Ajutor online ESET

Căutare Română
Selectaşi subiectul

Security for ESET Cloud Office Security

Introducere

Scopul acestui document este de a rezuma practicile de securitate și controalele de securitate aplicate în ESET Cloud Office Security. Practicile și controalele de securitate sunt concepute pentru a proteja confidențialitatea, integritatea și disponibilitatea informațiilor clienților. Rețineți că practicile și controalele de securitate se pot modifica.

Domeniu de aplicare

Scopul acestui document este de a rezuma practicile de securitate și controalele de securitate pentru infrastructura ESET Cloud Office Security, ESET Business Account (denumit în continuare „EBA”), ESET Data Framework, ESET LiveGrid, Actualizare, AntiSpam, infrastructura ESET Dynamic Threat Defense, organizația, personalul și procesele operaționale. Practicile și controalele de securitate includ:

  1. Politici de securitate a informațiilor
  2. Organizarea securității informațiilor
  3. Securitatea resurselor umane
  4. Gestionarea activelor
  5. Controlul accesului
  6. Criptografie
  7. Securitatea fizică și a mediului
  8. Securitatea operațiunilor
  9. Securitatea comunicațiilor
  10. Achiziționarea, dezvoltarea și întreținerea sistemelor
  11. Relația cu furnizorii
  12. Gestionarea incidentelor de securitate a informațiilor
  13. Aspecte privind securitatea informațiilor legate de managementul continuității afacerii
  14. Conformitate

Concept de securitate

Compania ESET s.r.o. este certificată ISO 27001:2013, domeniul de aplicare al sistemului de management integrat acoperind în mod explicit ESET Cloud Office Security, EBA și alte servicii.

Prin urmare, conceptul de securitate a informațiilor folosește cadrul ISO 27001 pentru a implementa o strategie de securitate stratificată atunci când aplică controale de securitate care vizează rețeaua, sistemele de operare, bazele de date, aplicațiile, personalul și procesele operaționale. Practicile de securitate și controalele de securitate aplicate sunt menite să se suprapună și să se completeze reciproc.

Practici și controale de securitate

1. Politici de securitate a informațiilor

ESET utilizează politici de securitate a informațiilor care acoperă toate aspectele standardului ISO 27001, inclusiv guvernanța securității informațiilor și controalele și practicile de securitate. Politicile sunt revizuite anual și sunt actualizate după modificări semnificative, pentru a asigura relevanța, adecvarea și eficacitatea lor permanente.

ESET efectuează revizuiri anuale ale acestei politici și verificări de securitate internă pentru a asigura conformitatea cu această politică. Nerespectarea politicilor de securitate a informațiilor este supusă acțiunilor disciplinare pentru angajații ESET sau penalităților contractuale, mergând până la rezilierea contractului pentru furnizori.

2. Organizarea securității informațiilor

Organizarea securității informațiilor pentru ESET Cloud Office Security constă în mai multe echipe și persoane implicate în securitatea informațiilor și IT, inclusiv:

  • Managementul executiv ESET
  • Echipele de securitate internă ESET
  • Echipele IT de aplicații pentru business
  • Alte echipe de asistență

Responsabilitățile în materie de securitate a informațiilor sunt alocate în conformitate cu politicile de securitate a informațiilor în vigoare. Procesele interne sunt identificate și evaluate pentru orice risc de modificare neautorizată sau neintenționată sau utilizare neintenționată a activelor ESET. Activitățile riscante sau sensibile din procesele interne adoptă principiul separării sarcinilor, pentru a reduce riscurile.

Echipa juridică ESET este responsabilă pentru contactele cu autoritățile guvernamentale, inclusiv cu autoritățile de reglementare slovace privind securitatea cibernetică și protecția datelor cu caracter personal. Echipa de securitate internă a ESET este responsabilă pentru contactarea grupurilor de interese speciale, cum ar fi ISACA. Echipa laboratorului de cercetare ESET este responsabilă pentru comunicarea cu alte companii de securitate și cu comunitatea extinsă de securitate cibernetică.

Securitatea informațiilor este luată îân calcul în managementul de proiect, folosind cadrul aplicat de management de proiect de la concepție până la finalizarea proiectului.

Munca și lucrul la distanță sunt acoperite prin utilizarea unei politici implementate pe dispozitive mobile, inclusiv utilizarea unei protecții criptografice puternice a datelor pe dispozitive mobile în timpul călătoriei prin rețele care nu sunt de încredere. Controalele de securitate pe dispozitive mobile sunt proiectate să funcționeze independent de rețelele interne și sistemele interne ESET.

3. Securitatea resurselor umane

ESET utilizează practici standard privind resursele umane, inclusiv politici concepute pentru a susține securitatea informațiilor. Aceste practici acoperă întregul ciclu de viață al angajaților și se aplică tuturor echipelor care accesează mediul ESET Cloud Office Security.

4. Gestionarea activelor

Infrastructura ESET Cloud Office Security este inclusă în inventarele de active ESET, care beneficiază de proprietate strictă și reguli aplicate în funcție de tipul de activ și sensibilitate. ESET are o schemă de clasificare internă definită. Toate datele și configurațiile ESET Cloud Office Security sunt clasificate ca fiind confidențiale.

5. Controlul accesului

Politica ESET de control al accesului guvernează fiecare acces din ESET Cloud Office Security. Controlul accesului este setat la nivel de infrastructură, servicii de rețea, sistem de operare, bază de date și aplicație. Gestionarea completă a accesului utilizatorilor la nivel de aplicație este autonomă. Sign-on-ul unic pentru ESET Cloud Office Security și ESET Business Account este guvernat de un furnizor central de identitate, care asigură că un utilizator poate accesa numai entitatea găzduită autorizată. Aplicația utilizează permisiuni standard în ESET Cloud Office Security pentru a aplica un control al accesului bazat pe roluri pentru entitatea găzduită.

Accesul în sistemele backend ESET este strict limitat la persoane și roluri autorizate. Procesele ESET standard pentru înregistrarea utilizatorilor și pentru anularea înregistrării utilizatorilor, pentru asigurarea accesului utilizatorilor și pentru anularea asigurării accesului utilizatorilor, pentru gestionarea privilegiilor utilizatorilor și pentru revizuirea drepturilor de acces ale utilizatorilor sunt utilizate pentru a gestiona accesul angajaților ESET la infrastructura și rețelele ESET Cloud Office Security.

Folosim o autentificare puternică pentru a proteja accesul la toate datele ESET Cloud Office Security.

6. Criptografie

Pentru a proteja datele ESET Cloud Office Security, folosim criptografie puternică pentru a cripta datele în repaus și în tranzit. Pentru a emite certificate pentru servicii publice folosim o autoritatea de certificare care este considerată ca fiind general de încredere. Infrastructura internă ESET pentru chei publice este utilizată pentru a gestiona cheile din infrastructura ESET Cloud Office Security. Datele stocate în baza de date sunt protejate de chei de criptare generate în cloud. Toate datele de copie de rezervă sunt protejate de chei gestionate de ESET.

7. Securitatea fizică și a mediului

Deoarece ESET Cloud Office Security și ESET Business Account sunt bazate pe cloud, ne bazăm pe Microsoft Azure pentru securitatea fizică și a mediului. Microsoft Azure utilizează centre de date certificate, cu măsuri robuste de securitate fizică. Locația fizică pentru centrul de date depinde de alegerea regiunii clientului.

8. Securitatea operațiunilor

Serviciul ESET Cloud Office Security este operat prin mijloace automatizate, bazate pe proceduri operaționale stricte și șabloane de configurare. Toate modificările, inclusiv modificările de configurare și implementarea pachetelor noi, sunt aprobate și testate într-un mediu de testare dedicat, înainte de implementarea în producție. Mediile de dezvoltare, testare și producție sunt separate unele de altele. Datele ESET Cloud Office Security se află numai în mediul de producție.

Mediul ESET Cloud Office Security este supravegheat prin monitorizarea operațională, pentru a identifica rapid problemele și pentru a oferi o capacitate suficientă tuturor serviciilor de la nivel de rețea și gazdă.

Toate datele de configurare sunt stocate în depozitele noastre, pentru care se face în mod regulat copiere de rezervă, pentru a permite recuperarea automată a configurației unui mediu. Copiile de rezervă ale datelor ESET Cloud Office Security sunt stocate atât în site, cât și în afara site-ului.

Copiile de rezervă sunt criptate și posibilitatea de recuperare a datelor este testată în mod regulat, ca parte a testelor de continuitate a afacerii.

Auditarea sistemelor se efectuează în conformitate cu standardele și orientările interne. Jurnalele și evenimentele din infrastructură, sistemul de operare, baza de date, serverele de aplicații și controalele de securitate sunt colectate continuu. Jurnalele sunt prelucrate suplimentar de către echipe IT și de securitate internă, pentru a identifica anomalii operaționale și de securitate și incidente de securitate a informațiilor.

