Programa Federal de Administración de Autorizaciones y Riesgo (FedRAMP)

Información general de FedRAMP

El Programa Federal de Administración de Riesgos y Autorización (FedRAMP) de EE. UU. se estableció para proporcionar un enfoque estandarizado para evaluar, supervisar y autorizar productos y servicios de informática en la nube bajo la Ley federal de administración de seguridad de la información (FISMA), y para acelerar la adopción de soluciones seguras en la nube por parte de las agencias federales.

La Oficina de Administración y Presupuesto ahora requiere que todas las agencias federales ejecutivas usen FedRAMP para validar la seguridad de los servicios en la nube. (Otras agencias también lo han adoptado, por lo que también es útil en otras áreas del sector público). El Instituto Nacional de Estándares y Tecnología (NIST) SP 800-53 establece los estándares obligatorios, establece categorías de seguridad de sistemas de información (confidencialidad, integridad y disponibilidad) para evaluar el posible impacto en una organización en caso de que sus sistemas de información y de información se vean comprometidos. FedRAMP es el programa que certifica que un proveedor de servicios en la nube (CSP) cumple esos estándares.

Los CSP que quieran vender servicios a una agencia federal pueden tomar tres rutas para demostrar el cumplimiento de FedRAMP:

  • Obtenga una autoridad provisional para operar (P-ATO) de la Junta Conjunta de Autorización (JAB). El JAB es el principal órgano de gobernanza y toma de decisiones de FedRAMP. Los representantes del Departamento de Defensa, el Departamento de Seguridad Nacional y la Administración de Servicios Generales prestan servicio en la junta. La junta concede un P-ATO a los CSP que han demostrado el cumplimiento de FedRAMP.
  • Recibir una autoridad para operar (ATO) de una agencia federal.
  • O bien, trabaje de forma independiente para desarrollar un paquete proporcionado por CSP que cumpla los requisitos del programa.

Cada una de estas rutas requiere una revisión técnica estricta por parte de la Oficina de Administración de Programas (PMO) de FedRAMP y una evaluación por parte de una organización independiente de terceros que esté acreditada por el programa.

Las autorizaciones de FedRAMP se conceden en tres niveles de impacto basados en las directrices de NIST: bajo, medio y alto. Estos niveles clasifican el impacto que la pérdida de confidencialidad, integridad o disponibilidad podría tener en una organización: bajo (efecto limitado), medio (efecto adverso grave) y alto (efecto grave o catastrófico).

Microsoft y FedRAMP

Los servicios en la nube del gobierno de Microsoft, incluidos Azure Government, Dynamics 365 Government y Office 365 gobierno de LOS EE. UU., cumplen los exigentes requisitos del Programa Federal de Administración de Riesgos y Autorización (FedRAMP) de EE. UU., lo que permite a las agencias federales estadounidenses beneficiarse del ahorro de costos y la rigurosa seguridad de Microsoft Cloud.

Los servicios en la nube de Microsoft Government ofrecen a los clientes del sector público una amplia gama de servicios compatibles con FedRAMP y herramientas sólidas de orientación e implementación, incluido el plano técnico de FedRAMP High, que ayuda a los clientes a implementar un conjunto básico de directivas para cualquier arquitectura implementada en Azure que debe implementar controles FedRAMP High.

Servicios y plataformas en la nube dentro de Microsoft

  • Azure y Azure Government
  • Dynamics 365 gobierno de EE. UU.
  • Intune
  • Office 365 (Gobierno de EE. UU., Gobierno de EE. UU. - Alto, Defensa del Gobierno de EE. UU.)
  • El servicio de nube de Power BI como servicio independiente o incluido en un plan o conjunto de aplicaciones de Office 365
  • Windows 365 (Gobierno de EE. UU., Gobierno de EE. UU. - Alto)

Azure, Dynamics 365 y FedRAMP

Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure FedRAMP.

Office 365 y FedRAMP

  • Office 365 y Office 365 el Gobierno de ee. UU. tiene una ATO del Departamento de Salud y Servicios Humanos (DHHS) de ee. UU.
  • Office 365 U.S. Government Defense tiene un P-ATO de la Agencia de Sistemas de Información de Defensa de ee. UU. (DISA). Cualquier cliente que desee implementar Office 365 U.S. Government Defense puede usar la DISA P-ATO para generar una agencia ATO para documentar su aceptación.
  • Office 365 (planes empresariales y empresariales) y Office 365 gobierno de los Estados Unidos tienen una Agencia FedRAMP ATO en el nivel de impacto moderado de la Oficina del DhHS del Inspector General. Office 365 gobierno de EE. UU. fue el primer servicio de correo electrónico y colaboración basado en la nube en obtener esta autorización.

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar datos de clientes en otras regiones dentro del mismo área geográfica (por ejemplo, el Estados Unidos) para la resistencia de los datos, pero Microsoft no replicará los datos de clientes fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Administración Pública Community Cloud (GCC): aparece en el marketplace de FedRAMP como Office 365 (comercial) y también se conoce como Office 365 multiinquilino y el entorno de GCC. Office 365 servicio en la nube de GCC está disponible para Estados Unidos gobiernos federales, estatales, locales y tribales, y contratistas que poseen o procesan datos en nombre del Gobierno de EE. UU.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye un asesoramiento legal y debe consultar a los asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
GCC Activity Feed Service, Bing Services, Bookings, Delve, Exchange Online, Exchange Online Protection, Infrastructure, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink
GCC High Activity Feed Service, Bing Services, Bookings, Exchange Online, Exchange Online Protection, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink
DoD Servicio de fuente de actividad, Bing Services, Bookings, Exchange Online Protection, Exchange Online, Intelligent Services, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, Office Usage Reports, OneDrive para la Empresa, Personas Card, SharePoint Online, Skype Empresarial, Windows Ink

Auditorías, informes y certificados de Office 365

Microsoft debe recertificar sus servicios en la nube cada año para mantener sus P-ATOs y ATOs. Para ello, Microsoft debe supervisar y evaluar sus controles de seguridad continuamente, y demostrar que la seguridad de sus servicios sigue siendo conforme.

Preguntas más frecuentes

¿Los servicios en la nube de Microsoft cumplen con la Ley federal de administración de seguridad de la información (FISMA)?

FISMA es la ley federal que requiere que las agencias federales de EE. UU. y sus socios adquieran sistemas y servicios de información solo de organizaciones que cumplan los requisitos de FISMA. La mayoría de las agencias y sus proveedores que indican que son conformes a FISMA se refieren a cómo cumplen los controles identificados por el NIST en la publicación especial 800-53 rev 4. El proceso FISMA (pero no los estándares subyacentes) fue reemplazado por FedRAMP en 2011.

¿A quién se aplica FedRAMP?

"FedRAMP es obligatorio para las implementaciones en la nube de agencias federales y los modelos de servicio en los niveles de impacto de riesgo bajo y moderado". Cualquier agencia federal que quiera participar en un CSP puede ser necesaria para cumplir las especificaciones de FedRAMP. Además, las empresas que emplean tecnologías en la nube en productos o servicios utilizados por el gobierno federal pueden ser necesarias para obtener una ATO.

¿Dónde inicia mi agencia su propio esfuerzo de cumplimiento?

Para obtener información general sobre los pasos que deben seguir las agencias federales para navegar correctamente por FedRAMP y cumplir sus requisitos, vaya a Obtener autorización: Autorización de agencia.

¿Puedo usar el cumplimiento de Microsoft en el proceso de autorización de mi agencia?

Sí. Puede usar las certificaciones de los servicios en la nube de Microsoft como base para cualquier programa o iniciativa que requiera un ATO de una agencia gubernamental federal. Sin embargo, debe lograr sus propias autorizaciones para los componentes fuera de estos servicios.

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos