Impacto do Departamento de Defesa (DoD) Nível 2 (IL2)
Descrição geral do DoD IL2
A Agência de Sistemas de Informação de Defesa (DISA) é uma agência do Departamento de Defesa dos EUA (DoD) responsável pelo desenvolvimento e manutenção do Guia de Requisitos de Segurança de Computação na Cloud do DoD (SRG). O SRG define os requisitos de segurança de linha de base utilizados pelo DoD para avaliar a postura de segurança de um fornecedor de serviços cloud (CSP), suportando a decisão de conceder uma Autorização Provisória (PA) DoD que permite a um CSP alojar missões DoD. Incorpora, substitui e rescinde o Modelo de Segurança da Cloud (CSM) do DoD publicado anteriormente e mapeia para o DoD Risk Management Framework (RMF).
A DISA orienta as agências e departamentos do DoD no planeamento e autorização da utilização de um CSP. Também avalia as ofertas de CSP para conformidade com o SRG, um processo de autorização através do qual os CSPs podem fornecer documentação que delineia a sua conformidade com as normas DoD. Emite Autorizações Provisórias (ACs) DoD quando apropriado, para que as agências do DoD e as organizações de suporte possam utilizar serviços cloud sem terem de passar por um processo de aprovação total por conta própria, poupando tempo e esforço.
O memorando do DoD CIO de 15 de dezembro de 2014 sobre a Documentação de Orientação Atualizada sobre a Aquisição e Utilização dos Serviços de Computação na Cloud Comercial afirma que "o FedRAMP servirá como linha de base de segurança mínima para todos os serviços cloud DoD". O SRG utiliza a linha de base FedRAMP Moderado em todos os níveis de impacto da informação (IL) e considera a Linha base alta em alguns.
A Secção SRG 5.1.1Utilização do DoD dos Controlos de Segurança fedRAMP indica que as informações IL2 podem ser alojadas num CSP que detém minimamente um PA FedRAMP Moderado e um PA de Nível DoD 2, sujeitos ao cumprimento dos requisitos de segurança do pessoal descritos na Secção 5.6.2. No entanto, esta abordagem não alivia o CSP de cumprir outros requisitos de segurança e integração, conforme exigido pelo Proprietário da Missão. De acordo com os Requisitos de Localização e Separação do Nível 2 de Impacto do SRG Secção 5.2.2.1, o DOD IL2 PA é adequadamente abrangido por uma PA Moderada fedRAMP de modo a que os requisitos não sejam avaliados adicionalmente para um PA IL2.
Plataformas e serviços em nuvem no escopo da Microsoft
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender para Ponto de Extremidade
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 U.S. Government, Office 365 U.S. Government - High
- Power Apps
- Power Automate
- Power BI
Azure, Dynamics 365 e DoD IL2
Para obter mais informações sobre a conformidade com o Azure, o Dynamics 365 e outros serviços online, veja a oferta do Azure DoD IL2.
Office 365 e DoD IL2
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
GCC | Serviço de Feed de Atividades, Serviços Bing, Bookings, Delve, Exchange Online, Proteção do Exchange Online, Infraestrutura, Serviços Inteligentes, Microsoft Teams, Portal do Cliente do Office 365, Office Online, Serviço do Office, Relatórios de Utilização do Office, OneDrive para Empresas, Cartão Pessoas, SharePoint Online, Skype para Empresas, Windows Ink |
GCC Alta | Serviço de Feed de Atividades, Serviços Bing, Bookings, Exchange Online, Proteção do Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente do Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive para Empresas, Cartão Pessoas, SharePoint Online, Skype para Empresas, Windows Ink |
Recursos
- Soluções do Microsoft Government
- Guia de Requisitos de Segurança de Computação na Cloud do DoD
- Documentos FedRAMP
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
- NIST SP 800-53 Controlos deSegurança e Privacidade para Sistemas e Organizações de Informação
- Instrução DoD 8510.01DoD Risk Management Framework (RMF) para DoD Information Technology (TI)