Ηλεκτρονική βοήθεια ESET

Αναζήτηση Ελληνικά
Επιλέξτε το θέμα

Ασφάλεια για το ESET LiveGuard Advanced

Εισαγωγή

Ο σκοπός αυτού του εγγράφου είναι να συνοψίσει τις πρακτικές και τα στοιχεία ελέγχου ασφάλειας που εφαρμόζονται στο ESET LiveGuard Advanced. Οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας έχουν σχεδιαστεί για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών του πελάτη. Σημειώνεται ότι οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας ενδέχεται να αλλάξουν.

Αντικείμενο

Το αντικείμενο αυτού του εγγράφου είναι να συνοψίσει τις πρακτικές και τα στοιχεία ελέγχου ασφάλειας για την υποδομή, την οργάνωση, το προσωπικό και τις επιχειρησιακές διαδικασίες του ESET LiveGuard Advanced. Οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας περιλαμβάνουν:

  1. Πολιτικές ασφάλειας πληροφοριών
  2. Οργάνωση της ασφάλειας πληροφοριών
  3. Ασφάλεια ανθρώπινων πόρων
  4. Διαχείριση πόρων
  5. Έλεγχος πρόσβασης
  6. Κρυπτογράφηση
  7. Φυσική και περιβαλλοντική ασφάλεια
  8. Ασφάλεια λειτουργιών
  9. Ασφάλεια επικοινωνιών
  10. Απόκτηση, ανάπτυξη και συντήρηση συστήματος
  11. Σχέση με τους προμηθευτές
  12. Διαχείριση συμβάντων ασφάλειας πληροφοριών
  13. Πτυχές ασφάλειας πληροφοριών της διαχείρισης επιχειρηματικής συνέχειας
  14. Συμμόρφωση

Έννοια ασφάλειας

Η εταιρεία ESET, spol. s r.o. είναι πιστοποιημένη κατά ISO 27001:2013 με πεδίο εφαρμογής σε ολοκληρωμένο σύστημα διαχείρισης που καλύπτει ειδικά τις υπηρεσίες του ESET LiveGuard Advanced.

Συνεπώς, η έννοια της ασφάλειας πληροφοριών χρησιμοποιεί το πλαίσιο του προτύπου ISO 27001 για την υλοποίηση μιας στρατηγικής ασφάλειας άμυνας επιπέδων κατά την εφαρμογή στοιχείων ελέγχου ασφάλειας στο επίπεδο διεργασιών δικτύου, λειτουργικών συστημάτων, βάσεων δεδομένων, εφαρμογών, προσωπικού και λειτουργίας. Οι εφαρμοζόμενες πρακτικές ασφάλειας και τα στοιχεία ελέγχου ασφάλειας προορίζεται να αλληλοεπικαλύπτονται και να αλληλοσυμπληρώνονται.

Πρακτικές και στοιχεία ελέγχου ασφάλειας

1. Πολιτικές ασφάλειας πληροφοριών

Η ESET χρησιμοποιεί πολιτικές ασφάλειας πληροφοριών για να καλύπτει όλες τις πτυχές του προτύπου ISO 27001, που συμπεριλαμβάνει τη διακυβέρνηση της ασφάλειας πληροφοριών και τα στοιχεία ελέγχου και τις πρακτικές ασφάλειας. Οι πολιτικές επανεξετάζονται σε ετήσια βάση και επικαιροποιούνται μετά από σημαντικές αλλαγές, ώστε να διασφαλίζεται η συνεχής καταλληλότητα, επάρκεια και αποτελεσματικότητά τους.

Η ESET διενεργεί ετήσιες αναθεωρήσεις αυτής της πολιτικής και των εσωτερικών ελέγχων ασφάλειας για να διασφαλίζει τη συνέπεια με αυτήν την πολιτική. Η μη συμμόρφωση με τις πολιτικές ασφάλειας πληροφοριών υπόκειται σε πειθαρχικά μέτρα για τους υπαλλήλους της ESET ή σε συμβατικές κυρώσεις μέχρι και τη λύση της σύμβασης για τους προμηθευτές.

2. Οργάνωση της ασφάλειας πληροφοριών

Η οργάνωση της ασφάλειας πληροφοριών για το ESET LiveGuard Advanced συνίσταται σε πολλές ομάδες και άτομα που εμπλέκονται με την ασφάλεια πληροφοριών και την πληροφορική, και περιλαμβάνουν τις εξής:

  • Εκτελεστική διοίκηση της ESET
  • Ομάδες εσωτερικής ασφάλειας της ESET
  • Ομάδες πληροφορικής επιχειρηματικών εφαρμογών
  • Άλλες υποστηρικτικές ομάδες

Οι αρμοδιότητες ασφάλειας πληροφοριών κατανέμονται σύμφωνα με τις υπάρχουσες πολιτικές ασφάλειας πληροφοριών. Οι εσωτερικές διεργασίες εντοπίζονται και αξιολογούνται για οποιονδήποτε κίνδυνο μη εξουσιοδοτημένης ή ακούσιας τροποποίησης ή κατάχρησης των πόρων της ESET. Οι επικίνδυνες ή ευαίσθητες δραστηριότητες των εσωτερικών διεργασιών υιοθετούν την αρχή του διαχωρισμού καθηκόντων, ώστε να μετριάζεται ο κίνδυνος.

Η νομική ομάδα της ESET είναι υπεύθυνη για τις επαφές με τις κυβερνητικές αρχές, όπως οι ρυθμιστικές αρχές της Σλοβακίας για την κυβερνοασφάλεια και την προστασία των δεδομένων προσωπικού χαρακτήρα. Η ομάδα Εσωτερικής ασφάλειας της ESET είναι υπεύθυνη για την επικοινωνία με ομάδες ειδικών συμφερόντων όπως η ISACA. Η ομάδα του Εργαστηρίου της ESET είναι υπεύθυνη για την επικοινωνία με άλλες εταιρείες ασφάλειας και την ευρύτερη κοινότητα κυβερνοασφάλειας.

Η ασφάλεια πληροφοριών λαμβάνεται υπόψη στη διαχείριση έργων χρησιμοποιώντας το εφαρμοζόμενο πλαίσιο διαχείρισης έργου από τη σύλληψη έως την ολοκλήρωσή του.

Η απομακρυσμένη εργασία και η τηλεργασία καλύπτονται μέσω της χρήσης μιας πολιτικής που εφαρμόζεται σε κινητές συσκευές και περιλαμβάνει τη χρήση ισχυρής προστασίας κρυπτογραφημένων δεδομένων σε κινητές συσκευές κατά τη μετακίνηση διαμέσου μη αξιόπιστων δικτύων. Τα στοιχεία ελέγχου ασφάλειας σε κινητές συσκευές έχουν σχεδιαστεί για να λειτουργούν ανεξάρτητα από τα εσωτερικά δίκτυα και τα εσωτερικά συστήματα της ESET.

3. Ασφάλεια ανθρώπινων πόρων

Η ESET χρησιμοποιεί τυπικές πρακτικές ανθρώπινων πόρων, οι οποίες περιλαμβάνουν πολιτικές που έχουν σχεδιαστεί για τη διατήρηση της ασφάλειας πληροφοριών. Αυτές οι πρακτικές καλύπτουν ολόκληρο τον κύκλο ζωής των εργαζόμενων και ισχύουν για όλες τις ομάδες που έχουν πρόσβαση στο περιβάλλον του ESET LiveGuard Advanced.

4. Διαχείριση πόρων

Η υποδομή του ESET LiveGuard Advanced περιλαμβάνεται στα αποθέματα πόρων της ESET με αυστηρή ιδιοκτησία και κανόνες που εφαρμόζονται ανάλογα με τον τύπο και την ευαισθησία των πόρων. Η ESET έχει καθορίσει ένα εσωτερικό σχήμα ταξινόμησης. Όλα τα δεδομένα και οι ρυθμίσεις παραμέτρων του ESET LiveGuard Advanced ταξινομούνται ως εμπιστευτικά.

5. Έλεγχος πρόσβασης

Η πολιτική ελέγχου πρόσβασης της ESET διέπει κάθε πρόσβαση στο ESET LiveGuard Advanced. Ο έλεγχος πρόσβασης ορίζεται σε επίπεδο υποδομής, υπηρεσιών δικτύου, λειτουργικού συστήματος, βάσης δεδομένων και εφαρμογών. Σε επίπεδο εφαρμογής, η διαχείριση πλήρους πρόσβασης χρηστών είναι αυτόνομη.

