ESET Online Yardım

Arama Türkçe
Konu seçin

ESET LiveGuard Advanced için güvenlik

Giriş

Bu belgede, ESET LiveGuard Advanced içerisinde uygulanan güvenlik uygulamaları ve güvenlik denetimleri ile ilgili özet bilgiler sağlanmaktadır. Güvenlik uygulamaları ve denetimleri, müşteri bilgilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için tasarlanmıştır. Güvenlik uygulamalarının ve denetimlerinin değişebileceğini unutmayın.

Kapsam

Bu belgede ESET LiveGuard Advanced altyapısı, organizasyon, personel ve operasyonel işlemler için güvenlik uygulamaları ve güvenlik denetimleriyle ilgili özet bilgiler sunulmaktadır. Güvenlik uygulamaları ve denetimleri şunları içerir:

  1. Bilgi güvenliği politikaları
  2. Bilgi güvenliği organizasyonu
  3. İnsan kaynakları güvenliği
  4. Varlık yönetimi
  5. Erişim Denetimi
  6. Şifreleme
  7. Fiziksel güvenlik ve çevre güvenliği
  8. İşlem güvenliği
  9. İletişim güvenliği
  10. Sistem edinimi, geliştirilmesi ve bakımı
  11. Sağlayıcı ilişkisi
  12. Bilgi güvenliği olay yönetimi
  13. İş devamlılığı yönetiminin bilgi güvenliğiyle ilgili yönleri
  14. Uyumluluk

Güvenlik Konsepti

ESET, spol. s r.o. şirketi ISO 27001:2013 sertifikalıdır ve ESET LiveGuard Advanced hizmetlerini özel olarak kapsayan entegre yönetim sistemi kapsamına sahiptir.

Bu nedenle, bilgi güvenliği konsepti ağ katmanında, işletim sistemlerinde, veri tabanlarında, uygulamalarda, personel ve işleme süreçlerinde güvenlik denetimleri yürütülürken katmanlı bir güvenlik stratejisi uygulamak için ISO 27001 çerçevesini kullanır. Uygulanan güvenlik pratikleri ve güvenlik denetimleri birbiriyle örtüşecek ve tamamlayıcı olacak şekilde tasarlanmıştır.

Güvenlik Uygulamaları ve Denetimleri

1. Bilgi Güvenliği Politikaları

ESET, bilgi güvenliği politikalarını bilgi güvenliği yönetimi ile güvenlik denetimleri ve uygulamaları da dahil olmak üzere ISO 27001 standardının tüm yönlerini kapsayacak şekilde kullanır. Politikalar sürekli olarak uygunluğu, yeterliliği ve etkililiğini sağlamak amacıyla önemli bir değişiklik sonrasında yıllık olarak gözden geçirilir ve güncellenir.

ESET, bu politikayla tutarlılığı sağlamak amacıyla politika ve dahili güvenlik denetimleri üzerinde yıllık incelemeler yapar. Bilgi güvenliği politikalarına uygunsuzluk, ESET çalışanları için yasal işlemlere veya sağlayıcılar için sözleşme feshine kadar çıkabilen sözleşme cezalarına tabidir.

2. Bilgi Güvenliği Organizasyonu

ESET LiveGuard Advanced için bilgi güvenliği organizasyonu bilgi güvenliği ve BT'ye dahil olan birden çok ekip ve kişilerden oluşur. Bu kapsama dahil olan birimler:

  • ESET yürütme yönetimi
  • ESET dahili güvenlik ekipleri
  • Kurumsal uygulamalar BT ekipleri
  • Diğer destek ekipleri

Bilgi güvenliği ile ilgili sorumluluklar, yürürlükteki bilgi güvenliği politikalarına göre tahsis edilir. Dahili işlemler, ESET varlıklarının yetkisiz veya izinsiz değiştirilmesi ya da kötü amaçlı kullanımına yönelik herhangi bir risk açısından tanımlanır ve değerlendirilir. Dahili işlemlerin riskli veya hassas faaliyetleri için, riski azaltmak üzere görevlerin ayrılığı ilkesi benimsenir.

ESET yasal ekibi, siber güvenlik ve kişisel veri koruması ile ilgili Slovak düzenleyiciler de dahil olmak üzere devlet yetkilileriyle iletişimlerden sorumludur. ESET Internal Security ekibi ISACA gibi özel ilgi gruplarıyla iletişim kurmaktan sorumludur. ESET Araştırma Laboratuvarı ekibi, diğer güvenlik şirketleri ve daha büyük siber güvenlik topluluğuyla iletişimden sorumludur.

Bilgi güvenliği, projenin başlangıcından tamamlanmasına kadar uygulanan proje yönetimi çerçevesi kullanılarak proje yönetiminde dikkate alınır.

Uzaktan çalışma ve tele çalışma, güvenilir olmayan ağlarda gezinirken mobil cihazlarda güçlü kriptografik veri korumasının kullanımını içeren ve mobil cihazlarda uygulanan bir ilkenin kullanımıyla gerçekleştirilir. Mobil cihazlardaki güvenlik denetimleri, ESET dahili ağlarından ve dahili sistemlerinden bağımsız olarak çalışacak şekilde tasarlanmıştır.

3. İnsan Kaynakları Güvenliği

ESET, bilgi güvenliğini sürdürecek şekilde tasarlanan ilkeler dahil olmak üzere standart insan kaynakları uygulamalarını kullanır. Bu uygulamalar çalışanların tüm yaşam döngüsünü kapsar ve ESET LiveGuard Advanced ortamına erişimi olan tüm ekipler için geçerlidir.

4. Varlık Yönetimi

ESET LiveGuard Advanced altyapısı, katı mülkiyete sahip ESET varlık envanterlerine dahil edilir ve varlık türüne ve hassasiyet düzeyine uygun olarak kurallar uygulanır. ESET'in tanımlanmış bir dahili sınıflandırma şeması vardır. Tüm ESET LiveGuard Advanced verileri ve yapılandırmalar gizli olarak sınıflandırılır.

5. Erişim Denetimi

ESET'in Erişim denetimi ilkesi ESET LiveGuard Advanced ürünündeki her erişimi yönetir. Erişim denetimi altyapı, ağ hizmetleri, işletim sistemi, veri tabanı ve uygulama düzeyinde ayarlanır. Uygulama düzeyinde tam kullanıcı erişimi yönetimi otonom bir sistemle gerçekleştirilir.

ESET arka uç erişimi kesinlikle yetkili kişilerle ve rollerle sınırlandırılmıştır. ESET çalışanlarının ESET LiveGuard Advanced altyapı ve ağlarına erişimini yönetmek üzere kullanıcı kaydı/kayıt kaldırma, yetkilendirme/yetki kaldırma, ayrıcalık yönetimi ve kullanıcı erişim haklarının incelenmesi işlemleri için standart ESET süreçleri kullanılır.

Tüm ESET LiveGuard Advanced verilerine erişimi korumak için güçlü kimlik doğrulama sürecinden yararlanılır.

6. Şifreleme

ESET LiveGuard Advanced verilerini korumak amacıyla hareket halindeki verilerin şifrelenmesi için güçlü şifreleme (SSL) yönteminden yararlanılır.

7. Fiziksel Güvenlik ve Çevre Güvenliği

ESET LiveGuard Advanced bulut tabanlıdır. ESET, özel bir buluta ve Microsoft Azure bulutuna güvenir. Özel bulut veri merkezinin fiziksel konumu yalnızca Avrupa Birliği'nde (AB) yer alır. Microsoft Azure AB topraklarıyla sınırlı değildir, ancak kişisel veriler dahil olmadan yalnızca gönderilen dosyalardan oluşturulan tek yönlü hash'leri depolamak için kullanılır. Aktarım sırasında müşteri verilerini korumak için güçlü bir şifreleme kullanılır.

8. İşlem Güvenliği

ESET LiveGuard Advanced hizmeti, katı operasyonel prosedürlere ve yapılandırma şablonlarına dayalı olarak otomatik yöntemlerle çalıştırılır. Yapılandırma değişiklikleri ve yeni paket dağıtımı da dahil olmak üzere tüm değişiklikler, üretime dağıtımdan önce özel bir test ortamında onaylanır ve test edilir. Geliştirme, test ve üretim ortamları birbirlerinden ayrıdır. ESET LiveGuard Advanced verileri yalnızca üretim ortamında yer almaktadır.

ESET LiveGuard Advanced ortamı, sorunları hızlıca tespit etmek ve ağ ve ana bilgisayar düzeylerinde tüm hizmetlere yeterli kapasite sağlamak için operasyonel izleme kullanılarak denetlenmektedir.

Tüm yapılandırma verileri, bir ortamın yapılandırmasını otomatik olarak kurtarma işleminin gerçekleştirilmesine olanak tanımak için düzenli olarak yedekleme depolarımıza depolanır. ESET LiveGuard Advanced veri yedeklemeleri, hem kurum içinde hem de kurum dışında depolanır.

Yedeklemeler şifrelenir ve iş devamlılığı testlerinin bir parçası olarak kurtarılabilirlik açısından düzenli olarak test edilir.

Sistemlerde denetleme, dahili standartlara ve talimatlara göre gerçekleştirilir. Altyapıdan, işletim sisteminden, veri tabanından, uygulama sunucularından ve güvenlik denetimlerinden alınan günlükler ve olaylar sürekli olarak toplanır. Günlükler, operasyonel anomalileri ve güvenlik anomalilerinin yanı sıra bilgi güvenliği ile ilgili olayları tespit etmek için BT ve dahili güvenlik tarafından daha fazla işlenir.

ESET, ESET LiveGuard Advanced ile diğer ESET ürünleri de dahil olmak ESET altyapısında ortaya çıkan güvenlik açıklarını yönetmek amacıyla genel bir teknik güvenlik açığı yönetim sürecinden yararlanır. Bu işlem, proaktif güvenlik açığı taramasını ve altyapı, ürün ve uygulamaların tekrar tekrar gerçekleştirilen penetrasyon testlerini içerir.

ESET; dahili altyapı, ağlar, işletim sistemleri, veri tabanları, uygulama sunucuları ve uygulamaların güvenliği için dahili talimatları belirler. Bu talimatlar, teknik uyumluluk izlemesi ve dahili bilgi güvenliği denetim programımız üzerinden denetlenir.

9. İletişim Güvenliği

ESET LiveGuard Advanced ortamı, ağ segmentleri arasında yalnızca gerekli hizmetlerle sınırlı ağ erişimine sahip yerel bulut segmentasyonu üzerinden segmentlere ayrılır. Ağ hizmetlerinin kullanılabilirliği; kullanılabilirlik bölgeleri, yük dengeleme ve fazlalık gibi yerel bulut denetimleri üzerinden sağlanır. Tahsis edilmiş yük dengeleme bileşenleri, trafiğin ve yük dengelemenin yetkilendirilmesini sağlamak amacıyla ESET LiveGuard Advanced örneği yönlendirme için belirli uç noktaları sağlamak üzere dağıtılır. Ağ trafiği operasyonel ve güvenlik anomalileri için sürekli olarak izlenir. Potansiyel saldırılar, yerel bulut denetimleri veya dağıtılan güvenlik çözümleri kullanılarak çözümlenebilir. Tüm ağ iletişimi, IPsec ve TLS dahil olmak üzere genel olarak kullanılan tekniklerle şifrelenir.

10. Sistem Edinimi, Geliştirilmesi ve Bakımı

ESET LiveGuard Advanced sistemlerinin geliştirilmesi, ESET güvenli yazılımı geliştirme politikasına uygun olarak gerçekleştirilir. Dahili güvenlik ekipleri ilk aşamadan itibaren ESET LiveGuard Advanced geliştirme projesinde yer almaktadır ve tüm geliştirme ve bakım faaliyetlerini gözlemler. Dahili güvenlik ekibi, çeşitli yazılım geliştirme aşamalarında güvenlik gereksinimlerini tanımlar ve bu gereksinimlerin karşılanmasıyla ilgili denetimler gerçekleştirir. Yeni geliştirilen hizmetler de dahil olmak üzere tüm hizmetlerin güvenliği, yayından sonra sürekli olarak test edilir.

11. Sağlayıcı ilişkisi

Alakalı bir sağlayıcı ilişkisi geçerli ESET kurallarına uygun olarak gerçekleştirilir. Bu kurallar, bilgi güvenliği ve gizlilik perspektifi ile ilgili ilişki yönetiminin ve sözleşme gerekliliklerinin tamamını kapsamaktadır. Kritik hizmet sağlayıcısı tarafından sağlanan hizmetlerin kalitesi ve güvenliği düzenli olarak değerlendirilir.

Ayrıca ESET, sağlayıcı kilitlenmesini önlemek amacıyla ESET LiveGuard Advanced için taşınabilirlik ilkesini de kullanır.

12. Bilgi Güvenliği Yönetimi

ESET LiveGuard Advanced içindeki bilgi güvenliği olay yönetimi, diğer ESET altyapılarına benzer şekilde gerçekleştirilir ve tanımlanan olay yanıt işlemlerine dayanmaktadır. Olay yanıtı içindeki roller; BT, güvenlik, hukuk, insan kaynakları, kamu ilişkileri ve yürütme yönetimi dahil olmak üzere birden çok ekip arasında tanımlanır ve tahsis edilir. Bir olay için olay yanıt ekibi, dahili güvenlik ekibi tarafından olay triyajına dayalı olarak kurulur. Bu ekip, olayı ele alan başka ekiplerle daha fazla koordinasyon sağlayacaktır. Ayrıca iç güvenlik ekibi de kanıt koleksiyonundan ve öğrenilen bilgilerden de sorumludur. Olay oluşum ve çözümleme etkilenen taraflara iletilir. ESET yasal ekibi, Genel Veri Koruma Yönetmeliği (GDPR) ve Ağ ve Bilgi Güvenliği Yönetmeliği'ni (NIS) aktaran Siber Güvenlik Yasası'na uygun olarak gerektiğinde düzenleyici kurumlara bildirimde bulunmaktan sorumludur.

13. İş Devamlılığı Yönetiminin Bilgi Güvenliğiyle İlgili Yönleri

ESET LiveGuard Advanced hizmetinin iş devamlılığı özelliği, sağlanan hizmetlerin kullanılabilirliğini en üst düzeye çıkarmak için kullanılan güçlü mimaride kodlanmıştır. ESET LiveGuard Advanced bileşenleri veya ESET LiveGuard Advanced hizmeti için tüm düğümlerde yıkıcı bir arıza meydana gelmesi durumunda, site dışı yedekleme ve yapılandırma verilerinden tam geri yükleme işlemi mümkündür. Geri yükleme işlemi düzenli olarak test edilir.

14. Uyumluluk

ESET LiveGuard Advanced ile ilgili düzenleme ve sözleşme gereksinimleriyle uyumluluk düzenli olarak değerlendirilir ve ESET'in diğer altyapı ve işlemlerine benzer şekilde değerlendirilir, ayrıca uyumluluğun sürekli olarak temin edilmesi için gerekli adımlar atılır. ESET, Cloud Computing dijital hizmeti için ESET LiveGuard Advanced dahil olmak üzere birden çok ESET hizmetini kapsayan bir dijital hizmet sağlayıcısı olarak tescillidir. ESET uyumluluk etkinliklerinin, müşterilerin genel uyumluluk gereksinimlerinin de bu şekilde sağlandığı anlamına gelmez.