedRAMP authorizations are granted at three impact levels based on NIST guidelines—low, medium, and high. Esses níveis classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade pode ter em uma organização — baixo (efeito limitado), médio (efeito adverso sério) e alto (efeito grave ou catastrófico).These levels rank the impact that the loss of confidentiality, integrity, or availability could have on an organization—low (limited effect), medium (serious adverse effect), and high (severe or catastrophic effect).

Microsoft e FedRAMPMicrosoft and FedRAMP

Os serviços de nuvem do governo da Microsoft, incluindo o governo do Azure, o Dynamics 365 governamentais e o Office 365 U.S. governamentais atendem aos requisitos exigentes do programa de gerenciamento de riscos e autorização (FedRAMP) dos EUA, permitindo que as agências federais dos EUA beneficiem-se da economia de custos e da segurança rigorosa da nuvem da Microsoft.Microsoft’s government cloud services, including Azure Government, Dynamics 365 Government, and Office 365 U.S. Government meet the demanding requirements of the US Federal Risk and Authorization Management Program (FedRAMP), enabling U.S. federal agencies to benefit from the cost savings and rigorous security of the Microsoft Cloud.

Os serviços de nuvem do Microsoft governo oferecem aos clientes do setor público uma ampla variedade de serviços em conformidade com o FedRAMP, além de ferramentas robustas de orientação e implementação, incluindo o plano gráfico do FedRAMP High, que ajuda os clientes a implantar um conjunto principal de políticas para qualquer arquitetura implantada do Azure que deve implementar os controles altos do FedRAMP.Microsoft government cloud services offer public sector customers a rich array of services compliant with FedRAMP, and robust guidance and implementation tools, including the FedRAMP High blueprint, which helps customers deploy a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.

Microsoft Azure P-ATOsMicrosoft Azure P-ATOs

O Azure e o Azure governamentais receberam um P-ATO no nível de impacto alto da placa de autorização conjunta, a maior barra para a capacitação do FedRAMP, que autoriza o uso do Azure e do Azure governamentais a processar dados altamente confidenciais.Azure and Azure Government have earned a P-ATO at the High Impact Level from the Joint Authorization Board, the highest bar for FedRAMP accreditation, which authorizes the use of Azure and Azure Government to process highly sensitive data.

A auditoria FedRAMP do Azure e do Azure governamental incluía o sistema de gerenciamento de segurança de informações que abrange infraestrutura, desenvolvimento, operações, gerenciamento e suporte de serviços no escopo.The FedRAMP audit of Azure and Azure Government included the information security management system that encompasses infrastructure, development, operations, management, and support of in-scope services. Depois que um P-ATO é concedido, um CSP ainda exige uma autorização (um ATO) de qualquer agência governamental com a qual trabalha.Once a P-ATO is granted, a CSP still requires an authorization (an ATO) from any government agency it works with. Para o Azure, uma agência governamental pode usar o P-ATO do Azure em seu próprio processo de autorização de segurança e confiar nele como base para a emissão de um ATO de agência que também atenda aos requisitos do FedRAMP.For Azure, a government agency can use the Azure P-ATO in its own security authorization process and rely on it as the basis for issuing an agency ATO that also meets FedRAMP requirements.

O Azure continua a oferecer suporte a mais serviços nos níveis de alto impacto do FedRAMP do que qualquer outro provedor de nuvem.Azure continues to support more services at FedRAMP High Impact levels than any other cloud provider. E, embora o FedRAMP High na nuvem pública do Azure atenda às necessidades de muitos clientes do governo dos EUA, as agências com requisitos mais rigorosos continuarão a confiar no governo do Azure, que oferece proteções adicionais, como a triagem mais avançada da equipe.And while FedRAMP High in the Azure public cloud will meet the needs of many US government customers, agencies with more stringent requirements will continue to rely on Azure Government, which provides additional safeguards such as the heightened screening of personnel. A Microsoft lista todos os serviços públicos do Azure atualmente disponíveis no governo do Azure para o limite alto do FedRAMP, bem como os serviços planejados para o ano atual.Microsoft lists all Azure public services currently available in Azure Government to the FedRAMP High boundary, as well as services planned for the current year.

