Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о DFARS
21 октября 2016 года Министерство обороны (DoD) опубликовало свое окончательное правило, внося изменения в дополнение к федеральному регламенту по приобретению обороны (DFARS) и налагая обязательства по защите и отчетности о кибер-инцидентах для оборонных подрядчиков, чьи информационные системы обрабатывают, хранят или передают охваченную оборонную информацию (CDI).
В заключительном предложении DFARS 252.204-7012 (Защита информации о защите и отчетности о кибер-инцидентах) указаны меры безопасности, включающие требования к отчетности о кибер-инцидентах и другие рекомендации для поставщиков облачных служб. Согласно DFARS 252.204-7012, все подрядчики DoD и оборонно-промышленная база обязаны соблюдать требования DFARS к адекватной безопасности "как можно скорее, но не позднее 31 декабря 2017 года".
Майкрософт и DFARS
Облачные службы Майкрософт для государственных организаций помогают клиентам США оборонной промышленной базы и оборонным подрядчикам соответствовать требованиям DFARS, перечисленным в положениях DFARS от 252.204-7012, которые применяются к поставщикам облачных служб. Если оборонные подрядчики обязаны соблюдать положения DFARS 252.204-7012 в контрактах, корпорация Майкрософт может поддержать требования, применимые к поставщикам облачных служб для Azure для государственных организаций и Office 365 служб обороны правительства США. Обе службы демонстрируют поддержку возможностей, необходимых клиентам для соблюдения положений DFARS 7012 путем их аккредитации L5 в Руководстве по требованиям безопасности Министерства обороны.
Затрагиваемые облачные платформы и службы Майкрософт
Охваченные службы для уровня влияния DoD 5
- Azure и Azure для государственных организаций
- Office 365 правительства США и Office 365 обороны правительства США
Azure, Майкрософт Dynamics 365 и DFARS
Дополнительные сведения о Azure, Dynamics 365 и других веб-службы соответствия см. в разделе предложение Azure DFARS.
Office 365 и DFARS
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| GCC | Диспетчер соответствия требованиям, Delve, Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, MyAnalytics Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive, Planner, Power Apps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса, Stream |
| GCC High | Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive, Planner, Power Apps, Power Automate, Power BI, SharePoint Online, Skype для бизнеса |
| DoD | Exchange Online, Forms, Microsoft Defender для Office 365, Microsoft Entra ID, портал Microsoft Purview, Microsoft Teams, Office 365 Advanced Compliance надстройка, Office Online, Office Pro Plus, OneDrive, Planner, Power BI, SharePoint Online, Skype для бизнеса |
Аудит, отчеты и сертификаты Office 365
Вопросы и ответы
Какие требования DFARS Office 365 поддержке государственной обороны США?
Office 365 обороны правительства США позволяет нашим клиентам оборонно-промышленной базы и оборонных подрядчиков соответствовать требованиям DFARS, изложенным в положениях DFARS от 252.204-7012, которые применяются к поставщикам облачных служб.
Подтвердил ли независимый оценитель, что Office 365 обороны правительства США поддерживает требования DFARS?
Да, сторонняя организация оценки подтверждает, что предложение Office 365 облачной службы обороны правительства США соответствует применимым требованиям положения DFARS 252.204-7012 (Защита неклассифицированной контролируемой технической информации).
Какова связь между управляемой неклассифицированной информацией (CUI) и защищенной информацией (CDI)?
CUI — это информация, которая требует контроля за защитой или распространением в соответствии с законодательством, регулированием или политикой на уровне правительства. Реестр CUI определяет утвержденные категории и подкатегории CUI.
CDI — это контролируемая техническая информация или другая информация (как описано в Реестре CUI), которая требует контроля за защитой или распространением.
- Помечены или иным образом определены в контракте, заказе задачи или заказе на поставку и предоставляются подрядчику или от имени Министерства управления сша в связи с выполнением контракта.
или
- Сбор, разработка, получение, передача, использование или хранение подрядчиком или от имени подрядчика в поддержку выполнения контракта.
Соответствуют ли все Microsoft Office 365 службы требованиям "адекватной безопасности", применимым к "защищенной информации о защите" в соответствии с регламентом DFARS?
В октябре 2016 года Министерство обороны (DoD) обнародовало окончательное правило, реализующее положения Федерального дополнения к регулированию оборонных закупок (DFARS), которые применяются ко всем подрядчикам Министерства обороны, которые обрабатывают, хранят или передают "охваченную оборонную информацию" через свои информационные системы. В правиле говорится, что такие системы должны соответствовать требованиям безопасности, определенным в NIST SP 800-171 , Защита контролируемой неклассифицированной информации в нефедеральных информационных системах и организациях, или "альтернативной, но одинаково эффективной меры безопасности", одобренной сотрудником по контракту DoD. И когда подрядчик Министерства обороны использует внешнего поставщика облачных служб для обработки, хранения или передачи информации о защите; такой поставщик должен соответствовать требованиям безопасности, эквивалентным базовому плану FedRAMP Moderate.
Следующие Microsoft Office 365 облачные службы имеют умеренную авторизацию FedRAMP и достаточно для DFARS: Office 365 правительства США и Office 365 обороны правительства США.
Кроме того, предложения Корпорации Майкрософт за пределами границы, сертифицированной FedRAMP, которые подрядчики DoD могут потенциально использовать для обработки, хранения или передачи "защищенной информации о защите", проходят проверку для соблюдения 31 декабря 2017 года, крайний срок соответствия требованиям. Корпорация Майкрософт работает над документом о том, как эти внутренние и клиентские службы соответствуют требованиям NIST SP 800-171 или приемлемому эквиваленту безопасности, чтобы соответствовать соответствующим условиям DFARS.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.