Security for ESET Cloud Office Security
Uvod
Svrha ovog dokumenta je sažeti sigurnosne prakse i kontrole koje se primjenjuju u programu ESET Cloud Office Security. Sigurnosne prakse i kontrole osmišljene su za zaštitu povjerljivosti, integriteta i dostupnosti podataka o klijentima. Imajte na umu da se sigurnosne prakse i kontrole mogu promijeniti.
Opseg
Područje primjene ovog dokumenta je sažeti sigurnosne prakse i sigurnosne kontrole za infrastrukturu programa ESET Cloud Office Security, ESET Business Account (u daljnjem tekstu "EBA"), ESET Data Framework, ESET LiveGrid, nadogradnju, AntiSpam, infrastrukturu programa ESET Dynamic Threat Defense, organizaciju, osoblje i operativne procese. Sigurnosne prakse i kontrole uključuju:
- Pravila informacijske sigurnosti
- Organizacija informacijske sigurnosti
- Sigurnost ljudskih resursa
- Upravljanje imovinom
- Kontrola pristupa
- Kriptografija
- Fizička sigurnost i sigurnost okruženja
- Sigurnost operacija
- Komunikacijska sigurnost
- Nabava, razvoj i održavanje sustava
- Odnos s dobavljačima
- Upravljanje incidentima informacijske sigurnosti
- Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
- Sukladnost
Koncept sigurnosti
Tvrtka ESET s.r.o. je certificirana prema normi ISO 27001:2013 u okviru integriranog sustava upravljanja koji eksplicitno obuhvaća ESET Cloud Office Security, EBA-u i druge servise.
Stoga se za koncept informacijske sigurnosti upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na sloju mreže, operacijskih sustava, baza podataka, aplikacija, osoblja i operativnih procesa. Primijenjene sigurnosne prakse i sigurnosne kontrole namijenjene su preklapanju i međusobnom nadopunjavanju.
Sigurnosne prakse i kontrole
1. Pravila informacijske sigurnosti
ESET upotrebljava pravila informacijske sigurnosti kako bi obuhvatio sve aspekte ISO 27001 norme, uključujući upravljanje informacijskom sigurnošću te sigurnosne kontrole i prakse. Pravila se revidiraju svake godine i nadograđuju nakon znatnih promjena kako bi se osigurala njihova trajna prikladnost, primjerenost i učinkovitost.
ESET provodi godišnje revizije ovih pravila i unutarnje provjere sigurnosti kako bi osigurao sukladnost s ovim pravilima. Nepoštovanje pravila informacijske sigurnosti podliježe disciplinskim mjerama za ESET-ove zaposlenike ili ugovornim kaznama do raskida ugovora za dobavljače.
2. Organizacija informacijske sigurnosti
Organizacija informacijske sigurnosti za ESET Cloud Office Security sastoji se od više timova i pojedinaca uključenih u informacijsku sigurnost i tima za IT, uključujući:
- ESET-ovu izvršnu upravu
- ESET-ove timove za unutarnju sigurnost
- IT timove za poslovne aplikacije
- Ostale timove za podršku
Odgovornosti za informacijsku sigurnost dodjeljuju se u skladu s utvrđenim pravilima informacijske sigurnosti. Interni procesi identificiraju se i procjenjuju za svaki rizik od neovlaštene ili nenamjerne izmjene ili zlouporabe ESET-ove imovine. Rizične ili osjetljive aktivnosti unutarnjih procesa segregiraju dužnosti kako bi se ublažio rizik.
ESET-ov pravni tim odgovoran je za kontaktiranje s državnim tijelima, uključujući slovačke regulatore za kibernetičku sigurnost i zaštitu osobnih podataka. ESET-ov tim za unutarnju sigurnost odgovoran je za kontaktiranje s posebnim interesnim skupinama kao što je ISACA. ESET-ov tim istraživačkog laboratorija odgovoran je za komunikaciju s drugim sigurnosnim tvrtkama i većom zajednicom za kibernetičku sigurnost.
Informacijska sigurnost uzima se u obzir u upravljanju projektima pomoću primijenjenog okvira za upravljanje projektima od početka do završetka projekta.
Rad na daljinu i rad od kuće obuhvaćeni su pravilima koja se provode na mobilnim uređajima, koja uključuju upotrebu snažne kriptografske zaštite podataka na mobilnim uređajima tijekom putovanja kroz nepouzdane mreže. Sigurnosne kontrole na mobilnim uređajima osmišljene su tako da rade neovisno o ESET-ovim internim mrežama i internim sustavima.
3. Sigurnost ljudskih resursa
ESET upotrebljava standardne prakse u području ljudskih resursa, uključujući pravila osmišljena za očuvanje informacijske sigurnosti. Te prakse obuhvaćaju cijeli životni ciklus zaposlenika i primjenjuju se na sve timove koji imaju pristup okruženju programa ESET Cloud Office Security.
4. Upravljanje imovinom
Infrastruktura programa ESET Cloud Office Security je uključena u ESET-ove zalihe imovine sa strogim vlasništvom i pravilima koja se primjenjuju u skladu s vrstom i osjetljivošću imovine. ESET ima definiranu internu shemu klasifikacije. Svi podaci i konfiguracije programa ESET Cloud Office Security klasificirani su kao povjerljivi.
5. Kontrola pristupa
ESET-ovo pravilo kontrole pristupa upravlja svakim pristupom u programu ESET Cloud Office Security. Kontrola pristupa postavljena je na razini infrastrukture, mrežnih servisa, operacijskog sustava, baze podataka i aplikacije. Potpuno upravljanje korisničkim pristupom na razini aplikacije je autonomno. Jedinstvenom prijavom u ESET Cloud Office Security i na ESET Business Account upravlja središnji davatelj identiteta koji osigurava da korisnik može pristupiti samo ovlaštenom klijentu. Aplikacija upotrebljava standardna dopuštenja programa ESET Cloud Office Security za uspostavljanje kontrole pristupa koja se temelji na ulogama za klijenta.
Pristup ESET-ovom pozadinskom servisu strogo je ograničen na ovlaštene pojedince i uloge. Standardni ESET-ovi procesi za (od)registraciju korisnika, dodjelu/oduzimanje resursa, upravljanje povlasticama i pregled prava pristupa korisnika se upotrebljavaju za upravljanje pristupom ESET-ovih zaposlenika infrastrukturi i mrežama programa ESET Cloud Office Security.
Uspostavljena je snažna autentikacija kako bi se zaštitio pristup svim podacima programa ESET Cloud Office Security.
6. Kriptografija
Kako bi se zaštitili podaci programa ESET Cloud Office Security, upotrebljava se snažna kriptografija za šifriranje podataka u mirovanju i u tranzitu. Za izdavanje certifikata za javne servise upotrebljava se općenito pouzdano tijelo za izdavanje certifikata. Interna infrastruktura ESET-ovog javnog ključa upotrebljava se za upravljanje ključevima u infrastrukturi programa ESET Cloud Office Security. Podaci pohranjeni u bazi podataka zaštićeni su ključevima za šifriranje generiranima u cloudu. Svi podaci sigurnosne kopije zaštićeni su ESET-ovim upravljanim ključevima.
7. Fizička sigurnost i sigurnost okruženja
Budući da su program ESET Cloud Office Security i račun ESET Business Account u cloudu, oslanjamo se na Microsoft Azure za fizičku sigurnost i sigurnost okruženja. Microsoft Azure upotrebljava certificirane podatkovne centre sa strogim mjerama za fizičku sigurnost. Fizička lokacija podatkovnog centra ovisi o odabiru regije klijenta.
8. Sigurnost operacija
Servisom ESET Cloud Office Security se upravlja na automatiziran način na temelju strogih operativnih procedura i konfiguracijskih predložaka. Sve promjene, uključujući konfiguracijske promjene i instalaciju novih paketa, se odobravaju i testiraju u namjenskom okruženju za testiranje prije uvođenja u proizvodnju. Razvojna, testna i proizvodna okruženja su odvojena. Podaci programa ESET Cloud Office Security se nalaze samo u proizvodnom okruženju.
Okruženje programa ESET Cloud Office Security se nadzire operativnim praćenjem kako bi se brzo utvrdili problemi i osigurao dovoljan kapacitet za sve servise na razini mreže i servera.
Svi konfiguracijski podaci se pohranjuju u našim repozitorijima za koje se redovito stvaraju sigurnosne kopije kako bi se omogućio automatizirani oporavak konfiguracije okruženja. Sigurnosne kopije podataka programa ESET Cloud Office Security se pohranjuju na lokaciji i izvan nje.
Sigurnosne kopije su šifrirane i redovito se provode testiranja njihova vraćanja kao dio testiranja kontinuiteta poslovanja.
Provjera sustava provodi se u skladu s internim standardima i smjernicama. Dnevnici i događaji iz infrastrukture, operacijskog sustava, baze podataka, servera aplikacija i sigurnosnih kontrola se prikupljaju kontinuirano. Te dnevnike dodatno obrađuju timovi za IT i unutarnju sigurnost kako bi se utvrdile operativne i sigurnosne anomalije i incidenti informacijske sigurnosti.
ESET upotrebljava opći postupak upravljanja tehničkom ranjivošću za rješavanje pojave ranjivosti u ESET-ovoj infrastrukturi, uključujući ESET Cloud Office Security i druge ESET-ove programe. Ovaj proces uključuje proaktivno skeniranje ranjivosti i ponovljeno penetracijsko testiranje infrastrukture, programa i aplikacija.
ESET navodi interne smjernice za sigurnost interne infrastrukture, mreža, operativnih sustava, baza podataka, servera aplikacija i aplikacija. Te se smjernice provjeravaju praćenjem tehničke sukladnosti i našeg internog programa za sigurnosnu provjeru.
9. Komunikacijska sigurnost
Okruženje programa ESET Cloud Office Security je segmentirano pomoću izvorne segmentacije clouda s mrežnim pristupom ograničenim samo na potrebne servise među mrežnim segmentima. Dostupnost mrežnih servisa se postiže izvornim kontrolama u cloudu kao što su zone dostupnosti, raspodjela opterećenja i redundancija. Namjenske komponente za raspodjelu opterećenja uvode se kako bi pružile određene krajnje točke za usmjeravanje programa ESET Cloud Office Security koje nameću autorizaciju prometa i raspodjelu opterećenja. Mrežni promet se kontinuirano prati zbog operativnih i sigurnosnih anomalija. Potencijalni napadi se mogu riješiti upotrebom izvornih kontrola u cloudu ili implementiranih sigurnosnih rješenja. Sva mrežna komunikacija je šifrirana općenito dostupnim tehnikama, uključujući IPsec i TLS.
10. Nabava, razvoj i održavanje sustava
Razvoj sustava ESET Cloud Office Security provodi se u skladu s ESET-ovim pravilima razvoja sigurnog softvera. Timovi za unutarnju sigurnost uključeni su u razvojni projekt za ESET Cloud Office Security od početne faze i nadgledaju sve razvojne aktivnosti i aktivnosti održavanja. Tim za unutarnju sigurnost definira sigurnosne zahtjeve i provjerava ispunjavaju li se u različitim fazama razvoja softvera. Sigurnost svih servisa, uključujući i novorazvijene, kontinuirano se testira nakon puštanja u promet.
11. Odnos s dobavljačima
Odnos s relevantnim dobavljačima provodi se u skladu s važećim ESET-ovim smjernicama koje obuhvaćaju cjelokupno upravljanje odnosima i ugovorne zahtjeve iz perspektive informacijske sigurnosti i privatnosti. Kvaliteta i sigurnost usluga koje pruža ključni pružatelj usluga redovito se procjenjuju.
12. Upravljanje informacijskom sigurnošću
Upravljanje incidentima informacijske sigurnosti u programu ESET Cloud Office Security se provodi slično kao i za druge ESET-ove infrastrukture i oslanja se na definirane postupke odgovora na incidente. Uloge u odgovoru na incidente se definiraju i raspoređuju u više timova, uključujući timove za IT, sigurnost, pravni tim, ljudske resurse, odnose s javnošću i izvršnu upravu. Tim za odgovor na incident je uspostavljen na temelju trijaže incidenata tima za unutarnju sigurnost. Taj tim će osigurati daljnju koordinaciju drugih timova koji se bave incidentom. Tim za unutarnju sigurnost odgovoran je još i za prikupljanje dokaza i stečena iskustva. Pogođene strane se obavještavaju o nastanku incidenta i njegovom rješavanju. ESET-ov pravni tim odgovoran je za obavještavanje regulatornih tijela ako je to potrebno u skladu s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o kibernetičkoj sigurnosti kojim se prenosi Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS).
13. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
Kontinuitet poslovanja servisa programa ESET Cloud Office Security kodiran je u robusnoj arhitekturi koja se koristi za maksimiziranje dostupnosti pruženih servisa. Potpuno vraćanje podataka iz sigurnosne kopije izvan lokacije i konfiguracijskih podataka je moguće u slučaju katastrofalne pogreške svih suvišnih čvorova za komponente programa ESET Cloud Office Security ili servis programa ESET Cloud Office Security. Proces vraćanja se redovito testira.
14. Sukladnost
Sukladnost s regulatornim i ugovornim zahtjevima za ESET Cloud Office Security se redovito procjenjuje i preispituje slično drugim ESET-ovim infrastrukturama i procesima i poduzimaju se potrebni koraci kako bi se kontinuirano osiguravala sukladnost. ESET je registriran kao pružatelj digitalnih usluga za digitalnu uslugu Računalstvo u cloudu koja obuhvaća više ESET-ovih servisa, uključujući ESET Cloud Office Security. Imajte na umu da ESET-ove aktivnosti povezane sa sukladnosti ne znače nužno da su ispunjeni ukupni zahtjevi kupaca u pogledu sukladnosti.