Введение
Ниже приведены распространенные часто задаваемые вопросы, задаваемые независимыми поставщиками программного обеспечения при запуске сертификации Microsoft 365. Если у вас есть какие-либо запросы, которые не рассматриваются здесь, обратитесь в группу сертификации приложений Microsoft 365 через AppCert@Microsoft.com. Этот документ предназначен для поставщиков программного обеспечения. Общие сведения о программе безопасности и соответствия требованиям Microsoft 365 можно найти на странице программы соответствия приложений Microsoft 365.
Я не прошел аудит признанной в отрасли платформы, такой как PCI DSS, SOC 2 или ISO 27001. Означает ли это, что я не могу подать заявку на сертификацию Microsoft 365?
Нет, получение одной из этих отраслевых платформ не является обязательным требованием для сертификации Microsoft 365.
Я уже прошел внешний аудит в отношении признанной отрасли платформы. Может ли это быть учтено для сертификации Microsoft 365?
Короткий ответ — Да. В настоящее время спецификация сертификации Microsoft 365 принимает доказательства PCI DSS, SOC 2 и ISO27001 внешних платформ. Руководство по отправке сертификатов Microsoft 365 сопоставлено с тем, где выравниваются существующие внешние платформы; однако в некоторых случаях мы обнаружили, что существующие стандарты или платформы не соответствуют должным образом. По этой причине группа сертификации Microsoft 365 проведет проверку предоставленных стандартов или доказательств платформы, помечая, какие элементы управления в рамках сертификации Microsoft 365 выполнены.
Как продемонстрировать соответствие GDPR, если у нас не было внешней оценки GDPR?
Корпорация Майкрософт не требует независимой проверки соответствия GDPR для сертификации Microsoft 365, так как это сценарий, в котором мы принимаем самостоятельное подтверждение, которое можно проверить независимо, если внешняя проверка не была проведена. Так как это скорее оценка, чем аудит, и что касается доказательств, которые мы собираем во время наших процессов, обзор политик конфиденциальности и внутренних процессов является тем, как мы подошли к контролю GDPR. Для целей того, что мы ищем в контроле GDPR, он в основном включает в себя обзор политик конфиденциальности, чтобы убедиться, что они соответствуют основным требованиям GDPR; Например, какие персональные данные обрабатываются, какова законность обработки, указывая на права субъекта данных, как пользователь будет выполнять запрос на доступ субъекта (SAR), как ISV будет осуществлять SAR, сведения о компании поставщика программного обеспечения и сведения о хранении данных.
Мы прошли проверку на проникновение; однако у нас нет "чистого" теста на проникновение, так как мы не провели повторную проверку на проникновение. Нужно ли проводить повторное тестирование и иметь чистый отчет?
Спецификация сертификации Microsoft 365 не требует от поставщиков программного обеспечения проводить повторные тесты на проникновение, предоставляя соответствующие доказательства исправления, чтобы продемонстрировать, что проблемы, выявленные в отчете о тестировании на проникновение, устраняются.
Некоторые запрошенные документы и доказательства являются конфиденциальными, существуют ли соглашения о неразглашении (NDA)?
Да, часть информации, которую вы отправляете, будет общедоступной, а часть может быть конфиденциальной. Если у вас есть существующее NDA в корпорации Майкрософт, условия этого соглашения будут применяться к конфиденциальной информации, которую вы отправляете. Если у вас нет соглашения о конфиденциальности с корпорацией Майкрософт, к этой конфиденциальной информации применяются условия соглашения с издателем, подписанного в Центре партнеров.
Как безопасно передавать конфиденциальную документацию и доказательства в рамках оценки сертификации Microsoft 365?
В настоящее время у корпорации Майкрософт нет платформы для безопасного обмена этой информацией. Рекомендуется поделиться этой информацией с помощью уже имеющихся механизмов безопасности. Многие поставщики программного обеспечения будут использовать OneDrive и поделиться ссылкой, прошедшей проверку подлинности, команде по сертификации Microsoft 365.
