требованиям Федеральной программы управления рисками и авторизацией (FedRAMP);

Общие сведения о FedRAMP

Федеральная программа управления рисками и авторизацией США (FedRAMP) предоставляет стандартизированный подход для оценки, мониторинга и авторизации продуктов и служб облачных вычислений в соответствии с Федеральным законом об управлении информационной безопасностью (FISMA). Это ускоряет внедрение защищенных облачных решений федеральными агентствами.

Управление по управлению и бюджету теперь требует, чтобы все федеральные учреждения исполнительной власти использовали FedRAMP для проверки безопасности облачных служб. Другие агентства также приняли его, поэтому он полезен и в других областях государственного сектора, а также. Национальный институт стандартов и технологий (NIST) SP 800-53 устанавливает обязательные стандарты. Он устанавливает категории безопасности информационных систем (конфиденциальность, целостность и доступность) для оценки потенциального воздействия на организацию в случае компрометации ее информационных систем. FedRAMP — это программа, которая подтверждает, что поставщик облачных служб (CSP) соответствует этим стандартам.

Поставщики услуг, желающие продавать услуги федеральному агентству, могут продемонстрировать соответствие FedRAMP тремя способами:

  • Получите временные полномочия для работы (P-ATO) от Объединенного совета по авторизации (JAB). JAB является основным органом управления и принятия решений для FedRAMP. В состав совета директоров вступают представители Министерства обороны, Министерства внутренней безопасности и Администрации общего обслуживания. Совет директоров предоставляет P-ATO ЦС, которые демонстрируют соответствие FedRAMP.
  • Получите полномочия по эксплуатации (АТО) от федерального агентства.
  • Независимо разрабатывайте предоставленный пакет CSP, соответствующий требованиям программы.

Для каждого из этих путей требуется строгая техническая проверка Со стороны Управления программами FedRAMP (PMO) и оценка независимой сторонней организацией, аккредитуемой программой.

Разрешения FedRAMP предоставляются на трех уровнях влияния на основе руководящих принципов NIST: низкий, средний и высокий. Эти уровни ранжируют влияние, которое может оказать потеря конфиденциальности, целостности или доступности на организацию: низкое (ограниченный эффект), среднее (серьезное негативное воздействие) и высокое (серьезный или катастрофический эффект).

Майкрософт и FedRAMP

Облачные службы майкрософт для государственных организаций, включая Azure для государственных организаций, Microsoft Dynamics 365 государственных организаций и Office 365 правительства США, соответствуют требованиям Федеральной программы управления рисками и авторизацией США (FedRAMP). Федеральные агентства США получают выгоду от экономии средств и строгой безопасности Microsoft Cloud.

Облачные службы Майкрософт для государственных организаций предлагают клиентам государственного сектора широкий спектр служб, совместимых с FedRAMP, а также надежные инструменты руководства и реализации, включая схему FedRAMP High, которая помогает клиентам развернуть основной набор политик для любой архитектуры, развернутой Azure, которая должна реализовывать элементы управления FedRAMP High.

Microsoft in-область облачные платформы и службы

  • Azure и Azure для государственных организаций
  • Dynamics 365 правительства США
  • Microsoft Intune
  • Office 365 (правительство США, правительство США - Высокий, оборона правительства США)
  • Облачная служба Power BI в виде автономной службы или в составе плана либо набора Office 365
  • Windows 365 (правительство США, правительство США - высокий)

Azure, Dynamics 365 и FedRAMP

Дополнительные сведения о Azure, Dynamics 365 и других веб-службы соответствии см. в разделе предложение FedRAMP Azure.

Office 365 и FedRAMP

  • Office 365 правительства США (GCC и GCCH) имеют АТО от агентств США. Дополнительные сведения см. в записях FedRAMP Marketplace для GCC и GCCH.
  • Office 365 обороны правительства США имеет P-ATO от Агентства оборонных информационных систем США (DISA). Если вы хотите развернуть Office 365 обороны правительства США, вы можете использовать DISA P-ATO для создания агентства ATO, чтобы задокументировать ваше согласие с ним.

Office 365 среды

Microsoft Office 365 — это мультитенантная облачная платформа с гипермасштабированием и интегрированный интерфейс приложений и служб, доступных клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в пределах того же географического региона (например, США) для обеспечения устойчивости данных, но корпорация Майкрософт не реплицирует данные клиентов за пределами выбранного географического региона.

