ESET Online súgó

Keresés Magyar
Válassza ki a témakört

Security for ESET Cloud Office Security

Bevezetés

Jelen dokumentum rendeltetése, hogy összefoglalja az ESET Cloud Office Security szolgáltatáson belül alkalmazott biztonsági eljárásokat és biztonsági ellenőrzéseket. A biztonsági eljárások és ellenőrzések célja az ügyféladatok titkosságának, sértetlenségének és elérhetőségének védelme. Vegye figyelembe, hogy a biztonsági eljárások és ellenőrzések változhatnak.

Hatókör

Jelen dokumentum a biztonsági eljárások és biztonsági ellenőrzések összefoglalását nyújtja az ESET Cloud Office Security-infrastruktúra, ESET Business Account (a továbbiakban: „EBA”), ESET Data Framework, ESET LiveGrid, Frissítés, Levélszemétszűrő, ESET Dynamic Threat Defense-infrastruktúra, szervezet, személyzet és működtetési folyamatok vonatkozásában. A biztonsági eljárások és ellenőrzések közé tartoznak a következők:

  1. Információbiztonsági irányelvek
  2. Információbiztonsági szervezeti felépítés
  3. Humánerőforrás-biztonság
  4. Eszközkezelés
  5. Hozzáférés-felügyelet
  6. Kriptográfia
  7. Fizikai és környezeti biztonság
  8. Műveleti biztonság
  9. Kommunikációs biztonság
  10. Rendszerbeszerzés, -fejlesztés és -karbantartás
  11. Beszállítói kapcsolat
  12. Információbiztonsági incidensek kezelése
  13. Az üzletmenet-folytonosság kezelésének információbiztonsági szempontjai
  14. Jogi megfelelőség

Biztonsági elv

Az ESET s.r.o. cég ISO 27001:2013 tanúsítvánnyal rendelkezik, és integrált irányítási rendszert alkalmaz, amely kifejezetten kiterjed az ESET Cloud Office Security szolgáltatásra, az EBA-ra és más szolgáltatásokra.

Ezért az információbiztonság elve az ISO 27001 keretrendszer szerint valósítja meg többrétegű biztonsági stratégiáját a biztonsági ellenőrzések hálózaton, operációs rendszerekben, adatbázisokban, alkalmazásokban, személyzet körében és működtető folyamatokban való alkalmazásakor. Az alkalmazott biztonsági gyakorlatok és biztonsági ellenőrzések átfedik és kiegészítik egymást.

Biztonsági eljárások és ellenőrzések

1. Információbiztonsági irányelvek

Az ESET információbiztonsági irányelveket alkalmaz az ISO 27001 szabvány minden szempontját figyelembe véve, ideértve az információbiztonsági irányítást, valamint a biztonsági ellenőrzéseket és eljárásokat. Az irányelveket évente felülvizsgáljuk, jelentős változtatások után pedig frissítjük, hogy biztosítsuk további alkalmasságukat, megfelelőségüket és hatékonyságukat.

Az ESET évente felülvizsgálja a jelen irányelvet és a belső biztonsági ellenőrzéseket a jelen irányelvvel való összhang biztosítása érdekében. Az információbiztonsági irányelvek megszegése fegyelmi intézkedéseket von maga után az ESET alkalmazottai esetén, a beszállítók esetén pedig szerződéses szankciókat, ami akár a szerződés felmondását is jelentheti.

2. Információbiztonsági szervezeti felépítés

Az ESET Cloud Office Security esetén az információbiztonsági szervezet több információbiztonsági és informatikai csapatból és személyből épül fel, többek között a következőkből:

  • ESET-vezetőség
  • Belső biztonsági ESET-csapatok
  • Üzleti alkalmazások IT-csapatai
  • Egyéb támogató csapatok

Az információbiztonsági feladatokat az alkalmazott információbiztonsági irányelveknek megfelelően osztjuk ki. Beazonosítjuk és kiértékeljük a belső folyamatokat az ESET-eszközök jogosulatlan vagy nem szándékos módosításának, illetve az azokkal való visszaélések kockázata vonatkozásában. A kockázatok mérséklése érdekében a belső folyamatokban a kockázatos vagy bizalmas jellegű tevékenységek során a feladatok szétválasztásának elve érvényesül.

