Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Descrição geral do NIST CSF
O Instituto Nacional de Normas e Tecnologia (NIST) promove e mantém padrões de medição e orientações para ajudar as organizações a avaliar o risco. Em resposta à Ordem Executiva 13636 sobre o reforço da cibersegurança das redes federais e das infraestruturas críticas, a NIST divulgou o Framework for Improving Critical Infrastructure Cybersecurity (FICIC) em fevereiro de 2014.
As principais prioridades da FICIC foram estabelecer um conjunto de normas e práticas para ajudar as organizações a gerir o risco de cibersegurança, permitindo simultaneamente a eficiência empresarial. O NIST Framework aborda o risco de cibersegurança sem impor requisitos regulamentares adicionais para organizações governamentais e do setor privado.
A FICIC referencia normas mundialmente reconhecidas, incluindo NIST SP 800-53 encontradas no Apêndice A da Estrutura do NIST para Melhorar a Cibersegurança da Infraestrutura Crítica. Cada controlo na arquitetura FICIC é mapeado para os controlos NIST 800-53 correspondentes na Linha de Base Moderada do FedRAMP.
Microsoft e o NIST CSF
O NIST Cybersecurity Framework (CSF) é um Framework voluntário que consiste em normas, diretrizes e melhores práticas para gerir riscos relacionados com cibersegurança. Os serviços Da Microsoft Cloud são submetidos a auditorias independentes e de terceiros da FedRAMP Moderate e High Baseline e são certificados de acordo com as normas da FedRAMP. Além disso, através de uma avaliação validada realizada pela HITRUST, uma organização líder em desenvolvimento e acreditação de normas de segurança e privacidade, Office 365 é certificada para os objetivos especificados no NIST CSF.
Saiba como acelerar a implementação do NIST Cybersecurity Framework com o Gestor de Conformidade e o nosso Esquema de Segurança e Conformidade do Azure:
- Descrição geral do exemplo de esquema NIST SP 800-53 R4
- Saiba mais sobre a avaliação do NIST CSF para Office 365 no Gestor de Conformidade
Plataformas e serviços na cloud no âmbito da Microsoft
- Azure Governamental
- Dynamics 365 para o Governo
- Office 365
Azure, Dynamics 365 e CSF NIST
Para obter mais informações sobre Azure, Dynamics 365 e outras serviços online conformidade, veja a oferta de CSF NIST Azure.
Office 365 e NIST CSF
Ambientes do Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Serviço de Feed de Atividades, Serviços Bing, Delve, Exchange Online, Serviços Inteligentes, Microsoft Teams, Office 365 Portal do Cliente, Office Online, Infraestrutura de Serviço do Office, Relatórios de Utilização do Office, OneDrive, Cartão de Pessoas, SharePoint Online, Skype for Business, Windows Ink |
Office 365 ciclo de auditoria e certificação
A certificação NIST CSF de Office 365 é válida durante dois anos.
Perguntas frequentes
Um avaliador independente validou que Office 365 suporta requisitos de CSF NIST?
Sim, Office 365 obteve a carta de certificação NIST CSF da HITRUST em julho de 2019.
Como é que o Microsoft Serviços de Nuvem demonstrar a conformidade com a arquitetura?
Com os relatórios de auditoria formais preparados por terceiros para a acreditação do FedRAMP, a Microsoft pode mostrar como os controlos relevantes indicados nestes relatórios demonstram a conformidade com o NIST Framework para Melhorar a Cibersegurança da Infraestrutura Crítica. Os controlos auditados implementados pela Microsoft servem para garantir a confidencialidade, integridade e disponibilidade dos dados armazenados, processados e transmitidos por Azure, Office 365 e Dynamics 365 pelos quais a Microsoft é responsável.
Quais são as responsabilidades da Microsoft para manter a conformidade com esta iniciativa?
A participação na FICIC é voluntária. No entanto, a Microsoft garante que Office 365 cumpre os termos definidos nos Termos dos Serviços Online e contratos de nível de serviço aplicáveis.
Posso utilizar a conformidade da Microsoft para a minha organização?
Sim. Os relatórios independentes de conformidade de terceiros às normas fedRAMP atestam a eficácia dos controlos implementados pela Microsoft para manter a segurança e a privacidade do microsoft Serviços de Nuvem. Os clientes Microsoft podem utilizar os controlos auditados descritos nestes relatórios relacionados como parte dos esforços de análise e qualificação de risco da Própria FedRAMP e da NIST FICIC.
Que organizações são consideradas pelo Governo Estados Unidos como uma infraestrutura crítica?
De acordo com o Departamento de Segurança Interna, estas incluem organizações nos seguintes setores: Produtos Químicos, Instalações Comerciais, Comunicações, Fabrico Crítico, Barragens, Base Industrial de Defesa, Serviços de Emergência, Energia, Serviços Financeiros, Alimentação e Agricultura, Instalações Governamentais, Cuidados de Saúde e Saúde Pública, Tecnologias de Informação, Nuclear (Reactores Materiais e Resíduos), Sistemas de Transporte e Água (e Águas Residuais).
Por que motivo alguns serviços Office 365 não estão no âmbito desta certificação?
A Microsoft fornece as ofertas mais abrangentes em comparação com outros fornecedores de serviços cloud. Para acompanhar as nossas amplas ofertas de conformidade entre regiões e indústrias, incluímos serviços no âmbito dos nossos esforços de garantia com base na procura do mercado, nos comentários dos clientes e no ciclo de vida dos produtos. Se um serviço não estiver incluído no âmbito atual de uma oferta de conformidade específica, a sua organização é responsável por avaliar os riscos com base nas suas obrigações de conformidade e determinar a forma como processa os dados nesse serviço. Recolhemos continuamente feedback dos clientes e trabalhamos com reguladores e auditores para expandir a nossa cobertura de conformidade para satisfazer as suas necessidades de segurança e conformidade.
Utilizar o Gestor de Conformidade do Microsoft Purview para avaliar o risco
O Gestor de Conformidade do Microsoft Purview é uma funcionalidade no portal do Microsoft Purview que o ajuda a compreender a postura de conformidade da sua organização e a tomar medidas para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Recursos
- Mapeamento das Ofertas Cibernéticas da Microsoft para: NIST Cybersecurity Framework (CSF), CiS Controls, ISO27001:2013 e HITRUST CSF
- Framework for Improving Critical Infrastructure Cybersecurity
- Ordem Executiva Presidencial sobre o Reforço da Cibersegurança das Redes Federais e Infraestruturas Críticas
- Nuvem Governamental da Microsoft
- Termos dos Serviços Online
- Conformidade na Central de Confiabilidade da Microsoft