Security for ESET Cloud Office Security

Введение

Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью, которые применяются в ESET Cloud Office Security. Методы обеспечения безопасности и средства управления безопасностью предназначены для защиты конфиденциальности, целостности и доступности информации клиента. Обратите внимание, что методы обеспечения безопасности и средства управления безопасностью могут измениться.

Область

Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью для инфраструктуры ESET Cloud Office Security, учетной записи ESET Business Account (далее — «EBA»), ESET Data Framework, ESET LiveGrid, функции обновления, защиты от спама, инфраструктуры ESET Dynamic Threat Defense, организации, персонала и операционных процессов. Методы обеспечения безопасности и средства управления безопасностью включают в себя следующие элементы.

  1. Политики информационной безопасности
  2. Организация информационной безопасности
  3. Безопасность персонала
  4. Управление активами
  5. Управление доступом
  6. Шифрование
  7. Физическая безопасность и безопасность среды
  8. Операционная безопасность
  9. Безопасность обмена данными
  10. Получение, разработка и обслуживание системы
  11. Отношения с поставщиком
  12. Управление инцидентами информационной безопасности
  13. Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
  14. Нормативно-правовое соответствие

Концепция обеспечения безопасности

Компания ESET s.r.o. сертифицирована согласно стандарту ISO 27001:2013, а область действия ее интегрированной системы управления явным образом распространяется на ESET Cloud Office Security, EBA и другие службы.

Поэтому в рамках концепции информационной безопасности используется инфраструктура ISO 27001 для реализации многоуровневой стратегии защиты при применении средств управления безопасностью на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Применяемые методы обеспечения безопасности и средства управления безопасностью намеренно частично дублируются и дополняют друг друга.

Методы обеспечения безопасности и средства управления безопасностью

1. Политики информационной безопасности

Компания ESET использует политики информационной безопасности для соответствия всем аспектам стандарта ISO 27001, в том числе в отношении управления информационной безопасностью, а также средств управления безопасностью и методов обеспечения безопасности. Политики пересматриваются ежегодно и обновляются после значительных изменений, чтобы обеспечить их непрерывную пригодность, достаточность и эффективность.

Компания ESET ежегодно пересматривает данную политику и проводит внутренние проверки безопасности, чтобы обеспечить соответствие данной политике. Несоблюдение политик информационной безопасности приводит к применению дисциплинарных мер по отношению к сотрудникам ESET или предусмотренных договором штрафных санкций по отношению к поставщикам вплоть до прекращения действия договора.

2. Организация информационной безопасности

Организация информационной безопасности для ESET Cloud Office Security предусматривает несколько групп и отдельных лиц, которые занимаются информационной безопасностью и информационными технологиями, в том числе:

  • Высшее руководство ESET
  • Отделы внутренней безопасности ESET
  • Отделы применения ИТ в бизнесе
  • Другие вспомогательные отделы

Обязанности в сфере информационной безопасности распределяются в соответствии с действующими политиками информационной безопасности. Внутренние процессы идентифицируются и оцениваются на предмет опасности несанкционированного или непреднамеренного изменения или ненадлежащего использования ресурсов ESET. С целью снижения риска в отношении рискованных или конфиденциальных действий в рамках внутренних процессов применяется принцип разделения обязанностей.

Отдел юридического обеспечения ESET отвечает за контакты с правительственными органами, в том числе с органами Словакии, которые отвечают за кибербезопасность и защиту персональных данных. Отдел внутренней безопасности ESET отвечает за контакты со специальными группами, например ISACA. Команда исследовательской лаборатории ESET отвечает за взаимодействие с другими компаниями, работающими в сфере безопасности, и с сообществом кибербезопасности в более широком смысле.

Информационная безопасность учитывается при управлении проектами с помощью применяемой платформы управления проектами от идеи до завершения проекта.

Удаленная работа защищена за счет применения политики, реализованной на мобильных устройствах, которая предусматривает использование мощной защиты данных посредством шифрования на мобильных устройствах при работе в недоверенных сетях. Средства управления безопасностью на мобильных устройствах работают независимо от внутренних сетей и внутренних систем ESET.