Η πρόσβαση παρασκηνίου της ESET περιορίζεται αυστηρά σε εξουσιοδοτημένα άτομα και ρόλους. Οι τυπικές διεργασίες της ESET για την εγγραφή (κατάργηση εγγραφής) χρηστών, την παροχή (κατάργηση παροχής), τη διαχείριση δικαιωμάτων και την αναθεώρηση των δικαιωμάτων πρόσβασης χρηστών χρησιμοποιούνται για τη διαχείριση της πρόσβασης των υπαλλήλων της ESET σε υποδομές και δίκτυα του ESET LiveGuard Advanced.

Υπάρχει ισχυρός έλεγχος ταυτότητας για την προστασία της πρόσβασης σε όλα τα δεδομένα του ESET LiveGuard Advanced.

6. Κρυπτογράφηση

Υπάρχει ισχυρή κρυπτογράφηση (SSL) για την κρυπτογράφηση δεδομένων κατά τη μεταφορά, για την προστασία των δεδομένων του ESET LiveGuard Advanced.

7. Φυσική και περιβαλλοντική ασφάλεια

Το ESET LiveGuard Advanced βασίζεται στο cloud. Η ESET βασίζεται σε ένα ιδιωτικό cloud και στο cloud του Microsoft Azure. Η φυσική τοποθεσία του ιδιωτικού κέντρου δεδομένων στο cloud βρίσκεται αποκλειστικά στην Ευρωπαϊκή Ένωση (ΕΕ). Το Microsoft Azure δεν περιορίζεται στο έδαφος της ΕΕ. Ωστόσο, χρησιμοποιείται μόνο για την αποθήκευση μονόδρομων κατακερματισμών που δημιουργούνται από τα αρχεία που υποβάλλονται και δεν περιλαμβάνονται δεδομένα προσωπικού χαρακτήρα. Υπάρχει ισχυρή κρυπτογράφηση για την προστασία των δεδομένων πελατών κατά τη μεταφορά.

8. Ασφάλεια λειτουργιών

Η υπηρεσία ESET LiveGuard Advanced λειτουργεί με αυτοματοποιημένα μέσα που βασίζονται σε αυστηρές επιχειρησιακές διαδικασίες και πρότυπα ρύθμισης παραμέτρων. Όλες οι αλλαγές, συμπεριλαμβανομένων των αλλαγών στις ρυθμίσεις παραμέτρων και της ανάπτυξης νέων πακέτων, εγκρίνονται και δοκιμάζονται σε ένα αποκλειστικό περιβάλλον δοκιμών πριν από την ανάπτυξη στην παραγωγή. Τα περιβάλλοντα ανάπτυξης, δοκιμών και παραγωγής διαχωρίζονται μεταξύ τους. Τα δεδομένα του ESET LiveGuard Advanced βρίσκονται μόνο στο περιβάλλον παραγωγής.

Το περιβάλλον του ESET LiveGuard Advanced εποπτεύεται με τη χρήση επιχειρησιακής παρακολούθησης για γρήγορο εντοπισμό των προβλημάτων και την παροχή επαρκούς χωρητικότητας σε όλες τις υπηρεσίες σε επίπεδο δικτύου και κεντρικού υπολογιστή.

Όλα τα δεδομένα ρύθμισης παραμέτρων αποθηκεύονται στα αποθετήρια της εταιρείας, όπου δημιουργούνται τακτικά αντίγραφα ασφαλείας, ώστε να επιτρέπεται η αυτοματοποιημένη ανάκτηση της ρύθμισης παραμέτρων ενός περιβάλλοντος. Τα αντίγραφα ασφαλείας των δεδομένων του ESET LiveGuard Advanced αποθηκεύονται τόσο επιτόπου όσο και εκτός του χώρου.

Τα αντίγραφα ασφαλείας κρυπτογραφούνται και δοκιμάζονται τακτικά για τη δυνατότητα ανάκτησης ως μέρος των δοκιμών επιχειρηματικής συνέχειας.

