Zabezpečenie ESET LiveGuard Advanced
Úvod
Účelom tohto dokumentu je zhrnúť bezpečnostné postupy a bezpečnostné kontroly uplatňované v rámci ESET LiveGuard Advanced. Bezpečnostné postupy a kontroly sú navrhnuté tak, aby chránili dôvernosť, integritu a dostupnosť informácií o zákazníkoch. Upozorňujeme, že bezpečnostné postupy a kontroly sa môžu meniť.
Rozsah
Tento dokument popisuje bezpečnostné postupy a bezpečnostné kontroly týkajúce sa infraštruktúry, organizácie, personálu a prevádzkových procesov spojených s ESET LiveGuard Advanced. Bezpečnostné postupy a kontroly zahŕňajú:
- Politiky informačnej bezpečnosti
- Organizácia informačnej bezpečnosti
- Ľudské zdroje a bezpečnosť
- Správa aktív
- Kontrola prístupu
- Kryptografia
- Fyzické zabezpečenie a ochrana prostredia
- Bezpečnosť operácií
- Bezpečnosť sieťovej komunikácie
- Akvizícia, vývoj a údržba systému
- Dodávateľský vzťah
- Správa incidentov v oblasti informačnej bezpečnosti
- Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky
- Súlad s požiadavkami
Bezpečnostný koncept
Spoločnosť ESET, spol. s r. o., je držiteľom certifikátu ISO 27001:2013 s integrovaným systémom správy, ktorý pokrýva službu ESET LiveGuard Advanced.
Preto koncept informačnej bezpečnosti používa štandard ISO 27001 na implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Použité bezpečnostné postupy a bezpečnostné kontroly sa majú navzájom prekrývať a dopĺňať.
Bezpečnostné postupy a kontroly
1. Politiky informačnej bezpečnosti
Spoločnosť ESET uplatňuje politiky informačnej bezpečnosti, ktoré pokrývajú všetky aspekty štandardu ISO 27001 vrátane riadenia informačnej bezpečnosti a bezpečnostných kontrol a postupov. Politiky sa každoročne prehodnocujú a po výrazných zmenách aj aktualizujú, čo vedie k ich kontinuálnej vhodnosti, primeranosti a účinnosti.
Spoločnosť ESET vykonáva každoročnú revíziu týchto politík a interné bezpečnostné kontroly s cieľom zaistiť s nimi súlad. V prípade nedodržiavania politík informačnej bezpečnosti sú zamestnanci spoločnosti ESET vystavení disciplinárnemu konaniu a dodávatelia zmluvným sankciám alebo až výpoveďou zmluvy.
2. Organizácia informačnej bezpečnosti
Organizácia informačnej bezpečnosti služby ESET LiveGuard Advanced pozostáva z viacerých tímov a jednotlivcov zaoberajúcich sa informačnou bezpečnosťou a oblasťou IT vrátane:
- výkonného manažmentu spoločnosti ESET,
- interných bezpečnostných tímov spoločnosti ESET,
- IT tímov zaoberajúcich sa firemnými aplikáciami,
- ostatných podporných tímov.
Záväzky a úlohy v oblasti informačnej bezpečnosti sa prideľujú v súlade so zavedenými politikami informačnej bezpečnosti. Interné procesy sú identifikované a posudzované z hľadiska rizík vyplývajúcich z neoprávnenej alebo neúmyselnej modifikácie či zneužitia aktív spoločnosti ESET. Pri rizikových alebo citlivých činnostiach v spojení s internými procesmi sa na zmiernenie rizika uplatňuje zásada rozdelenia povinností.
Právny tím spoločnosti ESET je zodpovedný za kontakt so štátnymi orgánmi vrátane slovenských regulačných orgánov v oblasti kybernetickej bezpečnosti a ochrany osobných údajov. Interný bezpečnostný tím spoločnosti ESET je zodpovedný za kontakt so záujmovými skupinami, ako napríklad ISACA. Tím výskumníkov spoločnosti ESET je zodpovedný za komunikáciu s ostatnými spoločnosťami zameranými na bezpečnosť a so širšou komunitou z oblasti kybernetickej bezpečnosti.
Informačná bezpečnosť sa pri riadení projektov zohľadňuje pomocou aplikovaného rámca riadenia projektov od koncepcie až po dokončenie projektu.
Práca na diaľku a práca z domu sú kryté politikou implementovanou na mobilných zariadeniach, ktorá zahŕňa používanie silnej kryptografickej ochrany údajov na mobilných zariadeniach počas prenosu cez nedôveryhodné siete. Bezpečnostné kontroly na mobilných zariadeniach sú navrhnuté tak, aby fungovali nezávisle od interných sietí a interných systémov spoločnosti ESET.
3. Ľudské zdroje a bezpečnosť
Spoločnosť ESET používa štandardné postupy v oblasti ľudských zdrojov vrátane politík určených na dodržiavanie informačnej bezpečnosti. Tieto postupy sa vzťahujú na celý životný cyklus zamestnanca a platia pre všetky tímy, ktoré majú prístup k prostrediu ESET LiveGuard Advanced.
4. Správa aktív
Infraštruktúra ESET LiveGuard Advanced je zahrnutá v inventároch aktív spoločnosti ESET s výhradným vlastníctvom a pravidlami uplatňovanými podľa typu a citlivosti aktív. Spoločnosť ESET má definovanú internú klasifikačnú schému. Všetky údaje a konfigurácie spojené s ESET LiveGuard Advanced sú klasifikované ako dôverné.
5. Kontrola prístupu
Politika kontroly prístupu spoločnosti ESET upravuje každý prístup v rámci ESET LiveGuard Advanced. Kontrola prístupu sa nastavuje na úrovni infraštruktúry, sieťových služieb, operačného systému, databázy a aplikácie. Správa úplného prístupu používateľov na úrovni aplikácie je autonómna.
Prístup k backendu je obmedzený výlučne na oprávnené osoby a roly. Na správu prístupu zamestnancov spoločnosti ESET k infraštruktúre a sieťam služby ESET LiveGuard Advanced sa používajú štandardné procesy ESET pre (de)registráciu používateľov, ich pridávanie alebo odoberanie, správu oprávnení a kontrolu prístupových práv používateľov.
Na ochranu prístupu ku všetkým údajom týkajúcim sa služby ESET LiveGuard Advanced sa používa silné overovanie.
6. Kryptografia
Silná kryptografia (SSL) slúži na šifrovanie prenášaných údajov s cieľom ochrániť údaje v rámci služby ESET LiveGuard Advanced.
7. Fyzické zabezpečenie a ochrana prostredia
ESET LiveGuard Advanced je cloudová služba. Spoločnosť ESET používa súkromný cloud a cloudovú platformu Microsoft Azure. Fyzické umiestnenie dátového centra s údajmi zo súkromného cloudu je výlučne v Európskej únii (EÚ). Cloud na platforme Microsoft Azure nie je obmedzený len na územie EÚ, používa sa však iba na ukladanie jednosmerných hashov vytvorených z odoslaných súborov bez zahrnutia osobných údajov. Na ochranu používateľských dát počas prenosu slúži silná kryptografia.
8. Bezpečnosť operácií
Služba ESET LiveGuard Advanced je prevádzkovaná automatizovanými prostriedkami na základe prísnych prevádzkových postupov a konfiguračných šablón. Všetky zmeny vrátane zmien konfigurácie a nasadzovania nových balíkov sa pred nasadením do produkcie schvaľujú a testujú v špecializovanom testovacom prostredí. Vývojové, testovacie a produkčné prostredia sú navzájom oddelené. Údaje služby ESET LiveGuard Advanced sú dostupné len v produkčnom prostredí.
Prostredie služby ESET LiveGuard Advanced je sledované pomocou prevádzkového monitorovania s cieľom rýchlo identifikovať problémy a zabezpečiť dostatočnú kapacitu všetkých služieb na úrovni siete a hostiteľa.
Všetky konfiguračné údaje sú uložené v našich pravidelne zálohovaných úložiskách, aby bolo možné automaticky obnoviť konfiguráciu prostredia. Zálohované údaje služby ESET LiveGuard Advanced sa ukladajú lokálne aj externe.
Zálohy sú šifrované a pravidelne testované na obnoviteľnosť v rámci testovania kontinuity prevádzky.
Audit systémov sa vykonáva podľa interných noriem a usmernení. Záznamy a udalosti z infraštruktúry, operačného systému, databázy, aplikačných serverov a bezpečnostných kontrol sa zhromažďujú nepretržite. IT a interné bezpečnostné tímy následne tieto záznamy spracúvajú s cieľom identifikovať prevádzkové a bezpečnostné anomálie a incidenty týkajúce sa informačnej bezpečnosti.
Spoločnosť ESET sa riadi všeobecným technickým procesom správy zraniteľností na riešenie výskytu zraniteľností v infraštruktúre spoločnosti ESET vrátane ESET LiveGuard Advanced a ďalších produktov ESET. Tento proces zahŕňa proaktívnu kontrolu zraniteľností a opakované penetračné testovanie infraštruktúry, produktov a aplikácií.
Spoločnosť ESET má zavedené interné smernice pre bezpečnosť internej infraštruktúry, sietí, operačných systémov, databáz, aplikačných serverov a aplikácií. Ich dodržiavanie sa kontroluje prostredníctvom technického monitorovania súladu a nášho interného bezpečnostného auditu.
9. Bezpečnosť sieťovej komunikácie
Prostredie ESET LiveGuard Advanced je segmentované prostredníctvom natívnej cloudovej segmentácie, pričom prístup k sieti je obmedzený len na nevyhnutné služby v rámci sieťových segmentov. Dostupnosť sieťových služieb je zabezpečená pomocou natívnych cloudových kontrol, ako sú zóny dostupnosti, vyrovnávanie zaťaženia a redundancia. Nasadia sa špeciálne komponenty na vyrovnávanie zaťaženia a overovanie sieťovej komunikácie medzi koncovými zariadeniami a inštanciou služby ESET LiveGuard Advanced. Sieťová komunikácia je nepretržite monitorovaná z hľadiska prevádzkových a bezpečnostných anomálií. Potenciálne útoky je možné vyriešiť pomocou natívnych cloudových kontrol alebo nasadených bezpečnostných riešení. Všetka sieťová komunikácia je šifrovaná prostredníctvom všeobecne dostupných techník vrátane protokolu IPsec a TLS.
10. Akvizícia, vývoj a údržba systému
Vývoj systémov služby ESET LiveGuard Advanced prebieha v súlade s politikou vývoja bezpečnostného softvéru spoločnosti ESET. Interné bezpečnostné tímy sú súčasťou projektu vývoja služby ESET LiveGuard Advanced od počiatočnej fázy a dohliadajú na všetky aspekty vývoja a údržby. Interný bezpečnostný tím stanovuje a kontroluje plnenie bezpečnostných požiadaviek v rôznych fázach vývoja softvéru. Bezpečnosť všetkých služieb, vrátane tých novo vyvinutých, sa od ich vydania nepretržite testuje.
11. Dodávateľský vzťah
Príslušný dodávateľský vzťah prebieha podľa platných smerníc spoločnosti ESET, ktoré upravujú celú správu vzťahov a zmluvné požiadavky z hľadiska informačnej bezpečnosti a ochrany osobných údajov. Kvalita a bezpečnosť služieb poskytovaných poskytovateľom kritických služieb sa pravidelne vyhodnocuje.
Spoločnosť ESET pre ESET LiveGuard Advanced využíva taktiež právo na prenosnosť údajov s cieľom vyhnúť sa závislosti od poskytovateľa.
12. Správa incidentov v oblasti informačnej bezpečnosti
Správa incidentov v oblasti informačnej bezpečnosti pre službu ESET LiveGuard Advanced je podobná riadeniu ostatných infraštruktúr ESET a opiera sa o definované postupy riešenia incidentov. Úlohy v rámci riešenia incidentov sú zadefinované a rozdelené medzi viaceré tímy z oblasti IT, bezpečnosti, právnych služieb, ľudských zdrojov, vzťahov s verejnosťou a výkonného manažmentu. Priradenie tímu na riešenie incidentu závisí od roztriedenia incidentov interným bezpečnostným tímom. Tento tím zabezpečí koordináciu ostatných tímov, ktoré incident riešia. Interný bezpečnostný tím je tiež zodpovedný za zhromažďovanie dôkazov k incidentu a získaných poznatkov. Vznik incidentu a jeho riešenie sa oznamuje dotknutým stranám. Právny tím spoločnosti ESET je v prípade potreby zodpovedný za nahlásenie incidentu regulačným orgánom v súlade so všeobecným nariadením o ochrane údajov (GDPR) a aktom EÚ o kybernetickej bezpečnosti transponujúcim smernicu o bezpečnosti sietí a informačných systémov (NIS).
13. Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky
Kontinuita prevádzky služby ESET LiveGuard Advanced je zakódovaná v robustnej architektúre, ktorá maximalizuje dostupnosť poskytovaných služieb. V prípade úplného zlyhania všetkých redundantných uzlov pre súčasti ESET LiveGuard Advanced alebo službu ESET LiveGuard Advanced je možná kompletná obnova zo zálohovaných a konfiguračných údajov. Proces obnovy sa pravidelne testuje.
14. Súlad s požiadavkami
Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov pre službu ESET LiveGuard Advanced sa pravidelne vyhodnocuje a kontroluje podobne ako iné infraštruktúry a procesy spoločnosti ESET, pričom sa tiež neustále prijímajú nevyhnutné kroky pre zabezpečenie súladu s požiadavkami. Spoločnosť ESET je registrovaná ako poskytovateľ digitálnych služieb v oblasti cloud computingu, kam spadajú viaceré služby spoločnosti ESET vrátane ESET LiveGuard Advanced. Upozorňujeme, že aktivity spoločnosti ESET zamerané na dodržiavanie požiadaviek nemusia nevyhnutne znamenať, že požiadavky zákazníkov v tejto oblasti sú kompletne splnené.