Безопасность для ESET LiveGuard Advanced
Введение
Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью, которые применяются в ESET LiveGuard Advanced. Методы обеспечения безопасности и средства управления безопасностью предназначены для защиты конфиденциальности, целостности и доступности информации клиента. Обратите внимание, что методы обеспечения безопасности и средства управления безопасностью могут измениться.
Область
Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью для инфраструктуры ESET LiveGuard Advanced, организации, персонала и операционных процессов. Методы обеспечения безопасности и средства управления безопасностью включают в себя следующие элементы.
- Политики информационной безопасности
- Организация информационной безопасности
- Безопасность персонала
- Управление активами
- Управление доступом
- Шифрование
- Физическая безопасность и безопасность среды
- Операционная безопасность
- Безопасность обмена данными
- Получение, разработка и обслуживание системы
- Отношения с поставщиком
- Управление инцидентами информационной безопасности
- Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
- Нормативно-правовое соответствие
Концепция обеспечения безопасности
Компания ESET, spol. s r.o. сертифицирована согласно стандарту ISO 27001:2013, а область действия ее интегрированной системы управления явным образом распространяется на службы ESET LiveGuard Advanced.
Поэтому в рамках концепции информационной безопасности используется инфраструктура ISO 27001 для реализации многоуровневой стратегии защиты при применении средств управления безопасностью на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Применяемые методы обеспечения безопасности и средства управления безопасностью намеренно частично дублируются и дополняют друг друга.
Методы обеспечения безопасности и средства управления безопасностью
1. Политики информационной безопасности
Компания ESET использует политики информационной безопасности для соответствия всем аспектам стандарта ISO 27001, в том числе в отношении управления информационной безопасностью, а также средств управления безопасностью и методов обеспечения безопасности. Политики пересматриваются ежегодно и обновляются после значительных изменений, чтобы обеспечить их непрерывную пригодность, достаточность и эффективность.
Компания ESET ежегодно пересматривает данную политику и проводит внутренние проверки безопасности, чтобы обеспечить соответствие данной политике. Несоблюдение политик информационной безопасности приводит к применению дисциплинарных мер по отношению к сотрудникам ESET или предусмотренных договором штрафных санкций по отношению к поставщикам вплоть до прекращения действия договора.
2. Организация информационной безопасности
Организация информационной безопасности для ESET LiveGuard Advanced предусматривает несколько групп и отдельных лиц, которые занимаются информационной безопасностью и информационными технологиями, в том числе:
- Высшее руководство ESET
- Отделы внутренней безопасности ESET
- Отделы применения ИТ в бизнесе
- Другие вспомогательные отделы
Обязанности в сфере информационной безопасности распределяются в соответствии с действующими политиками информационной безопасности. Внутренние процессы идентифицируются и оцениваются на предмет опасности несанкционированного или непреднамеренного изменения или ненадлежащего использования ресурсов ESET. С целью снижения риска в отношении рискованных или конфиденциальных действий в рамках внутренних процессов применяется принцип разделения обязанностей.
Отдел юридического обеспечения ESET отвечает за контакты с правительственными органами, в том числе с органами Словакии, которые отвечают за кибербезопасность и защиту персональных данных. Отдел внутренней безопасности ESET отвечает за контакты со специальными группами, например ISACA. Команда исследовательской лаборатории ESET отвечает за взаимодействие с другими компаниями, работающими в сфере безопасности, и с сообществом кибербезопасности в более широком смысле.
Информационная безопасность учитывается при управлении проектами с помощью применяемой платформы управления проектами от идеи до завершения проекта.
Удаленная работа защищена за счет применения политики, реализованной на мобильных устройствах, которая предусматривает использование мощной защиты данных посредством шифрования на мобильных устройствах при работе в недоверенных сетях. Средства управления безопасностью на мобильных устройствах работают независимо от внутренних сетей и внутренних систем ESET.
