الأمان لـ ESET PROTECT
مقدمة
الغرض من هذا المستند هو تلخيص ممارسات وضوابط الأمان المطبّقة داخل ESET PROTECT. تم تصميم ممارسات وضوابط الأمان لحماية سرية معلومات العملاء ونزاهتها وتوافرها. لاحظ أن ممارسات وضوابط الأمان قد تتغير.
النطاق
يتمثل نطاق هذا المستند في تلخيص ممارسات الأمان وضوابط الأمان لبنية ESET PROTECT الأساسية، ESET Business Account (يُشار إليه فيما يلي باسم "EBA")، وESET MSP Administrator (يُشار إليه فيما يلي باسم "EMA") البنية الأساسية والمؤسسة والأشخاص وعمليات التشغيل. تتضمن ممارسات وضوابط الأمان ما يلي:
- سياسات أمن المعلومات
- تنظيم أمن المعلومات
- أمن الموارد البشرية
- إدارة الأصول
- التحكم في الوصول
- التشفير
- الأمن المادي والبيئي
- أمن العمليات
- أمن الاتصالات
- الحصول على النظام وتطويره وصيانته
- العلاقة مع المورّدين
- إدارة حوادث أمن المعلومات
- جوانب أمن المعلومات لإدارة استمرارية الأعمال
- الالتزام
مفهوم الأمان
شركة ESET s.r.o. حاصلة على اعتماد الأيزو 27001:2013 بنطاق نظام إدارة متكامل يشمل بشكل صريح خدمات ESET PROTECT وEBA وEMA.
لذلك، يستخدم مفهوم أمن المعلومات إطار عمل ISO 27001 لتنفيذ إستراتيجية دفاع متعدد الطبقات عند تطبيق ضوابط الأمان على طبقة الشبكة، وأنظمة التشغيل، وقواعد البيانات، والتطبيقات، والأشخاص وعمليات التشغيل. تهدف ممارسات وضوابط الأمان المطبَّقة إلى التداخل والتكامل مع بعضها البعض.
ممارسات وضوابط الأمان
1. سياسات أمن المعلومات
تستخدم ESET سياسات أمن المعلومات لتغطية جميع جوانب معيار ISO 27001، بما في ذلك حوكمة أمن المعلومات والضوابط والممارسات الأمنية. تتم مراجعة السياسات سنوياً وتحديثها بعد إجراء تغييرات كبيرة لضمان استمرار ملاءمتها وكفاءتها وفعاليتها.
تُجري ESET مراجعات سنوية لهذه السياسة وفحوصات أمنية داخلية لضمان الاتساق مع هذه السياسة. يخضع عدم الامتثال لسياسات أمن المعلومات لإجراءات تأديبية لموظفي ESET أو عقوبات تعاقدية تصل إلى إنهاء العقد مع الموردين.
2. تنظيم أمن المعلومات
يتكون تنظيم أمن المعلومات لـ ESET PROTECT من فرق متعددة وأفراد يشاركون في أمن المعلومات وتكنولوجيا المعلومات، بما في ذلك:
- الإدارة التنفيذية لـ ESET
- فرق الأمن الداخلي لـ ESET
- فرق تكنولوجيا المعلومات لتطبيقات الأعمال
- فرق الدعم الأخرى
يتم تخصيص مسؤوليات أمن المعلومات بما يتماشى مع سياسات أمن المعلومات المعمول بها. يتم تحديد العمليات الداخلية وتقييمها بحثاً عن أي مخاطر تتعلق بالتعديل غير المصرّح به أو غير المتعمد أو إساءة استخدام أصول ESET. تتبنى الأنشطة المحفوفة بالمخاطر أو الحساسة للعمليات الداخلية مبدأ الفصل بين المهام للتخفيف من المخاطر.
فريق ESET القانوني مسؤول عن الاتصالات مع السلطات الحكومية بما في ذلك المنظمون السلوفاكيون بشأن الأمن السيبراني وحماية البيانات الشخصية. فريق الأمن الداخلي لـ ESET مسؤول عن الاتصال بمجموعات المصالح الخاصة مثل ISACA. فريق مختبر أبحاث ESET مسؤول عن الاتصال بشركات الأمن الأخرى ومجتمع الأمن السيبراني الأكبر.
يتم احتساب أمن المعلومات في إدارة المشروع باستخدام إطار عمل إدارة المشروع المطبّق من الفكرة إلى اكتمال المشروع.
تتم تغطية العمل عن بُعد والعمل عن بُعد من خلال استخدام سياسة مطبّقة على الأجهزة المحمولة تتضمن استخدام حماية قوية لبيانات التشفير على الأجهزة المحمولة أثناء السفر عبر شبكات غير موثوق بها. تم تصميم ضوابط الأمان على الأجهزة المحمولة للعمل بشكل مستقل عن شبكات ESET الداخلية والأنظمة الداخلية.
3. أمن الموارد البشرية
تستخدم ESET ممارسات الموارد البشرية القياسية، بما في ذلك السياسات المصممة لدعم أمن المعلومات. تتناول هذه الممارسات دورة حياة الموظف بالكامل، وتنطبق على جميع الفرق التي تصل إلى بيئة ESET PROTECT.
4. إدارة الأصول
يتم تضمين البنية الأساسية لـ ESET PROTECT في قوائم مخزون أصول ESET مع الملكية الصارمة والقواعد المطبّقة وفقاً لنوع الأصول وحساسيتها. لدى ESET مخطط تصنيف داخلي محدد. يتم تصنيف كافة بيانات ESET PROTECT والتكوينات على أنها سرية.
5. التحكم في الوصول
تتحكم سياسة التحكم في وصول ESET لكل وصول في ESET PROTECT. يتم تعيين التحكم في الوصول استناداً إلى البنية الأساسية وخدمات الشبكة ونظام التشغيل وقاعدة البيانات ومستوى التطبيق. إدارة وصول المستخدم الكاملة على مستوى التطبيق مستقلة. يخضع تسجيل الدخول الأحادي لـ ESET PROTECT وESET Business Account إلى مزود هوية مركزي، مما يضمن أن المستخدم لا يمكنه الوصول إلا إلى المستأجر المعتمد. يستخدم التطبيق أذونات ESET PROTECT القياسية لفرض التحكم في الوصول المستند إلى الدور للمستأجر.
يقتصر الوصول إلى الواجهة الخلفية لـ ESET بشكل صارم على الأفراد والأدوار المعتمدين. تُستخدم عمليات ESET القياسية لتسجيل (إلغاء تسجيل) وتزويد (إلغاء تزويد) وتمييز وإدارة ومراجعة حقوق وصول المستخدم لإدارة وصول موظفي ESET إلى البنية الأساسية والشبكات لـ ESET PROTECT.
توجد مصادقة قوية لحماية الوصول إلى كافة بيانات ESET PROTECT.
6. التشفير
لحماية بيانات ESET PROTECT، يتم استخدام التشفير القوي لتشفير البيانات الموجودة في السكون والعبور. يتم استخدام المرجع المصدق الموثوق به بشكل عام لإصدار الشهادات للخدمات العامة. يتم استخدام البنية الأساسية الداخلية للمفتاح العام لـ ESET لإدارة المفاتيح داخل بنية ESET PROTECT الأساسية. البيانات المخزنة في قاعدة البيانات محمية من خلال مفاتيح التشفير التي تم إنشاؤها بواسطة السحابة. جميع بيانات النسخ الاحتياطي محمية بواسطة مفاتيح ESET المُدارة.
7. الأمن المادي والبيئي
نظراً لأن ESET PROTECT وESET Business Account يستندان إلى السحابة، فإننا نعتمد على Microsoft Azure للأمان المادي والبيئي. يستخدم Microsoft Azure مراكز البيانات المعتمدة مع تدابير أمان مادية قوية. يستند الموقع الفعلي لمركز البيانات إلى اختيار منطقة العميل. يُستخدم التشفير القوي لحماية بيانات العملاء أثناء النقل خارج الموقع من البيئة السحابية (على سبيل المثال، أثناء النقل إلى تخزين بيانات النسخ الاحتياطي الفعلي).
8. أمن العمليات
يتم تشغيل خدمة ESET PROTECT عبر وسائل آلية تستند إلى إجراءات تشغيلية صارمة وقوالب تكوين. تتم الموافقة على جميع التغييرات ، بما في ذلك تغييرات التكوين ونشر الحزمة الجديدة ، واختبارها في بيئة اختبار مخصصة قبل نشرها في الإنتاج. يتم فصل بيئات التطوير والاختبار والإنتاج عن بعضها البعض. لا توجد بيانات ESET PROTECT إلا في بيئة الإنتاج.
يتم الإشراف على بيئة ESET PROTECT باستخدام المراقبة التشغيلية لتحديد المشكلات بسرعة وتوفير سعة كافية لجميع الخدمات على مستويات الشبكة والمضيف.
يتم تخزين جميع بيانات التكوين في مستودعاتنا التي يتم نسخها احتياطياً بانتظام للسماح بالاسترداد التلقائي لتكوين البيئة. يتم تخزين النُسخ الاحتياطية لبيانات ESET PROTECT في الموقع وخارج الموقع.
يتم تشفير النُسخ الاحتياطية واختبارها بانتظام لاستردادها كجزء من اختبار استمرارية الأعمال.
يتم إجراء التدقيق على الأنظمة وفقاً للمعايير والإرشادات الداخلية. يتم جمع السجلات والأحداث من البنية الأساسية ونظام التشغيل وقاعدة البيانات وخوادم التطبيقات وضوابط الأمان بشكل مستمر. تتم معالجة السجلات أيضاً بواسطة فرق تكنولوجيا المعلومات والأمن الداخلي لتحديد الحالات غير الطبيعية التشغيلية والأمنية وحوادث أمن المعلومات.
تستخدم ESET عملية إدارة الثغرات الأمنية التقنية العامة للتعامل مع حدوث الثغرات الأمنية في البنية الأساسية لـ ESET، بما في ذلك ESET PROTECT ومنتجات ESET الأخرى. تتضمن هذه العملية فحصاً استباقياً للثغرات الأمنية واختبار الاختراق المتكرر للبنية الأساسية والمنتجات والتطبيقات.
تنص ESET على إرشادات داخلية لأمان البنية الأساسية الداخلية والشبكات وأنظمة التشغيل وقواعد البيانات وخوادم التطبيقات والتطبيقات. يتم فحص هذه الإرشادات من خلال مراقبة الامتثال الفني وبرنامج تدقيق أمن المعلومات الداخلي لدينا.
9. أمن الاتصالات
يتم تقسيم بيئة ESET PROTECT عبر تجزئة السحابة الأصلية مع وصول إلى الشبكة يقتصر فقط على الخدمات الضرورية بين شرائح الشبكة. يتم تحقيق توفر خدمات الشبكة من خلال عناصر التحكم السحابية الأصلية مثل مناطق التوفر وموازنة الحمل والتكرار. يتم نشر مكونات موازنة الحمل المخصصة لتوفير نقاط نهاية محددة لمثال التوجيه ESET PROTECT الذي يفرض إذن المرور وموازنة الحمل. تتم مراقبة الضغط على الشبكة باستمرار بحثاً عن الحالات غير الطبيعية التشغيلية والأمنية. يُمكن حل الهجمات المحتملة باستخدام عناصر التحكم السحابية الأصلية أو حلول الأمان المنشورة. يتم تشفير جميع اتصالات الشبكة عبر التقنيات المتوفرة بشكل عام، بما في ذلك IPsec وTLS.
