Livello di impatto del Dipartimento della Difesa (DoD) 2 (IL2)
Panoramica di DoD IL2
La Defense Information Systems Agency (DISA) è un'agenzia del Dipartimento della Difesa (DoD) degli Stati Uniti responsabile dello sviluppo e della gestione della Guida ai requisiti di sicurezza del cloud computing DoD (SRG). L'SRG definisce i requisiti di sicurezza di base usati da DoD per valutare il comportamento di sicurezza di un provider di servizi cloud (CSP), supportando la decisione di concedere un'autorizzazione provvisoria DoD (PA) che consenta a un CSP di ospitare missioni DoD. Incorpora, sostituisce e revoca il modello CSM (DoD Cloud Security Model) pubblicato in precedenza e esegue il mapping a DoD Risk Management Framework (RMF).
DISA guida le agenzie e i reparti DoD nella pianificazione e nell'autorizzazione dell'uso di un CSP. Valuta anche le offerte CSP per la conformità con SRG, un processo di autorizzazione in base al quale i CSP possono fornire documentazione che ne delinea la conformità agli standard DoD. Rilascia autorizzazioni provvisorie DoD (PA) quando appropriato, quindi le agenzie DoD e le organizzazioni di supporto possono usare i servizi cloud senza dover eseguire autonomamente un processo di approvazione completo, risparmiando tempo e fatica.
La nota del CIO del 15 dicembre 2014 relativa alle linee guida aggiornate sull'acquisizione e l'uso dei servizi di cloud computing commerciali afferma che "FedRAMP fungerà da baseline di sicurezza minima per tutti i servizi cloud DoD". L'SRG usa la linea di base FedRAMP Moderate a tutti i livelli di impatto delle informazioni (IL) e considera la baseline elevata in alcuni casi.
La sezione 5.1.1doD di SRG usa i controlli di sicurezza FedRAMP indica che le informazioni IL2 possono essere ospitate in un CSP che contiene in modo minimo una PA FedRAMP Moderate e una PA di livello DoD 2, in conformità ai requisiti di sicurezza del personale descritti nella sezione 5.6.2. Tuttavia, questo approccio non impedisce al CSP di soddisfare altri requisiti di sicurezza e integrazione come richiesto dal proprietario della missione. Secondo la sezione 5.2.2.1dei requisiti di posizione e separazione del livello di impatto 2 di SRG, DoD IL2 PA è adeguatamente coperto da un pa fedRAMP moderato in modo che i requisiti non vengano ulteriormente valutati per un PA IL2.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure
- Dynamics 365
- Microsoft Defender for Cloud Apps
- Microsoft Defender per endpoint
- Microsoft Graph
- Microsoft Intune
- Microsoft Stream
- Office 365 U.S. Government, Office 365 U.S. Government - High
- Power Apps
- Power Automate
- Power BI
Azure, Dynamics 365 e DoD IL2
Per altre informazioni su Azure, Dynamics 365 e altri servizi online, vedere l'offerta Azure DoD IL2.
Office 365 e DoD IL2
Ambienti di Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
GCC | Servizio Feed attività, Servizi Bing, Prenotazioni, Delve, Exchange Online, Exchange Online Protection, Infrastruttura, Servizi intelligenti, Microsoft Teams, Portale clienti di Office 365, Office Online, Servizio Office, Report sull'utilizzo di Office, OneDrive for Business, Scheda Persone, SharePoint Online, Skype for Business, Windows Ink |
GCC High | Servizio Feed attività, Servizi Bing, Prenotazioni, Exchange Online, Exchange Online Protection, Servizi intelligenti, Microsoft Teams, Portale clienti di Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, People Card, SharePoint Online, Skype for Business, Windows Ink |
Risorse
- Soluzioni microsoft per enti pubblici
- Guida ai requisiti di sicurezza di DoD Cloud Computing
- Documenti FedRAMP
- NIST SP 800-37Risk Management Framework for Information Systems and Organizations: A System Life-Cycle Approach for Security and Privacy
- Controlli di sicurezza e privacy NIST SP 800-53per sistemi informativi e organizzazioni
- Istruzione DoD 8510.01DoD Risk Management Framework (RMF) per DoD Information Technology (IT)