NIST SP 800-171
Über NIST SP 800-171
Das US National Institute of Standards and Technology (NIST) fördert und pflegt Messstandards und -richtlinien, um die Informations- und Informationssysteme von Bundesbehörden zu schützen. Als Reaktion auf den Executive Order 13556 über die Verwaltung kontrollierter nicht klassifizierter Informationen (CUI) veröffentlichte es NIST SP 800-171, Schutz kontrollierter nicht klassifizierter Informationen in nichtfederalen Informationssystemen und Organisationen. CUI ist definiert als digitale und physische Informationen, die von einer Regierung (oder einer Entität in ihrem Namen) erstellt wurden, die zwar nicht klassifiziert, aber dennoch vertraulich sind und schutz erfordern.
NIST SP 800-171 wurde ursprünglich im Juni 2015 veröffentlicht und seitdem mehrmals aktualisiert, um auf sich entwickelnde Cyberbedrohungen zu reagieren. Sie enthält Richtlinien dazu, wie auf CUI sicher zugegriffen, übertragen und in nichtfederalen Informationssystemen und Organisationen gespeichert werden sollte; seine Anforderungen fallen in vier Standard Kategorien:
- Kontrollen und Prozesse zum Verwalten und Schützen
- Überwachung und Verwaltung von IT-Systemen
- Klare Vorgehensweisen und Verfahren für Endbenutzer
- Umsetzung technologischer und physischer Sicherheitsmaßnahmen
Microsoft und NIST SP 800-171
Akkreditierte Bewertungs-Drittanbieterorganisationen Kratos Secureinfo und Coalfire haben sich mit Microsoft zusammengetan, um bei der Verarbeitung von CUI die Kriterien in NIST SP 800-171 , Schutz kontrollierter unklassifizierter Informationen (CUI) in nichtfederalen Informationssystemen und Organisationen zu bestätigen. Die Implementierung der FedRAMP-Anforderungen von Microsoft trägt dazu bei, sicherzustellen, dass die in-scope-Clouddienste von Microsoft die Anforderungen von NIST SP 800-171 erfüllen oder übertreffen, indem die bereits vorhandenen Systeme und Verfahren verwendet werden.
NIST SP 800-171-Anforderungen sind eine Teilmenge von NIST SP 800-53, dem Standard, den FedRAMP verwendet. Anhang D von NIST SP 800-171 enthält eine direkte Zuordnung seiner CUI-Sicherheitsanforderungen zu den relevanten Sicherheitskontrollen in NIST SP 800-53, für die die in-scope Cloud Services bereits im Rahmen des FedRAMP-Programms bewertet und autorisiert wurden.
Jede Entität, die CUI der US-Regierung verarbeitet oder speichert – Forschungseinrichtungen, Beratungsunternehmen, Fertigungsunternehmer, muss die strengen Anforderungen von NIST SP 800-171 erfüllen. Dieser Nachweis bedeutet, dass Microsoft-Clouddienste im Gültigkeitsbereich Kunden unterstützen können, die CUI-Workloads bereitstellen möchten, mit der Gewissheit, dass Microsoft vollständig konform ist. Beispielsweise erfüllen alle Auftragnehmer des Verteidigungsministeriums, die "abgedeckte Verteidigungsinformationen" mithilfe von Microsoft-Clouddiensten im Rahmen ihrer Informationssysteme verarbeiten, speichern oder übertragen, die DFARS-Klauseln des US-Verteidigungsministeriums, die die Einhaltung der Sicherheitsanforderungen von NIST SP 800-171 erfordern.
Zu Microsoft gehörende Cloudplattformen und -dienste
- Azure Commercial, Azure Government
- Dynamics 365 US-Regierung
- Intune
- Office 365 U.S. Government Community Cloud (GCC), Office 365 GCC High und DoD
- Beachten Sie, dass Office 365 Commercial nicht in die Für NIST 800-171 durchgeführte Prüfung von Drittanbietern einbezogen wird und nicht in den Geltungsbereich fällt.
Azure, Dynamics 365 und NIST SP 800-171
Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinedienste Compliance finden Sie im Azure NIST SP 800-171-Angebot.
Office 365 und NIST SP 800-171
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
GCC | Aktivitätsfeeddienst, Bing-Dienste, Delve, Exchange Online, Intelligent Services, Microsoft Teams, Office 365-Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink |
GCC High | Aktivitätsfeeddienst, Bing-Dienste, Exchange Online, Intelligente Dienste, Microsoft Teams, Office 365 Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, SharePoint Online, Skype for Business, Windows Ink |
DoD | Aktivitätsfeeddienst, Bing-Dienste, Exchange Online, Intelligente Dienste, Office 365 Kundenportal, Office Online, Office-Dienstinfrastruktur, Office-Nutzungsberichte, OneDrive for Business, Personen Card, Microsoft Teams, SharePoint Online, Skype for Business, Windows Ink |
Häufig gestellte Fragen
Kann ich microsoft compliance with NIST SP 800-171 for my organization verwenden?
Ja Microsoft-Kunden können die in den Berichten von unabhängigen Bewertungsorganisationen (3PAO) von unabhängigen Bewertungsorganisationen (3PAO) zu FedRAMP-Standards beschriebenen überwachten Kontrollen als Teil ihrer eigenen FedRAMP- und NIST-Risikoanalyse und -qualifizierung verwenden. Diese Berichte belegen die Wirksamkeit der Kontrollen, die Microsoft in seinen cloudbasierten Diensten implementiert hat. Kunden sind dafür verantwortlich, sicherzustellen, dass ihre CUI-Workloads den NIST SP 800-171-Richtlinien entsprechen.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Complianceportal, das Ihnen hilft, den Compliancestatus Ihrer organization zu verstehen und Maßnahmen zur Verringerung von Risiken zu ergreifen. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.