FedRAMP (Programa Federal de Gerenciamento de Autorização e Risco)

Visão geral do FedRAMP

O FedRAMP (Federal Risk and Authorization Management Program) dos EUA foi criado para fornecer uma abordagem padronizada para avaliar, monitorar e autorizar produtos e serviços de computação em nuvem sob a Lei Federal de Gerenciamento de Segurança da Informação (FISMA) e acelerar a adoção de soluções de nuvem seguras por agências federais.

O Office of Management and Budget agora exige que todas as agências federais executivas usem o FedRAMP para validar a segurança dos serviços de nuvem. (Outras agências também a adotaram, portanto, é útil em outras áreas do setor público também.) O NIST (National Institute of Standards and Technology) SP 800-53 define os padrões obrigatórios, estabelece categorias de segurança de sistemas de informações — confidencialidade, integridade e disponibilidade — para avaliar o impacto potencial em uma organização caso seus sistemas de informações e informações sejam comprometidos. O FedRAMP é o programa que certifica que um CSP (provedor de serviços de nuvem) atende a esses padrões.

Os CSPs que desejam vender serviços a uma agência federal podem seguir três caminhos para demonstrar a conformidade do FedRAMP:

  • Ganhe uma Autoridade Provisória para Operar (P-ATO) do Jab (Joint Authorization Board). O JAB é o principal órgão de governança e tomada de decisões do FedRAMP. Representantes do Departamento de Defesa, do Departamento de Segurança Interna e da Administração dos Serviços Gerais servem no conselho. O conselho concede uma P-ATO a CSPs que demonstraram a conformidade do FedRAMP.
  • Receber uma ATO (Autoridade para Operar) de uma agência federal.
  • Ou trabalhe de forma independente para desenvolver um pacote fornecido por CSP que atenda aos requisitos do programa.

Cada um desses caminhos requer uma revisão técnica rigorosa pelo PMO (FedRAMP Program Management Office) e uma avaliação por uma organização independente de terceiros que é credenciada pelo programa.

As autorizações fedRAMP são concedidas em três níveis de impacto com base nas diretrizes NIST: baixa, média e alta. Esses níveis classificam o impacto que a perda de confidencialidade, integridade ou disponibilidade pode ter em uma organização — baixo (efeito limitado), médio (efeito adverso grave) e alto (efeito severo ou catastrófico).

Microsoft e FedRAMP

Os serviços de nuvem do governo da Microsoft, incluindo Azure Governamental, Dynamics 365 Governo e Office 365 governo dos EUA atendem aos requisitos exigentes do FedRAMP (Federal Risk and Authorization Management Program), permitindo que as agências federais dos EUA se beneficiem da economia de custos e da segurança rigorosa do Microsoft Cloud.

Os serviços de nuvem do governo da Microsoft oferecem aos clientes do setor público uma rica variedade de serviços em conformidade com o FedRAMP e ferramentas robustas de orientação e implementação, incluindo o projeto FedRAMP High, que ajuda os clientes a implantar um conjunto principal de políticas para qualquer arquitetura implantada pelo Azure que deve implementar controles FedRAMP High.

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure e Azure Governamental
  • Dynamics 365 governo dos EUA
  • Intune
  • Office 365 (governo dos EUA, governo dos EUA - alta defesa do governo dos EUA)
  • Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote do Office 365
  • Windows 365 (Governo dos EUA, Governo dos EUA - Alto)

Azure, Dynamics 365 e FedRAMP

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta fedRAMP do Azure.

Office 365 e FedRAMP

  • Office 365 e Office 365 governo dos EUA têm uma ATO do Departamento de Saúde e Serviços Humanos dos EUA (DHHS).
  • Office 365 Defesa do Governo dos EUA tem uma P-ATO da DisA (Agência de Sistemas de Informações de Defesa dos EUA). Qualquer cliente que deseje implantar Office 365 Defesa do Governo dos EUA pode usar o DISA P-ATO para gerar uma ATO da agência para documentar sua aceitação dele.
  • Office 365 (planos empresariais e empresariais) e Office 365 governo dos EUA têm uma ATO da Agência FedRAMP no Nível de Impacto Moderado do Escritório DHHS do Inspetor-Geral. Office 365 governo dos EUA foi o primeiro serviço de e-mail e colaboração baseado em nuvem a obter essa autorização.

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões na mesma área geográfica (por exemplo, o Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados de clientes fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Office 365 Government Community Cloud (GCC): listado no marketplace do FedRAMP como Office 365 (Comercial) e também conhecido como Office 365 Multilocatário e o ambiente GCC. Office 365 serviço de nuvem do GCC está disponível para Estados Unidos governos federais, estaduais, locais e tribais e empreiteiros que mantêm ou processam dados em nome do Governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem consultoria jurídica e você deve consultar consultores jurídicos para obter dúvidas sobre conformidade regulatória para sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
GCC Serviço de Feed de Atividades, Bing Services, Reservas, Delve, Exchange Online, Proteção do Exchange Online, Infraestrutura, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Office Service, Relatórios de Uso do Office, OneDrive for Business, Pessoas Card, SharePoint Online, Skype for Business, Windows Ink
GCC Alta Serviço de Feed de Atividades, Serviços de Bing, Reservas, Exchange Online, Proteção do Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, Pessoas Card, SharePoint Online, Skype for Business, Windows Ink
DoD Serviço de Feed de Atividades, Serviços de Bing, Reservas, Proteção do Exchange Online, Exchange Online, Serviços Inteligentes, Microsoft Teams, Portal do Cliente Office 365, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, Pessoas Card, SharePoint Online, Skype for Business, Windows Ink

Auditorias Office 365, relatórios e certificados

A Microsoft tem a obrigação de certificar novamente seus serviços de nuvem todos os anos para manter os P-ATOs e ATOs. Para isso, a Microsoft deve monitorar e avaliar seus controles de segurança continuamente e demonstrar que a segurança de seus serviços permanece em conformidade.

Perguntas frequentes

Os serviços de nuvem da Microsoft estão em conformidade com a Lei Federal de Gerenciamento de Segurança de Informações (FISMA)?

FISMA é a lei federal que exige que as agências federais dos EUA e seus parceiros obtêm sistemas e serviços de informações apenas de organizações que aderem aos requisitos fisma. A maioria das agências e seus fornecedores que indicam que eles estão em conformidade com FISMA estão se referindo à forma como atendem aos controles identificados pelo NIST na Publicação Especial 800-53 rev 4. O processo FISMA (mas não os próprios padrões subjacentes) foi substituído pelo FedRAMP em 2011.

A quem o FedRAMP se aplica?

"FedRAMP é obrigatório para implantações de nuvem da agência federal e modelos de serviço nos níveis de impacto de risco baixo e moderado." Qualquer agência federal que queira contratar um CSP pode ser necessária para atender às especificações do FedRAMP. Além disso, as empresas que empregam tecnologias de nuvem em produtos ou serviços usados pelo governo federal podem ser necessárias para obter uma ATO.

Onde minha agência inicia seu próprio esforço de conformidade?

Para obter uma visão geral das etapas que as agências federais devem tomar para navegar com êxito no FedRAMP e atender aos seus requisitos, acesse Obter Autorização: Autorização da Agência.

Posso usar a conformidade da Microsoft no processo de autorização da minha agência?

Sim. Você pode usar as certificações dos serviços de nuvem da Microsoft como base para qualquer programa ou iniciativa que exija uma ATO de uma agência do governo federal. No entanto, você precisa obter suas próprias autorizações para componentes fora desses serviços.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos