ESET Online nápověda

Hledat Čeština
Změnit kapitolu

Bezpečnostní dokumentace pro ESET PROTECT

Úvod

Účelem tohoto dokumentu je shrnout bezpečnostní zásady a postupy uplatňované v rámci služby ESET PROTECT. Bezpečnostní zásady a postupy jsou navrženy tak, aby byla zajištěna důvěrnost, integrita a dostupnost dat zákazníků. Mějte na paměti, že se bezpečnostní zásady a postupy mohou kdykoli změnit.

Rozsah

Účelem tohoto dokumentu je shrnout bezpečnostní postupy a zásady uplatňované v ESET PROTECT infrastruktuře, stejně tak infrastruktuře, organizaci, personálních a provozních procesech souvisejících s ESET Business Account (dále jen "EBA"), ESET MSP Administrator (dále jen "EMA"). Mezi bezpečnostní zásady a postupy patří:

  1. Politiky bezpečnosti informací
  2. Organizace bezpečnosti informací
  3. Bezpečnost lidských zdrojů
  4. Řízení aktiv
  5. Řízení přístupu
  6. Kryptografie
  7. Fyzická bezpečnost a bezpečnost prostředí
  8. Bezpečnost provozu
  9. Bezpečnost komunikací
  10. Akvizice, vývoj a údržba systému
  11. Vztah s dodavateli
  12. Řízení incidentů bezpečnosti informací
  13. Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací
  14. Soulad s požadavky

Bezpečnostní koncept

Společnost ESET s.r.o. je držitelem certifikátu ISO 27001:2013 s integrovaným systémem správy, který pokrývá službu ESET PROTECT, EBA a EMA.

Koncept informační bezpečnosti proto používá standard ISO 27001 k implementaci bezpečnostní strategie vícevrstvé ochrany při aplikování bezpečnostních zásad na vrstvě sítové, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Použité bezpečnostní postupy a zásady se mají vzájemně překrývat a doplňovat.

Bezpečnostní zásady a postupy

1. Politiky bezpečnosti informací

Společnost ESET uplatňuje politiky informační bezpečnosti, které pokrývají všechny aspekty standardu ISO 27001, včetně řízení bezpečnosti informací a bezpečnostní zásady a postupy. Politiky jsou každoročně revidovány a po významných změnách aktualizovány, aby byla zajištěna jejich kontinuální vhodnost, přiměřenost a účinnost.

Společnost ESET provádí každoroční revize těchto politik a kontroly interní bezpečnosti za účelem zajištění souladu s jejich ustanoveními. V případě nedodržování politik informační bezpečnosti jsou zaměstnancům společnosti ESET uložena disciplinární opatření a dodavatelům smluvní sankce, které mohou vést až k ukončení smlouvy.

2. Organizace bezpečnosti informací

Organizace informační bezpečnosti služby ESET PROTECT se skládá z více týmů a jednotlivců zapojených do informační bezpečnosti a IT, včetně:

  • výkonného managementu společnosti ESET,
  • týmů interní bezpečnosti společnosti ESET,
  • IT týmů podnikových aplikací,
  • dalších podpůrných týmů.

Odpovědnost za informační bezpečnost je přidělována v souladu se zavedenými politikami informační bezpečnosti. Interní procesy jsou identifikovány a posuzovány z hlediska rizik vyplývajících z neoprávněné nebo neúmyslné modifikace nebo zneužití aktiv společnosti ESET. Při rizikových nebo citlivých činnostech souvisejících s interními procesy je za účelem snížení rizika uplatňován princip oddělení odpovědností.

Právní tým společnosti ESET je zodpovědný za kontakt s orgány státní správy, včetně regulačních orgánů v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Tým interní bezpečnosti společnosti ESET je zodpovědný za kontakt se zájmovými skupinami, jako je například ISACA. Výzkumné týmy společnosti ESET jsou zodpovědné za komunikaci s dalšími společnostmi zabývajícími se bezpečností a širší komunitou pro kybernetickou bezpečnosti.

Informační bezpečnost je zohledněna v projektovém řízení pomocí aplikovaného rámce řízení projektů od koncepce až po dokončení projektu.

Práci na dálku a práci z domova pokrývají politiky implementované na mobilních zařízeních, které zahrnují použití silné kryptografické ochrany dat na mobilních zařízeních při pohybu mezi nedůvěryhodnými sítěmi. Bezpečnostní kontroly na mobilních zařízeních jsou navrženy tak, aby fungovaly nezávisle na interních sítích a interních systémech společnosti ESET.

3. Bezpečnost lidských zdrojů

Společnost ESET používá standardní postupy v oblasti lidských zdrojů, včetně politik určených k dodržování informační bezpečnosti. Tyto postupy jsou platné po celý životní cyklus zaměstnance a vztahují se na všechny týmy, které mají přístup k prostředí služby ESET PROTECT.

4. Řízení aktiv

Infrastruktura služby ESET PROTECT je součástí katalogu aktiv společnosti ESET s určeným vlastnictvím a pravidly aplikovanými podle typu a citlivosti aktiv. Společnost ESET má definované interní klasifikační schéma. Veškerá data a konfigurace související se službou ESET PROTECT jsou klasifikována jako důvěrná.

5. Řízení přístupu

Politika řízení přístupu společnosti ESET upravuje každý přístup v rámci služby ESET PROTECT. Řízení přístupu se nastavuje na úrovni infrastruktury, síťových služeb, operačního systému, databáze a aplikace. Správa úplného přístupu uživatelů na úrovni aplikace je autonomní. Jednotné přihlášení (SSO) v rámci služby ESET PROTECT a ESET Business Account řídí centrální poskytovatel identity, který zajišťuje, že uživatel má přístup pouze oprávněnému tenantu. Aplikace používá standardní oprávnění služby ESET PROTECT za účelem zajištění kontroly přístupu k tenantu na základě rolí.

Přístup k backendu je výhradně omezen na oprávněné osoby a role. Při správě přístupu zaměstnanců společnosti ESET k infrastruktuře a sítím služby ESET PROTECT se využívají standardní procesy společnosti ESET pro (de)registraci uživatelů, (de)provisioning, správu oprávnění a kontrolu přístupových oprávnění uživatelů.

Pro ochranu přístupu ke všem datům souvisejícím se službou ESET PROTECT se používá silné ověřování.

6. Kryptografie

Za účelem ochrany dat souvisejících se službou ESET PROTECT se používá silná kryptografie k šifrování uložených a přenášených dat. Certifikáty pro veřejné služby vydává všeobecně uznávaná certifikační autorita. Klíče používané v rámci ESET PROTECT infrastruktury jsou spravovány prostřednictvím interní infrastruktury veřejných klíčů společnosti ESET. Data uložená v databázi jsou chráněna šifrovacími klíči generovanými v cloudu. Všechna zálohovaná data jsou chráněna klíči spravovanými společností ESET.

7. Fyzická bezpečnost a bezpečnost prostředí

Vzhledem k tomu, že ESET PROTECT a ESET Business Account jsou cloudové služby, spoléháme se na environmentální a fyzické zabezpečení platformy Microsoft Azure. Microsoft Azure využívá certifikovaná datová centra s efektivními fyzickými bezpečnostními opatřeními. Fyzické umístění datového centra závisí na zákazníkem vybrané lokalitě. Data zákazníků jsou při svém přenosu z cloudového prostřední chráněna silnou kryptografií. (například při přenosu na fyzické záložní úložiště dat).

8. Bezpečnost provozu

Služba ESET PROTECT je provozována automatizovanými prostředky na základě přísných provozních postupů a konfiguračních šablon. Všechny změny, včetně změn v konfiguraci a nasazení nového balíčku, se nasazením do produkčního prostředí schvalují a testují ve vyhrazeném testovacím prostředí. Vývojová, testovací a produkční prostředí jsou od sebe oddělená. Data služby ESET PROTECT se nacházejí výhradně v produkčním prostředí.

Prostředí služby ESET PROTECT je sledováno prostřednictvím monitorování provozu za účelem rychlé identifikace problémů a zajištění dostatečné kapacity všem službám na úrovni sítě a hostitele.

Veškerá konfigurační data jsou uložena v našich pravidelně zálohovaných úložištích, aby bylo možné automaticky obnovit konfiguraci prostředí. Zálohovaná data služby ESET PROTECT jsou ukládána on-site i off-site.

Zálohy jsou šifrovány a v rámci testování kontinuity je pravidelně ověřována jejich obnovitelnost.

Audit systémů je prováděn dle interních standardů a směrnic. Protokoly a auditní záznamy z infrastruktury, operačního systému, databáze, aplikačních serverů a prvků zabezpečení se shromažďují nepřetržitě. Auditní záznamy jsou dále zpracovávány týmy IT a interní bezpečností za účelem identifikace provozních a bezpečnostních anomálií a incidentů informační bezpečnosti.

Společnost ESET se řídí všeobecným technickým procesem pro správu zranitelností k řízení zranitelností v infrastruktuře ESET, včetně služby ESET PROTECT a dalších produktech ESET. Součástí tohoto procesu je proaktivní skenování zranitelností a opakované penetrační testování infrastruktury, produktů a aplikací.

Společnost ESET má zavedené interní směrnice pro bezpečnost interní infrastruktury, sítí, operačních systémů, databází, aplikačních serverů a aplikací. Jejich dodržování je kontrolováno prostřednictvím monitorování technického souladu a našeho programu interního auditu informační bezpečnosti.

9. Bezpečnost komunikací

Prostředí služby ESET PROTECT je segmentováno pomocí nativních možností dostupných v cloudu, kdy přístup k síti je omezen pouze na nezbytné služby v rámci síťových segmentů. Dostupnost síťových služeb je dosaženo pomocí nativních možností dostupných v cloudu, jako jsou zóny dostupnosti, vyrovnávání zátěže a redundance. Komponenty vyhrazené pro vyrovnávání zátěže jsou nasazeny za účelem ověřování a směrování koncových zařízení k instanci služby ESET PROTECT. Síťový provoz je nepřetržitě monitorován na výskyt provozních a bezpečnostních anomálií. Potenciální útoky lze vyřešit pomocí nativních možností dostupných v cloudu nebo nasazených bezpečnostních řešení. Veškerá síťová komunikace je šifrována pomocí obecně dostupných technik, včetně protokolů IPsec a TLS.

10. Akvizice, vývoj a údržba systému

Vývoj systémů služby ESET PROTECT probíhá v souladu s politikou pro vývoj bezpečného softwaru společnosti ESET. Týmy interní bezpečnosti se na vývoji služby ESET PROTECT podílejí již od počáteční fáze a dohlížejí na všechny aspekty vývoje a údržby. Tým interní bezpečnosti definuje a kontroluje plnění bezpečnostních požadavků v různých fázích vývoje softwaru. Bezpečnost všech služeb, včetně nově vyvinutých, je od jejich vydání průběžně testována.

11. Vztah s dodavateli

Relevantní dodavatelský vztah je veden podle platných směrnic společnosti ESET, které upravují řízení vztahů se zákazníky a smluvní požadavky z hlediska informační bezpečnosti a ochrany osobních údajů. Kvalita a bezpečnost služeb poskytovaných poskytovatelem kritických služeb podléhá pravidelnému hodnocení.

Dále společnost ESET u služby ESET PROTECT uplatňuje princip přenositelnosti, aby se zabránilo závislosti na konkrétním dodavateli.

12. Řízení incidentů bezpečnosti informací

Správa incidentů v oblasti informační bezpečnosti souvisejících se službou ESET PROTECT je řízena podobně jako u jiných infrastruktur společnosti ESET a opírá se o definované postupy řešení incidentů. Role v rámci reakce na incidenty jsou definovány a rozděleny mezi více týmů, nejen z oblasti IT, bezpečnosti, právní, lidských zdrojů, vztahů s veřejností a výkonného managementu. Incidenty třídí tým interní bezpečnosti, které si následně přebírá sestavený tým zodpovědný za řešení incidentu. Tento tým zajistí další koordinaci ostatních týmů, které se podílejí na řešení incidentu. Tým interní bezpečnost je rovněž zodpovědný za shromažďování důkazů a získaných poznatků. Vznik incidentu a jeho řešení je sděleno dotčeným stranám. Právní tým společnosti ESET je v případě potřeby zodpovědný za informování regulačních orgánů v souladu se všeobecným nařízení o ochraně osobních údajů (GDPR) a aktem EU o kybernetické bezpečnosti EU transponujícím směrnici o bezpečnosti sítí a informačních systémů (NIS).

13. Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací

Kontinuita provozu služby ESET PROTECT je zakódována v robustní architektuře, která maximalizuje dostupnosti poskytovaných služeb. V případě katastrofického selhání všech redundantních uzlů komponent služby ESET PROTECT, nebo služby ESET PROTECT samotné, je možné provést kompletní obnovení z externích záloh a konfiguračních dat. Proces obnovy je pravidelně testován.

14. Soulad s požadavky

Dodržování regulačních a smluvních požadavků souvisejících se službou ESET PROTECT je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a procesy společnosti ESET. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Společnost ESET je registrována jako poskytovatel digitálních služeb v oblasti cloud computingu, mezi které spadají další služby společnosti ESET včetně ESET PROTECT. Mějte na paměti, že aktivity společnost ESET týkající se dodržování předpisů nemusí nutně znamenat, že jsou splněny celkové požadavky zákazníků na dodržování předpisů.