Suplemento de Regulamentação de Aquisição Federal de Defesa (DFARS)

Visão geral do DFARS

Em 21 de outubro de 2016, o Departamento de Defesa (DoD) emitiu sua Regra Final alterando o Suplemento de Regulamentação de Aquisição Federal de Defesa (DFARS) e impondo obrigações de proteção e relatório de incidentes cibernéticos aos prestadores de serviços de defesa cujos sistemas de informações processam, armazenam ou transmitem informações de defesa cobertas (CDI).

A cláusula final do DFARS 252.204-7012 (Proteção de Informações de Defesa Coberta e Relatório de Incidentes Cibernéticos) especifica proteções para incluir requisitos de relatório de incidentes cibernéticos e considerações adicionais para provedores de serviços de nuvem. De acordo com o DFARS 252.204-7012, todos os contratados do DoD e a base industrial de defesa devem estar em conformidade com os requisitos DFARS para segurança adequada "assim que prático, mas não posterior a 31 de dezembro de 2017".

Microsoft e DFARS

Os serviços de Nuvem do Governo da Microsoft ajudam os clientes da base industrial de defesa dos Estados Unidos e clientes contratados de defesa a atender aos requisitos DFARS, conforme enumerado nas cláusulas DFARS de 252.204-7012 que se aplicam aos provedores de serviços de nuvem. Quando os prestadores de serviços de defesa são necessários para cumprir a cláusula DFARS 252.204-7012 em contratos, a Microsoft pode dar suporte aos requisitos aplicáveis aos provedores de serviços de nuvem para o Azure Government e Office 365 serviços de Defesa Governamental dos EUA. Ambos os serviços demonstram suporte aos recursos necessários para que os clientes cumpram as cláusulas DFARS 7012 por meio de sua credencial L5 para o Guia de Requisitos de Segurança do Departamento de Defesa.

Plataformas e serviços em nuvem no escopo da Microsoft

Serviços cobertos para o Nível de Impacto do DoD 5

  • Azure e Azure Governamental
  • Office 365 Governo dos EUA e defesa Office 365 governo dos EUA

Azure, Dynamics 365 e DFARS

Para obter mais informações sobre a conformidade do Azure, dynamics 365 e outros serviços online, consulte a oferta do Azure DFARS.

Office 365 e DFARS

Ambientes da nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
GCC Azure Active Directory, Gerente de Conformidade, Delve, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, MyAnalytics, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream
GCC Alta Azure Active Directory, Exchange Online, Forms, Microsoft Defender para Office 365, Microsoft Teams, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business
DoD Azure Active Directory, Exchange Online, Microsoft Defender para Office 365, Microsoft Teams, complemento de Conformidade Avançada do Office 365, Centro de Segurança e Conformidade do Office 365, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power Automate, Power BI, SharePoint Online, Skype for Business

Auditorias, relatórios e certificados

Perguntas frequentes

Quais requisitos de DFARS são suportados Office 365 defesa governamental dos EUA?

Office 365 A Defesa Do Governo dos EUA permite que nossos clientes da base industrial de defesa e do prestador de serviços de defesa atendem aos requisitos DFARS, conforme enumerado nas cláusulas DFARS de 252.204-7012 que se aplicam aos provedores de serviços de nuvem.

Um avaliador independente validou que Office 365 defesa governamental dos EUA dá suporte aos requisitos DFARS?

Sim, uma organização de avaliação de terceiros atestou que Office 365 oferta de serviço de nuvem de defesa governamental dos EUA atende aos requisitos aplicáveis da Cláusula DFARS 252.204-7012 (Proteção de Informações Técnicas Controladas Não Classificadas).

Qual é a relação entre Informações Não Classificadas Controladas (CUI) e informações de defesa cobertas (CDI)?

A CUI é uma informação que requer a proteção ou a divulgação de controles de acordo com a lei, a regulamentação ou a política de todo o governo. O Registro cui identifica categorias e subcategorias cui aprovadas.

A CDI é controlada por informações técnicas ou outras informações (conforme descrito no Registro cui) que exigem controles de proteção ou disseminação e são:

  • Marcado ou identificado de outra forma no contrato, ordem de tarefa ou ordem de entrega e fornecido ao contratado por ou em nome do DoD em conexão com o desempenho do contrato ou
  • Coletado, desenvolvido, recebido, transmitido, usado ou armazenado por ou em nome do contratado em suporte ao desempenho do contrato

Todos os Microsoft Office 365 atendem aos requisitos de "segurança adequada" aplicáveis às "informações de defesa cobertas" de acordo com a regulamentação DFARS?

Em outubro de 2016, o Departamento de Defesa (DoD) promulgou uma regra final implementando cláusulas DFARS (Suplemento de Regulamento de Aquisição Federal de Defesa) que se aplicam a todos os contratados do DoD que processam, armazenam ou transmitem "informações de defesa cobertas" por meio de seus sistemas de informações. A regra afirma que esses sistemas devem atender aos requisitos de segurança definidos no NIST SP 800-171, Protegendo Informações Não Classificadas Controladas em sistemas e organizações de informações não pessoais ou uma "medida de segurança alternativa, mas igualmente eficaz" aprovada pelo agente contratado do DoD. E onde um fornecedor do DoD usa um provedor de serviços de nuvem externo para processar, armazenar ou transmitir informações de defesa cobertas, esse provedor deve atender aos requisitos de segurança equivalentes à linha de base Moderada fedRAMP.

Os seguintes Microsoft Office 365 de nuvem receberam uma autorização moderada fedRAMP e são adequados para DFARS: Office 365 Governo dos EUA e Office 365 Defesa Governamental dos EUA.

Além disso, as ofertas da Microsoft fora do limite certificado fedRAMP que podem ser usadas por terceiros do DoD para processar, armazenar ou transmitir "informações de defesa cobertas" estão passando por uma revisão para atender a um prazo de conformidade de 31 de dezembro de 2017. A Microsoft está trabalhando para documentar como esses serviços internos e voltados para o cliente estão em conformidade com o NIST SP 800-171 ou um equivalente de segurança aceitável, para atender às cláusulas relevantes do DFARS.

Usar o Gerenciador de Conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos