Bezpečnostní dokumentace pro ESET PROTECT Cloud

Úvod

Účelem tohoto dokumentu je shrnout bezpečnostní zásady a postupy uplatňované v rámci služby ESET PROTECT Cloud. Bezpečnostní zásady a postupy jsou navrženy tak, aby byla zajištěna důvěrnost, integrita a dostupnost dat zákazníků. Mějte na paměti, že se bezpečnostní zásady a postupy mohou kdykoli změnit.

Rozsah

Účelem tohoto dokumentu je shrnout bezpečnostní postupy a zásady uplatňované v ESET PROTECT Cloud infrastruktuře, stejně tak infrastruktuře, organizaci, personálních a provozních procesech souvisejících s ESET Business Account (dále jen "EBA"), ESET MSP Administrator (dále jen "EMA"). Mezi bezpečnostní zásady a postupy patří:

  1. Politiky informační bezpečnosti
  2. Organizace informační bezpečnosti
  3. Lidské zdroje a bezpečnost
  4. Správa aktiv
  5. Kontrola přístupu
  6. Kryptografie
  7. Environmentální a fyzická bezpečnost
  8. Zabezpečení provozu
  9. Zabezpečení komunikace
  10. Pořízení, vývoj a údržba systému
  11. Dodavatelský vztah
  12. Správa incidentů v oblasti informační bezpečnosti
  13. Aspekty informační bezpečnosti v rámci řízení kontinuity provozu
  14. Dodržování požadavků

Bezpečnostní koncept

Společnost ESET s.r.o. je držitelem certifikátu ISO 27001:2013 s integrovaným systémem správy, který pokrývá službu ESET PROTECT Cloud, EBA a EMA.

Koncept informační bezpečnosti proto používá standard ISO 27001 k implementaci bezpečnostní strategie vícevrstvé ochrany při aplikování bezpečnostních zásad na vrstvě sítové, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Použité bezpečnostní postupy a zásady se mají vzájemně překrývat a doplňovat.

Bezpečnostní zásady a postupy

1. Politiky informační bezpečnosti

Společnost ESET uplatňuje politiky informační bezpečnosti, které pokrývají všechny aspekty standardu ISO 27001, včetně řízení bezpečnosti informací a bezpečnostní zásady a postupy. Politiky jsou každoročně revidovány a po významných změnách aktualizovány, aby byla zajištěna jejich kontinuální vhodnost, přiměřenost a účinnost.

Společnost ESET provádí každoroční revize těchto politik a kontroly interní bezpečnosti za účelem zajištění souladu s jejich ustanoveními. V případě nedodržování politik informační bezpečnosti jsou zaměstnancům společnosti ESET uložena disciplinární opatření a dodavatelům smluvní sankce, které mohou vést až k ukončení smlouvy.

2. Organizace informační bezpečnosti

Organizace informační bezpečnosti služby ESET PROTECT Cloud se skládá z více týmů a jednotlivců zapojených do informační bezpečnosti a IT, včetně:

  • výkonného managementu společnosti ESET,
  • týmů interní bezpečnosti společnosti ESET,
  • IT týmů podnikových aplikací,
  • dalších podpůrných týmů.

Odpovědnost za informační bezpečnost je přidělována v souladu se zavedenými politikami informační bezpečnosti. Interní procesy jsou identifikovány a posuzovány z hlediska rizik vyplývajících z neoprávněné nebo neúmyslné modifikace nebo zneužití aktiv společnosti ESET. Při rizikových nebo citlivých činnostech souvisejících s interními procesy je za účelem snížení rizika uplatňován princip rozdělení povinností.

Právní tým společnosti ESET je zodpovědný za kontakt s orgány státní správy, včetně slovenských regulačních orgánů v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Tým interní bezpečnosti společnosti ESET je zodpovědný za kontakt se zájmovými skupinami, jako je například ISACA. Výzkumné týmy společnosti ESET jsou zodpovědné za komunikaci s dalšími společnosti zabývajícími se bezpečností a širší komunitou pro kybernetickou bezpečnosti.

Informační bezpečnost je zohledněna v projektovém řízení pomocí aplikovaného rámce řízení projektů od koncepce až po dokončení projektu.

Práci na dálku a práci z domova pokrývají politiky implementované na mobilních zařízeních, které zahrnují použití silné kryptografické ochrany dat na mobilních zařízeních při pohybu mezi nedůvěryhodnými sítěmi. Bezpečnostní kontroly na mobilních zařízeních jsou navrženy tak, aby fungovaly nezávisle na interních sítích a interních systémech společnosti ESET.

3. Lidské zdroje a bezpečnost

Společnost ESET používá standardní postupy v oblasti lidských zdrojů, včetně politik určených k dodržování informační bezpečnosti. Tyto postupy jsou platné po celý životní cyklus zaměstnance a vztahují se na všechny týmy, které mají přístup k prostředí služby ESET PROTECT Cloud.

4. Správa aktiv

Infrastruktura služby ESET PROTECT Cloud je součástí inventáře aktiv společnosti ESET s výhradním vlastnictvím a pravidly aplikovanými podle typu a citlivosti aktiv. Společnost ESET má definované interní klasifikační schéma. Veškerá data a konfigurace související se službou ESET PROTECT Cloud jsou klasifikována jako důvěrná.

5. Kontrola přístupu

Politika řízení přístupu společnosti ESET upravuje každý přístup v rámci služby ESET PROTECT Cloud. Řízení přístupu se nastavuje na úrovni infrastruktury, síťových služeb, operačního systému, databáze a aplikace. Správa úplného přístupu uživatelů na úrovni aplikace je autonomní. Jednotné přihlášení (SSO) v rámci služby ESET PROTECT Cloud a ESET Business Account řídí centrální poskytovatel identity, který zajišťuje, že uživatel má přístup pouze oprávněnému tenantu. Aplikace používá standardní oprávnění služby ESET PROTECT Cloud za účelem zajištění kontroly přístupu k tenantu na základě rolí.

Přístup k backendu je výhradně omezen na oprávněné osoby a role. Při správě přístupu zaměstnanců společnosti ESET k infrastruktuře a sítím služby ESET PROTECT Cloud se využívají standardní procesy společnosti ESET pro (de)registraci uživatelů, (de)provisioning, správu oprávnění a kontrolu přístupových oprávnění uživatelů.

Pro ochranu přístupu ke všem datům souvisejícím se službou ESET PROTECT Cloud se používá silné ověřování.

6. Kryptografie

Za účelem ochrany dat souvisejících se službou ESET PROTECT Cloud se používá silná kryptografie k šifrování uložených a přenášených dat. Certifikáty pro veřejné služby vydává všeobecně uznávaná certifikační autorita. Klíče používané v rámci ESET PROTECT Cloud infrastruktury jsou spravovány prostřednictvím interní infrastruktury veřejných klíčů společnosti ESET. Data uložená v databázi jsou chráněna šifrovacími klíči generovanými v cloudu. Všechna zálohovaná data jsou chráněna klíči spravovanými společností ESET.

7. Environmentální a fyzická bezpečnost

Vzhledem k tomu, že ESET PROTECT Cloud a ESET Business Account jsou cloudové služby, spoléháme se na environmentální a fyzické zabezpečení platformy Microsoft Azure. Microsoft Azure využívá certifikovaná datová centra s efektivními fyzickými bezpečnostními opatřeními. Fyzické umístění datového centra závisí na zákazníkem vybrané lokalitě. Data zákazníků jsou při svém přenosu z cloudového prostřední chráněna silnou kryptografií. (například při přenosu na fyzické záložní úložiště dat).

8. Zabezpečení provozu

Služba ESET PROTECT Cloud je provozována automatizovanými prostředky na základě přísných provozních postupů a konfiguračních šablon. Všechny změny, včetně změn v konfiguraci a nasazení nového balíčku, se nasazením do produkčního prostředí schvalují a testují ve vyhrazeném testovacím prostředí. Vývojová, testovací a produkční prostředí jsou od sebe oddělená. Data služby ESET PROTECT Cloud se nacházejí výhradně v produkčním prostředí.

Prostředí služby ESET PROTECT Cloud je sledováno prostřednictvím monitorování provozu za účelem rychlé identifikace problémů a zajištění dostatečné kapacity všem službám na úrovni sítě a hostitele.

Veškerá konfigurační data jsou uložena v našich pravidelně zálohovaných úložištích, aby bylo možné automaticky obnovit konfiguraci prostředí. Zálohovaná data služby ESET PROTECT Cloud jsou ukládána lokálně i externě.

Zálohy jsou šifrovány a v rámci testování kontinuity podnikání je pravidelně ověřována jejich obnovitelnost.

Audit systémů je prováděn dle interních standardů a směrnic. Protokoly a události z infrastruktury, operačního systému, databáze, aplikačních serverů a prvků zabezpečení se shromažďují nepřetržitě. Protokoly jsou dále zpracovávány týmy IT a interní bezpečnosti za účelem identifikace provozních a bezpečnostních anomálií a incidentů informační bezpečnosti.

Společnost ESET se řídí všeobecným technickým procesem pro správu zranitelností k řízení zranitelností v infrastruktuře ESET, včetně služby ESET PROTECT Cloud a dalších produktech ESET. Součástí tohoto procesu je proaktivní skenování zranitelností a opakované penetrační testování infrastruktury, produktů a aplikací.

