DFARS (Defense Federal Acquisition Regulation Supplement)
Panoramica di DFARS
Il 21 ottobre 2016, il Dipartimento della difesa statunitense (DoD) ha emesso la norma finale che modifica il DFARS (Defense Federal Acquisition Regulation Supplement) e che impone gli obblighi di protezione e segnalazione di eventi informatici da parte di appaltatori del settore della difesa i cui sistemi di informazioni elaborano, archiviano o trasmettono informazioni coperte dalla difesa (CDI).
La clausola finale DFARS 252.204-7012 (Safeguarding Covered Defense Information and Cyber Incident Reporting) specifica le misure di sicurezza per includere i requisiti per la segnalazione di eventi informatici e altre considerazioni per i provider di servizi cloud. Ai sensi di DFARS 252.204-7012, tutti gli appaltatori del DoD e la base di difesa industriale devono conformarsi ai requisiti di DFARS per una sicurezza adeguata "non appena possibile, ma non oltre il 31 dicembre 2017".
Microsoft e DFARS
I servizi Microsoft Cloud per enti pubblici Cloud aiutano i clienti negli Stati Uniti a rispettare i requisiti DFARS elencati nelle clausole DFARS da 252.204-7012, applicabili ai provider di servizi cloud. Quando gli appaltatori per la difesa devono conformarsi alla clausola DFARS 252.204-7012 nei contratti, Microsoft può supportare i requisiti applicabili ai provider di servizi cloud per i servizi di Azure per enti pubblici e Office 365 U.S. Government Defense. Entrambi i servizi dimostrano il supporto per le funzionalità necessarie ai clienti per garantire la conformità alle clausole DFARS 7012 tramite l'accredito L5 alla guida ai requisiti di sicurezza del Dipartimento della difesa.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
Servizi coperti per il livello di impatto del DoD - Livello 5
- Azure e Azure per enti pubblici
- Office 365 U.S. Government e Office 365 U.S. Government Defense
Azure, Dynamics 365 e DFARS
Per altre informazioni su Azure, Dynamics 365 e la conformità dei servizi online, vedere l'offerta Azure DFARS.
Office 365 e DFARS
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
GCC | MICROSOFT ENTRA ID, Compliance Manager, Delve, Exchange Online, Forms, Microsoft Defender per Office 365, Microsoft Teams, MyAnalytics, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business, Stream |
GCC High | MICROSOFT ENTRA ID, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & di sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, PowerApps, Power Automate, Power BI, SharePoint Online, Skype for Business |
DoD | MICROSOFT ENTRA ID, Exchange Online, Moduli, Microsoft Defender per Office 365, Microsoft Teams, Office 365 Advanced Compliance componente aggiuntivo, Office 365 Centro conformità & sicurezza, Office Online, Office Pro Plus, OneDrive for Business, Planner, Power BI, SharePoint Online, Skype for Business |
Controlli, report e certificati di Office 365
Domande frequenti
Quali requisiti DFARS sono supportati da Office 365 U.S. Government Defense?
Office 365 U.S. Government Defense consente ai clienti degli appaltatori dell'industria della difesa e i clienti dei contraenti della difesa di difesa di soddisfare i requisiti DFARS elencati nelle clausole DFARS da 252.204-7012, applicabili ai provider di servizi cloud.
Un esperto indipendente ha convalidato che Office 365 U.S. Government Defense supporta i requisiti DFARS?
Sì, un'organizzazione di valutazione di terze parti ha attestato che l'offerta di servizi cloud di Office 365 U.S. Government Defense soddisfa i requisiti applicabili della clausola DFARS 252.204-7012 (Safeguarding Unclassified Controlled Technical Information).
Qual è la relazione tra informazioni non classificate controllate (CUI) e informazioni di difesa coperte (CDI)?
CUI è un'informazione che richiede la tutela o la diffusione dei controlli in base a leggi, normative o criteri a livello di governo. Il registro CUI identifica le categorie e le sottocategorie approvate.
L'interfaccia CDI è controllata da informazioni tecniche o altre informazioni, come descritto nel Registro CUI, che richiedono misure di tutela o diffusione e sono:
- Contrassegnati o identificati in altro modo nel contratto, nell'ordine di attività o nell'ordine di consegna e forniti all'appaltatore da o per conto di DoD in relazione all'esecuzione del contratto o
- Raccolti, sviluppati, ricevuti, trasmessi, usati o archiviati da o per conto dell'appaltatore a supporto dell'esecuzione del contratto
Tutti i servizi Microsoft Office 365 soddisfano i requisiti di "sicurezza adeguata" applicabili alle "informazioni di difesa coperte" dalle normative DFARS?
Nel mese di ottobre 2016, il Dipartimento della difesa ha promulgato una regola finale che implementa le clausole DFARS (Defense Federal Acquisition Regulation Supplement) che si applicano a tutti gli appaltatori DoD che elaborano, archiviano o trasmettono "informazioni coperte della difesa" attraverso i loro sistemi in informazioni. La regola specifica che tali sistemi devono soddisfare i requisiti di sicurezza impostati in NIST SP 800-171, Protezione delle informazioni non classificate controllate in sistemi informatici e organizzazioni non federali, o una "misura di sicurezza alternativa, ma altrettanto efficace", approvata dal funzionario contraente del DoD. Inoltre, quando un contraente di DoD usa un provider di servizi cloud esterno per elaborare, archiviare o trasmettere informazioni di difesa coperte, tale provider deve rispettare requisiti di sicurezza equivalenti alla linea di base FedRAMP Moderate.
I seguenti servizi cloud Microsoft Office 365 hanno ricevuto un'autorizzazione moderata fedRAMP e sono adeguati per il Dipartimento della difesa del governo degli Stati Uniti: Office 365 U.S. Government e Office 365 Government Defense.
Inoltre, le offerte Microsoft al di fuori dei limiti certificati FedRAMP che potrebbero essere usate dagli appaltatori di DoD per elaborare, archiviare o trasmettere "informazioni coperte dala difesa" sono in fase di revisione per rispettare una scadenza di conformità del 31 dicembre 2017. Microsoft sta lavorando alla documentazione del modo in cui questi servizi interni e rivolti ai clienti sono conformi a NIST SP 800-171 o a un equivalente di sicurezza accettabile per rispettare le clausole pertinenti del DFARS.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.