10. الحصول على النظام وتطويره وصيانته
يتم تنفيذ تطوير أنظمة ESET PROTECT وفقاً لسياسة تطوير البرامج الآمنة من ESET. يتم تضمين فرق الأمن الداخلي في ESET PROTECT مشروع التطوير من المرحلة الأولية وتتغاضى عن جميع أنشطة التطوير والصيانة. يحدد فريق الأمن الداخلي ويفحص ويتحقق من استيفاء متطلبات الأمان في مختلف مراحل تطوير البرامج. يتم اختبار أمان كافة الخدمات، بما في ذلك الخدمات المطوّرة حديثاً، بشكل مستمر بعد الإصدار.
11. العلاقة مع المورّدين
يتم إجراء علاقة المورّدين ذات الصلة وفقاً لإرشادات ESET الصالحة، والتي تغطي إدارة العلاقة بالكامل والمتطلبات التعاقدية من منظور أمن المعلومات والخصوصية. يتم تقييم جودة وأمن الخدمات المقدّمة بواسطة مزود الخدمة الحيوية بانتظام.
علاوة على ذلك، تستخدم ESET مبدأ قابلية النقل لـ ESET PROTECT لتجنب تأمين المورد.
12. إدارة أمن المعلومات
يتم تنفيذ إدارة حوادث أمن المعلومات في ESET PROTECT بشكل مشابه للبنى الأساسية الأخرى لـ ESET وتعتمد على إجراءات محددة للاستجابة للحوادث. يتم تحديد الأدوار ضمن الاستجابة للحوادث وتخصيصها عبر فرق متعددة، بما في ذلك تكنولوجيا المعلومات والأمن والموارد القانونية والبشرية والعلاقات العامة والإدارة التنفيذية. يتم إنشاء فريق الاستجابة للحوادث لحادث استناداً إلى فرز الحوادث من قبل فريق الأمن الداخلي. سيوفر هذا الفريق مزيداً من التنسيق بين الفرق الأخرى التي تتعامل مع الحادث. كما أن فريق الأمن الداخلي مسؤول عن جمع الأدلة والدروس المستفادة. يتم إبلاغ وقوع الحادث وحله إلى الأطراف المتضررة. فريق ESET القانوني مسؤول عن إخطار الهيئات التنظيمية إذا لزم الأمر وفقاً للائحة العامة لحماية البيانات (GDPR) وقانون الأمن السيبراني لنقل الشبكة وتوجيهات أمن المعلومات (NIS).
13. جوانب أمن المعلومات لإدارة استمرارية الأعمال
يتم ترميز استمرارية الأعمال لخدمة ESET PROTECT في البنية القوية المستخدمة لتحقيق أقصى قدر من توافر الخدمات المقدمة. يمكن الاستعادة الكاملة من النسخ الاحتياطي خارج الموقع وبيانات التكوين في حالة حدوث فشل ذريع لجميع العقد الزائدة عن الحاجة لمكونات ESET PROTECT أو خدمة ESET PROTECT. يتم اختبار عملية الاستعادة بانتظام.
14. الالتزام
يتم بشكل دوري تقييم ومراجعة الالتزام بالمتطلبات التنظيمية والتعاقدية لـ ESET PROTECT بشكل مماثل للبنية الأساسية والعمليات الأخرى الخاصة بـ ESET، ويتم اتخاذ الخطوات الضرورية لتحقيق الالتزام على أساس مستمر. تم تسجيل ESET كمزود خدمة رقمية لخدمة الحوسبة السحابية الرقمية التي تغطي خدمات ESET المتعددة، بما في ذلك ESET PROTECT. لاحظ أن أنشطة الالتزام لـ ESET لا تعني بالضرورة أن متطلبات الالتزام الشاملة للعملاء مستوفية على هذا النحو.