Sigurnost za program ESET LiveGuard Advanced
Uvod
Svrha ovog dokumenta je sažeti sigurnosne prakse i kontrole koje se primjenjuju u programu ESET LiveGuard Advanced. Sigurnosne prakse i kontrole osmišljene su za zaštitu povjerljivosti, integriteta i dostupnosti podataka o klijentima. Imajte na umu da se sigurnosne prakse i kontrole mogu promijeniti.
Opseg
Područje primjene ovog dokumenta je sažeti sigurnosne prakse i sigurnosne kontrole za infrastrukturu, organizaciju, osoblje i operativne procese programa ESET LiveGuard Advanced. Sigurnosne prakse i kontrole uključuju:
- Pravila informacijske sigurnosti
- Organizacija informacijske sigurnosti
- Sigurnost ljudskih resursa
- Upravljanje imovinom
- Kontrola pristupa
- Kriptografija
- Fizička sigurnost i sigurnost okruženja
- Sigurnost operacija
- Komunikacijska sigurnost
- Nabava, razvoj i održavanje sustava
- Odnos s dobavljačima
- Upravljanje incidentima informacijske sigurnosti
- Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
- Sukladnost
Koncept sigurnosti
ESET, spol. s r.o. je tvrtka certificirana prema normi ISO 27001:2013 i ima integrirani opseg sustava upravljanja koji izričito obuhvaća servise programa ESET LiveGuard Advanced.
Stoga se za koncept informacijske sigurnosti upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na sloju mreže, operacijskih sustava, baza podataka, aplikacija, osoblja i operativnih procesa. Primijenjene sigurnosne prakse i sigurnosne kontrole namijenjene su preklapanju i međusobnom nadopunjavanju.
Sigurnosne prakse i kontrole
1. Pravila informacijske sigurnosti
ESET upotrebljava pravila informacijske sigurnosti kako bi obuhvatio sve aspekte ISO 27001 norme, uključujući upravljanje informacijskom sigurnošću te sigurnosne kontrole i prakse. Pravila se revidiraju svake godine i nadograđuju nakon znatnih promjena kako bi se osigurala njihova trajna prikladnost, primjerenost i učinkovitost.
ESET provodi godišnje revizije ovih pravila i unutarnje provjere sigurnosti kako bi osigurao sukladnost s ovim pravilima. Nepoštovanje pravila informacijske sigurnosti podliježe disciplinskim mjerama za ESET-ove zaposlenike ili ugovornim kaznama do raskida ugovora za dobavljače.
2. Organizacija informacijske sigurnosti
Organizacija informacijske sigurnosti za ESET LiveGuard Advanced sastoji se od više timova i pojedinaca uključenih u informacijsku sigurnost i tima za IT, uključujući:
- ESET-ovu izvršnu upravu
- ESET-ove timove za unutarnju sigurnost
- IT timove za poslovne aplikacije
- Ostale timove za podršku
Odgovornosti za informacijsku sigurnost dodjeljuju se u skladu s utvrđenim pravilima informacijske sigurnosti. Interni procesi identificiraju se i procjenjuju za svaki rizik od neovlaštene ili nenamjerne izmjene ili zlouporabe ESET-ove imovine. Rizične ili osjetljive aktivnosti unutarnjih procesa segregiraju dužnosti kako bi se ublažio rizik.
ESET-ov pravni tim odgovoran je za kontaktiranje s državnim tijelima, uključujući slovačke regulatore za kibernetičku sigurnost i zaštitu osobnih podataka. ESET-ov tim za unutarnju sigurnost odgovoran je za kontaktiranje s posebnim interesnim skupinama kao što je ISACA. ESET-ov tim istraživačkog laboratorija odgovoran je za komunikaciju s drugim sigurnosnim tvrtkama i većom zajednicom za kibernetičku sigurnost.
Informacijska sigurnost uzima se u obzir u upravljanju projektima pomoću primijenjenog okvira za upravljanje projektima od početka do završetka projekta.
Rad na daljinu i rad od kuće obuhvaćeni su pravilima koja se provode na mobilnim uređajima, koja uključuju upotrebu snažne kriptografske zaštite podataka na mobilnim uređajima tijekom putovanja kroz nepouzdane mreže. Sigurnosne kontrole na mobilnim uređajima osmišljene su tako da rade neovisno o ESET-ovim internim mrežama i internim sustavima.
3. Sigurnost ljudskih resursa
ESET upotrebljava standardne prakse u području ljudskih resursa, uključujući pravila osmišljena za očuvanje informacijske sigurnosti. Te prakse obuhvaćaju cijeli životni ciklus zaposlenika i primjenjuju se na sve timove koji imaju pristup okruženju programa ESET LiveGuard Advanced.
4. Upravljanje imovinom
Infrastruktura programa ESET LiveGuard Advanced je uključena u ESET-ove zalihe imovine sa strogim vlasništvom i pravilima koja se primjenjuju u skladu s vrstom i osjetljivošću imovine. ESET ima definiranu internu shemu klasifikacije. Svi podaci i konfiguracije programa ESET LiveGuard Advanced klasificirani su kao povjerljivi.
5. Kontrola pristupa
ESET-ovo pravilo kontrole pristupa upravlja svakim pristupom u programu ESET LiveGuard Advanced. Kontrola pristupa postavljena je na razini infrastrukture, mrežnih servisa, operacijskog sustava, baze podataka i aplikacije. Potpuno upravljanje korisničkim pristupom na razini aplikacije je autonomno.
Pristup ESET-ovom pozadinskom servisu strogo je ograničen na ovlaštene pojedince i uloge. Standardni ESET-ovi procesi za (od)registraciju korisnika, dodjelu/oduzimanje resursa, upravljanje povlasticama i pregled prava pristupa korisnika se upotrebljavaju za upravljanje pristupom ESET-ovih zaposlenika infrastrukturi i mrežama programa ESET LiveGuard Advanced.
Uspostavljena je snažna autentikacija kako bi se zaštitio pristup svim podacima programa ESET LiveGuard Advanced.
6. Kriptografija
Snažna kriptografija (SSL) je uspostavljena za šifriranje podataka u tranzitu zbog zaštite podataka programa ESET LiveGuard Advanced.
7. Fizička sigurnost i sigurnost okruženja
ESET LiveGuard Advanced se temelji na cloudu. ESET se oslanja na privatni cloud i Microsoft Azure cloud. Fizička lokacija privatnog podatkovnog centra u cloudu je isključivo u Europskoj uniji (EU). Microsoft Azure nije ograničen samo na područje EU-a; međutim, upotrebljava se samo za pohranu jednosmjernih hasheva stvorenih iz poslanih datoteka bez uključivanja osobnih podataka. Uspostavljena je snažna kriptografija za zaštitu korisničkih podataka tijekom transporta.
8. Sigurnost operacija
Servisom ESET LiveGuard Advanced se upravlja na automatiziran način na temelju strogih operativnih procedura i konfiguracijskih predložaka. Sve promjene, uključujući konfiguracijske promjene i instalaciju novih paketa, se odobravaju i testiraju u namjenskom okruženju za testiranje prije uvođenja u proizvodnju. Razvojna, testna i proizvodna okruženja su odvojena. Podaci programa ESET LiveGuard Advanced se nalaze samo u proizvodnom okruženju.
Okruženje programa ESET LiveGuard Advanced se nadzire operativnim praćenjem kako bi se brzo utvrdili problemi i osigurao dovoljan kapacitet za sve servise na razini mreže i servera.
Svi konfiguracijski podaci se pohranjuju u našim repozitorijima za koje se redovito stvaraju sigurnosne kopije kako bi se omogućio automatizirani oporavak konfiguracije okruženja. Sigurnosne kopije podataka programa ESET LiveGuard Advanced se pohranjuju na lokaciji i izvan nje.
Sigurnosne kopije su šifrirane i redovito se provode testiranja njihova vraćanja kao dio testiranja kontinuiteta poslovanja.
Provjera sustava provodi se u skladu s internim standardima i smjernicama. Dnevnici i događaji iz infrastrukture, operacijskog sustava, baze podataka, servera aplikacija i sigurnosnih kontrola se prikupljaju kontinuirano. Te dnevnike dodatno obrađuju timovi za IT i unutarnju sigurnost kako bi se utvrdile operativne i sigurnosne anomalije i incidenti informacijske sigurnosti.
ESET upotrebljava opći postupak upravljanja tehničkom ranjivošću za rješavanje pojave ranjivosti u ESET-ovoj infrastrukturi, uključujući ESET LiveGuard Advanced i druge ESET-ove programe. Ovaj proces uključuje proaktivno skeniranje ranjivosti i ponovljeno penetracijsko testiranje infrastrukture, programa i aplikacija.
ESET navodi interne smjernice za sigurnost interne infrastrukture, mreža, operativnih sustava, baza podataka, servera aplikacija i aplikacija. Te se smjernice provjeravaju praćenjem tehničke sukladnosti i našeg internog programa za sigurnosnu provjeru.