ATO do governo dos EUA do Microsoft Dynamics 365Microsoft Dynamics 365 U.S. Government ATO

Dynamics 365 o governo dos EUA recebeu um ATO de agência de FedRAMP no nível de impacto alto pelo departamento de administração dos EUA e desenvolvimento de urbana (HUD).Dynamics 365 U.S. Government was granted a FedRAMP Agency ATO at the High Impact Level by the US Department of Housing and Urban Development (HUD). Embora o escopo da certificação esteja limitado à nuvem da Comunidade governamental, os planos corporativos e corporativos do governo dos EUA do Dynamics 365 operam seguindo o mesmo conjunto de controles rígidos FedRAMP.Although the scope of the certification is limited to the Government Community Cloud, Dynamics 365 U.S. Government business and enterprise plans operate following the same set of stringent FedRAMP controls.

Microsoft Office 365 e Office 365 governo dos EUA ATOsMicrosoft Office 365 and Office 365 U.S. Government ATOs

  • O Office 365 e o Office 365 governo dos EUA têm um ATO do departamento de serviços humanos e do departamento dos EUA (DHHS).Office 365 and Office 365 U.S. Government have an ATO from the US Department of Health and Human Services (DHHS).
  • O Office 365 defesa do governo dos EUA tem um P-ATO da DISA (Agência de sistemas de informações de defesa dos EUA).Office 365 U.S. Government Defense has a P-ATO from the US Defense Information Systems Agency (DISA). Qualquer cliente que deseje implantar o Office 365 a defesa do governo dos EUA pode usar o P-ATO de DISA para gerar um ATO de agência para documentar sua aceitação.Any customer wishing to deploy Office 365 U.S. Government Defense may use the DISA P‑ATO to generate an agency ATO to document their acceptance of it.
  • O Office 365 (planos corporativos e comerciais) e o Office 365 governo dos EUA têm um ATO de agência FedRAMP no nível de impacto moderado do Office DHHS do inspetor geral.Office 365 (enterprise and business plans) and Office 365 U.S. Government have a FedRAMP Agency ATO at the Moderate Impact Level from the DHHS Office of the Inspector General. Office 365 o governo dos EUA foi o primeiro serviço de colaboração e email baseado em nuvem a obter essa autorização.Office 365 U.S. Government was the first cloud-based email and collaboration service to obtain this authorization.

Serviços de nuvem no escopo da MicrosoftMicrosoft in-scope cloud services

Observação

O uso do Azure Active Directory no Azure governamental requer o uso de componentes implantados fora do governo do Azure na nuvem pública do Azure.The use of Azure Active Directory within Azure Government requires the use of components that are deployed outside of Azure Government on the Azure public cloud.

Auditorias, relatórios e certificadosAudits, reports, and certificates

A Microsoft tem a obrigação de certificar novamente seus serviços de nuvem todos os anos para manter os P-ATOs e ATOs.Microsoft is required to recertify its cloud services each year to maintain its P-ATOs and ATOs. Para fazer isso, a Microsoft deve monitorar e avaliar seus controles de segurança continuamente e demonstrar que a segurança de seus serviços permanece em conformidade.To do so, Microsoft must monitor and assess its security controls continuously, and demonstrate that the security of its services remains in compliance.

Para receber outros relatórios do FedRAMP, envie um email para a documentação do Azure Federal.To receive other FedRAMP reports, send email to Azure Federal Documentation.