Az ESET jogi csoportja felel az állami hatóságokkal, többek között a kiberbiztonsággal és a személyes adatok védelmével foglalkozó szlovák szabályozó hivatalokkal való kapcsolattartásért. Az ESET belső biztonsági csapata felel az olyan speciális érdekcsoportokkal való kapcsolatfelvételért, mint például az ISACA. Az ESET kutatási laboratóriumi csapata felel a többi biztonsági céggel és a szélesebb kiberbiztonsági közösséggel folytatott kommunikációért.

Az információbiztonság mindvégig megvalósul a projektmenedzsmentben az alkalmazott projektmenedzsment-keretrendszer révén az ötletek megszületésétől kezdve a projektek befejezéséig.

A távoli munkát és a távmunkát a mobileszközökön megvalósított házirend alkalmazásával tesszük lehetővé, amely magában foglalja az erős kriptográfiai adatvédelem alkalmazását a mobileszközökön a nem megbízható hálózatokon való áthaladás során. A mobileszközökön alkalmazott biztonsági ellenőrzések úgy vannak megtervezve, hogy az ESET belső hálózataitól és belső rendszereitől függetlenül működjenek.

3. Humánerőforrás-biztonság

Az ESET szabványos humánerőforrás-eljárásokat alkalmaz, ideértve az információbiztonság fenntartását célzó irányelveket is. Az eljárások az alkalmazottak teljes életciklusát felölelik, és minden olyan csapatra kiterjednek, amely hozzáfér az ESET Cloud Office Security-környezethez.

4. Eszközkezelés

Az ESET Cloud Office Security-infrastruktúra szerepel az ESET eszközkészleteiben, szigorú tulajdonjogi meghatározással, valamint az eszköztípus és -érzékenység szerint alkalmazott szabályok alkalmazása mellett. Az ESET belső osztályozási sémával rendelkezik. Minden ESET Cloud Office Security-adat és -konfiguráció bizalmasnak minősül.

5. Hozzáférés-felügyelet

Az ESET hozzáférés-vezérlési irányelve szabályoz mindennemű hozzáférést az ESET Cloud Office Security szolgáltatásban. A hozzáférés-vezérlés az infrastruktúra, a hálózati szolgáltatások, az operációs rendszer, az adatbázis és az alkalmazás szintjén egyaránt be van állítva. A teljes felhasználói hozzáférés-kezelés autonóm az alkalmazás szintjén. Az ESET Cloud Office Security és az ESET Business Account egyszeri bejelentkezési funkcióját egy központi identitásszolgáltató szabályozza, amely biztosítja, hogy a felhasználó csak a jóváhagyott bérlőhöz férhessen hozzá. Az alkalmazás szabványos ESET Cloud Office Security-engedélyek segítségével érvényesíti a szerepköralapú hozzáférés-vezérlést a bérlő számára.

Az ESET háttér-hozzáférése szigorúan a jóváhagyott személyekre és szerepkörökre korlátozódik. A felhasználói regisztrációhoz/regisztráció megszüntetéséhez, az üzembe helyezéshez/üzemen kívül helyezéshez, a jogosultságkezeléshez és a felhasználói hozzáférési jogok felülvizsgálatához használt szabványos ESET-folyamatok az ESET alkalmazottainak ESET Cloud Office Security-infrastruktúrához és hálózatokhoz való hozzáférésének kezelésére szolgálnak.

Erős hitelesítés van érvényben az összes ESET Cloud Office Security-adathoz való hozzáférés védelme érdekében.

6. Kriptográfia

Az ESET Cloud Office Security-adatok védelméhez erős kriptográfiát alkalmazunk az adatok nyugalmi állapotban és továbbítás során történő titkosításához. Általánosan megbízhatónak talált tanúsítványhitelesítő adja ki a tanúsítványokat a közszolgáltatások számára. Az ESET nyilvános kulcsokra épülő belső infrastruktúrája kezeli a kulcsokat az ESET Cloud Office Security-infrastruktúrán belül. Az adatbázisban tárolt adatokat felhő által generált titkosítási kulcsok védik. Az összes biztonsági mentési adatot az ESET által felügyelt kulcsok védik.

7. Fizikai és környezeti biztonság

Mivel az ESET Cloud Office Security és az ESET Business Account felhőalapú, a Microsoft Azure által nyújtott fizikai és környezeti biztonságra támaszkodunk. A Microsoft Azure megbízható fizikai biztonsági intézkedéseket alkalmazó tanúsított adatközpontokat használ. Az adatközpont fizikai elhelyezkedése az ügyfél által kiválasztott régiótól függ.

8. Műveleti biztonság

Az ESET Cloud Office Security szolgáltatás működtetése automatizált eszközökkel történik, szigorú működtetési eljárások és konfigurációs sablonok alapján. Minden változtatást – ideértve a konfigurációs módosításokat és az új csomagok telepítését – jóvá kell hagyni és tesztelni kell dedikált tesztelési környezetben, mielőtt sor kerülne az üzembe helyezésükre. A fejlesztési, tesztelési és termelési környezetek elkülönülnek egymástól. Az ESET Cloud Office Security-adatok csak a termelési környezetben találhatók meg.

Az ESET Cloud Office Security-környezet operatív ellenőrzéssel felügyeljük, így gyorsan azonosíthatók a problémák, és elegendő kapacitás biztosítható az összes szolgáltatás számára hálózati és hosztolási szinten.

Az összes konfigurációs adatot a rendszeresen mentett adattárainkban tároljuk, ami lehetővé teszi egy adott környezet konfigurációjának automatikus helyreállítását. Az ESET Cloud Office Security-adatok biztonsági másolatait mind a helyszínen, mind helyszínen kívül tároljuk.

A biztonsági másolatokat titkosítjuk, és rendszeresen teszteljük a helyreállíthatóságukat az üzletmenet-folytonossági tesztelés részeként.

Az auditálás belső szabványok és iránymutatások szerint történik a rendszereken. Folyamatosan begyűjtjük a naplókat és az incidenseket az infrastruktúra, az operációs rendszer, az adatbázis, az alkalmazásszerverek és a biztonsági ellenőrzések vonatkozásában. A naplókat mélyrehatóbban elemzik az informatikai és belső biztonsági csapatok az operatív és biztonsági rendellenességek, valamint az információbiztonsági incidensek azonosítása érdekében.

Az ESET általános technikai sebezhetőségkezelési eljárást alkalmaz az ESET infrastruktúrájában – beleértve az ESET Cloud Office Security szolgáltatást és más ESET-termékeket is – előforduló biztonsági rések kezelésére. A folyamat magában foglal egy proaktív sebezhetőségi ellenőrzést, valamint az infrastruktúra, a termékek, és az alkalmazások ismétlődő penetrációs tesztelését.

Az ESET belső iránymutatásokat fogalmaz meg a belső infrastruktúra, hálózatok, operációs rendszerek, adatbázisok, alkalmazásszerverek és alkalmazások biztonságára vonatkozóan. Az iránymutatásokat a műszaki megfelelőség figyelésével és belső információbiztonsági auditálási programunkkal ellenőrizzük.

9. Kommunikációs biztonság

Az ESET Cloud Office Security-környezet natív felhőszegmentálással van szegmentálva, és a hálózati hozzáférés csak a hálózati szegmensek közötti szükséges szolgáltatásokra korlátozódik. A hálózati szolgáltatások elérhetőségét natív felhővezérlési eszközökkel, például elérhetőségi zónákkal, terheléselosztással és redundanciával biztosítjuk. A dedikált terheléselosztó komponenseket úgy helyezzük üzembe, hogy olyan meghatározott végpontokat biztosítsanak az ESET Cloud Office Security-példányútválasztáshoz, amelyek lehetővé teszik a forgalom-jóváhagyást és a terheléselosztást. Folyamatosan figyelemmel kísérjük, hogy a hálózati forgalomban nincsenek-e üzemeltetési és biztonsági rendellenességek. A potenciális támadások natív felhővezérlő eszközökkel, illetve telepített biztonsági megoldásokkal háríthatók el. Minden hálózati kommunikáció olyan általánosan elérhető technikákkal van titkosítva, mint például az IPsec és a TLS.

