تعليمات ESET عبر الإنترنت

البحث العربية
تحديد الموضوع

الأمان لـ ESET LiveGuard Advanced

مقدمة

الغرض من هذا المستند هو تلخيص ممارسات وضوابط الأمان المطبّقة داخل ESET LiveGuard Advanced. تم تصميم ممارسات وضوابط الأمان لحماية سرية معلومات العملاء ونزاهتها وتوافرها. لاحظ أن ممارسات وضوابط الأمان قد تتغير.

النطاق

يتمثل نطاق هذا المستند في تلخيص ممارسات الأمان وضوابط الأمان لبنية ESET LiveGuard Advanced الأساسية والمؤسسة والأشخاص وعمليات التشغيل. تتضمن ممارسات وضوابط الأمان ما يلي:

  1. سياسات أمن المعلومات
  2. تنظيم أمن المعلومات
  3. أمن الموارد البشرية
  4. إدارة الأصول
  5. التحكم في الوصول
  6. التشفير
  7. الأمن المادي والبيئي
  8. أمن العمليات
  9. أمن الاتصالات
  10. الحصول على النظام وتطويره وصيانته
  11. العلاقة مع المورّدين
  12. إدارة حوادث أمن المعلومات
  13. جوانب أمن المعلومات لإدارة استمرارية الأعمال
  14. الالتزام

مفهوم الأمان

شركة ESET, spol. s r.o.. حاصلة على اعتماد الأيزو 27001:2013 بنطاق نظام إدارة متكامل يشمل بشكل صريح خدمات ESET LiveGuard Advanced.

لذلك، يستخدم مفهوم أمن المعلومات إطار عمل ISO 27001 لتنفيذ إستراتيجية دفاع متعدد الطبقات عند تطبيق ضوابط الأمان على طبقة الشبكة، وأنظمة التشغيل، وقواعد البيانات، والتطبيقات، والأشخاص وعمليات التشغيل. تهدف ممارسات وضوابط الأمان المطبَّقة إلى التداخل والتكامل مع بعضها البعض.

ممارسات وضوابط الأمان

1. سياسات أمن المعلومات

تستخدم ESET سياسات أمن المعلومات لتغطية جميع جوانب معيار ISO 27001، بما في ذلك حوكمة أمن المعلومات والضوابط والممارسات الأمنية. تتم مراجعة السياسات سنوياً وتحديثها بعد إجراء تغييرات كبيرة لضمان استمرار ملاءمتها وكفاءتها وفعاليتها.

تُجري ESET مراجعات سنوية لهذه السياسة وفحوصات أمنية داخلية لضمان الاتساق مع هذه السياسة. يخضع عدم الامتثال لسياسات أمن المعلومات لإجراءات تأديبية لموظفي ESET أو عقوبات تعاقدية تصل إلى إنهاء العقد مع الموردين.

2. تنظيم أمن المعلومات

يتكون تنظيم أمن المعلومات لـ ESET LiveGuard Advanced من فرق متعددة وأفراد يشاركون في أمن المعلومات وتكنولوجيا المعلومات، بما في ذلك:

  • الإدارة التنفيذية لـ ESET
  • فرق الأمن الداخلي لـ ESET
  • فرق تكنولوجيا المعلومات لتطبيقات الأعمال
  • فرق الدعم الأخرى

يتم تخصيص مسؤوليات أمن المعلومات بما يتماشى مع سياسات أمن المعلومات المعمول بها. يتم تحديد العمليات الداخلية وتقييمها بحثاً عن أي مخاطر تتعلق بالتعديل غير المصرّح به أو غير المتعمد أو إساءة استخدام أصول ESET. تتبنى الأنشطة المحفوفة بالمخاطر أو الحساسة للعمليات الداخلية مبدأ الفصل بين المهام للتخفيف من المخاطر.

فريق ESET القانوني مسؤول عن الاتصالات مع السلطات الحكومية بما في ذلك المنظمون السلوفاكيون بشأن الأمن السيبراني وحماية البيانات الشخصية. فريق الأمن الداخلي لـ ESET مسؤول عن الاتصال بمجموعات المصالح الخاصة مثل ISACA. فريق مختبر أبحاث ESET مسؤول عن الاتصال بشركات الأمن الأخرى ومجتمع الأمن السيبراني الأكبر.

يتم احتساب أمن المعلومات في إدارة المشروع باستخدام إطار عمل إدارة المشروع المطبّق من الفكرة إلى اكتمال المشروع.

تتم تغطية العمل عن بُعد والعمل عن بُعد من خلال استخدام سياسة مطبّقة على الأجهزة المحمولة تتضمن استخدام حماية قوية لبيانات التشفير على الأجهزة المحمولة أثناء السفر عبر شبكات غير موثوق بها. تم تصميم ضوابط الأمان على الأجهزة المحمولة للعمل بشكل مستقل عن شبكات ESET الداخلية والأنظمة الداخلية.

3. أمن الموارد البشرية

تستخدم ESET ممارسات الموارد البشرية القياسية، بما في ذلك السياسات المصممة لدعم أمن المعلومات. تتناول هذه الممارسات دورة حياة الموظف بالكامل، وتنطبق على جميع الفرق التي تصل إلى بيئة ESET LiveGuard Advanced.

4. إدارة الأصول

يتم تضمين البنية الأساسية لـ ESET LiveGuard Advanced في قوائم مخزون أصول ESET مع الملكية الصارمة والقواعد المطبّقة وفقاً لنوع الأصول وحساسيتها. لدى ESET مخطط تصنيف داخلي محدد. يتم تصنيف كافة بيانات ESET LiveGuard Advanced والتكوينات على أنها سرية.

5. التحكم في الوصول

تتحكم سياسة التحكم في وصول ESET لكل وصول في ESET LiveGuard Advanced. يتم تعيين التحكم في الوصول استناداً إلى البنية الأساسية وخدمات الشبكة ونظام التشغيل وقاعدة البيانات ومستوى التطبيق. إدارة وصول المستخدم الكاملة على مستوى التطبيق مستقلة.

يقتصر الوصول إلى الواجهة الخلفية لـ ESET بشكل صارم على الأفراد والأدوار المعتمدين. تُستخدم عمليات ESET القياسية لتسجيل (إلغاء تسجيل) المستخدم وتوفير (إلغاء توفير) وإدارة الامتيازات ومراجعة حقوق وصول المستخدم لإدارة وصول موظفي ESET إلى بنية ESET LiveGuard Advanced الأساسية والشبكات.

توجد مصادقة قوية لحماية الوصول إلى كافة بيانات ESET LiveGuard Advanced.

6. التشفير

يوجد التشفير القوي (SSL) لتشفير البيانات أثناء النقل لحماية بيانات ESET LiveGuard Advanced.

7. الأمن المادي والبيئي

يستند ESET LiveGuard Advanced إلى السحابة. تستند ESET إلى السحابة الخاصة وسحابة Microsoft Azure. يقع الموقع الفعلي لمركز البيانات السحابية الخاص حصرياً في الاتحاد الأوروبي (EU). لا يقتصر Microsoft Azure على منطقة الاتحاد الأوروبي؛ ومع ذلك، لا يُستخدم إلا لتخزين عمليات التجزئة أحادية الاتجاه التي تم إنشاؤها من الملفات المُرسلة دون تضمين البيانات الشخصية. يوجد التشفير القوي لحماية بيانات العملاء أثناء النقل.

8. أمن العمليات

يتم تشغيل خدمة ESET LiveGuard Advanced عبر وسائل آلية تستند إلى إجراءات تشغيلية صارمة وقوالب تكوين. تتم الموافقة على جميع التغييرات ، بما في ذلك تغييرات التكوين ونشر الحزمة الجديدة ، واختبارها في بيئة اختبار مخصصة قبل نشرها في الإنتاج. يتم فصل بيئات التطوير والاختبار والإنتاج عن بعضها البعض. لا توجد بيانات ESET LiveGuard Advanced إلا في بيئة الإنتاج.

يتم الإشراف على بيئة ESET LiveGuard Advanced باستخدام المراقبة التشغيلية لتحديد المشكلات بسرعة وتوفير سعة كافية لجميع الخدمات على مستويات الشبكة والمضيف.

يتم تخزين جميع بيانات التكوين في مستودعاتنا التي يتم نسخها احتياطياً بانتظام للسماح بالاسترداد التلقائي لتكوين البيئة. يتم تخزين النُسخ الاحتياطية لبيانات ESET LiveGuard Advanced في الموقع وخارج الموقع.

يتم تشفير النُسخ الاحتياطية واختبارها بانتظام لاستردادها كجزء من اختبار استمرارية الأعمال.

يتم إجراء التدقيق على الأنظمة وفقاً للمعايير والإرشادات الداخلية. يتم جمع السجلات والأحداث من البنية الأساسية ونظام التشغيل وقاعدة البيانات وخوادم التطبيقات وضوابط الأمان بشكل مستمر. تتم معالجة السجلات أيضاً بواسطة فرق تكنولوجيا المعلومات والأمن الداخلي لتحديد الحالات غير الطبيعية التشغيلية والأمنية وحوادث أمن المعلومات.

تستخدم ESET عملية إدارة الثغرات الأمنية التقنية العامة للتعامل مع حدوث الثغرات الأمنية في البنية الأساسية لـ ESET، بما في ذلك ESET LiveGuard Advanced ومنتجات ESET الأخرى. تتضمن هذه العملية فحصاً استباقياً للثغرات الأمنية واختبار الاختراق المتكرر للبنية الأساسية والمنتجات والتطبيقات.

تنص ESET على إرشادات داخلية لأمان البنية الأساسية الداخلية والشبكات وأنظمة التشغيل وقواعد البيانات وخوادم التطبيقات والتطبيقات. يتم فحص هذه الإرشادات من خلال مراقبة الامتثال الفني وبرنامج تدقيق أمن المعلومات الداخلي لدينا.

9. أمن الاتصالات

يتم تقسيم بيئة ESET LiveGuard Advanced عبر تجزئة السحابة الأصلية مع وصول إلى الشبكة يقتصر فقط على الخدمات الضرورية بين شرائح الشبكة. يتم تحقيق توفر خدمات الشبكة من خلال عناصر التحكم السحابية الأصلية مثل مناطق التوفر وموازنة الحمل والتكرار. يتم نشر مكونات موازنة الحمل المخصصة لتوفير نقاط نهاية محددة لمثال التوجيه ESET LiveGuard Advanced الذي يفرض إذن المرور وموازنة الحمل. تتم مراقبة الضغط على الشبكة باستمرار بحثاً عن الحالات غير الطبيعية التشغيلية والأمنية. يُمكن حل الهجمات المحتملة باستخدام عناصر التحكم السحابية الأصلية أو حلول الأمان المنشورة. يتم تشفير جميع اتصالات الشبكة عبر التقنيات المتوفرة بشكل عام، بما في ذلك IPsec وTLS.

10. الحصول على النظام وتطويره وصيانته

يتم تنفيذ تطوير أنظمة ESET LiveGuard Advanced وفقاً لسياسة تطوير البرامج الآمنة من ESET. يتم تضمين فرق الأمن الداخلي في ESET LiveGuard Advanced مشروع التطوير من المرحلة الأولية وتتغاضى عن جميع أنشطة التطوير والصيانة. يحدد فريق الأمن الداخلي ويفحص ويتحقق من استيفاء متطلبات الأمان في مختلف مراحل تطوير البرامج. يتم اختبار أمان كافة الخدمات، بما في ذلك الخدمات المطوّرة حديثاً، بشكل مستمر بعد الإصدار.

11. العلاقة مع المورّدين

يتم إجراء علاقة المورّدين ذات الصلة وفقاً لإرشادات ESET الصالحة، والتي تغطي إدارة العلاقة بالكامل والمتطلبات التعاقدية من منظور أمن المعلومات والخصوصية. يتم تقييم جودة وأمن الخدمات المقدّمة بواسطة مزود الخدمة الحيوية بانتظام.

علاوة على ذلك، تستخدم ESET مبدأ قابلية النقل لـ ESET LiveGuard Advanced لتجنب تأمين المورد.

12. إدارة أمن المعلومات

يتم تنفيذ إدارة حوادث أمن المعلومات في ESET LiveGuard Advanced بشكل مشابه للبنى الأساسية الأخرى لـ ESET وتعتمد على إجراءات محددة للاستجابة للحوادث. يتم تحديد الأدوار ضمن الاستجابة للحوادث وتخصيصها عبر فرق متعددة، بما في ذلك تكنولوجيا المعلومات والأمن والموارد القانونية والبشرية والعلاقات العامة والإدارة التنفيذية. يتم إنشاء فريق الاستجابة للحوادث لحادث استناداً إلى فرز الحوادث من قبل فريق الأمن الداخلي. سيوفر هذا الفريق مزيداً من التنسيق بين الفرق الأخرى التي تتعامل مع الحادث. كما أن فريق الأمن الداخلي مسؤول عن جمع الأدلة والدروس المستفادة. يتم إبلاغ وقوع الحادث وحله إلى الأطراف المتضررة. فريق ESET القانوني مسؤول عن إخطار الهيئات التنظيمية إذا لزم الأمر وفقاً للائحة العامة لحماية البيانات (GDPR) وقانون الأمن السيبراني لنقل الشبكة وتوجيهات أمن المعلومات (NIS).

13. جوانب أمن المعلومات لإدارة استمرارية الأعمال

يتم ترميز استمرارية الأعمال لخدمة ESET LiveGuard Advanced في البنية القوية المستخدمة لتحقيق أقصى قدر من توافر الخدمات المقدمة. يمكن الاستعادة الكاملة من النسخ الاحتياطي خارج الموقع وبيانات التكوين في حالة حدوث فشل ذريع لجميع العقد الزائدة عن الحاجة لمكونات ESET LiveGuard Advanced أو خدمة ESET LiveGuard Advanced. يتم اختبار عملية الاستعادة بانتظام.

14. الالتزام

يتم بشكل دوري تقييم ومراجعة الالتزام بالمتطلبات التنظيمية والتعاقدية لـ ESET LiveGuard Advanced بشكل مماثل للبنية الأساسية والعمليات الأخرى الخاصة بـ ESET، ويتم اتخاذ الخطوات الضرورية لتحقيق الالتزام على أساس مستمر. تم تسجيل ESET كمزود خدمة رقمية لخدمة الحوسبة السحابية الرقمية التي تغطي خدمات ESET المتعددة، بما في ذلك ESET LiveGuard Advanced. لاحظ أن أنشطة الالتزام لـ ESET لا تعني بالضرورة أن متطلبات الالتزام الشاملة للعملاء مستوفية على هذا النحو.