NIST SP 800-171
О NIST SP 800-171
Национальный институт стандартов и технологий США (NIST) продвигает и поддерживает стандарты измерения и руководящие принципы для защиты информации и информационных систем федеральных агентств. В ответ на указ 13556 об управлении контролируемой несекретной информацией (CUI) она опубликовала NIST SP 800-171, Защита контролируемой неклассифицированной информации в нефедеральных информационных системах и организациях. CUI определяется как цифровая и физическая информация, созданная правительством (или организацией от его имени), которая, хотя и не классифицируется, по-прежнему является конфиденциальной и требует защиты.
NIST SP 800-171 был первоначально опубликован в июне 2015 года и с тех пор несколько раз обновлялся в ответ на эволюцию киберугроз. В ней содержатся рекомендации по безопасному доступу к CUI, передаче и хранению в нефедеральных информационных системах и организациях; его требования делятся на четыре main категории:
- Элементы управления и процессы для управления и защиты
- Мониторинг ИТ-систем и управление ими
- Четкие методики и процедуры для конечных пользователей
- Реализация технологических и физических мер безопасности
Microsoft и NIST SP 800-171
Аккредитованные сторонние организации оценки, Kratos Secureinfo и Coalfire, сотрудничают с корпорацией Майкрософт, чтобы подтвердить, что их область облачные службы соответствуют критериям, указанным в NIST SP 800-171, Защита контролируемой неклассифицированной информации (CUI) в нефедеральных информационных системах и организациях при обработке CUI. Реализация майкрософт требований FedRAMP помогает гарантировать, что облачные службы Корпорации Майкрософт в область соответствуют требованиям NIST SP 800-171 или превышают их, используя уже существующие системы и методики.
Требования NIST SP 800-171 являются подмножеством NIST SP 800-53, стандарта, который использует FedRAMP. Приложение D к NIST SP 800-171 содержит прямое сопоставление требований к безопасности CUI с соответствующими средствами управления безопасностью в NIST SP 800-53, для которых область облачные службы уже оценены и авторизованы в рамках программы FedRAMP.
Любая организация, которая обрабатывает или хранит CUI правительства США — исследовательские учреждения, консультационные компании, подрядчики-производители, должны соответствовать строгим требованиям NIST SP 800-171. Эта аттестация означает, что область облачные службы Майкрософт могут разместить клиентов, желающих развернуть рабочие нагрузки CUI, с гарантией того, что корпорация Майкрософт полностью соответствует требованиям. Например, все подрядчики Министерства обороны США, которые обрабатывают, хранят или передают "закрытую информацию о защите", используя область облачные службы Майкрософт в своих информационных системах, соответствуют требованиям DFARS Министерства обороны США, которые требуют соблюдения требований безопасности NIST SP 800-171.
Затрагиваемые облачные платформы и службы Майкрософт
- Коммерческая служба Azure, Azure для государственных организаций
- Dynamics 365 правительства США
- Intune
- Office 365 облако сообщества государственных организаций США (GCC), Office 365 GCC High и DoD
- Обратите внимание, что Office 365 Commercial не входит в сторонний аудит, проведенный для NIST 800-171, и не находится в область.
Azure, Dynamics 365 и NIST SP 800-171
Дополнительные сведения об Azure, Dynamics 365 и других веб-службы соответствия см. в статье Предложение Azure NIST SP 800-171.
Office 365 и NIST SP 800-171
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
Применимость | Затрагиваемые службы |
---|---|
GCC | Служба веб-канала действий, службы Bing, Delve, Exchange Online, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди карточка, SharePoint Online, Skype для бизнеса, Windows Ink |
GCC High | Служба веб-канала действий, службы Bing, Exchange Online, интеллектуальные службы, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди карточка, SharePoint Online, Skype для бизнеса, Windows Ink |
DoD | Служба веб-канала действий, службы Bing, Exchange Online, интеллектуальные службы, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, Люди карточка, Microsoft Teams, SharePoint Online, Skype для бизнеса, Windows Ink |
Вопросы и ответы
Можно ли использовать соответствие требованиям Майкрософт с NIST SP 800-171 для моей организации?
Да. Клиенты Майкрософт могут использовать проверенные элементы управления, описанные в отчетах независимых сторонних организаций по оценке (3PAO) по стандартам FedRAMP, в рамках собственных усилий по анализу рисков и квалификации FedRAMP и NIST. Эти отчеты свидетельствуют об эффективности элементов управления, реализованных корпорацией Майкрософт в область облачных службах. Клиенты несут ответственность за обеспечение соответствия рабочих нагрузок CUI рекомендациям NIST SP 800-171.
Использование Microsoft Purview Compliance Manager для оценки риска
Microsoft Purview Compliance Manager — это функция в Портал соответствия требованиям Microsoft Purview, которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.