10. Rendszerbeszerzés, -fejlesztés és -karbantartás

Az ESET Cloud Office Security rendszerek fejlesztése az ESET biztonságos szoftverfejlesztési irányelvének megfelelően történik. A belső biztonsági csapatok a kezdeti szakasztól kezdve részt vesznek az ESET Cloud Office Security fejlesztési projektben, és felügyelik az összes fejlesztési és karbantartási tevékenységet. A belső biztonsági csapat meghatározza és ellenőrzi a biztonsági követelmények teljesítését a szoftverfejlesztés különböző szakaszaiban. Az összes szolgáltatás biztonsága – ideértve az újonnan kifejlesztetteket is – folyamatos tesztelésen megy át a kiadás után.

11. Beszállítói kapcsolat

A megfelelő beszállítói kapcsolat kialakítása az ESET érvényes irányelvei mentén zajlik, amelyek kiterjednek az összes kapcsolatkezelési és szerződéses követelményre az információbiztonság és az adatvédelem szempontjából. A kritikus szolgáltató által nyújtott szolgáltatások minősége és biztonsága rendszeres kiértékelések tárgyát képezi.

12. Információbiztonsági menedzsment

Az ESET Cloud Office Security szolgáltatásban az információbiztonsági incidensek kezelése a többi ESET-infrastruktúrához hasonlóan megy végbe, és meghatározott incidenskezelési eljárásokra támaszkodik. Az incidenskezelés során a szerepköröket több csapat határozza meg és osztja fel, ideértve az informatikai, biztonsági, jogi, HR-, közönségkapcsolati és vezetőségi csapatot. Egy adott incidens során az incidenskezelési csapatot a belső biztonsági csapat határozza meg az incidens-rangsorolás alapján. Az adott csapat végzi majd az incidenst kezelő többi csapat további koordinálását. A belső biztonsági csapat felelős a bizonyítékok begyűjtéséért és a tanulságok levonásáért is. Az incidensek megtörténtéről és elhárításáról értesítik az érintett feleket. Az ESET jogi csapata felelős azért, hogy szükség esetén értesítse a szabályozó testületeket az Általános adatvédelmi rendelet (GDPR) és a Hálózati és információbiztonsági irányelvet (NIS) felváltó Kiberbiztonsági törvénynek megfelelően.

13. Az üzletmenet-folytonosság kezelésének információbiztonsági szempontjai

Az ESET Cloud Office Security szolgáltatás üzletmenet-folytonosságát az a masszív architektúra biztosítja, amelyet a nyújtott szolgáltatások elérhetőségének maximalizálására használunk. A helyszínen kívül tárolt biztonsági másolat és konfigurációs adatok révén teljes helyreállításra van lehetőség az ESET Cloud Office Security-komponensek vagy az ESET Cloud Office Security szolgáltatás összes redundáns csomópontjának katasztrofális meghibásodása esetén is. A helyreállítási folyamatot rendszeresen teszteljük.

14. Jogi megfelelőség

Az ESET Cloud Office Security megfelelőségi és szerződéses követelményeinek betartásának felmérése és ellenőrzése rendszeresen megtörténik az ESET egyéb infrastruktúráihoz és folyamataihoz hasonlóan, és folyamatosan elvégezzük a követelmények betartásához szükséges tevékenységeket. Az ESET digitális szolgáltatóként van regisztrálva a Cloud Computing digitális szolgáltatások területén, amely több ESET-szolgáltatást is magában foglal, ideértve az ESET Cloud Office Security szolgáltatást is. Vegye figyelembe, hogy az ESET megfelelőségi tevékenységei nem feltétlenül jelentik azt, hogy az ügyfelek általános megfelelési követelményei teljesülnek.