NIST SP 800-171
Informazioni su NIST SP 800-171
Il National Institute of Standards and Technology (NIST) degli Stati Uniti promuove e mantiene gli standard di misurazione e le linee guida per proteggere le informazioni e i sistemi informativi delle agenzie federali. In risposta all'ordine esecutivo 13556 sulla gestione delle informazioni non classificate controllate (CUI), ha pubblicato NIST SP 800-171, Protecting Controlled Unclassified Information In Nonfederal Information Systems and Organizations.In response to Executive Order 13556 on managing controlled unclassified information (CUI), it published NIST SP 800-171, Protecting Controlled Unclassified Information In Nonfederal Information Systems and Organizations. CUI è definito come informazioni, sia digitali che fisiche, create da un ente pubblico (o da un'entità per suo conto) che, pur non essendo classificate, è ancora sensibile e richiede protezione.
NIST SP 800-171 è stato originariamente pubblicato nel giugno 2015 ed è stato aggiornato più volte da allora in risposta alle minacce informatiche in continua evoluzione. Fornisce linee guida su come si deve accedere, trasmettere e archiviare in modo sicuro CUI in sistemi informativi nonfederal e organizzazioni; i suoi requisiti rientrano in quattro categorie principali:
- Controlli e processi per la gestione e la protezione
- Monitoraggio e gestione dei sistemi IT
- Procedure e procedure chiare per gli utenti finali
- Implementazione di misure di sicurezza tecnologiche e fisiche
Microsoft e NIST SP 800-171
Organizzazioni di valutazione di terze parti accreditate, Kratos Secureinfo e Coalfire, hanno collaborato con Microsoft per attestare che i servizi cloud nell'ambito soddisfano i criteri in NIST SP 800-171, Protezione delle informazioni non classificate controllate (CUI) in Sistemi informativi non federati e organizzazioni, quando elaborano CUI. L'implementazione Microsoft dei requisiti FedRAMP garantisce che i servizi cloud microsoft nell'ambito soddisfino o superino i requisiti di NIST SP 800-171 usando i sistemi e le procedure già in uso.
I requisiti NIST SP 800-171 sono un subset di NIST SP 800-53, lo standard usato da FedRAMP. L'appendice D di NIST SP 800-171 fornisce un mapping diretto dei propri requisiti di sicurezza CUI ai controlli di sicurezza pertinenti in NIST SP 800-53, per i quali i servizi cloud nell'ambito sono già stati valutati e autorizzati nell'ambito del programma FedRAMP.
Qualsiasi entità che elabora o archivia il governo degli Stati Uniti CUI — istituti di ricerca, società di consulenza, appaltatori di produzione, deve rispettare i rigorosi requisiti di NIST SP 800-171. Questa attestazione significa che i servizi cloud microsoft nell'ambito possono soddisfare i clienti che desiderano distribuire carichi di lavoro CUI con la certezza che Microsoft sia pienamente conforme. Ad esempio, tutti gli appaltatori DoD che elaborano, archiviano o trasmettono "informazioni di difesa coperte" usando servizi cloud Microsoft nell'ambito nei propri sistemi informativi soddisfano le clausole DFARS del Dipartimento della difesa degli Stati Uniti che richiedono la conformità ai requisiti di sicurezza di NIST SP 800-171.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
- Azure Commercial, Azure per enti pubblici
- Dynamics 365 governo degli Stati Uniti
- Intune
- Office 365 U.S. Government Community Cloud (GCC), Office 365 GCC High e DoD
- Si noti che Office 365 Commercial non è incluso nel controllo di terze parti condotto per NIST 800-171 e non è incluso nell'ambito.
Azure, Dynamics 365 e NIST SP 800-171
Per altre informazioni su Azure, Dynamics 365 e altre Servizi online conformità, vedere l'offerta Azure NIST SP 800-171.
Office 365 e NIST SP 800-171
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e l'abbonamento a Office 365:
Applicabilità | Servizi inclusi nell'ambito |
---|---|
GCC | Servizio Feed attività, Servizi Bing, Delve, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura dei servizi di Office, Report sull'utilizzo di Office, OneDrive for Business, scheda Persone, SharePoint Online, Skype for Business, Windows Ink |
GCC High | Servizio Feed attività, Servizi Bing, Exchange Online, Servizi intelligenti, Microsoft Teams, portale clienti Office 365, Office Online, Infrastruttura del servizio Office, Report sull'utilizzo di Office, OneDrive for Business, scheda Persone, SharePoint Online, Skype for Business, Windows Ink |
DoD | Servizio Feed attività, Servizi Bing, Exchange Online, Servizi intelligenti, portale clienti Office 365, Office Online, Infrastruttura del servizio Office, Report sull'utilizzo di Office, OneDrive for Business, scheda Persone, Microsoft Teams, SharePoint Online, Skype for Business, Windows Ink |
Domande frequenti
È possibile usare la conformità Microsoft con NIST SP 800-171 per l'organizzazione?
Sì. I clienti Microsoft possono usare i controlli controllati descritti nei report di organizzazioni indipendenti di valutazione di terze parti (3PAO) sugli standard FedRAMP nell'ambito delle proprie attività di analisi dei rischi FedRAMP e NIST. Questi report attestano l'efficacia dei controlli implementati da Microsoft nei servizi cloud nell'ambito. I clienti sono responsabili di garantire che i carichi di lavoro CUI siano conformi alle linee guida NIST SP 800-171.
Usare Microsoft Purview Compliance Manager per valutare il rischio
Microsoft Purview Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un modello premium per creare una valutazione per questa normativa. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.