Ο έλεγχος των συστημάτων εκτελείται σύμφωνα με εσωτερικά πρότυπα και κατευθυντήριες γραμμές. Τα αρχεία καταγραφής και τα συμβάντα από την υποδομή, το λειτουργικό σύστημα, τη βάση δεδομένων, τους διακομιστές εφαρμογών και τα στοιχεία ελέγχου ασφαλείας συλλέγονται διαρκώς. Τα αρχεία καταγραφής υποβάλλονται σε περαιτέρω επεξεργασία από τις ομάδες πληροφορικής και εσωτερικής ασφάλειας για τον εντοπισμό λειτουργικών ανωμαλιών και ανωμαλιών ασφάλειας, καθώς και συμβάντων ασφάλειας πληροφοριών.

Η ESET χρησιμοποιεί μια γενική τεχνική διεργασία διαχείρισης τρωτών σημείων για τον χειρισμό της εμφάνισης τρωτών σημείων στην υποδομή της ESET, που συμπεριλαμβάνει το ESET LiveGuard Advanced και άλλα προϊόντα της ESET. Αυτή η διεργασία περιλαμβάνει προληπτική σάρωση τρωτών σημείων και επαναλαμβανόμενες δοκιμές διείσδυσης στην υποδομή, στα προϊόντα και στις εφαρμογές.

Η ESET αναφέρει εσωτερικές οδηγίες για την ασφάλεια της εσωτερικής υποδομής, των δικτύων, των λειτουργικών συστημάτων, των βάσεων δεδομένων, των διακομιστών εφαρμογών και των εφαρμογών. Αυτές οι οδηγίες ελέγχονται μέσω της παρακολούθησης τεχνικής συμμόρφωσης και του προγράμματος εσωτερικού ελέγχου ασφαλείας πληροφοριών.

9. Ασφάλεια επικοινωνιών

Το περιβάλλον του ESET LiveGuard Advanced κατακερματίζεται μέσω τοπικού κατακερματισμού στο cloud με την πρόσβαση δικτύου να περιορίζεται μόνο στις απαραίτητες υπηρεσίες μεταξύ των τμημάτων δικτύου. Η διαθεσιμότητα των υπηρεσιών δικτύου επιτυγχάνεται μέσω τοπικών στοιχείων ελέγχου του cloud, όπως οι ζώνες διαθεσιμότητας, η εξισορρόπηση φορτίου και ο πλεονασμός. Τα αποκλειστικά στοιχεία εξισορρόπησης φορτίου αναπτύσσονται για την παροχή συγκεκριμένων τερματικών για τη δρομολόγηση παρουσιών του ESET LiveGuard Advanced που επιβάλλουν την εξουσιοδότηση της κίνησης και της εξισορρόπησης φορτίου. Η δικτυακή κίνηση παρακολουθείται συνεχώς για λειτουργικές ανωμαλίες και ανωμαλίες ασφάλειας. Οι πιθανές επιθέσεις μπορούν να επιλυθούν χρησιμοποιώντας τοπικά στοιχεία ελέγχου στο cloud ή ανεπτυγμένες λύσεις ασφάλειας. Όλες οι επικοινωνίες δικτύου κρυπτογραφούνται μέσω γενικά διαθέσιμων τεχνικών, όπως των IPsec και TLS.

10. Απόκτηση, ανάπτυξη και συντήρηση συστήματος

Η ανάπτυξη των συστημάτων ESET LiveGuard Advanced πραγματοποιείται σύμφωνα με την πολιτική ασφαλούς ανάπτυξης λογισμικού της ESET. Οι ομάδες εσωτερικής ασφάλειας περιλαμβάνονται στο έργο ανάπτυξης του ESET LiveGuard Advanced από την αρχική φάση και παραβλέπουν όλες τις δραστηριότητες ανάπτυξης και συντήρησης. Η ομάδα εσωτερικής ασφάλειας καθορίζει και ελέγχει την εκπλήρωση των απαιτήσεων ασφάλειας σε διάφορα στάδια ανάπτυξης λογισμικού. Η ασφάλεια όλων των υπηρεσιών, συμπεριλαμβανομένων εκείνων που αναπτύχθηκαν πρόσφατα, δοκιμάζεται διαρκώς μετά την κυκλοφορία.

11. Σχέση με τους προμηθευτές

Μια κατάλληλη σχέση με τον προμηθευτή διεξάγεται σύμφωνα με έγκυρες οδηγίες της ESET, οι οποίες καλύπτουν ολόκληρη τη διαχείριση της σχέσης και τις συμβατικές απαιτήσεις από την άποψη της ασφάλειας πληροφοριών και της προστασίας απορρήτου. Η ποιότητα και η ασφάλεια των υπηρεσιών που παρέχονται από τον πάροχο κρίσιμων υπηρεσιών αξιολογούνται τακτικά.

Επιπλέον, η ESET χρησιμοποιεί την αρχή της φορητότητας ώστε το ESET LiveGuard Advanced να αποφεύγει το κλείδωμα των προμηθευτών.

12. Διαχείριση ασφάλειας πληροφοριών

Η διαχείριση συμβάντων ασφάλειας πληροφοριών στο ESET LiveGuard Advanced πραγματοποιείται με παρόμοιο τρόπο με άλλες υποδομές της ESET και στηρίζεται σε καθορισμένες διαδικασίες απόκρισης σε συμβάντα. Οι ρόλοι στο πλαίσιο της απόκρισης σε συμβάντα καθορίζονται και κατανέμονται σε πολλές ομάδες, που συμπεριλαμβάνουν τις ομάδες πληροφορικής, ασφάλειας, νομικών θεμάτων, ανθρώπινων πόρων, δημοσίων σχέσεων και εκτελεστικής διοίκησης. Η ομάδα απόκρισης σε συμβάντα για ένα συμβάν δημιουργείται με βάση την διαλογή περιστατικών από την ομάδα εσωτερικής ασφάλειας. Η ομάδα αυτή παρέχει περαιτέρω συντονισμό των άλλων ομάδων που χειρίζονται το συμβάν. Η ομάδα εσωτερικής ασφάλειας είναι επίσης υπεύθυνη για τη συλλογή αποδεικτικών στοιχείων και των διδαγμάτων που προέκυψαν. Η εμφάνιση και η επίλυση συμβάντων κοινοποιούνται στα επηρεαζόμενα μέρη. Η νομική ομάδα της ESET είναι υπεύθυνη για την ενημέρωση των ρυθμιστικών φορέων, εάν απαιτείται, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και τον Νόμο περί Κυβερνοασφάλειας, ο οποίος μεταφέρει την Οδηγία για την Ασφάλεια δικτύων και πληροφοριών (NIS).

13. Πτυχές ασφάλειας πληροφοριών της διαχείρισης επιχειρηματικής συνέχειας

Η επιχειρηματική συνέχεια της υπηρεσίας ESET LiveGuard Advanced κωδικοποιείται στην ισχυρή αρχιτεκτονική που χρησιμοποιείται για τη μεγιστοποίηση της διαθεσιμότητας των παρεχόμενων υπηρεσιών. Η πλήρης επαναφορά από τα δεδομένα αντιγράφων ασφαλείας και ρύθμισης παραμέτρων εκτός τοποθεσίας είναι δυνατή σε περίπτωση καταστροφικής αστοχίας όλων των κόμβων πλεονασμού για τα στοιχεία του ESET LiveGuard Advanced ή για την υπηρεσία ESET LiveGuard Advanced. Η διαδικασία επαναφοράς δοκιμάζεται τακτικά.

14. Συμμόρφωση

Η συμμόρφωση με τις ρυθμιστικές και συμβατικές απαιτήσεις του ESET LiveGuard Advanced αξιολογείται τακτικά και αναθεωρείται με παρόμοιο τρόπο με άλλες υποδομές και διεργασίες της ESET, ενώ λαμβάνονται τα απαραίτητα μέτρα ώστε να υπάρχει συμμόρφωση σε συνεχή βάση. Η ESET είναι εγγεγραμμένη ως πάροχος ψηφιακών υπηρεσιών για την ψηφιακή υπηρεσία υπολογιστικού cloud που καλύπτει πολλαπλές υπηρεσίες της ESET, συμπεριλαμβανομένου του ESET LiveGuard Advanced. Σημειώνεται ότι οι δραστηριότητες συμμόρφωσης της ESET δεν σημαίνουν απαραίτητα ότι πληρούνται έτσι οι συνολικές απαιτήσεις συμμόρφωσης των πελατών.