Nível de impacto do Departamento de Defesa (DoD) Nível 2 (IL2)
Visão geral do DoD IL2
A DISA (Defense Information Systems Agency) é uma agência do Departamento de Defesa dos EUA (DoD) responsável pelo desenvolvimento e manutenção do SRG (Guia de Requisitos de Segurança de Computação em Nuvem) do DoD. O SRG define os requisitos de segurança de linha de base usados pelo DoD para avaliar a postura de segurança de um CSP (provedor de serviços de nuvem), dando suporte à decisão de conceder uma PA (Autorização Provisória do DoD) que permite que um CSP hospede missões DoD. Ele incorpora, substitui e rescinde o CSM (Modelo de Segurança na Nuvem) publicado anteriormente e mapeia para a RMF (Estrutura de Gerenciamento de Riscos do DoD).
O DISA orienta agências e departamentos do DoD no planejamento e na autorização do uso de um CSP. Ele também avalia as ofertas de CSP para conformidade com o SRG, um processo de autorização pelo qual os CSPs podem fornecer a documentação que descreve sua conformidade com os padrões do DoD. Ele emite PAs (Autorizações Provisórias de DoD) quando apropriado, portanto, agências do DoD e organizações de suporte podem usar serviços de nuvem sem precisar passar por um processo de aprovação completo por conta própria, economizando tempo e esforço.
O memorando do DoD CIO de 15 de dezembro de 2014sobre diretrizes atualizadas sobre a aquisição e o uso dos Serviços de Computação em Nuvem Comercial afirma que "o FedRAMP servirá como a linha de base de segurança mínima para todos os serviços de nuvem do DoD". O SRG usa a linha de base moderada do FedRAMP em todos os níveis de impacto de informações (IL) e considera a Linha de Base Alta em alguns.
O uso do DoD da Seção 5.1.1 do SRGdos Controles de Segurança do FedRAMP afirma que as informações il2 podem ser hospedadas em um CSP que contém minimamente uma PA moderada fedRAMP e um Pa de nível de DoD 2, sujeitos à conformidade com os requisitos de segurança de pessoal descritos na Seção 5.6.2. No entanto, essa abordagem não alivia o CSP de atender a outros requisitos de segurança e integração, conforme exigido pelo Proprietário da Missão. De acordo com a Seção 5.2.2.1requisitos de localização e separação do nível 2 do SRG, o DoD IL2 PA é adequadamente coberto por uma PA moderada fedRAMP, de modo que os requisitos não serão avaliados adicionalmente para uma PA IL2.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 governo dos EUA, Office 365 governo dos EUA - Alto
- Power Apps
- Power Automate
- Power BI
Il2 do Azure, Dynamics 365 e DoD
Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta il2 do Azure DoD.
Office 365 e DoD IL2
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| GCC | Serviço de Feed de Atividades, Bing Services, Reservas, Delve, Exchange Online, Proteção do Exchange Online, Infraestrutura, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Office Service, Relatórios de Uso do Office, OneDrive for Business, Pessoas Card, SharePoint Online, Skype for Business, Windows Ink |
| GCC Alta | Serviço de Feed de Atividades, Serviços de Bing, Reservas, Exchange Online, Proteção do Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, Pessoas Card, SharePoint Online, Skype for Business, Windows Ink |
Recursos
- Soluções do governo da Microsoft
- Guia de Requisitos de Segurança de Computação na Nuvem do DoD
- Documentos fedRAMP
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
- Controles de segurança e privacidade NIST SP 800-53para sistemas de informações e organizações
- Instrução do DoD 8510.01RMF (DoD Risk Management Framework) para Tecnologia de Informação do DoD (TI)
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários