Der U.S. Defense Federal Acquisition Regulation Supplement (DFARS) ist ein Regelwerk, das für Unternehmen verpflichtend ist, die einen Vertrag mit dem Department of Defense (DoD) abgeschlossen haben.
Auftragnehmende des US-Verteidigungsministeriums und Kunden des US-Verteidigungsministeriums der US-amerikanischen Verteidigungsindustrie (DIB) müssen die geltenden DFARS-Klauseln für angemessene Sicherheit erfüllen. Solche Kunden können Google Cloud und Google Workspace nutzen, um die geltenden DFARS-Klauseln 252.239-7010 und 252.204-7012 für Cloud-Dienstanbieters (CSPs, Cloud Service Providers) einzuhalten. Dabei kommen unsere definierten FedRAMP-(moderate Sicherheit)- und FedRAMP-(hohe Sicherheit)-Dienste zur Anwendung.
Wenn eine Cloud-Lösung zur Verarbeitung von Daten im Namen des US-Verteidigungsministeriums verwendet wird oder das Verteidigungsministerium einen Cloud-Dienstanbieter damit beauftragt, Daten in einer Cloud zu hosten oder zu verarbeiten, muss das Verteidigungsunternehmen die DFARS 252.239-7010, Cloud-Computing-Dienste, einhalten. Für DFARS 252.239-7010 muss der Cloud-Dienstanbieter die Sicherheitsanforderungen von DoD Cloud Computing einhalten.
Google Cloud und Google Workspace können die Einhaltung des DoD Cloud-Computing-Sicherheitsanforderungen-Leitfadens mit den Google Cloud-Diensten, die auf IL2-, IL4- und IL5-Stufen autorisiert sind, und den Google Workspace-Diensten, die auf IL2 und IL4 autorisiert sind, wobei IL5 in Bearbeitung ist. Weitere Informationen dazu, welche Dienste unterstützt werden, finden Sie auf unserer Seite DISA-Compliance.
Auftragnehmer in der Verteidigungsbranche, deren Informationssysteme verschlüsselte Verteidigungsinformationen (CDIs) verarbeiten, speichern oder übertragen, müssen die DFARS-Klausel 252.204-7012 einhalten, die Anforderungen zum Schutz von kontrollierten, nicht klassifizierten Informationen (CUI) gemäß NIST SP 800-171, Pflichten zur Meldung von Cybersicherheitsvorfällen und andere Überlegungen für Cloud-Dienstanbieter festlegt.
Kunden können Google Cloud und Google Workspace nutzen, um die auf CSP anwendbaren Klauseln von DFARS 252.239-7010 und 252.204-7012 mit unseren definierten Kontrollen für FedRAMP moderate und FedRAMP high zu erfüllen.
Google Cloud und Google Workspace erfüllen sowohl die FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) ATO (Authority to Operate, Betriebsberechtigung) für definierte Dienste. Alle Dienste gemäß FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) entsprechen NIST 800-171. Kunden müssen die FedRAMP CRM (Customer Responsibility Matrix) verwenden, die Teil des FedRAMP-Systemsicherheitskonzepts von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen. Unser Vertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf die anwendbare Dokumentation erleichtern.
Für alle FedRAMP-Dienste stützt sich Google auf seinen FedRAMP IRP (Incident Response Plan), der Teil des FedRAMP-SSP (System Security Plan) von Google ist, der im Rahmen seiner FedRAMP-ATOs autorisiert ist. In Übereinstimmung mit den Incident Response-Standardverfahren speichert und schützt Google jegliche schädliche Software und Medien sowie forensische Analysen und Schadensbeurteilungen, die im Rahmen der Untersuchung ermittelt oder durchgeführt werden.
Kunden, die verlangen, dass ihre Daten ausschließlich in den USA gespeichert werden, müssen FedRAMP (hohe Sicherheit)-Dienste (konfiguriert mit Assured Workloads oder Assured Controls) und das FedRAMP CRM verwenden. Dadurch wird sichergestellt, dass ihre Daten in Regionen der Google-Rechenzentren in den USA gespeichert werden. Kunden können auch Google-Lösungen für IL2, IL4 oder IL5 verwenden, um den Datenstandort von Kundendaten zu bestimmen.
Auftragnehmer des DoD und DIB-Kunden können Google Cloud und Google Workspace nutzen, um die Anforderungen gemäß DFARS 252.204-7012 zu erfüllen. Durch Aktivieren von Assured Workloads oder Assured Controls können solche Organisationen das Erstellen konformer Grenzen oder Systemenklaven in ihren Google Cloud-Umgebungen erleichtern. Wie unten erläutert, verpflichtet sich Google, die DFARS 252.204-7012-Flowdown-Anforderungen zu akzeptieren, die für die (CSP) für unsere FedRAMP (moderate Sicherheit) und FedRAMP (Hohe Sicherheit)-Dienste gelten.
Kunden müssen das Kontrollpaket FedRAMP (moderate Sicherheit) oder FedRAMP (Hohe Sicherheit) für die Bereitstellung innerhalb der softwaredefinierten Grenze auswählen. Wie bereits erwähnt, sollten Kunden das FedRAMP-CRM verwenden, das Teil des FedRAMP-SSP von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen.
Google Workspace-Kunden müssen dafür sorgen, dass sie nur Dienste nutzen, die gemäß DFARS 252.204-7012 die FedRAMP Moderate- oder FedRAMP High-Richtlinie erfüllen. Bei Bedarf kann ein Kunde einen Dienst deaktivieren, der noch nicht von FedRAMP autorisiert wurde. Google empfiehlt Kunden, den FedRAMP-Konfigurationsleitfaden für Google Workspace zu befolgen, um die Compliance mit DFARS 252.204-7012 sicherzustellen. Beachten Sie, dass Datenstandort und Assured Controls zwar nicht explizit erforderlich sind, um die Konformität mit DFARS 252.204-7012 zu erreichen, aber möglicherweise als optionale Add-ons für Kunden mit strengeren Anforderungen sinnvoll sind.
Anforderungen der DFARS-7012-Klausel | Selbstverpflichtung: Google Cloud und Google Workspace |
(b) Anforderungen an die Bereitstellung angemessener Sicherheitsmaßnahmen | Google Cloud und Google Workspace erfüllen die ATO-Richtlinien FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) für abgedeckte Dienste. Alle Dienste gemäß FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) entsprechen NIST 800-171. Kunden müssen das FedRAMP-CRM verwenden, das Teil der FedRAMP-SSP von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen. Kunden können das FedRAMP SSP und CRM von einem Google Cloud-Vertriebsexperten anfordern. |
c) Anforderung in Sachen Meldung von Cybervorfällen | Google meldet Datenvorfälle entsprechend seinen FedRAMP-Verantwortlichkeiten und vertraglichen Verpflichtungen. Die Nutzungsbedingungen für die Cloud-Datenverarbeitung von Google enthalten einen Abschnitt zur Datensicherheit (Abschnitt 7, Datensicherheit), der die Benachrichtigungen über Datenvorfälle umfasst. Dieser besagt, dass Google Kunden unverzüglich und ohne vermeidbare Verzögerung benachrichtigt, sobald wir von einem Datenvorfall erfahren (Abschnitt 7.2.1). Die Benachrichtigung von Google beinhaltet Folgendes: Art des Vorfalls, einschließlich der betroffenen Kundenressourcen; Maßnahmen, die Google ergriffen hat oder zu ergreifen plant, um den Vorfall zu beheben und dessen potenzielles Risiko zu mindern; Maßnahmen, sofern zutreffend, die Google Kunden als Reaktion auf den Vorfall empfiehlt; sowie die Details einer Kontaktstelle, über die weitere Informationen verfügbar sind (Abschnitt 7.2.2). Google wertet nie Kundendaten aus, um Datenvorfälle zu untersuchen oder zu identifizieren. Auf Anfrage des Kunden kann Google aber zusätzliche angemessene Zusammenarbeit und Unterstützung anbieten, um dem Kunden zu helfen, seine Verpflichtungen in Bezug auf Sicherheit und Verletzungen des Schutzes personenbezogener Daten nach anwendbarem Recht einzuhalten. Google informiert betroffene Kunden, die für DFARS infrage kommen, innerhalb von 72 Stunden mit ordnungsgemäß konfigurierten Assured Workloads und Assured Controls von Datenvorfällen. Weitere Informationen zu Googles Ansatz in Sachen Incident Response finden Sie in unserem Prozess zur Reaktion auf Datenvorfälle. |
(d) Malware | Wenn Google oder der Kunde schädliche Software findet, die mit Google Cloud- oder DFARS-relevante Google Workspace-Kunden verbunden ist, sendet Google gegebenenfalls gemeinsam mit den Kunden schädliche Software an das DoD Cyber Crime Center (DC3). Die Infrastruktur von Google ist mit Sicherheitsmaßnahmen konzipiert, die dazu beitragen, die Bereitstellung von schädlichem Code zu verhindern, Personen vor einseitigen Auswirkungen auf die Umgebung abzuhalten und einheitliche Kontrollen für alle Dienste zu erzwingen. |
(e) Aufbewahrung und Schutz von Medien | Im Falle eines Datenvorfalls folgt das Incident Management-Team dem FedRAMP-IRP-Protokoll von Google, um die Erfassung und Aufbewahrung von Daten im Rahmen der standardmäßigen Vorfallsuntersuchung umzusetzen. Während dieses Prozesses wird Google physische oder virtuelle Systeme bzw. Datenträger sichern und erhalten, wo dies im Rahmen des Incident Responce erforderlich ist. Für die Erfassung und Speicherung von Monitoring- oder Paketerfassungsdaten ist der Kunde selbst verantwortlich. Google Cloud- und Google Workspace-Kunden wird außerdem empfohlen, Cloud Logging zu verwenden, um Daten von Kunden-Audit-Logs mindestens sechs Monate lang aufzubewahren (oder mindestens 90 Tage, um die Verpflichtungen gemäß DFARS 252.204-7012 zu erfüllen). Kunden können das FedRAMP SSP und CRM (einschließlich des IRP) von einem Google Cloud-Vertriebsexperten anfordern. |
(f) Zugang zu zusätzlichen Informationen oder Geräten, die für forensische Analysen erforderlich sind | Auf Anfrage des Kunden kann Google zusätzliche angemessene Zusammenarbeit und Unterstützung anbieten, um dem Kunden zu helfen, seine Verpflichtungen in Bezug auf Sicherheit und Verletzungen des Schutzes personenbezogener Daten nach anwendbarem Recht einzuhalten. |
(g) Maßnahmen zur Schadensbeurteilung bei Cybervorfällen | Im Rahmen des FedRAMP IRP bewertet Google das Ausmaß aller Schäden, die durch einen bekannten Vorfall entstehen. Diese Informationen sind auf Anfrage im Rahmen einer Schadensbeurteilung durch das DoD verfügbar. |
Anforderungen der DFARS-7012-Klausel
Selbstverpflichtung: Google Cloud und Google Workspace
(b) Anforderungen an die Bereitstellung angemessener Sicherheitsmaßnahmen
Google Cloud und Google Workspace erfüllen die ATO-Richtlinien FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) für abgedeckte Dienste. Alle Dienste gemäß FedRAMP (moderate Sicherheit) und FedRAMP (hohe Sicherheit) entsprechen NIST 800-171.
Kunden müssen das FedRAMP-CRM verwenden, das Teil der FedRAMP-SSP von Google ist, wenn sie ihre Systeme so konfigurieren, dass sie die FedRAMP-Compliance unterstützen. Kunden können das FedRAMP SSP und CRM von einem Google Cloud-Vertriebsexperten anfordern.
c) Anforderung in Sachen Meldung von Cybervorfällen
Google meldet Datenvorfälle entsprechend seinen FedRAMP-Verantwortlichkeiten und vertraglichen Verpflichtungen.
Die Nutzungsbedingungen für die Cloud-Datenverarbeitung von Google enthalten einen Abschnitt zur Datensicherheit (Abschnitt 7, Datensicherheit), der die Benachrichtigungen über Datenvorfälle umfasst. Dieser besagt, dass Google Kunden unverzüglich und ohne vermeidbare Verzögerung benachrichtigt, sobald wir von einem Datenvorfall erfahren (Abschnitt 7.2.1). Die Benachrichtigung von Google beinhaltet Folgendes: Art des Vorfalls, einschließlich der betroffenen Kundenressourcen; Maßnahmen, die Google ergriffen hat oder zu ergreifen plant, um den Vorfall zu beheben und dessen potenzielles Risiko zu mindern; Maßnahmen, sofern zutreffend, die Google Kunden als Reaktion auf den Vorfall empfiehlt; sowie die Details einer Kontaktstelle, über die weitere Informationen verfügbar sind (Abschnitt 7.2.2).
Google wertet nie Kundendaten aus, um Datenvorfälle zu untersuchen oder zu identifizieren. Auf Anfrage des Kunden kann Google aber zusätzliche angemessene Zusammenarbeit und Unterstützung anbieten, um dem Kunden zu helfen, seine Verpflichtungen in Bezug auf Sicherheit und Verletzungen des Schutzes personenbezogener Daten nach anwendbarem Recht einzuhalten.
Google informiert betroffene Kunden, die für DFARS infrage kommen, innerhalb von 72 Stunden mit ordnungsgemäß konfigurierten Assured Workloads und Assured Controls von Datenvorfällen.
Weitere Informationen zu Googles Ansatz in Sachen Incident Response finden Sie in unserem Prozess zur Reaktion auf Datenvorfälle.
(d) Malware
Wenn Google oder der Kunde schädliche Software findet, die mit Google Cloud- oder DFARS-relevante Google Workspace-Kunden verbunden ist, sendet Google gegebenenfalls gemeinsam mit den Kunden schädliche Software an das DoD Cyber Crime Center (DC3).
Die Infrastruktur von Google ist mit Sicherheitsmaßnahmen konzipiert, die dazu beitragen, die Bereitstellung von schädlichem Code zu verhindern, Personen vor einseitigen Auswirkungen auf die Umgebung abzuhalten und einheitliche Kontrollen für alle Dienste zu erzwingen.
(e) Aufbewahrung und Schutz von Medien
Im Falle eines Datenvorfalls folgt das Incident Management-Team dem FedRAMP-IRP-Protokoll von Google, um die Erfassung und Aufbewahrung von Daten im Rahmen der standardmäßigen Vorfallsuntersuchung umzusetzen. Während dieses Prozesses wird Google physische oder virtuelle Systeme bzw. Datenträger sichern und erhalten, wo dies im Rahmen des Incident Responce erforderlich ist. Für die Erfassung und Speicherung von Monitoring- oder Paketerfassungsdaten ist der Kunde selbst verantwortlich.
Google Cloud- und Google Workspace-Kunden wird außerdem empfohlen, Cloud Logging zu verwenden, um Daten von Kunden-Audit-Logs mindestens sechs Monate lang aufzubewahren (oder mindestens 90 Tage, um die Verpflichtungen gemäß DFARS 252.204-7012 zu erfüllen). Kunden können das FedRAMP SSP und CRM (einschließlich des IRP) von einem Google Cloud-Vertriebsexperten anfordern.
(f) Zugang zu zusätzlichen Informationen oder Geräten, die für forensische Analysen erforderlich sind
Auf Anfrage des Kunden kann Google zusätzliche angemessene Zusammenarbeit und Unterstützung anbieten, um dem Kunden zu helfen, seine Verpflichtungen in Bezug auf Sicherheit und Verletzungen des Schutzes personenbezogener Daten nach anwendbarem Recht einzuhalten.
(g) Maßnahmen zur Schadensbeurteilung bei Cybervorfällen
Im Rahmen des FedRAMP IRP bewertet Google das Ausmaß aller Schäden, die durch einen bekannten Vorfall entstehen. Diese Informationen sind auf Anfrage im Rahmen einer Schadensbeurteilung durch das DoD verfügbar.
Wie oben beschrieben, entsprechen Google-Produkte, die unter FedRAMP-Autorisierungen fallen, den DFARS 252.204-7012-Anforderungen für CSPs, damit Verteidigungsunternehmen ihren Verpflichtungen gemäß DFARS 252.204-7012 nachkommen können.
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.