Zabezpieczenia dla ESET LiveGuard Advanced
Wprowadzenie
Celem tego dokumentu jest podsumowanie praktyk bezpieczeństwa i środków kontroli bezpieczeństwa stosowanych w programie ESET LiveGuard Advanced. Praktyki i środki kontroli bezpieczeństwa mają na celu ochronę poufności, integralności i dostępności informacji klientów. Należy pamiętać, że praktyki bezpieczeństwa i środki kontroli mogą ulec zmianie.
Zakres
Zakres niniejszego dokumentu ma celu podsumowanie praktyk bezpieczeństwa i środków kontroli bezpieczeństwa infrastruktury ESET LiveGuard Advanced, personelu i procesów operacyjnych. Praktyki i kontrole bezpieczeństwa obejmują następujące elementy:
- Polityki bezpieczeństwa informacji
- Organizacja bezpieczeństwa informacji
- Bezpieczeństwo zasobów ludzkich
- Zarządzanie aktywami
- Kontrola dostępu
- Kryptografia
- Bezpieczeństwo fizyczne i środowiskowe
- Bezpieczeństwo operacyjne
- Bezpieczeństwo komunikacji
- Pozyskiwanie, rozwój i konserwacja systemów
- Relacje z dostawcą
- Zarządzanie incydentami związanymi z bezpieczeństwem informacji
- Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
- Zgodność z przepisami
Koncepcja bezpieczeństwa
Firma ESET, spol. s r.o. posiada certyfikat ISO 27001:2013 w zakresie zintegrowanego systemu zarządzania wyraźnie obejmującym usługi ESET LiveGuard Advanced.
W związku z tym, koncepcja bezpieczeństwa informacji wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa na poziomie sieci, systemów operacyjnych, baz danych, aplikacji, personelu i procesów operacyjnych. Stosowane praktyki bezpieczeństwa i środki kontroli w zakresie ochrony mają się na siebie nakładać i uzupełniać.
Praktyki bezpieczeństwa i środki kontroli
1. Polityki bezpieczeństwa informacji
Firma ESET korzysta z polityk bezpieczeństwa informacji, aby objąć wszystkie aspekty normy ISO 27001, w tym zarządzanie bezpieczeństwem informacji oraz mechanizmy kontroli i praktyki w zakresie bezpieczeństwa. Zasady są poddawane corocznemu przeglądowi i aktualizowane po istotnych zmianach, aby zapewnić ich ciągłą przydatność, adekwatność i skuteczność.
Firma ESET przeprowadza coroczne przeglądy tej polityki i wewnętrzne kontrole bezpieczeństwa w celu zapewnienia zgodności z nią. Nieprzestrzeganie zasad polityki bezpieczeństwa informacji podlega działaniom dyscyplinarnym wobec pracowników firmy ESET lub karom umownym do momentu rozwiązania umowy z dostawcami.
2. Organizacja bezpieczeństwa informacji
Organizacja zabezpieczenia informacji dla ESET LiveGuard Advanced obejmuje wiele zespołów i osób zaangażowanych w bezpieczeństwo informacji oraz IT, w tym:
- Kierownictwo wykonawcze ESET
- Zespoły ds. bezpieczeństwa wewnętrznego ESET
- Zespoły IT ds. aplikacji biznesowych
- Inne zespoły wspierające
Obowiązki w zakresie zabezpieczenia informacji są przydzielane zgodnie z obowiązującymi politykami zabezpieczenia informacji. Procesy wewnętrzne identyfikuje się i ocenia pod kątem ryzyka nieautoryzowanej lub niezamierzonej modyfikacji lub niewłaściwego użycia zasobów firmy ESET. Ryzykowne lub wrażliwe działania procesów wewnętrznych przyjmują zasadę podziału obowiązków w celu ograniczenia ryzyka.
Zespół prawny ESET jest odpowiedzialny za kontakty z organami rządowymi, w tym z polskimi organami regulacyjnymi w zakresie cyberbezpieczeństwa i ochrony danych osobowych. Zespół ds. bezpieczeństwa wewnętrznego firmy ESET jest odpowiedzialny za kontaktowanie się ze stowarzyszeniami specjalistycznymi, takimi jak ISACA. Zespół laboratorium badawczego firmy ESET jest odpowiedzialny za komunikację z innymi firmami zajmującymi się bezpieczeństwem i większą społecznością zajmującą się cyberbezpieczeństwem.
Bezpieczeństwo informacji jest uwzględniane w zarządzaniu projektami przy użyciu stosowanych ram zarządzania projektami obejmujących etapy od koncepcji do zakończenia projektu.
Praca zdalna i telepraca są objęte polityką wdrożoną na urządzeniach mobilnych, która obejmuje stosowanie silnej kryptograficznej ochrony danych na urządzeniach mobilnych podczas podróży przez niezaufane sieci. Mechanizmy kontroli bezpieczeństwa na urządzeniach przenośnych są zaprojektowane do działania niezależnie od wewnętrznych sieci i systemów ESET.
3. Bezpieczeństwo zasobów ludzkich
Firma ESET stosuje standardowe praktyki w zakresie zasobów ludzkich, w tym polityki mające na celu utrzymanie bezpieczeństwa informacji. Praktyki te obejmują cały cykl życia pracownika i mają zastosowanie do wszystkich zespołów, które uzyskują dostęp do środowiska ESET LiveGuard Advanced.
4. Zarządzanie aktywami
Infrastruktura ESET LiveGuard Advanced jest uwzględniana w inwentarzu zasobów ESET ze ścisłą własnością i regułami stosowanymi odpowiednio do typu i wrażliwości zasobów. ESET ma zdefiniowany wewnętrzny schemat klasyfikacji. Wszystkie dane i konfiguracje ESET LiveGuard Advanced są klasyfikowane jako poufne.
5. Kontrola dostępu
Polityka kontroli dostępu firmy ESET reguluje każdy dostęp w programie ESET LiveGuard Advanced. Kontrola dostępu jest ustawiana na poziomie infrastruktury, usług sieciowych, systemu operacyjnego, bazy danych i aplikacji. Pełne zarządzanie dostępem użytkowników na poziomie aplikacji jest autonomiczne.
Dostęp do zaplecza ESET jest ściśle ograniczony do upoważnionych osób i ról. Standardowe procesy ESET dotyczące (de)rejestracji użytkowników, (de)aprowizacji, zarządzania uprawnieniami i przeglądu praw dostępu użytkowników służą do zarządzania dostępem pracowników ESET do infrastruktury ESET LiveGuard Advanced i do sieci.
Silne uwierzytelnianie ma na celu ochronę dostępu do wszystkich danych ESET LiveGuard Advanced.
6. Kryptografia
Silna kryptografia (SSL) służy do szyfrowania przesyłanych danych w celu ochrony danych ESET LiveGuard Advanced.
7. Bezpieczeństwo fizyczne i środowiskowe
Program ESET LiveGuard Advanced jest oparty na chmurze. ESET opiera się na chmurze prywatnej i chmurze Microsoft Azure. Fizyczna lokalizacja centrum danych chmury prywatnej znajduje się wyłącznie w Unii Europejskiej (UE). Microsoft Azure nie ogranicza się do terytorium UE; jest jednak używany tylko do przechowywania jednokierunkowych skrótów utworzonych z przesłanych plików bez podawania danych osobowych. Silna kryptografia ma na celu ochronę danych klientów podczas transportu.
8. Bezpieczeństwo operacyjne
Usługa ESET LiveGuard Advanced jest obsługiwana za pomocą zautomatyzowanych środków opartych na ścisłych procedurach operacyjnych i szablonach konfiguracyjnych. Wszystkie zmiany, w tym zmiany konfiguracji i wdrażanie nowych pakietów, są zatwierdzane i testowane w dedykowanym środowisku testowym przed wdrożeniem w środowisku produkcyjnym. Środowiska programistyczne, testowe i produkcyjne są od siebie oddzielone. Dane ESET LiveGuard Advanced znajdują się tylko w środowisku produkcyjnym.
Środowisko ESET LiveGuard Advanced jest nadzorowane za pomocą monitorowania operacyjnego w celu szybkiego identyfikowania problemów i zapewnienia wystarczającej pojemności wszystkim usługom na poziomie sieci i hosta.
Wszystkie dane konfiguracyjne są przechowywane w naszych regularnie archiwizowanych repozytoriach, aby umożliwić automatyczne odzyskiwanie konfiguracji środowiska. Kopie zapasowe danych ESET LiveGuard Advanced są przechowywane zarówno na miejscu, jak i poza nim.
Kopie zapasowe są szyfrowane i regularnie testowane pod kątem możliwości odzyskania w ramach testów ciągłości działania.
Audyt systemów odbywa się zgodnie z wewnętrznymi standardami i wytycznymi. Dzienniki i zdarzenia dotyczące infrastruktury, systemu operacyjnego, bazy danych, serwerów aplikacji i mechanizmów kontroli bezpieczeństwa są zbierane w sposób ciągły. Dzienniki są następnie przetwarzane przez zespoły IT i zespoły ds. bezpieczeństwa wewnętrznego w celu identyfikacji anomalii operacyjnych i bezpieczeństwa oraz incydentów związanych z bezpieczeństwem informacji.
Firma ESET wykorzystuje ogólny proces zarządzania lukami technicznymi do obsługi występowania luk w zabezpieczeniach w infrastrukturze ESET, w tym ESET LiveGuard Advanced oraz w innych produktach ESET. Proces ten obejmuje proaktywne skanowanie luk w zabezpieczeniach i powtarzające się testy penetracyjne infrastruktury, produktów i aplikacji.
Firma ESET określa wewnętrzne wytyczne dotyczące bezpieczeństwa infrastruktury wewnętrznej, sieci, systemów operacyjnych, baz danych, serwerów aplikacji i aplikacji. Wytyczne te są sprawdzane za pomocą monitorowania zgodności technicznej i naszego wewnętrznego programu audytu zabezpieczeń informacji.