Společnost ESET má zavedené interní směrnice pro bezpečnost interní infrastruktury, sítí, operačních systémů, databází, aplikačních serverů a aplikací. Jejich dodržování je kontrolováno prostřednictvím monitorování technického souladu a našeho programu interního auditu informační bezpečnosti.

9. Zabezpečení komunikace

Prostředí služby ESET PROTECT Cloud je segmentováno pomocí nativních možností dostupných v cloudu, kdy přístup k síti je omezen pouze na nezbytné služby v rámci síťových segmentů. Dostupnost síťových služeb je dosaženo pomocí nativních možností dostupných v cloudu, jako jsou zóny dostupnosti, vyrovnávání zátěže a redundance. Komponenty vyhrazené pro vyrovnávání zátěže jsou nasazeny za účelem ověřování a směrování koncových zařízení k instanci služby ESET PROTECT Cloud. Síťový provoz je nepřetržitě monitorován na výskyt provozních a bezpečnostních anomálií. Potenciální útoky lze vyřešit pomocí nativních možností dostupných v cloudu nebo nasazených bezpečnostních řešení. Veškerá síťová komunikace je šifrována pomocí obecně dostupných technik, včetně protokolů IPsec a TLS.

10. Pořízení, vývoj a údržba systému

Vývoj systémů služby ESET PROTECT Cloud probíhá v souladu s politikou pro vývoj bezpečného softwaru společnosti ESET. Týmy interní bezpečnosti se na vývoji služby ESET PROTECT Cloud podílejí již od počáteční fáze a dohlížejí na všechny aspekty vývoje a údržby. Tým interní bezpečnosti definuje a kontroluje plnění bezpečnostních požadavků v různých fázích vývoje softwaru. Bezpečnost všech služeb, včetně nově vyvinutých, je od jejich vydání průběžně testována.

11. Dodavatelský vztah

Relevantní dodavatelský vztah je veden podle platných směrnic společnosti ESET, které upravují řízení vztahů se zákazníky a smluvní požadavky z hlediska informační bezpečnosti a ochrany osobních údajů. Kvalita a bezpečnost služeb poskytovaných poskytovatelem kritických služeb podléhá pravidelnému hodnocení.

Dále společnost ESET u služby ESET PROTECT Cloud uplatňuje princip přenositelnosti, aby se zabránilo závislosti na konkrétním dodavateli.

12. Správa incidentů v oblasti informační bezpečnosti

Správa incidentů v oblasti informační bezpečnosti souvisejících se službou ESET PROTECT Cloud je řízena podobně jako u jiných infrastruktur společnosti ESET a opírá se o definované postupy řešení incidentů. Role v rámci reakce na incidenty jsou definovány a rozděleny mezi více týmů, nejen z oblasti IT, bezpečnosti, právní, lidských zdrojů, vztahů s veřejností a výkonného managementu. Incidenty třídí tým interní bezpečnosti, které si následně přebírá sestavený tým zodpovědný za řešení incidentu. Tento tým zajistí další koordinaci ostatních týmů, které se podílejí na řešení incidentu. Tým interní bezpečnost je rovněž zodpovědný za shromažďování důkazů a získaných poznatků. Vznik incidentu a jeho řešení je sděleno dotčeným stranám. Právní tým společnosti ESET je v případě potřeby zodpovědný za informování regulačních orgánů v souladu se všeobecným nařízení o ochraně osobních údajů (GDPR) a aktem EU o kybernetické bezpečnosti EU transponujícím směrnici o bezpečnosti sítí a informačních systémů (NIS).

13. Aspekty informační bezpečnosti v rámci řízení kontinuity provozu

Kontinuita provozu služby ESET PROTECT Cloud je zakódována v robustní architektuře, která maximalizuje dostupnosti poskytovaných služeb. V případě katastrofického selhání všech redundantních uzlů komponent služby ESET PROTECT Cloud, nebo služby ESET PROTECT Cloud samotné, je možné provést kompletní obnovení z externích záloh a konfiguračních dat. Proces obnovy je pravidelně testován.

14. Dodržování požadavků

Dodržování regulačních a smluvních požadavků souvisejících se službou ESET PROTECT Cloud je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a procesy společnosti ESET. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Společnost ESET je registrována jako poskytovatel digitálních služeb v oblasti cloud computingu, mezi které spadají další služby společnosti ESET včetně ESET PROTECT Cloud. Mějte na paměti, že aktivity společnost ESET týkající se dodržování předpisů nemusí nemusí nutně znamenat, že jsou splněny celkové požadavky zákazníků na dodržování předpisů.