National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF)

Panoramica di NIST CSF

Il National Institute of Standards and Technology (NIST) promuove e mantiene gli standard di misurazione e le indicazioni per aiutare le organizzazioni a valutare i rischi. In risposta all'ordine esecutivo 13636 sul rafforzamento della cibersicurezza delle reti federali e dell'infrastruttura critica, il NIST ha rilasciato il Framework for Improving Critical Infrastructure Cybersecurity (FICIC) nel febbraio 2014.

Le principali priorità della FICIC erano stabilire una serie di standard e pratiche per aiutare le organizzazioni a gestire i rischi di cybersecurity, abilitando al tempo stesso l'efficienza aziendale. Il framework NIST affronta i rischi di cybersecurity senza imporre requisiti normativi aggiuntivi sia per le organizzazioni governative che per le organizzazioni del settore privato.

Il FICIC fa riferimento a standard riconosciuti a livello globale, tra cui NIST SP 800-53, disponibile nell'Appendice A del framework NIST per il miglioramento della cybersecurity dell'infrastruttura critica. Ogni controllo all'interno del framework FICIC viene mappato ai controlli NIST 800-53 corrispondenti all'interno della linea di base FedRAMP Moderate.

Microsoft e il CSF NIST

NIST Cybersecurity Framework (CSF) è un framework volontario costituito da standard, linee guida e procedure consigliate per gestire i rischi correlati alla cybersecurity. I servizi cloud Microsoft sono stati sottoposti a controlli FedRAMP Moderate e High Baseline indipendenti e di terze parti e sono certificati in base agli standard FedRAMP. Inoltre, tramite una valutazione convalidata eseguita da HITRUST, un'organizzazione leader per lo sviluppo e l'accreditamento degli standard di sicurezza e privacy, Office 365 è certificata in base agli obiettivi specificati nel CSF NIST.

Informazioni su come accelerare la distribuzione di NIST Cybersecurity Framework con Compliance Manager e il nostro progetto di sicurezza e conformità di Azure:

Piattaforme e servizi cloud Microsoft inclusi nell'ambito

  • Azure per enti pubblici
  • Dynamics 365 per enti pubblici
  • Office 365

Azure, Dynamics 365 e NIST CSF

Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta csf NIST di Azure.

Office 365 e NIST CSF

ambienti Office 365

Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.

Questa sezione illustra gli ambienti di Office 365 seguenti:

  • Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
  • Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
  • Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
  • Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
  • Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.

Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.

L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.

Applicabilità di Office 365 e servizi inclusi nell'ambito

Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:

Applicabilità Servizi inclusi nell'ambito
Commerciale Servizio Feed attività, Servizi Bing, Delve, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, scheda Persone, SharePoint Online, Skype for Business, Windows Ink

Office 365 ciclo di controllo e certificazione

La certificazione NIST CSF di Office 365 è valida per due anni.

Domande frequenti

Un valutatore indipendente ha convalidato che Office 365 supporta i requisiti del CSF NIST?

Sì, Office 365 ottenuto la lettera di certificazione NIST CSF da HITRUST nel luglio 2019.

In che modo Microsoft Servizi cloud dimostrare la conformità al framework?

Usando i report di controllo formali preparati da terze parti per l'accreditamento FedRAMP, Microsoft può mostrare come i controlli pertinenti indicati in questi report dimostrino la conformità al framework NIST per migliorare la cybersecurity dell'infrastruttura critica. I controlli controllati implementati da Microsoft garantiscono la riservatezza, l'integrità e la disponibilità dei dati archiviati, elaborati e trasmessi da Azure, Office 365 e Dynamics 365 identificati come responsabilità di Microsoft.

Quali sono le responsabilità di Microsoft per il mantenimento della conformità a questa iniziativa?

La partecipazione alla FICIC è volontaria. Tuttavia, Microsoft garantisce che Office 365 soddisfi i termini definiti all'interno delle Condizioni per i servizi online e dei contratti di servizio applicabili.

È possibile usare la conformità di Microsoft per l'organizzazione?

Sì. I report di conformità indipendenti di terze parti agli standard FedRAMP attestano l'efficacia dei controlli implementati da Microsoft per mantenere la sicurezza e la privacy di Microsoft Servizi cloud. I clienti Microsoft possono utilizzare i controlli controllati descritti in questi report correlati nell'ambito delle proprie attività di analisi dei rischi e qualificazione di FedRAMP e NIST FICIC.

Quali organizzazioni sono considerate dal governo Stati Uniti un'infrastruttura critica?

Secondo il Dipartimento della Sicurezza Interna, queste includono organizzazioni nei seguenti settori: Chimica, Impianti commerciali, Comunicazioni, Produzione critica, Dighe, Base industriale di difesa, Servizi di emergenza, Energia, Servizi Finanziari, Cibo e Agricoltura, Strutture governative, Sanità e Sanità pubblica, Tecnologia dell'informazione, Nucleare (materiali e rifiuti dei reattori), Sistemi di trasporto e acqua (e acque reflue).

Perché alcuni servizi Office 365 non rientrano nell'ambito di questa certificazione?

Microsoft offre le offerte più complete rispetto ad altri provider di servizi cloud. Per rimanere al passo con le nostre ampie offerte di conformità in aree e settori, sono inclusi i servizi nell'ambito delle nostre attività di garanzia in base alla domanda del mercato, al feedback dei clienti e al ciclo di vita del prodotto. Se un servizio non è incluso nell'ambito corrente di un'offerta di conformità specifica, l'organizzazione ha la responsabilità di valutare i rischi in base agli obblighi di conformità e determinare il modo in cui si elaborano i dati in tale servizio. Raccogliamo continuamente feedback dai clienti e collaboriamo con autorità di regolamentazione e revisori per espandere la nostra copertura di conformità per soddisfare le tue esigenze di sicurezza e conformità.

Usare Microsoft Purview Compliance Manager per valutare il rischio

Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.

Risorse