ESET utilizează un proces tehnic general de gestionare a vulnerabilităților, pentru a gestiona apariția vulnerabilităților în infrastructura ESET, inclusiv în ESET Cloud Office Security și în alte produse ESET. Acest proces include scanarea proactivă pentru detectarea vulnerabilităților și testarea repetată a penetrării infrastructurii, produselor și aplicațiilor.

ESET stabilește orientări interne pentru securitatea infrastructurii interne, a rețelelor, a sistemelor de operare, a bazelor de date, a serverelor de aplicații și a aplicațiilor. Aceste orientări sunt verificate prin monitorizarea conformității tehnice și prin programul nostru de audit intern de securitate a informațiilor.

9. Securitatea comunicațiilor

Mediul ESET Cloud Office Security este segmentat prin segmentare nativă în cloud, accesul la rețea fiind limitat doar la serviciile necesare între segmente de rețea. Disponibilitatea serviciilor de rețea se realizează prin controale native în cloud, cum ar fi zone de disponibilitate, echilibrare a încărcării și redundanță. Implementăm componente dedicate pentru echilibrare a sarcinii pentru a furniza endpointuri specifice pentru rutarea instanței de ESET Cloud Office Security care aplică autorizarea traficului și echilibrarea încărcării. Traficul de rețea este monitorizat continuu pentru anomalii operaționale și de securitate. Atacurile potențiale pot fi rezolvate utilizând controale native în cloud sau soluții de securitate implementate. Toate comunicațiile în rețea sunt criptate prin tehnici general disponibile, inclusiv IPsec și TLS.

10. Achiziționarea, dezvoltarea și întreținerea sistemelor

Dezvoltarea sistemelor ESET Cloud Office Security se realizează în conformitate cu politica de dezvoltare software securizată ESET. Echipele de securitate internă sunt incluse în proiectul de dezvoltare ESET Cloud Office Security încă din faza inițială și supraveghează toate activitățile de dezvoltare și mentenanță. Echipa de securitate internă definește și verifică îndeplinirea cerințelor de securitate în diferite etape de dezvoltare software. Securitatea tuturor serviciilor, inclusiv a celor nou dezvoltate, este testată continuu după lansare.

11. Relația cu furnizorii

O relație relevantă cu furnizorii se desfășoară în conformitate cu orientările ESET valabile, care acoperă gestionarea întregii relații și cerințele contractuale din perspectiva securității informațiilor și a confidențialității. Calitatea și securitatea serviciilor furnizate de furnizorul de servicii critice sunt evaluate în mod regulat.

12. Managementul securității informațiilor

Gestionarea incidentelor de securitate a informațiilor în ESET Cloud Office Security se realizează în mod similar cu alte infrastructuri ESET și se bazează pe proceduri definite de răspuns la incidente. Rolurile din cadrul răspunsului la incidente sunt definite și alocate între mai multe echipe, inclusiv IT, securitate, juridic, resurse umane, relații publice și management executiv. Echipa de răspuns la incidente pentru un incident este stabilită pe baza triajului incidentului de către echipa de securitate internă. Această echipă va asigura coordonarea în continuare a altor echipe care se ocupă de incident. Echipa de securitate internă este responsabilă în același timp pentru colectarea probelor și pentru lecțiile învățate. Apariția și rezolvarea incidentelor sunt comunicate părților afectate. Echipa juridică ESET este responsabilă pentru notificarea organismelor de reglementare, dacă este necesar, în conformitate cu Regulamentul general privind protecția datelor (GDPR) și Legea privind securitatea cibernetică care transpune Directiva privind securitatea rețelelor și a informațiilor (NIS).

13. Aspecte privind securitatea informațiilor legate de managementul continuității afacerii

Continuitatea afacerii pentru serviciul ESET Cloud Office Security este codificată în arhitectura robustă utilizată pentru a maximiza disponibilitatea serviciilor furnizate. Restaurarea completă din copii de rezervă și date de configurare stocate în afara site-ului este posibilă în cazul unei defecțiuni catastrofale a tuturor nodurilor redundante pentru componentele ESET Cloud Office Security sau pentru serviciul ESET Cloud Office Security. Procesul de restaurare este testat în mod regulat.

14. Conformitate

Conformitatea cu cerințele de reglementare și contractuale pentru ESET Cloud Office Security este evaluată și revizuită în mod similar altor infrastructuri și procese ale ESET, urmând a se lua măsurile necesare pentru a se asigura continuitatea conformității. ESET este înregistrat ca furnizor de servicii digitale pentru serviciul digital de cloud computing care acoperă mai multe servicii ESET, inclusiv ESET Cloud Office Security. Rețineți că activitățile de conformitate ESET nu înseamnă în mod implicit că sunt satisfăcute ca atare cerințele generale de conformitate ale clienților.