Nível de impacto do Departamento de Defesa (DoD) 5 (IL5)

Visão geral do DoD IL5

A Disa (Agência de Sistemas de Informações de Defesa) é uma agência do Departamento de Defesa dos EUA (DoD) responsável pelo desenvolvimento e manutenção do Guia de Requisitos de Segurança de Computação em Nuvem (SRG)do DoD. O SRG define os requisitos de segurança de linha de base usados pelo DoD para avaliar a postura de segurança de um provedor de serviços de nuvem (CSP), dando suporte à decisão de conceder uma Autorização Provisória (PA) do DoD que permite que um CSP hospede missões do DoD. Ele incorpora, sobressalva e rescinde o Modelo de Segurança de Nuvem do DoD (CSM) publicado anteriormente e mapeia para a Estrutura de Gerenciamento de Riscos do DoD (RMF).

O DISA orienta as agências e departamentos do DoD no planejamento e autorização do uso de um CSP. Ele também avalia as ofertas de CSP para conformidade com o SRG, um processo de autorização no qual os CSPs podem fornecer documentação explicando sua conformidade com os padrões do DoD. Ele emite PAs (Autorizações Provisórias do DoD) quando apropriado, para que as agências do DoD e organizações de suporte possam usar serviços de nuvem sem precisar passar por um processo de aprovação completo por conta própria, economizando tempo e esforço.

De acordo com os Níveis de Impacto de Informações da Seção 3.2 do SRG, as informações do IL5 abrangem:

  • Informações não classificadas controladas (CUI) que exigem um nível de proteção maior do que o do IL4

    • O Registro cui fornece categorias específicas de informações que estão sob proteção do Poder Executivo, por exemplo, mais de 20 grupos de categorias estão incluídos na lista de categorias cui.
    • NIST SP 800-171 Protegendo informações não classificadas controladas em sistemas e organizações não-aderais destina-se a ser usado por agências federais em contratos ou outros acordos estabelecidos com organizações não federais.
  • NSS (National Security Systems)

    • A Diretriz do NIST SP 800-59 para identificar um sistema de informações como um sistema de segurança nacional fornece definições de NSS.
    • CnSSI 1253 Security Categorization and Control Selection for National Security Systems fornece orientações sobre os padrões de segurança que as agências federais devem aplicar para categorizar informações de segurança nacional.

O memorando CIO do DoD 15 de dezembro de 2014 sobre Diretrizes Atualizadas sobre a Aquisição e o Uso de Serviços comerciais de Computação em Nuvem afirma que 'FedRAMP servirá como a linha de base de segurança mínima para todos os serviços de nuvem do DoD'. O SRG usa a linha de base Moderada fedRAMP em todos os níveis de impacto de informações (IL) e considera a Linha de Base Alta em alguns.

O uso do DoD da Seção 5.1.1 do SRG dos Controles de Segurança fedRAMP afirma que um FedRAMP High PA, complementado com controles FedRAMP+ do DoD e aprimoramentos de controle (C/CEs) e requisitos no SRG, são usados para avaliar os CSPs para a concessão de um PA do DoD no IL5. Independentemente da linha de base C/CE ser usada como base para um Pa Alto FedRAMP, considerações adicionais e/ou requisitos precisarão ser avaliados e aprovados antes que um PA do DoD possa ser concedido no IL5. Especificamente, a Seção SRG 5.1.2 FedRAMP+ Estados de Controles/Aprimoramentos de Segurança do DoD na Tabela 2 que 10 C/CEs adicionais além da linha de base FedRAMP High são necessárias para um PA do DoD IL5.

Além disso, de acordo com a Seção 5.2.2.3 IL5 Requisitos de Localização e Separação do SRG, os seguintes requisitos (entre outros) devem estar em uso para um NÍVEL 5 PA:

  • A separação virtual/lógica entre locatários/missões do DoD e do Governo Federal é suficiente. A separação virtual/lógica entre sistemas de locatário/missão é necessária.
  • A separação física de locatários que não são do DoD/do Governo Federal (ou seja, locatários públicos, locais/estatais do governo) é necessária.
  • O CSP restringe o acesso potencial às informações do DoD e da comunidade aos funcionários do CSP que são cidadãos dos EUA.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure
  • Serviço de Atendimento ao Cliente do Dynamics 365
  • Microsoft Defender para Ponto de Extremidade (anteriormente Proteção avançada contra ameaças do Microsoft Defender)
  • Microsoft Graph
  • Microsoft Stream
  • Office 365 U.S. Government Defense
  • Power Automate (anteriormente Microsoft Flow)
  • Power BI

Azure, Dynamics 365 e DoD IL5

Para obter mais informações sobre a conformidade do Azure, dynamics 365 e outros serviços online, consulte a oferta do Azure DoD IL5.

Office 365 e DoD IL5

Ambientes da nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
DoD Serviço de Feed de Atividades, serviços Bing, Exchange Online, Proteção do Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, infraestrutura de serviço Office, relatórios de uso Office, OneDrive for Business, Cartão de Pessoas, SharePoint Online, Skype for Business, Windows Ink

Documentos de atestado

Os clientes do governo dos EUA podem solicitar Office 365 documentação fedRAMP de defesa governamental dos EUA diretamente do FedRAMP Marketplace enviando um formulário de solicitação de acesso ao pacote. Você deve ter um endereço de email .gov ou .mil para acessar um pacote de segurança fedRAMP diretamente do FedRAMP.

Selecione a documentação FedRAMP e DoD, incluindo o Plano de Segurança do Sistema (SSP), relatórios de monitoramento contínuos, Plano de Ações e Marcos (POA M), etc., está disponível para clientes em NDA e autorização de acesso pendente na seção Relatórios de Auditoria do Portal de Confiança de Serviço & - FedRAMP Reports. Entre em contato com seu representante de conta da Microsoft para assistência.

Recursos