9. Komunikacijska sigurnost
Okruženje programa ESET LiveGuard Advanced je segmentirano pomoću izvorne segmentacije clouda s mrežnim pristupom ograničenim samo na potrebne servise među mrežnim segmentima. Dostupnost mrežnih servisa se postiže izvornim kontrolama u cloudu kao što su zone dostupnosti, raspodjela opterećenja i redundancija. Namjenske komponente za raspodjelu opterećenja uvode se kako bi pružile određene krajnje točke za usmjeravanje programa ESET LiveGuard Advanced koje nameću autorizaciju prometa i raspodjelu opterećenja. Mrežni promet se kontinuirano prati zbog operativnih i sigurnosnih anomalija. Potencijalni napadi se mogu riješiti upotrebom izvornih kontrola u cloudu ili implementiranih sigurnosnih rješenja. Sva mrežna komunikacija je šifrirana općenito dostupnim tehnikama, uključujući IPsec i TLS.
10. Nabava, razvoj i održavanje sustava
Razvoj sustava ESET LiveGuard Advanced provodi se u skladu s ESET-ovim pravilima razvoja sigurnog softvera. Timovi za unutarnju sigurnost uključeni su u razvojni projekt za ESET LiveGuard Advanced od početne faze i nadgledaju sve razvojne aktivnosti i aktivnosti održavanja. Tim za unutarnju sigurnost definira sigurnosne zahtjeve i provjerava ispunjavaju li se u različitim fazama razvoja softvera. Sigurnost svih servisa, uključujući i novorazvijene, kontinuirano se testira nakon puštanja u promet.
11. Odnos s dobavljačima
Odnos s relevantnim dobavljačima provodi se u skladu s važećim ESET-ovim smjernicama koje obuhvaćaju cjelokupno upravljanje odnosima i ugovorne zahtjeve iz perspektive informacijske sigurnosti i privatnosti. Kvaliteta i sigurnost usluga koje pruža ključni pružatelj usluga redovito se procjenjuju.
Nadalje, ESET upotrebljava načelo prenosivosti za ESET LiveGuard Advanced kako bi izbjegao zaključavanje dobavljača.
12. Upravljanje informacijskom sigurnošću
Upravljanje incidentima informacijske sigurnosti u programu ESET LiveGuard Advanced se provodi slično kao i za druge ESET-ove infrastrukture i oslanja se na definirane postupke odgovora na incidente. Uloge u odgovoru na incidente se definiraju i raspoređuju u više timova, uključujući timove za IT, sigurnost, pravni tim, ljudske resurse, odnose s javnošću i izvršnu upravu. Tim za odgovor na incident je uspostavljen na temelju trijaže incidenata tima za unutarnju sigurnost. Taj tim će osigurati daljnju koordinaciju drugih timova koji se bave incidentom. Tim za unutarnju sigurnost odgovoran je još i za prikupljanje dokaza i stečena iskustva. Pogođene strane se obavještavaju o nastanku incidenta i njegovom rješavanju. ESET-ov pravni tim odgovoran je za obavještavanje regulatornih tijela ako je to potrebno u skladu s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o kibernetičkoj sigurnosti kojim se prenosi Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS).
13. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
Kontinuitet poslovanja servisa programa ESET LiveGuard Advanced kodiran je u robusnoj arhitekturi koja se koristi za maksimiziranje dostupnosti pruženih servisa. Potpuno vraćanje podataka iz sigurnosne kopije izvan lokacije i konfiguracijskih podataka je moguće u slučaju katastrofalne pogreške svih suvišnih čvorova za komponente programa ESET LiveGuard Advanced ili servis programa ESET LiveGuard Advanced. Proces vraćanja se redovito testira.
14. Sukladnost
Sukladnost s regulatornim i ugovornim zahtjevima za ESET LiveGuard Advanced se redovito procjenjuje i preispituje slično drugim ESET-ovim infrastrukturama i procesima i poduzimaju se potrebni koraci kako bi se kontinuirano osiguravala sukladnost. ESET je registriran kao pružatelj digitalnih usluga za digitalnu uslugu Računalstvo u cloudu koja obuhvaća više ESET-ovih servisa, uključujući ESET LiveGuard Advanced. Imajte na umu da ESET-ove aktivnosti povezane sa sukladnosti ne znače nužno da su ispunjeni ukupni zahtjevi kupaca u pogledu sukladnosti.