Мы только что реализовали некоторые дополнительные процессы безопасности для удовлетворения некоторых элементов управления сертификацией Microsoft 365. Означает ли это, что мы должны ждать 12 месяцев, прежде чем мы сможем сертифицировать?
Нет, корпорация Майкрософт признает, что вам может потребоваться разработать дополнительные процессы безопасности, чтобы устранить пробелы между существующими процессами безопасности и ожидаемыми от сертификации Microsoft 365. Команда по сертификации Microsoft 365 рассмотрит недавно разработанные задокументированные процессы и проверит доказательства того, что процесс был выполнен по крайней мере один раз. Кроме того, исторические доказательства не потребуются, так как они не будут доступны для этих новых процессов. Через двенадцать месяцев в ходе ежегодной оценки начнется оценка выборки исторических доказательств.
За что я отвечаю?
Во время оценки аналитики по сертификации проверят предоставленный документ и доказательства, чтобы оценить ваше соответствие элементам управления сертификацией Microsoft 365. В рамках этой работы группа сертификации Microsoft 365 запросит информацию, которая будет включать сведения об архитектуре, схемы, сведения о хранилище данных, сведения о проектировании приложения, документы политики и процесса, файлы конфигурации и снимки экрана. В некоторых случаях или если это проще для вас, можно организовать сеанс скринс-шеринга, чтобы показать доказательства аналитиков сертификации. Если существующие платформы соответствия требованиям будут использоваться для поддержки мероприятий по оценке, потребуется соответствующая документация, демонстрирующая, что внешний аудитор или оценитель оценил и подтвердил, как на месте. Если в вспомогательной документации не удается предоставить необходимое описание, чтобы продемонстрировать, как именно соблюдались элементы управления во внешней платформе безопасности, команда по сертификации Microsoft 365 не сможет использовать внешнюю платформу безопасности для поддержки оценки сертификации Microsoft 365.
Потребуется ли для получения сертификата внести изменения в текущую инфраструктуру?
Маловероятно, что для соответствия сертификации Microsoft 365 потребуются значительные изменения в инфраструктуре. Элементы управления основаны на рекомендациях по обеспечению безопасности в отрасли и, скорее всего, будут уже реализованы. Мы видели в большинстве случаев; Независимым поставщикам программного обеспечения пришлось обновить внутренние процессы, чтобы устранить пробелы между текущими методами работы и тем, что требуется в рамках сертификации Microsoft 365. Если это проблема, корпорация Майкрософт рекомендует ознакомиться с последними элементами управления сертификацией Microsoft 365, которые можно найти в руководстве по отправке сертификатов Microsoft 365, чтобы убедиться, что развернутая среда и рабочие методики соответствуют определенным элементам управления.
Есть ли у корпорации Майкрософт рекомендации по конкретным компонентам, инфраструктуре или программному обеспечению, которые следует использовать для выполнения требований сертификации?
Корпорация Майкрософт не предоставляет конкретных рекомендаций по решениям для соответствия элементам управления сертификации Microsoft 365. Можно использовать любые коммерческие или открытый код предложения, при условии, что они активно поддерживаются и обслуживаются.
Сколько времени требуется для завершения оценки?
Как правило, оценка может занять в среднем 30 дней, однако это может зависеть от многих переменных. Продолжительность выполнения может зависеть от: размера среды размещения, используемой для поддержки приложения или надстройки, типа среды размещения, поддерживающей приложение или надстройку, и того, как поставщики программного обеспечения запрашивают запросы на подтверждение.
Сколько времени мне потребуется выделить на этот процесс?
Большая часть работы заключается в своевременном сборе документации и доказательств. После чего процесс оценки не должен занимать более нескольких часов в неделю. Некоторые переменные, которые могут повлиять на требуемое время: размер среды будет влиять на время, необходимое для сбора запрошенных доказательств, и на наличие каких-либо внешних платформ безопасности, которые можно использовать для поддержки оценки. Там, где существуют внешние платформы безопасности и может быть предоставлена соответствующая сопроводительная документация, аналитики сертификации могут использовать эти внешние оценки для удовлетворения подмножества элементов управления Microsoft 365, не требуя предоставления дополнительных доказательств.
Почему существует фиксированный 60-дневный срок для оценки?
Мы установили ограничение на продолжительность проведения оценки, так как уже собранные доказательства могут стать устаревшими, чем больше времени занимает оценка. Это оценка на определенный момент времени, поэтому для завершения должен быть выделен подходящий период. После отправки первоначального документа мы ответим запросом на подтверждение. 60-дневный период начинается с получения запроса на подтверждение. Руководство по отправке сертификатов Microsoft 365 должно быть прочитано, и вы должны быть уверены, что все элементы управления могут быть выполнены перед отправкой первоначальной отправки доказательств.
Что произойдет, если оценка не будет завершена в течение 60-дневного периода?
К сожалению, если оценка не будет завершена в течение 60-дневного периода времени, корпорация Майкрософт будет отмечать неудачу в оценке. Эта метка используется только для внутренней статистики и никогда не будет опубликована. Вы сможете немедленно перезапустить процесс оценки, однако вам будет предложено повторно отправить НОВОЕ свидетельство для поддержки нового приложения.
Сколько стоит сертификация Microsoft 365?
В настоящее время вы можете бесплатно пройти сертификацию Microsoft 365.
Какова стоимость тестирования на проникновение в рамках этой программы?
Если ваше приложение должно пройти тестирование на проникновение, если это не является частью ваших действий по обеспечению безопасности, тестирование на проникновение может быть выполнено в рамках сертификации Microsoft 365 и бесплатно. Область тестирования на проникновение ограничивается приложением и вспомогательной инфраструктурой, которая находится в область для сертификации Microsoft 365.
У вас есть маркетинговые материалы, которые можно использовать для объявления того, что наше приложение сертифицировано?
По завершении поставщики программного обеспечения получают бесплатный цифровой маркетинговый комплект для продвижения своего приложения в качестве сертифицированного Microsoft 365.
Какой уровень доказательств вы ищете при выполнении оценки?
Доказательства, предоставленные во время оценки сертификации Microsoft 365, должны быть в состоянии обеспечить достаточную уверенность в том, что вы удовлетворяете конкретным оцениваемым элементам управления сертификацией Microsoft 365. Доказательства могут быть в виде файлов конфигурации, снимков экрана параметров или доказательств, документации по политике или процедуре или сеансов скринсхинга для демонстрации доказательств для аналитика сертификации. Ниже приведены два примера:
Действие оценки: "Продемонстрировать, что антивирусное программное обеспечение работает во всех примерах системных компонентов". — Для этого элемента управления можно предоставить снимок экрана с каждого устройства в примере, поддерживающем антивирусную программу, на которой показано выполнение антивирусного процесса, или если у вас есть централизованная консоль управления для антивирусной защиты, вы можете продемонстрировать его из этого консоль управления.
Действие оценки: "Демонстрация выявления новых уязвимостей системы безопасности". — этот элемент управления находится в разделе Управление исправлениями. Цель заключается в том, что у вас есть официально задокументирован процесс выявления новых уязвимостей системы безопасности. Это может быть в исходном коде, но также должно находиться в среде поддержки, например уязвимости Windows, уязвимости в веб-зависимостях (например, AngularJS, JQuery и т. д.). У вас должен быть задокументирован процесс, который вы выполняете для выявления новых уязвимостей системы безопасности, поэтому следует предоставить документ задокументированного процесса. В дополнение к документации необходимо предоставить доказательства того, что этот процесс выполняется; Например, если вы используете что-то вроде аудита npm для проверка зависимостей на наличие уязвимостей, то при предоставлении образца отчетов будут предоставлены доказательства. Если вы используете несколько процессов, т. е. для разных системных компонентов, необходимо предоставить свидетельство обо всех процессах.