3. Безопасность персонала
Компания ESET использует стандартные методы работы с персоналом, в том числе политики, разработанные для обеспечения информационной безопасности. Эти методы распространяются на весь жизненный цикл сотрудника, и они применяются ко всем группам пользователей, которые получают доступ к среде ESET LiveGuard Advanced.
4. Управление активами
Инфраструктура ESET LiveGuard Advanced включена в реестр активов ESET со строгим определением владельцев и правилами, которые применяются в соответствии с типом и уровнем конфиденциальности активов. В ESET определена внутренняя схема классификации. Все данные и конфигурации ESET LiveGuard Advanced классифицированы как конфиденциальные.
5. Управление доступом
Политика компании ESET относительно управления доступом регулирует все случаи доступа в ESET LiveGuard Advanced. Управление доступом применяется на уровне инфраструктуры, сетевых служб, операционной системы, базы данных и приложения. Полное управление доступом пользователей на уровне приложений является автономным.
Доступ к серверам ESET строго ограничен авторизованными лицами и ролями. Для управления доступом сотрудников ESET к инфраструктуре и сетям ESET LiveGuard Advanced используются стандартные процессы ESET для регистрации (отмены регистрации) пользователей, подготовки (отмены подготовки), управления правами и проверки прав доступа пользователей.
Для защиты доступа ко всем данным ESET LiveGuard Advanced применяется надежная система аутентификации.
6. Шифрование
Для защиты данных ESET LiveGuard Advanced применяется надежная система шифрования (SSL), которая шифрует передаваемые данные.
7. Физическая безопасность и безопасность среды
ESET LiveGuard Advanced является облачной службой. ESET использует частное облако и облако Microsoft Azure. Центр обработки данных частного облака физически расположен исключительно в Европейском союзе (ЕС). Служба Microsoft Azure не ограничивается территорией ЕС, однако она используется только для хранения односторонних хэшей, созданных на основе отправленных файлов, которые не содержат личные данные. Для защиты данных клиента во время передачи применяется надежная система шифрования.
8. Операционная безопасность
Служба ESET LiveGuard Advanced управляется с помощью автоматизированных средств согласно строгим операционным процедурам и шаблонам конфигурации. Перед развертыванием в производственной среде все изменения, в том числе изменения конфигурации и развертывание нового пакета, утверждаются и тестируются в выделенной среде тестирования. Среда разработки, среда тестирования и производственная среда отделены друг от друга. Данные ESET LiveGuard Advanced находятся только в производственной среде.
Среда ESET LiveGuard Advanced контролируется с помощью операционного мониторинга для быстрого выявления проблем и предоставления достаточной емкости для всех служб на уровне сети и хоста.
Все данные конфигурации хранятся в наших репозиториях, для которых регулярно создаются резервные копии, с целью обеспечения автоматического восстановления конфигурации среды. Резервные копии данных ESET LiveGuard Advanced хранятся как на внутренних, так и на сторонних площадках.
Резервные копии шифруются и регулярно проверяются на возможность восстановления в рамках тестирования непрерывности бизнес-процессов.
Аудит систем выполняется в соответствии с внутренними стандартами и правилами. Журналы и события из инфраструктуры, операционной системы, базы данных, серверов приложений и средств управления безопасностью собираются непрерывно. Журналы затем обрабатываются отделами ИТ и внутренней безопасности для выявления операционных аномалий и аномалий безопасности, а также инцидентов информационной безопасности.
Компания ESET использует общий процесс управления техническими уязвимостями для обработки случаев возникновения уязвимостей в инфраструктуре ESET, включая ESET LiveGuard Advanced и другие продукты ESET. Этот процесс включает в себя проактивное сканирование на предмет уязвимостей и повторяющееся тестирование на проникновение для инфраструктуры, продуктов и приложений.
Компания ESET утверждает внутренние правила для обеспечения безопасности внутренней инфраструктуры, сетей, операционных систем, баз данных, серверов приложений и приложений. Эти правила проверяются с помощью мониторинга технического соответствия и нашей внутренней программы аудита информационной безопасности.
9. Безопасность обмена данными
Среда ESET LiveGuard Advanced сегментирована с помощью собственной облачной сегментации. При этом сетевой доступ ограничен только необходимыми службами среди сетевых сегментов. Доступность сетевых служб обеспечивается с помощью собственных облачных средств управления, таких как зоны доступности, балансировка нагрузки и избыточность. Выделенные компоненты балансировки нагрузки развертываются, чтобы предоставить для маршрутизации экземпляров ESET LiveGuard Advanced определенные конечные точки, которые обеспечивают авторизацию трафика и балансировку нагрузки. Сетевой трафик непрерывно отслеживается на предмет операционных аномалий и аномалий безопасности. Потенциальные атаки могут быть разрешены с помощью собственных облачных средств управления или развернутых решений по обеспечению безопасности. Сетевой обмен данными полностью шифруется с помощью общедоступных методов, включая IPsec и TLS.
10. Получение, разработка и обслуживание системы
Разработка систем ESET LiveGuard Advanced выполняется в соответствии с политикой ESET касательно разработки безопасного программного обеспечения. Отделы внутренней безопасности включены в проект разработки ESET LiveGuard Advanced с самого первого этапа и контролируют все действия по разработке и обслуживанию. Отдел внутренней безопасности определяет требования безопасности и проверяет их соблюдение на различных этапах разработки программного обеспечения. Безопасность всех служб, в том числе новых служб, которые разрабатываются, непрерывно проверяется после выпуска.
11. Отношения с поставщиком
Отношения с поставщиком ведутся в соответствии с действующими правилами ESET, которые полностью охватывают управление отношениями и договорные требования с точки зрения информационной безопасности и конфиденциальности. Качество и безопасность услуг, предоставляемых поставщиком критически важных услуг, оцениваются регулярно.
Кроме того, для ESET LiveGuard Advanced компания ESET использует принцип портативности, чтобы избежать блокировки поставщика.
12. Управление информационной безопасностью
Управление инцидентами информационной безопасности в ESET LiveGuard Advanced выполняется аналогично другим инфраструктурам ESET, и для него используются определенные процедуры реагирования на инциденты. Роли при реагировании на инциденты определяются и распределяются для множества групп пользователей, в том числе для отделов ИТ, безопасности, юридического обеспечения, управления кадрами, связей с общественностью и для высшего руководства. Группа реагирования на инцидент определяется согласно данным рассмотрения инцидента, которое проводится отделом внутренней безопасности. Эта группа обеспечивает дальнейшую координацию других групп, занимающихся инцидентом. Кроме того, отдел внутренней безопасности отвечает за сбор фактических данных и накопление практического опыта. О возникновении и разрешении инцидентов сообщается заинтересованным сторонам. Отдел юридического обеспечения ESET отвечает за уведомление регулятивных органов (если такое уведомление является необходимым) в соответствии с требованиями Общего регламента по защите данных (GDPR) и Закона о кибербезопасности, который преобразует Директиву о сетевой и информационной безопасности (NIS).
13. Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
Непрерывность бизнес-процессов для службы ESET LiveGuard Advanced запрограммирована в надежной архитектуре, которая обеспечивает максимальную доступность предоставляемых услуг. В случае катастрофического отказа всех узлов избыточности для компонентов ESET LiveGuard Advanced или службы ESET LiveGuard Advanced возможно полное восстановление с помощью данных резервного копирования и данных конфигурации, находящихся на сторонних площадках. Процесс восстановления регулярно тестируется.
14. Нормативно-правовое соответствие
Соответствие решения ESET LiveGuard Advanced нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и процессам ESET, а также постоянно принимаются необходимые меры для соблюдения соответствия. Компания ESET зарегистрирована как поставщик цифровых услуг для цифровой службы облачных вычислений, которая охватывает разные службы ESET, в том числе ESET LiveGuard Advanced. Обратите внимание, что деятельность компании ESET по соблюдению нормативных требований не обязательно означает, что будут удовлетворяться как таковые общие требования клиентов к нормативно-правовому соответствию.