Security for ESET Cloud Office Security
Úvod
Účelem tohoto dokumentu je shrnout bezpečnostní zásady a postupy uplatňované v rámci služby ESET Cloud Office Security. Bezpečnostní zásady a postupy jsou navrženy tak, aby byla zajištěna důvěrnost, integrita a dostupnost dat zákazníků. Mějte na paměti, že se bezpečnostní zásady a postupy mohou kdykoli změnit.
Rozsah
Účelem tohoto dokumentu je shrnout bezpečnostní postupy a zásady uplatňované v ESET Cloud Office Security infrastruktuře, stejně tak infrastruktuře, organizaci, personálních a provozních procesech souvisejících s ESET Business Account (dále jen "EBA"), ESET Data Framework, ESET LiveGrid, aktualizací, antispamem a ESET Dynamic Threat Defense. Mezi bezpečnostní zásady a postupy patří:
- Politiky bezpečnosti informací
- Organizace bezpečnosti informací
- Bezpečnost lidských zdrojů
- Řízení aktiv
- Řízení přístupu
- Kryptografie
- Fyzická bezpečnost a bezpečnost prostředí
- Bezpečnost provozu
- Bezpečnost komunikací
- Akvizice, vývoj a údržba systému
- Vztah s dodavateli
- Řízení incidentů bezpečnosti informací
- Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací
- Soulad s požadavky
Bezpečnostní koncept
Společnost ESET s.r.o. je držitelem certifikátu ISO 27001:2013 s integrovaným systémem správy, který pokrývá službu ESET Cloud Office Security, EBA a další.
Koncept informační bezpečnosti proto používá standard ISO 27001 k implementaci bezpečnostní strategie vícevrstvé ochrany při aplikování bezpečnostních zásad na vrstvě sítové, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Použité bezpečnostní postupy a zásady se mají vzájemně překrývat a doplňovat.
Bezpečnostní zásady a postupy
1. Politiky bezpečnosti informací
Společnost ESET uplatňuje politiky informační bezpečnosti, které pokrývají všechny aspekty standardu ISO 27001, včetně řízení bezpečnosti informací a bezpečnostní zásady a postupy. Politiky jsou každoročně revidovány a po významných změnách aktualizovány, aby byla zajištěna jejich kontinuální vhodnost, přiměřenost a účinnost.
Společnost ESET provádí každoroční revize těchto politik a kontroly interní bezpečnosti za účelem zajištění souladu s jejich ustanoveními. V případě nedodržování politik informační bezpečnosti jsou zaměstnancům společnosti ESET uložena disciplinární opatření a dodavatelům smluvní sankce, které mohou vést až k ukončení smlouvy.
2. Organizace bezpečnosti informací
Organizace informační bezpečnosti služby ESET Cloud Office Security se skládá z více týmů a jednotlivců zapojených do informační bezpečnosti a IT, včetně:
- výkonného managementu společnosti ESET,
- týmů interní bezpečnosti společnosti ESET,
- IT týmů podnikových aplikací,
- dalších podpůrných týmů.
Odpovědnost za informační bezpečnost je přidělována v souladu se zavedenými politikami informační bezpečnosti. Interní procesy jsou identifikovány a posuzovány z hlediska rizik vyplývajících z neoprávněné nebo neúmyslné modifikace nebo zneužití aktiv společnosti ESET. Při rizikových nebo citlivých činnostech souvisejících s interními procesy je za účelem snížení rizika uplatňován princip oddělení odpovědností.
Právní tým společnosti ESET je zodpovědný za kontakt s orgány státní správy, včetně regulačních orgánů v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Tým interní bezpečnosti společnosti ESET je zodpovědný za kontakt se zájmovými skupinami, jako je například ISACA. Výzkumné týmy společnosti ESET jsou zodpovědné za komunikaci s dalšími společnostmi zabývajícími se bezpečností a širší komunitou pro kybernetickou bezpečnosti.
Informační bezpečnost je zohledněna v projektovém řízení pomocí aplikovaného rámce řízení projektů od koncepce až po dokončení projektu.
Práci na dálku a práci z domova pokrývají politiky implementované na mobilních zařízeních, které zahrnují použití silné kryptografické ochrany dat na mobilních zařízeních při pohybu mezi nedůvěryhodnými sítěmi. Bezpečnostní kontroly na mobilních zařízeních jsou navrženy tak, aby fungovaly nezávisle na interních sítích a interních systémech společnosti ESET.
