требованиям Федеральной программы управления рисками и авторизацией (FedRAMP);

Общие сведения о FedRAMP

Федеральная программа управления рисками и авторизацией США (FedRAMP) была создана для обеспечения стандартизированного подхода к оценке, мониторингу и авторизации продуктов и служб облачных вычислений в соответствии с Федеральным законом об управлении информационной безопасностью (FISMA), а также для ускорения внедрения защищенных облачных решений федеральными агентствами.

Управление по управлению и бюджету теперь требует, чтобы все федеральные учреждения исполнительной власти использовали FedRAMP для проверки безопасности облачных служб. (Другие агентства также приняли его, поэтому он полезен и в других областях государственного сектора, а также.) Национальный институт стандартов и технологий (NIST) SP 800-53 устанавливает обязательные стандарты, устанавливает категории безопасности информационных систем (конфиденциальность, целостность и доступность) для оценки потенциального воздействия на организацию в случае компрометации ее информационных систем. FedRAMP — это программа, которая подтверждает, что поставщик облачных служб (CSP) соответствует этим стандартам.

Поставщики услуг, желающие продавать услуги федеральному агентству, могут продемонстрировать соответствие FedRAMP тремя способами:

  • Получите временные полномочия для работы (P-ATO) от Объединенного совета по авторизации (JAB). JAB является основным органом управления и принятия решений для FedRAMP. В состав совета директоров вступают представители Министерства обороны, Министерства внутренней безопасности и Администрации общего обслуживания. Совет директоров предоставляет P-ATO csps, которые продемонстрировали соответствие FedRAMP.
  • Получите полномочия по эксплуатации (АТО) от федерального агентства.
  • Кроме того, вы можете самостоятельно разработать предоставленный пакет CSP, соответствующий требованиям программы.

Для каждого из этих путей требуется строгая техническая проверка Со стороны Управления программой FedRAMP (PMO) и оценка независимой сторонней организацией, которая имеет аккредитацию по программе.

Разрешения FedRAMP предоставляются на трех уровнях влияния на основе руководящих принципов NIST: низкий, средний и высокий. Эти уровни ранжируют влияние, которое может оказать потеря конфиденциальности, целостности или доступности на организацию: низкое (ограниченный эффект), среднее (серьезное негативное воздействие) и высокое (серьезный или катастрофический эффект).

Майкрософт и FedRAMP

Облачные службы майкрософт для государственных организаций, включая Azure для государственных организаций, Dynamics 365 правительства и Office 365 правительства США, соответствуют требованиям Федеральной программы управления рисками и авторизацией США (FedRAMP), что позволяет федеральным агентствам США воспользоваться преимуществами экономии средств и строгой безопасности Microsoft Cloud.

Облачные службы Майкрософт для государственных организаций предоставляют клиентам государственного сектора широкий набор служб, соответствующих FedRAMP, а также надежные инструменты руководства и реализации, включая схему FedRAMP High, которая помогает клиентам развертывать основной набор политик для любой архитектуры, развернутой в Azure, которая должна реализовывать элементы управления FedRAMP High.

Затрагиваемые облачные платформы и службы Майкрософт

  • Azure и Azure для государственных организаций
  • Dynamics 365 правительства США
  • Intune
  • Office 365 (правительство США, правительство США - Высокий, оборона правительства США)
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
  • Windows 365 (правительство США, правительство США - высокий)

Azure, Dynamics 365 и FedRAMP

Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствии см. в разделе Предложение Azure FedRAMP.

Office 365 и FedRAMP

  • Office 365 и Office 365 правительства США имеют АТО от Министерства здравоохранения и социальных служб США (DHHS).
  • Office 365 обороны правительства США имеет P-ATO от Агентства оборонных информационных систем США (DISA). Любой клиент, желающий развернуть Office 365 обороны правительства США, может использовать DISA P-ATO для создания агентства АТО, чтобы задокументировать свое принятие.
  • Office 365 (корпоративные и бизнес-планы) и Office 365 правительства США имеют Агентство FEDRAMP ATO на уровне умеренного воздействия от Управления DHHS Генерального инспектора. Office 365 правительство США стало первой облачной службой электронной почты и совместной работы, получив эту авторизацию.

Office 365 среды

Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиента в другие регионы в том же географическом регионе (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранного географического региона.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Office 365 для государственных организаций Community Cloud (GCC): на рынке FedRAMP указано как Office 365 (коммерческая), а также называется Office 365 мультитенантной средой и средой GCC. Office 365 облачная служба GCC доступна для США федеральных, государственных, местных и племенных правительств, а также подрядчиков, владеющих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, и вы должны обратиться к юридическим консультантам по любым вопросам, касающимся соответствия нормативным требованиям для вашей организации.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
GCC Служба веб-канала действий, службы Bing, Bookings, Delve, Exchange Online, Exchange Online Protection, инфраструктура, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, Office Service, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink
GCC High Служба веб-канала действий, службы Bing, Bookings, Exchange Online, Exchange Online Protection, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink
DoD Служба веб-канала действий, службы Bing, Bookings, Exchange Online Protection, Exchange Online, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди Карточка, SharePoint Online, Skype для бизнеса, Windows Ink

Аудит, отчеты и сертификаты Office 365

Корпорация Майкрософт обязана ежегодно проходить повторную сертификацию своих облачных сервисов, чтобы поддерживать актуальность своих сертификатов P-ATO и ATO. Для этого корпорация Майкрософт должна постоянно отслеживать и оценивать свои средства управления безопасностью, а также демонстрировать, что безопасность своих служб остается в соответствии с требованиями.

Вопросы и ответы

Соответствуют ли облачные службы Майкрософт Федеральному закону об управлении информационной безопасностью (FISMA)?

FISMA — это федеральный закон, который требует от федеральных агентств США и их партнеров закупать информационные системы и услуги только у организаций, которые соответствуют требованиям FISMA. Большинство агентств и их поставщиков, которые указывают, что они соответствуют FISMA, имеют в виду, как они соответствуют элементам управления, определенным NIST в специальной публикации 800-53 rev 4. Процесс FISMA (но не сами базовые стандарты) был заменен FedRAMP в 2011 году.

К кому применяется FedRAMP?

"FedRAMP является обязательным для развертывания облачных служб федерального агентства и моделей служб на низком и умеренном уровнях влияния на риск". Любое федеральное агентство, которое хочет задействовать CSP, может быть обязано соответствовать спецификациям FedRAMP. Кроме того, компаниям, которые используют облачные технологии в продуктах или услугах, используемых федеральным правительством, может потребоваться получить АТО.

Где мое агентство начинает свои собственные усилия по обеспечению соответствия требованиям?

Общие сведения о шагах, которые федеральные агентства должны предпринять для успешной навигации по FedRAMP и удовлетворения ее требований, см. в разделе Получение разрешений на авторизацию агентства.

Можно ли использовать соответствие требованиям Майкрософт в процессе авторизации моего агентства?

Да. Вы можете использовать сертификаты облачных служб Майкрософт в качестве основы для любой программы или инициативы, которая требует ATO от федерального правительственного агентства. Однако необходимо получить собственные разрешения для компонентов за пределами этих служб.

Использование Microsoft Purview Compliance Manager для оценки риска

Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы