Введение
Ниже приведены некоторые распространенные вопросы, задаваемые независимыми поставщиками программного обеспечения при запуске сертификации Microsoft 365. Если у вас есть какие-либо запросы, которые не рассматриваются здесь, обратитесь в группу сертификации приложений Microsoft 365 через AppCert@Microsoft.com. Этот документ предназначен для поставщиков программного обеспечения. Общие сведения о программе безопасности и соответствия требованиям Microsoft 365 можно найти на странице программы соответствия приложений Microsoft 365.
Я не прошел аудит признанной в отрасли платформы, такой как PCI DSS, SOC 2 или ISO 27001. Означает ли это, что я не могу подать заявку на сертификацию Microsoft 365?
Нет, получение одной из этих отраслевых платформ не является обязательным требованием для сертификации Microsoft 365.
Я уже прошел внешний аудит в отношении признанной отрасли платформы. Может ли это быть учтено для сертификации Microsoft 365?
Короткий ответ — Да. В настоящее время спецификация сертификации Microsoft 365 принимает доказательства PCI DSS, SOC 2 и ISO27001 внешних платформ. Руководство по отправке сертификатов Microsoft 365 сопоставлено с тем, где выравниваются существующие внешние платформы; однако в некоторых случаях мы обнаружили, что существующие стандарты или платформы не соответствуют должным образом. По этой причине группа сертификации Microsoft 365 проведет проверку предоставленных стандартов или доказательств платформы, помечая, какие элементы управления в рамках сертификации Microsoft 365 выполнены.
Как продемонстрировать соответствие GDPR, если у нас не было внешней оценки GDPR?
Корпорация Майкрософт не требует независимой проверки соответствия GDPR для сертификации Microsoft 365, так как это сценарий, в котором мы будем принимать самостоятельное подтверждение, которое можно проверить независимо, если внешняя проверка не была проведена. Так как это скорее оценка, чем аудит, и что касается доказательств, которые мы собираем во время наших процессов, обзор политик конфиденциальности и внутренних процессов является тем, как мы подошли к контролю GDPR. Для целей того, что мы ищем в контроле GDPR, он в основном включает в себя обзор политик конфиденциальности, чтобы убедиться, что они соответствуют основным требованиям GDPR; Например, какие персональные данные обрабатываются, какова законность обработки, указывая на права субъекта данных, как пользователь будет выполнять запрос на доступ субъекта (SAR), как ISV будет осуществлять SAR, сведения о компании поставщика программного обеспечения и сведения о хранении данных.
Мы прошли проверку на проникновение; однако у нас нет "чистого" теста на проникновение, так как мы не провели повторную проверку на проникновение. Нужно ли проводить повторное тестирование и иметь чистый отчет?
Да, в зависимости от обнаруженных проблем может потребоваться повторное тестирование. Ваш аналитик по сертификации проверит существующий отчет и предоставит советы по дальнейшим действиям. Так как тестирование на проникновение предоставляется в рамках сертификации Microsoft 365, это может быть решено с помощью нового теста на проникновение без оплаты.
Некоторые запрошенные документы и доказательства являются конфиденциальными, существуют ли соглашения о неразглашении (NDA)?
Да, часть информации, которую вы отправляете, будет общедоступной, а часть может быть конфиденциальной. Если у вас есть существующее NDA в корпорации Майкрософт, условия этого соглашения будут применяться к конфиденциальной информации, которую вы отправляете. Если у вас нет соглашения о конфиденциальности с корпорацией Майкрософт, к этой конфиденциальной информации применяются условия соглашения с издателем, подписанного в Центре партнеров.
Как безопасно передавать конфиденциальную документацию и доказательства в рамках оценки сертификации Microsoft 365?
В настоящее время корпорация Майкрософт рекомендует использовать Центр партнеров для безопасного предоставления общего доступа к этой информации. Многие поставщики программного обеспечения будут использовать Центр партнеров, чтобы обеспечить безопасный и эффективный доступ к своим данным.
Мы только что реализовали некоторые дополнительные процессы безопасности для удовлетворения некоторых элементов управления сертификацией Microsoft 365. Означает ли это, что мы должны ждать 12 месяцев, прежде чем мы сможем сертифицировать?
Нет, корпорация Майкрософт признает, что вам может потребоваться разработать дополнительные процессы безопасности, чтобы устранить пробелы между существующими процессами безопасности и ожидаемыми от сертификации Microsoft 365. Команда по сертификации Microsoft 365 рассмотрит недавно разработанные задокументированные процессы и проверит доказательства того, что процесс был выполнен по крайней мере один раз. Кроме того, исторические доказательства не потребуются, так как они не будут доступны для этих новых процессов. Через двенадцать месяцев в ходе ежегодной оценки начнется оценка выборки исторических доказательств.
За что я отвечаю?
Во время оценки аналитики по сертификации проверят предоставленный документ и доказательства, чтобы оценить ваше соответствие элементам управления сертификацией Microsoft 365. В рамках этой работы группа сертификации Microsoft 365 запросит информацию, которая будет включать сведения об архитектуре, схемы, сведения о хранилище данных, сведения о проектировании приложения, документы политики и процесса, файлы конфигурации и снимки экрана. В некоторых случаях или если это проще для вас, можно организовать сеанс скринс-шеринга, чтобы показать доказательства аналитиков сертификации. Если существующие платформы соответствия требованиям будут использоваться для поддержки мероприятий по оценке, потребуется соответствующая документация, демонстрирующая, что внешний аудитор или оценитель оценил и подтвердил, как на месте. Если в вспомогательной документации не удается предоставить необходимое описание, чтобы продемонстрировать, как именно соблюдались элементы управления во внешней платформе безопасности, команда по сертификации Microsoft 365 не сможет использовать внешнюю платформу безопасности для поддержки оценки сертификации Microsoft 365.
Потребуется ли для получения сертификата внести изменения в текущую инфраструктуру?
Маловероятно, что для соответствия сертификации Microsoft 365 потребуются значительные изменения в инфраструктуре. Элементы управления основаны на рекомендациях по обеспечению безопасности в отрасли и, скорее всего, будут уже реализованы. Мы видели в большинстве случаев; Независимым поставщикам программного обеспечения пришлось обновить внутренние процессы, чтобы устранить пробелы между текущими методами работы и тем, что требуется в рамках сертификации Microsoft 365. Если это проблема, корпорация Майкрософт рекомендует ознакомиться с последними элементами управления сертификацией Microsoft 365, которые можно найти в обзоре сертификации Microsoft 365 , чтобы убедиться, что развернутая среда и рабочие методики соответствуют определенным элементам управления.
Есть ли у корпорации Майкрософт рекомендации по конкретным компонентам, инфраструктуре или программному обеспечению, которые следует использовать для выполнения требований сертификации?
Корпорация Майкрософт не предоставляет конкретных рекомендаций по решениям для соответствия элементам управления сертификации Microsoft 365. Можно использовать любые коммерческие или открытый код предложения, при условии, что они активно поддерживаются и обслуживаются.
Сколько времени требуется для завершения оценки?
Как правило, для завершения оценки может потребоваться в среднем 60 дней с момента начала полного этапа проверки доказательств. Однако это может зависеть от многих переменных, таких как: размер среды размещения, используемой для поддержки приложения или надстройки, тип среды размещения, поддерживающей приложение или надстройку, и того, как поставщики программного обеспечения запрашивают запросы на подтверждение.
Сколько времени мне потребуется выделить на этот процесс?
Большая часть работы заключается в своевременном сборе документации и доказательств. После чего процесс оценки не должен занимать более нескольких часов в неделю. Некоторые переменные, которые могут повлиять на требуемое время, — это размер среды и наличие каких-либо внешних платформ безопасности, которые можно использовать для поддержки оценки.
Почему существует фиксированный 60-дневный срок для оценки?
Мы установили ограничение на продолжительность проведения оценки, так как уже собранные доказательства могут стать устаревшими, чем больше времени занимает оценка. Это оценка на определенный момент времени, поэтому для завершения должен быть выделен подходящий период. После отправки первоначальной отправки документа и успешного определения области элементов управления, применимых к вашей среде, мы ответим запрос на подтверждение. Этот этап называется полной проверкой доказательств. Необходимо прочитать обзор сертификации Microsoft 365 , и вы должны быть уверены, что все элементы управления могут быть выполнены перед отправкой первоначальной отправки документа.
Что произойдет, если оценка не будет завершена в течение 60-дневного периода?
К сожалению, если оценка не будет завершена в течение 60-дневного периода времени, корпорация Майкрософт будет отмечать неудачу в оценке. Эта метка используется только для внутренней статистики и никогда не будет опубликована. Вы сможете немедленно перезапустить процесс оценки, однако вам будет предложено повторно отправить НОВОЕ свидетельство для поддержки нового приложения.
Сколько стоит сертификация Microsoft 365?
В настоящее время вы можете бесплатно пройти сертификацию Microsoft 365. Сведения о возможных расходах, связанных с тестированием на проникновение, см. ниже.
Какова стоимость тестирования на проникновение в рамках этой программы?
В рамках программы сертификации Microsoft 365 тестирование на проникновение предоставляется бесплатно в течение 12 дней и 2 дней повторного тестирования. С вас взимается плата за любые дополнительные дни. Обратите внимание, что плата может взиматься в случаях позднего отмены. Область тестирования на проникновение ограничивается приложением и вспомогательной инфраструктурой, которая входит в область сертификации Microsoft 365.
У вас есть маркетинговые материалы, которые можно использовать для объявления того, что наше приложение сертифицировано?
По завершении поставщики программного обеспечения получают бесплатный цифровой маркетинговый комплект для продвижения своего приложения в качестве сертифицированного Microsoft 365.
Какой уровень доказательств вы ищете при выполнении оценки?
Доказательства, предоставленные во время оценки сертификации Microsoft 365, должны быть в состоянии обеспечить достаточную уверенность в том, что вы удовлетворяете конкретным оцениваемым элементам управления сертификацией Microsoft 365. Доказательства могут быть в виде файлов конфигурации, снимков экрана параметров или доказательств, документации по политике или процедуре или сеансов скринсхинга для демонстрации доказательств для аналитика сертификации. Ниже приведены два примера:
Действие оценки: "Продемонстрировать, что антивирусное программное обеспечение работает во всех образцах системных компонентов". Для этого элемента управления вы можете предоставить снимок экрана с каждого устройства в образце, поддерживающего антивирусную программу, в которой показан процесс антивирусной защиты. Если у вас есть централизованная консоль управления для антивирусной программы, вы можете продемонстрировать его с этого консоль управления.
Действие оценки: "Демонстрация выявления новых уязвимостей системы безопасности". Этот элемент управления находится в разделе Управление исправлениями. Цель заключается в том, что у вас есть официально задокументирован процесс выявления новых уязвимостей системы безопасности. Это может быть в исходном коде, но также должно находиться в среде поддержки, например уязвимости Windows, уязвимости в веб-зависимостях (например, AngularJS, JQuery и т. д.). У вас должен быть задокументирован процесс, который вы выполняете для выявления новых уязвимостей системы безопасности, поэтому следует предоставить документ задокументированного процесса. В дополнение к документации необходимо предоставить доказательства того, что этот процесс выполняется; Например, если вы используете что-то вроде аудита npm для проверка зависимостей на наличие уязвимостей, то при предоставлении образца отчетов будут предоставлены доказательства. Если вы используете несколько процессов, т. е. для разных системных компонентов, необходимо предоставить свидетельство обо всех процессах.