3. Bezpečnost lidských zdrojů
Společnost ESET používá standardní postupy v oblasti lidských zdrojů, včetně politik určených k dodržování informační bezpečnosti. Tyto postupy jsou platné po celý životní cyklus zaměstnance a vztahují se na všechny týmy, které mají přístup k prostředí služby ESET Cloud Office Security.
4. Řízení aktiv
Infrastruktura služby ESET Cloud Office Security je součástí katalogu aktiv společnosti ESET s určeným vlastnictvím a pravidly aplikovanými podle typu a citlivosti aktiv. Společnost ESET má definované interní klasifikační schéma. Veškerá data a konfigurace související se službou ESET Cloud Office Security jsou klasifikována jako důvěrná.
5. Řízení přístupu
Politika řízení přístupu společnosti ESET upravuje každý přístup v rámci služby ESET Cloud Office Security. Řízení přístupu se nastavuje na úrovni infrastruktury, síťových služeb, operačního systému, databáze a aplikace. Správa úplného přístupu uživatelů na úrovni aplikace je autonomní. Jednotné přihlášení (SSO) v rámci služby ESET Cloud Office Security a ESET Business Account řídí centrální poskytovatel identity, který zajišťuje, že uživatel má přístup pouze oprávněnému tenantu. Aplikace používá standardní oprávnění služby ESET Cloud Office Security za účelem zajištění kontroly přístupu k tenantu na základě rolí.
Přístup k backendu je výhradně omezen na oprávněné osoby a role. Při správě přístupu zaměstnanců společnosti ESET k infrastruktuře a sítím služby ESET Cloud Office Security se využívají standardní procesy společnosti ESET pro (de)registraci uživatelů, (de)provisioning, správu oprávnění a kontrolu přístupových oprávnění uživatelů.
Pro ochranu přístupu ke všem datům souvisejícím se službou ESET Cloud Office Security se používá silné ověřování.
6. Kryptografie
Za účelem ochrany dat souvisejících se službou ESET Cloud Office Security se používá silná kryptografie k šifrování uložených a přenášených dat. Certifikáty pro veřejné služby vydává všeobecně uznávaná certifikační autorita. Klíče používané v rámci ESET Cloud Office Security infrastruktury jsou spravovány prostřednictvím interní infrastruktury veřejných klíčů společnosti ESET. Data uložená v databázi jsou chráněna šifrovacími klíči generovanými v cloudu. Všechna zálohovaná data jsou chráněna klíči spravovanými společností ESET.
7. Fyzická bezpečnost a bezpečnost prostředí
Vzhledem k tomu, že ESET Cloud Office Security a ESET Business Account jsou cloudové služby, spoléháme se na environmentální a fyzické zabezpečení platformy Microsoft Azure. Microsoft Azure využívá certifikovaná datová centra s efektivními fyzickými bezpečnostními opatřeními. Fyzické umístění datového centra závisí na zákazníkem vybrané lokalitě.
8. Bezpečnost provozu
Služba ESET Cloud Office Security je provozována automatizovanými prostředky na základě přísných provozních postupů a konfiguračních šablon. Všechny změny, včetně změn v konfiguraci a nasazení nového balíčku, se nasazením do produkčního prostředí schvalují a testují ve vyhrazeném testovacím prostředí. Vývojová, testovací a produkční prostředí jsou od sebe oddělená. Data služby ESET Cloud Office Security se nacházejí výhradně v produkčním prostředí.
Prostředí služby ESET Cloud Office Security je sledováno prostřednictvím monitorování provozu za účelem rychlé identifikace problémů a zajištění dostatečné kapacity všem službám na úrovni sítě a hostitele.
Veškerá konfigurační data jsou uložena v našich pravidelně zálohovaných úložištích, aby bylo možné automaticky obnovit konfiguraci prostředí. Zálohovaná data služby ESET Cloud Office Security jsou ukládána on-site i off-site.
Zálohy jsou šifrovány a v rámci testování kontinuity je pravidelně ověřována jejich obnovitelnost.
Audit systémů je prováděn dle interních standardů a směrnic. Protokoly a auditní záznamy z infrastruktury, operačního systému, databáze, aplikačních serverů a prvků zabezpečení se shromažďují nepřetržitě. Auditní záznamy jsou dále zpracovávány týmy IT a interní bezpečností za účelem identifikace provozních a bezpečnostních anomálií a incidentů informační bezpečnosti.
Společnost ESET se řídí všeobecným technickým procesem pro správu zranitelností k řízení zranitelností v infrastruktuře ESET, včetně služby ESET Cloud Office Security a dalších produktech ESET. Součástí tohoto procesu je proaktivní skenování zranitelností a opakované penetrační testování infrastruktury, produktů a aplikací.
Společnost ESET má zavedené interní směrnice pro bezpečnost interní infrastruktury, sítí, operačních systémů, databází, aplikačních serverů a aplikací. Jejich dodržování je kontrolováno prostřednictvím monitorování technického souladu a našeho programu interního auditu informační bezpečnosti.
9. Bezpečnost komunikací
Prostředí služby ESET Cloud Office Security je segmentováno pomocí nativních možností dostupných v cloudu, kdy přístup k síti je omezen pouze na nezbytné služby v rámci síťových segmentů. Dostupnost síťových služeb je dosaženo pomocí nativních možností dostupných v cloudu, jako jsou zóny dostupnosti, vyrovnávání zátěže a redundance. Komponenty vyhrazené pro vyrovnávání zátěže jsou nasazeny za účelem ověřování a směrování koncových zařízení k instanci služby ESET Cloud Office Security. Síťový provoz je nepřetržitě monitorován na výskyt provozních a bezpečnostních anomálií. Potenciální útoky lze vyřešit pomocí nativních možností dostupných v cloudu nebo nasazených bezpečnostních řešení. Veškerá síťová komunikace je šifrována pomocí obecně dostupných technik, včetně protokolů IPsec a TLS.
10. Akvizice, vývoj a údržba systému
Vývoj systémů služby ESET Cloud Office Security probíhá v souladu s politikou pro vývoj bezpečného softwaru společnosti ESET. Týmy interní bezpečnosti se na vývoji služby ESET Cloud Office Security podílejí již od počáteční fáze a dohlížejí na všechny aspekty vývoje a údržby. Tým interní bezpečnosti definuje a kontroluje plnění bezpečnostních požadavků v různých fázích vývoje softwaru. Bezpečnost všech služeb, včetně nově vyvinutých, je od jejich vydání průběžně testována.
11. Vztah s dodavateli
Relevantní dodavatelský vztah je veden podle platných směrnic společnosti ESET, které upravují řízení vztahů se zákazníky a smluvní požadavky z hlediska informační bezpečnosti a ochrany osobních údajů. Kvalita a bezpečnost služeb poskytovaných poskytovatelem kritických služeb podléhá pravidelnému hodnocení.
12. Řízení incidentů bezpečnosti informací
Správa incidentů v oblasti informační bezpečnosti souvisejících se službou ESET Cloud Office Security je řízena podobně jako u jiných infrastruktur společnosti ESET a opírá se o definované postupy řešení incidentů. Role v rámci reakce na incidenty jsou definovány a rozděleny mezi více týmů, nejen z oblasti IT, bezpečnosti, právní, lidských zdrojů, vztahů s veřejností a výkonného managementu. Incidenty třídí tým interní bezpečnosti, které si následně přebírá sestavený tým zodpovědný za řešení incidentu. Tento tým zajistí další koordinaci ostatních týmů, které se podílejí na řešení incidentu. Tým interní bezpečnost je rovněž zodpovědný za shromažďování důkazů a získaných poznatků. Vznik incidentu a jeho řešení je sděleno dotčeným stranám. Právní tým společnosti ESET je v případě potřeby zodpovědný za informování regulačních orgánů v souladu se všeobecným nařízení o ochraně osobních údajů (GDPR) a aktem EU o kybernetické bezpečnosti EU transponujícím směrnici o bezpečnosti sítí a informačních systémů (NIS).
13. Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací
Kontinuita provozu služby ESET Cloud Office Security je zakódována v robustní architektuře, která maximalizuje dostupnosti poskytovaných služeb. V případě katastrofického selhání všech redundantních uzlů komponent služby ESET Cloud Office Security, nebo služby ESET Cloud Office Security samotné, je možné provést kompletní obnovení z externích záloh a konfiguračních dat. Proces obnovy je pravidelně testován.
14. Soulad s požadavky
Dodržování regulačních a smluvních požadavků souvisejících se službou ESET Cloud Office Security je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a procesy společnosti ESET. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Společnost ESET je registrována jako poskytovatel digitálních služeb v oblasti cloud computingu, mezi které spadají další služby společnosti ESET včetně ESET Cloud Office Security. Mějte na paměti, že aktivity společnost ESET týkající se dodržování předpisů nemusí nutně znamenat, že jsou splněny celkové požadavky zákazníků na dodržování předpisů.