3. Безопасность персонала

Компания ESET использует стандартные методы работы с персоналом, в том числе политики, разработанные для обеспечения информационной безопасности. Эти методы распространяются на весь жизненный цикл сотрудника, и они применяются ко всем группам пользователей, которые получают доступ к среде ESET Cloud Office Security.

4. Управление активами

Инфраструктура ESET Cloud Office Security включена в реестр активов ESET со строгим определением владельцев и правилами, которые применяются в соответствии с типом и уровнем конфиденциальности активов. В ESET определена внутренняя схема классификации. Все данные и конфигурации ESET Cloud Office Security классифицированы как конфиденциальные.

5. Управление доступом

Политика компании ESET относительно управления доступом регулирует все случаи доступа в ESET Cloud Office Security. Управление доступом применяется на уровне инфраструктуры, сетевых служб, операционной системы, базы данных и приложения. Полное управление доступом пользователей на уровне приложений является автономным. Единый вход в ESET Cloud Office Security и ESET Business Account регулируется центральным поставщиком удостоверений, который обеспечивает доступ пользователя только к авторизованному арендатору. В приложении используются стандартные разрешения ESET Cloud Office Security для управления доступом на основе ролей в отношении арендатора.

Доступ к серверам ESET строго ограничен авторизованными лицами и ролями. Для управления доступом сотрудников ESET к инфраструктуре и сетям ESET Cloud Office Security используются стандартные процессы ESET для регистрации (отмены регистрации) пользователей, подготовки (отмены подготовки), управления правами и проверки прав доступа пользователей.

Для защиты доступа ко всем данным ESET Cloud Office Security применяется надежная система аутентификации.

6. Шифрование

Для защиты данных ESET Cloud Office Security применяется надежная система шифрования, которая шифрует хранящиеся и передаваемые данные. Для выпуска сертификатов для общедоступных служб используется центр сертификации, пользующийся общим доверием. Для управления ключами в пределах инфраструктуры ESET Cloud Office Security используется внутренняя инфраструктура открытых ключей ESET. Данные, которые хранятся в базе данных, защищены с помощью облачных ключей шифрования. Все данные резервного копирования защищены управляемыми ключами ESET.

7. Физическая безопасность и безопасность среды

Поскольку ESET Cloud Office Security и ESET Business Account являются облачными службами, безопасность физического оборудования и среды обеспечивается с помощью Microsoft Azure. В Microsoft Azure используются сертифицированные центры обработки данных с высокой степенью физической безопасности. Физическое расположение центра обработки данных зависит от выбранного клиентом региона.

8. Операционная безопасность

Служба ESET Cloud Office Security управляется с помощью автоматизированных средств согласно строгим операционным процедурам и шаблонам конфигурации. Перед развертыванием в производственной среде все изменения, в том числе изменения конфигурации и развертывание нового пакета, утверждаются и тестируются в выделенной среде тестирования. Среда разработки, среда тестирования и производственная среда отделены друг от друга. Данные ESET Cloud Office Security находятся только в производственной среде.

Среда ESET Cloud Office Security контролируется с помощью операционного мониторинга для быстрого выявления проблем и предоставления достаточной емкости для всех служб на уровне сети и хоста.

Все данные конфигурации хранятся в наших репозиториях, для которых регулярно создаются резервные копии, с целью обеспечения автоматического восстановления конфигурации среды. Резервные копии данных ESET Cloud Office Security хранятся как на внутренних, так и на сторонних площадках.

Резервные копии шифруются и регулярно проверяются на возможность восстановления в рамках тестирования непрерывности бизнес-процессов.

Аудит систем выполняется в соответствии с внутренними стандартами и правилами. Журналы и события из инфраструктуры, операционной системы, базы данных, серверов приложений и средств управления безопасностью собираются непрерывно. Журналы затем обрабатываются отделами ИТ и внутренней безопасности для выявления операционных аномалий и аномалий безопасности, а также инцидентов информационной безопасности.

Компания ESET использует общий процесс управления техническими уязвимостями для обработки случаев возникновения уязвимостей в инфраструктуре ESET, включая ESET Cloud Office Security и другие продукты ESET. Этот процесс включает в себя проактивное сканирование на предмет уязвимостей и повторяющееся тестирование на проникновение для инфраструктуры, продуктов и приложений.

Компания ESET утверждает внутренние правила для обеспечения безопасности внутренней инфраструктуры, сетей, операционных систем, баз данных, серверов приложений и приложений. Эти правила проверяются с помощью мониторинга технического соответствия и нашей внутренней программы аудита информационной безопасности.

9. Безопасность обмена данными

Среда ESET Cloud Office Security сегментирована с помощью собственной облачной сегментации. При этом сетевой доступ ограничен только необходимыми службами среди сетевых сегментов. Доступность сетевых служб обеспечивается с помощью собственных облачных средств управления, таких как зоны доступности, балансировка нагрузки и избыточность. Выделенные компоненты балансировки нагрузки развертываются, чтобы предоставить для маршрутизации экземпляров ESET Cloud Office Security определенные конечные точки, которые обеспечивают авторизацию трафика и балансировку нагрузки. Сетевой трафик непрерывно отслеживается на предмет операционных аномалий и аномалий безопасности. Потенциальные атаки могут быть разрешены с помощью собственных облачных средств управления или развернутых решений по обеспечению безопасности. Сетевой обмен данными полностью шифруется с помощью общедоступных методов, включая IPsec и TLS.

10. Получение, разработка и обслуживание системы

Разработка систем ESET Cloud Office Security выполняется в соответствии с политикой ESET касательно разработки безопасного программного обеспечения. Отделы внутренней безопасности включены в проект разработки ESET Cloud Office Security с самого первого этапа и контролируют все действия по разработке и обслуживанию. Отдел внутренней безопасности определяет требования безопасности и проверяет их соблюдение на различных этапах разработки программного обеспечения. Безопасность всех служб, в том числе новых служб, которые разрабатываются, непрерывно проверяется после выпуска.

11. Отношения с поставщиком

Отношения с поставщиком ведутся в соответствии с действующими правилами ESET, которые полностью охватывают управление отношениями и договорные требования с точки зрения информационной безопасности и конфиденциальности. Качество и безопасность услуг, предоставляемых поставщиком критически важных услуг, оцениваются регулярно.

12. Управление информационной безопасностью

Управление инцидентами информационной безопасности в ESET Cloud Office Security выполняется аналогично другим инфраструктурам ESET, и для него используются определенные процедуры реагирования на инциденты. Роли при реагировании на инциденты определяются и распределяются для множества групп пользователей, в том числе для отделов ИТ, безопасности, юридического обеспечения, управления кадрами, связей с общественностью и для высшего руководства. Группа реагирования на инцидент определяется согласно данным рассмотрения инцидента, которое проводится отделом внутренней безопасности. Эта группа обеспечивает дальнейшую координацию других групп, занимающихся инцидентом. Кроме того, отдел внутренней безопасности отвечает за сбор фактических данных и накопление практического опыта. О возникновении и разрешении инцидентов сообщается заинтересованным сторонам. Отдел юридического обеспечения ESET отвечает за уведомление регулятивных органов (если такое уведомление является необходимым) в соответствии с требованиями Общего регламента по защите данных (GDPR) и Закона о кибербезопасности, который преобразует Директиву о сетевой и информационной безопасности (NIS).

13. Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов

Непрерывность бизнес-процессов для службы ESET Cloud Office Security запрограммирована в надежной архитектуре, которая обеспечивает максимальную доступность предоставляемых услуг. В случае катастрофического отказа всех узлов избыточности для компонентов ESET Cloud Office Security или службы ESET Cloud Office Security возможно полное восстановление с помощью данных резервного копирования и данных конфигурации, находящихся на сторонних площадках. Процесс восстановления регулярно тестируется.

14. Нормативно-правовое соответствие

Соответствие решения ESET Cloud Office Security нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и процессам ESET, а также постоянно принимаются необходимые меры для соблюдения соответствия. Компания ESET зарегистрирована как поставщик цифровых услуг для цифровой службы облачных вычислений, которая охватывает разные службы ESET, в том числе ESET Cloud Office Security. Обратите внимание, что деятельность компании ESET по соблюдению нормативных требований не обязательно означает, что будут удовлетворяться как таковые общие требования клиентов к нормативно-правовому соответствию.