CSF (National Institute of Standards and Technology) Cybersecurity Framework (CSF)

Visão geral do CSF do NIST

O NIST (National Institute of Standards and Technology) promove e mantém padrões de medição e diretrizes para ajudar as organizações a avaliar o risco. Em resposta à Ordem Executiva 13636 sobre o fortalecimento da segurança cibernética das redes federais e da infraestrutura crítica, o NIST lançou o Framework for Improving Critical Infrastructure Cybersecurity (FICIC) em fevereiro de 2014.

As main prioridades do FICIC foram estabelecer um conjunto de padrões e práticas para ajudar as organizações a gerenciar o risco de segurança cibernética, permitindo a eficiência dos negócios. O NIST Framework aborda o risco de segurança cibernética sem impor requisitos regulatórios adicionais para organizações governamentais e do setor privado.

O FICIC faz referência a padrões reconhecidos globalmente, incluindo o NIST SP 800-53 encontrado no Apêndice A da Estrutura do NIST para melhorar a segurança cibernética de infraestrutura crítica. Cada controle dentro da estrutura FICIC é mapeado para controles NIST 800-53 correspondentes dentro da Linha de Base Moderada do FedRAMP.

Microsoft e o NIST CSF

O CSF (NIST Cybersecurity Framework) é uma Estrutura voluntária que consiste em padrões, diretrizes e práticas recomendadas para gerenciar riscos relacionados à segurança cibernética. Os serviços da Microsoft Cloud passaram por auditorias independentes e de terceiros do FedRAMP Moderate e High Baseline e são certificados de acordo com os padrões fedRAMP. Além disso, por meio de uma avaliação validada realizada pela HITRUST, uma organização líder de desenvolvimento e credenciamento de padrões de segurança e privacidade, Office 365 é certificada para os objetivos especificados no CSF NIST.

Saiba como acelerar a implantação do NIST Cybersecurity Framework com o Compliance Manager e nosso Azure Security and Compliance Blueprint:

Plataformas e serviços em nuvem no escopo da Microsoft

  • Azure Governamental
  • Dynamics 365 para o governo
  • Office 365

CSF do Azure, Dynamics 365 e NIST

Para obter mais informações sobre o Azure, Dynamics 365 e outras serviços online conformidade, consulte a oferta do CSF NIST do Azure.

Office 365 e NIST CSF

ambientes Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Esta seção aborda os seguintes ambientes de Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial Serviço de Feed de Atividades, Bing Services, Delve, Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Uso do Office, OneDrive for Business, cartão Pessoas, SharePoint Online, Skype for Business, Windows Ink

Office 365 ciclo de auditoria e certificação

A certificação NIST CSF de Office 365 é válida por dois anos.

Perguntas frequentes

Um assessor independente validou que Office 365 dá suporte aos requisitos do CSF NIST?

Sim, Office 365 obteve a carta de certificação CSF NIST da HITRUST em julho de 2019.

Como a Microsoft Serviços de Nuvem demonstrar conformidade com a estrutura?

Usando os relatórios formais de auditoria preparados por terceiros para o credenciamento fedRAMP, a Microsoft pode mostrar como controles relevantes observados nesses relatórios demonstram a conformidade com o NIST Framework para melhorar a segurança cibernética de infraestrutura crítica. Os controles auditados implementados pela Microsoft servem para garantir a confidencialidade, integridade e disponibilidade dos dados armazenados, processados e transmitidos pelo Azure, Office 365 e Dynamics 365 que foram identificados como responsabilidade da Microsoft.

Quais são as responsabilidades da Microsoft para manter a conformidade com essa iniciativa?

A participação no FICIC é voluntária. No entanto, a Microsoft garante que Office 365 atenda aos termos definidos nos Termos de Serviços Online e contratos de nível de serviço aplicáveis.

Posso usar a conformidade da Microsoft para minha organização?

Sim. Os relatórios independentes de conformidade de terceiros para os padrões fedRAMP atestam a eficácia dos controles que a Microsoft implementou para manter a segurança e a privacidade do Microsoft Serviços de Nuvem. Os clientes da Microsoft podem usar os controles auditados descritos nesses relatórios relacionados como parte de seus próprios esforços de análise e qualificação de risco do FedRAMP e NIST FICIC.

Quais organizações são consideradas pelo governo Estados Unidos como infraestrutura crítica?

De acordo com o Departamento de Segurança Interna, eles incluem organizações nos seguintes setores: Produtos Químicos, Instalações Comerciais, Comunicações, Manufatura Crítica, Barragens, Base Industrial de Defesa, Serviços de Emergência, Energia, Serviços Financeiros, Alimentos e Agricultura, Instalações Governamentais, Saúde e Saúde Pública, Tecnologia da Informação, Nuclear (Reatores Materiais e Resíduos), Sistemas de Transporte e Água (e Águas Residuais).

Por que alguns serviços Office 365 não estão no escopo dessa certificação?

A Microsoft fornece as ofertas mais abrangentes em comparação com outros provedores de serviços de nuvem. Para acompanhar nossas amplas ofertas de conformidade entre regiões e setores, incluímos serviços no escopo de nossos esforços de garantia com base na demanda do mercado, nos comentários dos clientes e no ciclo de vida do produto. Se um serviço não estiver incluído no escopo atual de uma oferta de conformidade específica, sua organização terá a responsabilidade de avaliar os riscos com base em suas obrigações de conformidade e determinar a maneira como processa os dados nesse serviço. Coletamos continuamente comentários de clientes e trabalhamos com reguladores e auditores para expandir nossa cobertura de conformidade para atender às suas necessidades de segurança e conformidade.

Use o Microsoft Purview Compliance Manager para avaliar seu risco

O Microsoft Purview Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos