Инсайдерская угроза и Office 365 - STIG или аналогичные результаты?
Office 365 - удобный способ синхронизировать работу нескольких компьютеров и смартфонов. Однако для случаев, когда кто-то по контракту обязан обеспечивать безопасность и защиту данных и документов клиента, проблема внутренней угрозы представляет собой очень серьезную проблему (например, соответствие HIPAA для данных, связанных со здоровьем, Проблемы интеллектуальной собственности или конфиденциальные материалы).
Может ли кто-нибудь направить меня к недавнему (за последний год) официальному документу или результатам тестирования Office 365 на соответствие формальным STIG или аналогичного тестирования безопасности, проведенного в присутствии третьей стороны или государственного свидетеля?
Корпорация Майкрософт публикует данные о количестве прошедших аудитов и сводку результатов в центре управления безопасностью. https://products.office.com/en-us/business/office-365-trust-center-welcome
MS защищает и соблюдает требования только до тех пор, пока служба не включена. После включения вы несете ответственность за выполнение любых дальнейших требований по обеспечению безопасности службы. Хотя они будут выпускать, скажем, HIPAA BAA, это будет просто то, на что вы ссылаетесь, и вы сможете доверять / унаследовать элементы управления безопасностью.
Такие вещи, как HITECH и ISO27001, могут быть применены к облачной службе, но если вам нужны такие вещи, как FISMA или другие правительственные средства контроля, вы будете обращать внимание не на общедоступное облако, а на государственный (только правительственные учреждения) или частный хостинг, который Microsoft обеспечивает.