9. Bezpieczeństwo komunikacji
Środowisko ESET LiveGuard Advanced jest segmentowane za pomocą natywnej segmentacji chmury z dostępem do sieci ograniczonym tylko do niezbędnych usług między segmentami sieci. Dostępność usług sieciowych osiąga się za pomocą natywnych kontroli w chmurze, takich jak strefy dostępności, równoważenie obciążenia i nadmiarowość. Dedykowane składniki równoważenia obciążenia są wdrażane w celu zapewnienia określonych punktów końcowych dla routingu instancji ESET LiveGuard Advanced, które wymuszają autoryzację ruchu i równoważenie obciążenia. Ruch sieciowy jest stale monitorowany pod kątem anomalii dotyczących działania i bezpieczeństwa. Potencjalnym atakom można zapobiegać, korzystając z natywnych mechanizmów kontroli w chmurze lub wdrożonych rozwiązań zabezpieczających. Cała komunikacja sieciowa jest szyfrowana za pomocą ogólnie dostępnych technik, w tym IPsec i TLS.
10. Pozyskiwanie, rozwój i konserwacja systemów
Rozwój systemów ESET LiveGuard Advanced odbywa się zgodnie z polityką bezpiecznego rozwoju oprogramowania firmy ESET. Zespoły ds. bezpieczeństwa wewnętrznego są włączone do projektu rozwojowego ESET LiveGuard Advanced od początkowej fazy i pomijają wszystkie działania związane z rozwojem i utrzymaniem. Zespół ds. bezpieczeństwa wewnętrznego definiuje i sprawdza spełnienie wymagań bezpieczeństwa na różnych etapach tworzenia oprogramowania. Bezpieczeństwo wszystkich usług, w tym nowo opracowanych, jest testowane w sposób ciągły po jego wydaniu.
11. Relacje z dostawcą
Odpowiednie relacje z dostawcą są utrzymywane zgodnie z obowiązującymi wytycznymi firmy ESET, które obejmują całość zarządzania relacjami i wymagania umowne z punktu widzenia bezpieczeństwa informacji i prywatności. Jakość i bezpieczeństwo usług świadczonych przez dostawcę usług o znaczeniu krytycznym są regularnie oceniane.
Ponadto firma ESET stosuje zasadę przenośności w przypadku ESET LiveGuard Advanced, aby uniknąć blokady dostawcy.
12. Zarządzanie bezpieczeństwem informacji
Zarządzanie incydentami w zakresie bezpieczeństwa informacji w ESET LiveGuard Advanced odbywa się podobnie jak w przypadku innych infrastruktur firmy ESET i opiera się na zdefiniowanych procedurach reagowania na incydenty. Role w zakresie reagowania na incydenty są definiowane i przydzielane wielu zespołom, w tym zespołowi IT, zespołowi ds. zabezpieczeń, działowi prawnemu, HR, public relations i członkom zarządzania wykonawczego. Skład zespołu reagowania na incydenty jest ustalany na podstawie klasyfikacji incydentów przez zespół ds. bezpieczeństwa wewnętrznego. Zespół ten zapewni dalszą koordynację innych zespołów zajmujących się incydentem. Zespół ds. bezpieczeństwa wewnętrznego jest również odpowiedzialny za gromadzenie dowodów i wyciąganie wniosków. Informacje o wystąpieniu i rozwiązaniu incydentu są przekazywane zainteresowanym stronom. Zespół prawny firmy ESET jest odpowiedzialny za powiadamianie organów regulacyjnych w razie potrzeby zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) i ustawą o cyberbezpieczeństwie przy transpozycji dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS).
13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
Ciągłość działania usługi ESET LiveGuard Advanced jest zakodowana w solidnej architekturze służącej do maksymalizacji dostępności świadczonych usług. Całkowite przywrócenie z kopii zapasowych i danych konfiguracyjnych poza siedzibą firmy jest możliwe w przypadku katastrofalnej awarii wszystkich nadmiarowych węzłów dla komponentów ESET LiveGuard Advanced lub usługi ESET LiveGuard Advanced. Proces przywracania jest regularnie testowany.
14. Zgodność z przepisami
Zgodność z wymogami regulacyjnymi i umownymi ESET LiveGuard Advanced jest poddawana regularnym ocenom oraz przeglądom podobnie jak w przypadku innych elementów infrastruktury oraz procesów ESET, a także podejmowane są niezbędne kroki w celu zapewnienia zgodności w sposób ciągły. Firma ESET jest zarejestrowana jako dostawca usług cyfrowych dla usługi cyfrowej Cloud Computing obejmującej wiele usług ESET, w tym ESET LiveGuard Advanced. Należy pamiętać, że działania firmy ESET w zakresie zgodności niekoniecznie oznaczają, że są spełnione ogólne wymagania klientów dotyczące zgodności.