Department of Defense (DoD) Impact Level 5 (IL5)

Übersicht über DoD IL5

Die Defense Information Systems Agency (DISA) ist eine Behörde des US-Verteidigungsministeriums( DoD), die für die Entwicklung und Wartung des Leitfadens für Sicherheitsanforderungen für Cloud Computing (SRG) zuständig ist. Die SRG definiert die grundlegenden Sicherheitsanforderungen, die vom DoD verwendet werden, um den Sicherheitsstatus eines Clouddienstanbieters (Cloud Service Provider, CSP) zu bewerten, und unterstützt die Entscheidung, eine vorläufige DoD-Autorisierung (Pa) zu erteilen, die es einem CSP ermöglicht, DoD-Missionen zu hosten. Es integriert, ersetzt und entfernt das zuvor veröffentlichte DoD Cloud Security Model (CSM) und ist dem DoD Risk Management Framework (RMF) zugeordnet.

DISA leitet DoD-Agenturen und -Abteilungen bei der Planung und Autorisierung der Verwendung eines CSP. Darüber hinaus bewertet es CSP-Angebote auf Konformität mit der SRG, einem Autorisierungsprozess, bei dem CSPs Dokumentationen zur Einhaltung der DoD-Standards bereitstellen können. Es gibt ggf. vorläufige DoD-Autorisierungen (PAs) aus, sodass DoD-Behörden und unterstützende Organisationen Clouddienste nutzen können, ohne selbst einen vollständigen Genehmigungsprozess durchlaufen zu müssen, was Zeit und Aufwand spart.

Gemäß SRG Abschnitt 3.2Information Impact Levels umfassen IL5-Informationen:

  • Kontrollierte nicht klassifizierte Informationen (Controlled Unclassified Information, CUI), die ein höheres Schutzniveau erfordern als il4

    • Die CUI-Registrierung stellt bestimmte Kategorien von Informationen bereit, die von der Exekutive geschützt werden, z. B. sind mehr als 20 Kategoriegruppierungen in der CUI-Kategorieliste enthalten.
    • NIST SP 800-171Der Schutz kontrollierter nicht klassifizierter Informationen in nichtfederalen Systemen und Organisationen ist für die Verwendung durch Bundesbehörden in Verträgen oder anderen Vereinbarungen vorgesehen, die mit Nicht-Bundesorganisationen geschlossen wurden.
  • Nationale Sicherheitssysteme (NSS)

    • NIST SP 800-59Guideline for Identifying an Information System as a National Security System enthält Definitionen von NSS.
    • CNSSI 1253Security Categorization and Control Selection for National Security Systems enthält Anleitungen zu den Sicherheitsstandards, die Bundesbehörden anwenden sollten, um nationale Sicherheitsinformationen zu kategorisieren.

Das CIO-Memo des DoD vom 15. Dezember 2014 zu aktualisierten Leitlinien für den Erwerb und die Nutzung kommerzieller Cloud Computing-Dienste besagt, dass "FedRAMP als Mindestsicherheitsbaseline für alle DoD-Clouddienste dienen wird". Die SRG verwendet die FedRAMP Moderate-Baseline auf allen Informationswirkungsebenen (Il) und berücksichtigt den Hohen Baselinewert bei einigen.

SRG Section 5.1.1DoD Use of FedRAMP Security Controls besagt, dass eine FedRAMP High PA, ergänzt durch DoD FedRAMP+-Steuerungen und -verbesserungen (C/CEs) und Anforderungen in der SRG, verwendet werden, um CSPs im Hinblick auf die Vergabe einer DoD PA an IL5 zu bewerten. Unabhängig davon, welche C/CE-Baseline als Grundlage für eine FedRAMP High PA verwendet wird, müssen zusätzliche Überlegungen und/oder Anforderungen bewertet und genehmigt werden, bevor eine DoD PA bei IL5 vergeben werden kann. In SRG Section 5.1.2DoD FedRAMP+ Security Controls/Enhancements heißt es in Tabelle 2, dass 10 zusätzliche C/CEs über die FedRAMP High-Baseline hinaus für eine DoD IL5 PA erforderlich sind.

Darüber hinaus müssen gemäß SRG Abschnitt 5.2.2.3IL5 Standort- und Trennungsanforderungen die folgenden Anforderungen (unter anderem) für eine PA der Stufe 5 gelten:

  • Die virtuelle/logische Trennung zwischen DoD und Mandanten/Missionen der Bundesregierung ist ausreichend. Eine virtuelle/logische Trennung zwischen Mandanten-/Missionssystemen ist erforderlich.
  • Es ist eine physische Trennung von Mandanten erforderlich, die nicht dem DoD-Mandanten bzw. Nicht-Bundesverwaltungsmandanten (d. h. öffentlichen, lokalen/staatlichen Behördenmandanten) zugeordnet sind.
  • Der CSP beschränkt den potenziellen Zugriff auf Informationen des DoD und der Community auf CSP-Mitarbeiter, die US-Bürger sind.

Zu Microsoft gehörende Cloudplattformen und -dienste

  • Azure
  • Dynamics 365 Customer Service
  • Microsoft Defender für Endpunkt (früher Microsoft Defender Advanced Threat Protection)
  • Microsoft Graph
  • Microsoft Stream
  • Office 365 U.S. Government Defense
  • Power Automate (ehemals Microsoft Flow)
  • Power BI

Azure, Dynamics 365 und DoD IL5

Weitere Informationen zur Compliance von Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure DoD IL5-Angebot.

Office 365 und DoD IL5

Office 365-Umgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Umgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
DoD Aktivitätsfeeddienst, Bing-Dienste, Bookings, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink

Nachweisdokumente

US-Behördenkunden können die Office 365 U.S. Government Defense FedRAMP-Dokumentation direkt über den FedRAMP Marketplace anfordern, indem sie ein Paketzugriffsanforderungsformular übermitteln. Sie benötigen eine .gov- oder .mil-E-Mail-Adresse, um direkt über FedRAMP auf ein FedRAMP-Sicherheitspaket zugreifen zu können.

Wählen Sie die FedRAMP- und DoD-Dokumentation aus, einschließlich Systemsicherheitsplan (SSP), Fortlaufende Überwachungsberichte, Aktionsplan und Meilensteine (POA&M) usw. ist für Kunden unter NDA und ausstehende Zugriffsautorisierung im Abschnitt Service Trust Portal Audit Reports - FedRAMP Reports verfügbar. Wenden Sie sich an Ihren Microsoft-Kontomitarbeiter, um Unterstützung zu erhalten.

Ressourcen

  • Microsoft Government-Lösungen
  • FedRAMP-Dokumente
  • DoD-Anweisung 8510.01DoD Risk Management Framework (RMF) für DoD Information Technology (IT)
  • NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
  • NIST SP 800-53Sicherheits- und Datenschutzkontrollen für Informationssysteme und Organisationen
  • NIST SP 800-59Leitlinie zur Identifizierung eines Informationssystems als nationales Sicherheitssystem
  • CNSSI 1253Sicherheitskategorisierung und Kontrollauswahl für nationale Sicherheitssysteme
  • NIST SP 800-171: Schutz kontrollierter nicht klassifizierter Informationen in nichtfederalen Systemen und Organisationen
  • Kontrollierte CUI-Registrierung (Unclassified Information) und CUI-Kategorieliste.