Bezpečnostní dokumentace pro ESET LiveGuard Advanced

Úvod

Účelem tohoto dokumentu je shrnout bezpečnostní zásady a postupy uplatňované v rámci služby ESET LiveGuard Advanced. Bezpečnostní zásady a postupy jsou navrženy tak, aby byla zajištěna důvěrnost, integrita a dostupnost dat zákazníků. Mějte na paměti, že se bezpečnostní zásady a postupy mohou kdykoli změnit.

Rozsah

Účelem tohoto dokumentu je shrnout bezpečnostní postupy a zásady uplatňované v ESET LiveGuard Advanced infrastruktuře, organizaci, personálních a provozních procesech. Mezi bezpečnostní zásady a postupy patří:

  1. Politiky informační bezpečnosti
  2. Organizace informační bezpečnosti
  3. Lidské zdroje a bezpečnost
  4. Správa aktiv
  5. Kontrola přístupu
  6. Kryptografie
  7. Environmentální a fyzická bezpečnost
  8. Zabezpečení provozu
  9. Zabezpečení komunikace
  10. Pořízení, vývoj a údržba systému
  11. Dodavatelský vztah
  12. Správa incidentů v oblasti informační bezpečnosti
  13. Aspekty informační bezpečnosti v rámci řízení kontinuity provozu
  14. Dodržování požadavků

Bezpečnostní koncept

Společnost ESET, spol. s r.o. je držitelem certifikátu ISO 27001:2013 s integrovaným systémem správy, který pokrývá službu ESET LiveGuard Advanced.

Koncept informační bezpečnosti proto používá standard ISO 27001 k implementaci bezpečnostní strategie vícevrstvé ochrany při aplikování bezpečnostních zásad na vrstvě sítové, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Použité bezpečnostní postupy a zásady se mají vzájemně překrývat a doplňovat.

Bezpečnostní zásady a postupy

1. Politiky informační bezpečnosti

Společnost ESET uplatňuje politiky informační bezpečnosti, které pokrývají všechny aspekty standardu ISO 27001, včetně řízení bezpečnosti informací a bezpečnostní zásady a postupy. Politiky jsou každoročně revidovány a po významných změnách aktualizovány, aby byla zajištěna jejich kontinuální vhodnost, přiměřenost a účinnost.

Společnost ESET provádí každoroční revize těchto politik a kontroly interní bezpečnosti za účelem zajištění souladu s jejich ustanoveními. V případě nedodržování politik informační bezpečnosti jsou zaměstnancům společnosti ESET uložena disciplinární opatření a dodavatelům smluvní sankce, které mohou vést až k ukončení smlouvy.

2. Organizace informační bezpečnosti

Organizace informační bezpečnosti služby ESET LiveGuard Advanced se skládá z více týmů a jednotlivců zapojených do informační bezpečnosti a IT, včetně:

  • výkonného managementu společnosti ESET,
  • týmů interní bezpečnosti společnosti ESET,
  • IT týmů podnikových aplikací,
  • dalších podpůrných týmů.

Odpovědnost za informační bezpečnost je přidělována v souladu se zavedenými politikami informační bezpečnosti. Interní procesy jsou identifikovány a posuzovány z hlediska rizik vyplývajících z neoprávněné nebo neúmyslné modifikace nebo zneužití aktiv společnosti ESET. Při rizikových nebo citlivých činnostech souvisejících s interními procesy je za účelem snížení rizika uplatňován princip rozdělení povinností.

Právní tým společnosti ESET je zodpovědný za kontakt s orgány státní správy, včetně slovenských regulačních orgánů v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Tým interní bezpečnosti společnosti ESET je zodpovědný za kontakt se zájmovými skupinami, jako je například ISACA. Výzkumné týmy společnosti ESET jsou zodpovědné za komunikaci s dalšími společnosti zabývajícími se bezpečností a širší komunitou pro kybernetickou bezpečnosti.

Informační bezpečnost je zohledněna v projektovém řízení pomocí aplikovaného rámce řízení projektů od koncepce až po dokončení projektu.

Práci na dálku a práci z domova pokrývají politiky implementované na mobilních zařízeních, které zahrnují použití silné kryptografické ochrany dat na mobilních zařízeních při pohybu mezi nedůvěryhodnými sítěmi. Bezpečnostní kontroly na mobilních zařízeních jsou navrženy tak, aby fungovaly nezávisle na interních sítích a interních systémech společnosti ESET.

3. Lidské zdroje a bezpečnost

Společnost ESET používá standardní postupy v oblasti lidských zdrojů, včetně politik určených k dodržování informační bezpečnosti. Tyto postupy jsou platné po celý životní cyklus zaměstnance a vztahují se na všechny týmy, které mají přístup k prostředí služby ESET LiveGuard Advanced.

4. Správa aktiv

Infrastruktura služby ESET LiveGuard Advanced je součástí inventáře aktiv společnosti ESET s výhradním vlastnictvím a pravidly aplikovanými podle typu a citlivosti aktiv. Společnost ESET má definované interní klasifikační schéma. Veškerá data a konfigurace související se službou ESET LiveGuard Advanced jsou klasifikována jako důvěrná.

5. Kontrola přístupu

Politika řízení přístupu společnosti ESET upravuje každý přístup v rámci služby ESET LiveGuard Advanced. Řízení přístupu se nastavuje na úrovni infrastruktury, síťových služeb, operačního systému, databáze a aplikace. Správa úplného přístupu uživatelů na úrovni aplikace je autonomní.

Přístup k backendu je výhradně omezen na oprávněné osoby a role. Při správě přístupu zaměstnanců společnosti ESET k infrastruktuře a sítím služby ESET LiveGuard Advanced se využívají standardní procesy společnosti ESET pro (de)registraci uživatelů, (de)provisioning, správu oprávnění a kontrolu přístupových oprávnění uživatelů.

Pro ochranu přístupu ke všem datům souvisejícím se službou ESET LiveGuard Advanced se používá silné ověřování.

6. Kryptografie

Za účelem ochrany dat ESET LiveGuard Advanced jsou při svém přenosu šifrována pomocí silné kryptografie (SSL).

7. Environmentální a fyzická bezpečnost

ESET LiveGuard Advanced je cloudová služba. Společnost ESET využívá privátní cloud a cloudovou platformu Microsoft Azure. Fyzické umístění datového centra privátního cloudu je výhradně v Evropské unii (EU). Cloudová část na platformě Microsoft Azure není omezena na území EU, používá se však pouze k ukládání jednosměrných kontrolní součtů vytvořených z odeslaných souborů bez zahrnutí osobních údajů. Data zákazníků jsou při svém přenosu chráněna silnou kryptografií.

8. Zabezpečení provozu

Služba ESET LiveGuard Advanced je provozována automatizovanými prostředky na základě přísných provozních postupů a konfiguračních šablon. Všechny změny, včetně změn v konfiguraci a nasazení nového balíčku, se nasazením do produkčního prostředí schvalují a testují ve vyhrazeném testovacím prostředí. Vývojová, testovací a produkční prostředí jsou od sebe oddělená. Data služby ESET LiveGuard Advanced se nacházejí výhradně v produkčním prostředí.

Prostředí služby ESET LiveGuard Advanced je sledováno prostřednictvím monitorování provozu za účelem rychlé identifikace problémů a zajištění dostatečné kapacity všem službám na úrovni sítě a hostitele.

Veškerá konfigurační data jsou uložena v našich pravidelně zálohovaných úložištích, aby bylo možné automaticky obnovit konfiguraci prostředí. Zálohovaná data služby ESET LiveGuard Advanced jsou ukládána lokálně i externě.

Zálohy jsou šifrovány a v rámci testování kontinuity podnikání je pravidelně ověřována jejich obnovitelnost.

Audit systémů je prováděn dle interních standardů a směrnic. Protokoly a události z infrastruktury, operačního systému, databáze, aplikačních serverů a prvků zabezpečení se shromažďují nepřetržitě. Protokoly jsou dále zpracovávány týmy IT a interní bezpečnosti za účelem identifikace provozních a bezpečnostních anomálií a incidentů informační bezpečnosti.

Společnost ESET se řídí všeobecným technickým procesem pro správu zranitelností k řízení zranitelností v infrastruktuře ESET, včetně služby ESET LiveGuard Advanced a dalších produktech ESET. Součástí tohoto procesu je proaktivní skenování zranitelností a opakované penetrační testování infrastruktury, produktů a aplikací.

Společnost ESET má zavedené interní směrnice pro bezpečnost interní infrastruktury, sítí, operačních systémů, databází, aplikačních serverů a aplikací. Jejich dodržování je kontrolováno prostřednictvím monitorování technického souladu a našeho programu interního auditu informační bezpečnosti.

9. Zabezpečení komunikace

Prostředí služby ESET LiveGuard Advanced je segmentováno pomocí nativních možností dostupných v cloudu, kdy přístup k síti je omezen pouze na nezbytné služby v rámci síťových segmentů. Dostupnost síťových služeb je dosaženo pomocí nativních možností dostupných v cloudu, jako jsou zóny dostupnosti, vyrovnávání zátěže a redundance. Komponenty vyhrazené pro vyrovnávání zátěže jsou nasazeny za účelem ověřování a směrování koncových zařízení k instanci služby ESET LiveGuard Advanced. Síťový provoz je nepřetržitě monitorován na výskyt provozních a bezpečnostních anomálií. Potenciální útoky lze vyřešit pomocí nativních možností dostupných v cloudu nebo nasazených bezpečnostních řešení. Veškerá síťová komunikace je šifrována pomocí obecně dostupných technik, včetně protokolů IPsec a TLS.

10. Pořízení, vývoj a údržba systému

Vývoj systémů služby ESET LiveGuard Advanced probíhá v souladu s politikou pro vývoj bezpečného softwaru společnosti ESET. Týmy interní bezpečnosti se na vývoji služby ESET LiveGuard Advanced podílejí již od počáteční fáze a dohlížejí na všechny aspekty vývoje a údržby. Tým interní bezpečnosti definuje a kontroluje plnění bezpečnostních požadavků v různých fázích vývoje softwaru. Bezpečnost všech služeb, včetně nově vyvinutých, je od jejich vydání průběžně testována.

11. Dodavatelský vztah

Relevantní dodavatelský vztah je veden podle platných směrnic společnosti ESET, které upravují řízení vztahů se zákazníky a smluvní požadavky z hlediska informační bezpečnosti a ochrany osobních údajů. Kvalita a bezpečnost služeb poskytovaných poskytovatelem kritických služeb podléhá pravidelnému hodnocení.

Dále společnost ESET u služby ESET LiveGuard Advanced uplatňuje princip přenositelnosti, aby se zabránilo závislosti na konkrétním dodavateli.

12. Správa incidentů v oblasti informační bezpečnosti

Správa incidentů v oblasti informační bezpečnosti souvisejících se službou ESET LiveGuard Advanced je řízena podobně jako u jiných infrastruktur společnosti ESET a opírá se o definované postupy řešení incidentů. Role v rámci reakce na incidenty jsou definovány a rozděleny mezi více týmů, nejen z oblasti IT, bezpečnosti, právní, lidských zdrojů, vztahů s veřejností a výkonného managementu. Incidenty třídí tým interní bezpečnosti, které si následně přebírá sestavený tým zodpovědný za řešení incidentu. Tento tým zajistí další koordinaci ostatních týmů, které se podílejí na řešení incidentu. Tým interní bezpečnost je rovněž zodpovědný za shromažďování důkazů a získaných poznatků. Vznik incidentu a jeho řešení je sděleno dotčeným stranám. Právní tým společnosti ESET je v případě potřeby zodpovědný za informování regulačních orgánů v souladu se všeobecným nařízení o ochraně osobních údajů (GDPR) a aktem EU o kybernetické bezpečnosti EU transponujícím směrnici o bezpečnosti sítí a informačních systémů (NIS).

13. Aspekty informační bezpečnosti v rámci řízení kontinuity provozu

Kontinuita provozu služby ESET LiveGuard Advanced je zakódována v robustní architektuře, která maximalizuje dostupnosti poskytovaných služeb. V případě katastrofického selhání všech redundantních uzlů komponent služby ESET LiveGuard Advanced, nebo služby ESET LiveGuard Advanced samotné, je možné provést kompletní obnovení z externích záloh a konfiguračních dat. Proces obnovy je pravidelně testován.

14. Dodržování požadavků

Dodržování regulačních a smluvních požadavků souvisejících se službou ESET LiveGuard Advanced je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a procesy společnosti ESET. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Společnost ESET je registrována jako poskytovatel digitálních služeb v oblasti cloud computingu, mezi které spadají další služby společnosti ESET včetně ESET LiveGuard Advanced. Mějte na paměti, že aktivity společnost ESET týkající se dodržování předpisů nemusí nemusí nutně znamenat, že jsou splněny celkové požadavky zákazníků na dodržování předpisů.