Implantar rapidamente suas soluções do FedRAMP no governo do AzureQuickly deploy your FedRAMP solutions on Azure Government

Deixe a Microsoft orientá-lo pelo processo ATO e implantar rapidamente suas soluções do FedRAMP usando o High Blueprint do FedRAMP, que ajuda os clientes a implementar um conjunto principal de políticas para qualquer arquitetura implantada pelo Azure que deve implementar os controles altos do FedRAMP.Let Microsoft guide you through the ATO process and quickly deploy your FedRAMP solutions using the FedRAMP High blueprint, which helps customers implement a core set of policies for any Azure-deployed architecture that must implement FedRAMP High controls.

Começar a usar o Azure FedRAMP High BlueprintStart using the Azure FedRAMP High Blueprint

Perguntas frequentesFrequently asked questions

Os serviços do Microsoft Cloud estão em conformidade com o Federal Information Security Management Act (FISMA)?Do Microsoft cloud services comply with the Federal Information Security Management Act (FISMA)?

O FISMA é a legislação federal que exige que agências federais de US e seus parceiros adquirirem sistemas de informações e serviços apenas de organizações que aderem aos requisitos do FISMA.FISMA is the federal law that requires US federal agencies and their partners to procure information systems and services only from organizations that adhere to FISMA requirements. A maioria das agências e seus fornecedores que indicam que eles são compatíveis com o FISMA estão fazendo referência a como eles atendem aos controles identificados pelo NIST na publicação especial 800-53 Rev 4.Most agencies and their vendors that indicate that they are FISMA-compliant are referring to how they meet the controls identified by the NIST in Special Publication 800-53 rev 4. O processo de FISMA (mas não os padrões subjacentes) foi substituído pelo FedRAMP em 2011.The FISMA process (but not the underlying standards themselves) was replaced by FedRAMP in 2011.

Para quem o FedRAMP se aplica?To whom does FedRAMP apply?

' FedRAMP é obrigatório para implantações de nuvem e modelos de serviço de agência federal nos níveis de impacto de risco baixo e moderado.'FedRAMP is mandatory for federal agency cloud deployments and service models at the low and moderate risk impact levels.' Qualquer agência federal que queira contratar um CSP pode ser necessária para atender às especificações do FedRAMP.Any federal agency that wants to engage a CSP may be required to meet FedRAMP specifications. Além disso, as empresas que usam tecnologias de nuvem em produtos ou serviços usados pelo governo federal podem ser obrigadas a obter um ATO.In addition, companies that employ cloud technologies in products or services used by the federal government may be required to obtain an ATO.

Onde minha agência começa seu próprio esforço de conformidade?Where does my agency start its own compliance effort?

Para obter uma visão geral das etapas federais que as agências devem executar para navegar com êxito no FedRAMP e atender seus requisitos, acesse autorizar autorização de agências.For an overview of the steps federal agencies must take to successfully navigate FedRAMP and meet its requirements, go to Get Authorized: Agency Authorization.

Posso usar a conformidade da Microsoft no processo de autorização da Agência?Can I use Microsoft compliance in my agency’s authorization process?

Sim.Yes. Você pode usar as certificações dos serviços de nuvem da Microsoft como base para qualquer programa ou iniciativa que exija uma ATO de uma agência governamental federal.You may use the certifications of Microsoft cloud services as the foundation for any program or initiative that requires an ATO from a federal government agency. No entanto, você precisa obter suas próprias autorizações para componentes fora desses serviços.However, you need to achieve your own authorizations for components outside these services.

Use o Gerenciador de Conformidade da Microsoft para avaliar o riscoUse Microsoft Compliance Manager to assess your risk

O Gerenciador de Conformidade da Microsoft é um recurso do Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para a construção de uma avaliação desse regulamento. Encontre o modelo na página de modelos de avaliação no Gerenciador de Conformidade. Aprenda a criar avaliações no Gerenciador de Conformidade.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offers a premium template for building an assessment for this regulation. Find the template in the assessment templates page in Compliance Manager. Learn how to build assessments in Compliance Manager.

RecursosResources