В этом разделе рассматриваются следующие Office 365 среды:

  • Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
  • Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
  • Office 365 для государственных организаций Community Cloud (GCC): на рынке FedRAMP указано как Office 365 (коммерческое), а также известное как Office 365 Multitenant, и среда GCC. Office 365 облачная служба GCC доступна для США федеральных, государственных, местных и племенных правительств, а также подрядчиков, владеющих или обрабатывающих данные от имени правительства США.
  • Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
  • Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.

Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.

Ваша организация отвечает за соблюдение всех применимых законов и нормативных актов. Информация, указанная в этом разделе, не является юридической консультацией. Обратитесь к юридическим консультантам по любым вопросам, связанным с соответствием нормативным требованиям для вашей организации.

Применимость Office 365 и затрагиваемые службы

Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.

Применимость Затрагиваемые службы
GCC Служба веб-канала действий, службы Bing, Bookings, Delve, Exchange Online, Exchange Online Protection, инфраструктура, интеллектуальные службы, Microsoft 365 Copilot, Microsoft Teams, Office 365 клиентский портал, Office Online, служба Office, отчеты об использовании Office, OneDrive для бизнеса, People Card, SharePoint Online, Windows Ink
GCC High Служба веб-канала действий, службы Bing, Bookings, Exchange Online, Exchange Online Protection, интеллектуальные службы, Microsoft 365 Copilot, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, People Card, SharePoint Online, Windows Ink
DoD Служба веб-канала действий, службы Bing, Bookings, Exchange Online Protection, Exchange Online, интеллектуальные службы, Microsoft 365 Copilot, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, People Card, SharePoint Online, Windows Ink

Аудит, отчеты и сертификаты Office 365

Корпорация Майкрософт ежегодно исправляет свои облачные службы для поддержки своих P-ATOs и ATOS. Для этого корпорация Майкрософт постоянно отслеживает и оценивает свои средства управления безопасностью и демонстрирует, что безопасность своих служб остается в соответствии с требованиями.

Вопросы и ответы

Соответствуют ли облачные службы Майкрософт Федеральному закону об управлении информационной безопасностью (FISMA)?

FISMA — это федеральный закон, который требует от федеральных агентств США и их партнеров закупать информационные системы и услуги только у организаций, которые соответствуют требованиям FISMA. Большинство агентств и их поставщиков, которые указывают, что они соответствуют FISMA, имеют в виду, как они соответствуют элементам управления, определенным NIST в специальной публикации 800-53 rev 4. Процесс FISMA (но не сами базовые стандарты) был заменен FedRAMP в 2011 году.

К кому применяется FedRAMP?

FedRAMP является обязательным для облачных развертываний и моделей служб федеральных агентств с низким и средним уровнем влияния на риск. Любое федеральное агентство, которое хочет задействовать CSP, может быть обязано соответствовать спецификациям FedRAMP. Кроме того, компаниям, которые используют облачные технологии в продуктах или услугах, используемых федеральным правительством, может потребоваться получить АТО.

Где мое агентство начинает свои собственные усилия по обеспечению соответствия требованиям?

Общие сведения о шагах, которые должны предпринять федеральные агентства для успешного перехода к FedRAMP и удовлетворения ее требований, см. в разделе Авторизация агентства Rev5.

Можно ли использовать соответствие требованиям Майкрософт в процессе авторизации моего агентства?

Да. Вы можете использовать сертификаты облачных служб Майкрософт в качестве основы для любой программы или инициативы, требующей ATO от федерального правительственного агентства. Однако необходимо получить собственные разрешения для компонентов за пределами этих служб.

Как безопасно настроить клиент Microsoft 365 и управлять ими в соответствии с требованиями руководства по безопасной конфигурации FedRAMP?

Документация и ресурсы Microsoft 365 для предприятий — это целевая страница для администраторов клиентов Microsoft 365. Microsoft Entra документации рассматриваются разделы, связанные с использованием идентификатора Entra для управления доступом.

К конкретным интересующим вас страницам Microsoft Learn относятся следующие:

Управление учетными записями

Безопасные значения по умолчанию

Сравнение текущих параметров с рекомендуемыми значениями по умолчанию

Экспорт параметров безопасности и управление ими с помощью API

Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска

Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая поможет вам понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. См. Создание оценки в диспетчере соответствия требованиям.

Ресурсы