Безпека для ESET Inspect
Вступ
Мета цього документа — узагальнити методи захисту й елементи керування безпекою, які застосовуються в програмі ESET Inspect. Методи захисту й елементи керування призначені для захисту конфіденційності, цілісності й доступності інформації клієнта. Зауважте, що методи захисту та елементи керування можуть змінюватися.
Область
У цьому документі узагальнено методи захисту й елементи керування безпекою для інфраструктури ESET Inspect, а також для організації, персоналу й операційних процесів. Методи захисту й елементи керування безпекою:
- Політики інформаційної безпеки
- Організація інформаційної безпеки
- Безпека, пов’язана з роботою персоналу
- Керування ресурсами
- Керування доступом
- Криптографія
- Фізична безпека й безпека середовища
- Безпека операцій
- Безпека обміну даними
- Придбання, розробка й обслуговування системи
- Відносини з постачальниками
- Керування інцидентами, які стосуються інформаційної безпеки
- Аспекти інформаційної безпеки керування безперервністю бізнесу
- Відповідність нормативним вимогам
Концепція безпеки
Компанія ESET, spol. s r.o. має сертифікат ISO 27001:2013 та інтегровану систему керування, яка розповсюджується на служби ESET Inspect.
Тому в концепції інформаційної безпеки використовується інфраструктура ISO 27001, яка дає змогу впровадити багатошарову стратегію захисту для засобів безпеки на рівні мережі, операційних систем, баз даних, програм, персоналу та операційних процесів. Застосовувані методи захисту й елементи керування безпекою призначені для доповнення один одного й дублювання певних функцій.
Методи захисту й елементи керування безпекою
1. Політики інформаційної безпеки
ESET використовує політики інформаційної безпеки для забезпечення відповідності всім аспектам стандарту ISO 27001, зокрема в питаннях управління безпекою інформації, а також контролю за безпекою й практиками. Політики переглядаються щорічно та оновлюються після суттєвих змін, що гарантує їхню актуальність.
ESET щорічно переглядає цю політику й внутрішні процедури перевірки безпеки, щоб забезпечити їхню узгодженість із цією політикою. Недотримання політик щодо інформаційної безпеки призводить до дисциплінарних стягнень для співробітників ESET або до передбачених контрактом штрафів аж до розірвання контракту для постачальників.
2. Організація інформаційної безпеки
Організацією інформаційної безпеки для ESET Inspect займаються кілька груп і осіб із відділів інформаційної безпеки та IT, зокрема:
- Керівництво ESET
- Команди внутрішньої безпеки ESET
- IT-команди, які працюють із бізнес-програмами
- Інші команди підтримки
Обов’язки щодо безпеки інформації розподіляються відповідно до чинних політик інформаційної безпеки. Внутрішні процеси визначаються та оцінюються на наявність будь-якого ризику несанкціонованої чи ненавмисної модифікації або неналежного використання ресурсів ESET. Для тих операцій внутрішніх процесів, які пов’язані з ризиком або конфіденційними даними, діє принцип розподілення обов’язків. Це дає змогу знизити ризик.
Юридична команда ESET несе відповідальність за контакти з органами державної влади, зокрема словацькими регуляторами в галузі кібербезпеки й захисту персональних даних. Команди внутрішньої безпеки ESET несе відповідальність за контакти з групами певних інтересів, зокрема ISACA. Команда дослідницької лабораторії ESET відповідає за обмін даними з іншими компаніями з безпеки й спільнотою кібербезпеки.
Для керування проектами враховуються складові інформаційної безпеки з використанням структури керування проектами (від початку до завершення).
На віддалену роботу розповсюджується політика, реалізована на мобільних пристроях, зокрема використання надійного криптографічного захисту даних на мобільних пристроях під час роботи в недовірених мережах. Елементи керування безпекою на мобільних пристроях працюють незалежно від внутрішніх мереж ESET і внутрішніх систем.
3. Безпека, пов’язана з роботою персоналу
ESET використовує стандартні практики щодо персоналу, зокрема політики, призначені для забезпечення інформаційної безпеки. Ці методи розповсюджуються на весь термін роботи працівника, і вони застосовуються до всіх груп, які мають доступ до середовища ESET Inspect.
4. Керування ресурсами
Інфраструктура ESET Inspect входить до складу наявних ресурсів ESET із чітко визначеним правами власності й правилами, які застосовуються відповідно до типу й рівня конфіденційності ресурсу. У ESET є визначена внутрішня схема класифікації. Усі дані й конфігурації ESET Inspect класифікуються як конфіденційні.
5. Керування доступом
Політика ESET щодо керування доступом регламентує кожну спробу доступу в ESET Inspect. Керування доступом можна задати на рівні інфраструктури, мережевих служб, операційної системи, бази даних і програми. Керування повним доступом користувача на рівні програми є автономним (використовується керування доступом на основі ролей Microsoft Azure).
Доступ до серверів ESET відкрито виключно для вповноважених користувачів і користувачів із певними ролями. Для керування доступом працівників ESET до інфраструктури й мереж ESET Inspect використовуються стандартні процеси ESET щодо реєстрації (скасування реєстрації), підготовки (відкату підготовки), керування привілеями й огляду прав доступу користувача.
Доступ до всіх даних ESET Inspect захищено з використанням надійної автентифікації.
6. Криптографія
Дані ESET Inspect (постійні й транзитні) захищено шифруванням із використанням надійної криптографії.
7. Фізична безпека й безпека середовища
ESET Inspect працює на основі хмари. ESET використовує приватну хмару й хмару Microsoft Azure. Приватний хмарний центр обробки даних розташований виключно в країнах ЄС. Розташування Microsoft Azure не обмежується територією Європейського Союзу. Проте ця служба використовується лише для зберігання односторонніх хешів, створених на основі надісланих файлів без персональних даних. Для захисту даних клієнта під час переносу використовується надійна криптографія.
8. Безпека операцій
Служба ESET Inspect працює з використанням автоматичних засобів на основі чітко визначених операційних процедур і шаблонів конфігурації. Перед робочим розгортанням усі зміни, зокрема зміни конфігурації та розгортання нових пакетів, затверджуються й тестуються в спеціально виділеному тестовому середовищі. Середовища розгортання, тестові й робочі середовища відокремлені одне від одного. Дані ESET Inspect розташовані тільки в робочому середовищі.
Нагляд за середовищем ESET Inspect здійснюється в режимі операційного моніторингу. Це дає змогу швидко виявляти проблеми й надавати достатні ресурси всім службам на рівні мережі й рівні хостів.
Усі дані конфігурації зберігаються в наших репозиторіях, для яких регулярно створюються резервні копії. Це дає змогу автоматично відновлювати конфігурацію середовища. Резервні копії даних ESET Inspect зберігаються як на майданчику, так і поза ним.
Резервні копії шифруються й регулярно перевіряються на можливість використання для відновлення (один з етапів тестування безперервності бізнесу).
Аудит систем проводиться відповідно до внутрішніх стандартів і вказівок. Постійно збираються журнали й події інфраструктури, операційної системи, бази даних, серверів програм і елементів керування безпекою. Після збору журнали обробляються IT-фахівцями й внутрішніми командами безпеки для виявлення нетипових операцій та аномалій безпеки, а також інцидентів інформаційної безпеки.
Для усунення вразливостей в інфраструктурі ESET, зокрема в ESET Inspect та інших продуктах, ESET дотримується загального процесу роботи з технічними вразливостями. Складовими цього процесу є проактивне сканування на наявність уразливостей, а також тестування інфраструктури, продуктів і програм на стійкість до проникнення.
ESET впроваджує внутрішні керівні принципи щодо безпеки внутрішньої інфраструктури, мереж, операційних систем, баз даних, серверів програм і програм. Ці рекомендації перевіряються через моніторинг дотримання технічних вимог і нашу внутрішню програму аудиту безпеки.
9. Безпека обміну даними
Середовище ESET Inspect сегментоване за власною схемою сегментації хмари. Мережевий доступ надається тільки для необхідних служб серед сегментів мережі. Доступність мережевих служб реалізована за допомогою власних елементів керування хмари (зони доступності, балансування навантаження й надлишковість). Розгорнуто окремі компоненти балансування навантаження, які забезпечують певні кінцеві точки для маршрутизації екземплярів ESET Inspect з авторизацію трафіку й балансуванням навантаження. Мережевий трафік постійно відстежується на наявність нетипових операцій та аномалій безпеки. Потенційні атаки можуть нейтралізуватися з використанням власних елементів керування хмарою або розгорнутих рішень для захисту. Усі мережеві з’єднання зашифровано за допомогою загальнодоступних технологій, зокрема IPsec і TLS.
10. Придбання, розробка й обслуговування системи
Розробка систем ESET Inspect виконується відповідно до політики безпечної розробки програмного забезпечення ESET. Команди внутрішньої безпеки беруть участь у проекті розробки ESET Inspect з його початкового етапу й відстежують усі операції з розробки й обслуговування. Внутрішня команда з безпеки визначає й перевіряє виконання вимог щодо безпеки на різних етапах розробки програмного забезпечення. Безпека всіх служб, зокрема й розроблених нових, постійно перевіряється після випуску.
11. Відносини з постачальниками
Відповідні відносини з постачальниками регламентуються відповідно до дійсних керівних принципів ESET, які чинні для керування всіма відносинами і розповсюджуються на всі договірні вимоги з точки зору безпеки інформації та конфіденційності. Якість і безпека послуг, що надаються критично важливим постачальником послуг, регулярно оцінюються.
Окрім цього, ESET використовує перенос даних, щоб можна було уникнути блокування постачальника для ESET Inspect.
12. Керування інформаційною безпекою
Керування інцидентами, які стосуються інформаційної безпеки, в ESET Inspect виконується так само, як і в інших інфраструктурах ESET, на основі визначених процедур реагування на інциденти. Ролі реагування на інциденти визначаються й виділяються для кількох команд (IT, безпека, юридичний відділ, відділ кадрів, PR і керівництво). Команда реагування на інцидент формується на основі класифікації інциденту спеціалістами внутрішньої команди безпеки. Ця команда в подальшому координує інші команди, які займатимуться цим інцидентом. Команда внутрішньої безпеки також відповідає за збір доказів і робить висновки. Дані про всі інциденти й застосовані заходи надсилаються всім сторонам, які мають до цього відношення. Юридична команда ESET несе відповідальність за повідомлення про інциденти в регуляторні органи (за потреби) відповідно до вимог документів General Data Protection Regulation (GDPR) і Cybersecurity Act transposing Network and Information Security Directive (NIS).
13. Аспекти інформаційної безпеки керування безперервністю бізнесу
Безперервність роботи служби ESET Inspect передбачено в надійній архітектурі, яка використовується для забезпечення максимальної доступності служб. Повне відновлення з даних резервної копії поза майданчиком і даних конфігурації можливе в разі непереборного збою всіх вузлів надлишковості для компонентів ESET Inspect або служби ESET Inspect. Процес відновлення перевіряється регулярно.
14. Відповідність нормативним вимогам
Відповідність нормативним вимогам і умовам угоди ESET Inspect регулярно оцінюється та перевіряється, як й інші елементи інфраструктури й процеси ESET. ESET уживає необхідних кроків для їх дотримання на постійній основі. Компанію ESET зареєстровано як постачальник цифрових послуг для хмарних обчислень. Ця класифікація розповсюджується на кілька служб ESET, зокрема ESET Inspect. Зауважте, що дії ESET щодо забезпечення відповідності нормативним вимогам не обов’язково означають, що ці вимоги в повному обсязі виконуються клієнтами.