Ηλεκτρονική βοήθεια ESET

Αναζήτηση English
Επιλέξτε το θέμα

Ασφάλεια για το ESET PROTECT

Εισαγωγή

Ο σκοπός αυτού του εγγράφου είναι να συνοψίσει τις πρακτικές και τα στοιχεία ελέγχου ασφάλειας που εφαρμόζονται στο ESET PROTECT. Οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας έχουν σχεδιαστεί για την προστασία της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών του πελάτη. Σημειώνεται ότι οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας ενδέχεται να αλλάξουν.

Αντικείμενο

Το αντικείμενο αυτού του εγγράφου είναι να συνοψίσει τις πρακτικές και τα στοιχεία ελέγχου ασφάλειας για την υποδομή του ESET PROTECT, το ESET Business Account (εφεξής θα αναφέρεται ως «EBA») και την υποδομή, την οργάνωση, το προσωπικό και τις επιχειρησιακές διαδικασίες του ESET MSP Administrator (εφεξής θα αναφέρεται ως «EMA»). Οι πρακτικές και τα στοιχεία ελέγχου ασφάλειας περιλαμβάνουν:

  1. Πολιτικές ασφάλειας πληροφοριών
  2. Οργάνωση της ασφάλειας πληροφοριών
  3. Ασφάλεια ανθρώπινων πόρων
  4. Διαχείριση πόρων
  5. Έλεγχος πρόσβασης
  6. Κρυπτογράφηση
  7. Φυσική και περιβαλλοντική ασφάλεια
  8. Ασφάλεια λειτουργιών
  9. Ασφάλεια επικοινωνιών
  10. Απόκτηση, ανάπτυξη και συντήρηση συστήματος
  11. Σχέση με τους προμηθευτές
  12. Διαχείριση συμβάντων ασφάλειας πληροφοριών
  13. Πτυχές ασφάλειας πληροφοριών της διαχείρισης επιχειρηματικής συνέχειας
  14. Συμμόρφωση

Έννοια ασφάλειας

Η εταιρεία ESET s.r.o. είναι πιστοποιημένη κατά ISO 27001:2013 με πεδίο εφαρμογής σε ολοκληρωμένο σύστημα διαχείρισης που καλύπτει ειδικά τις υπηρεσίες του ESET PROTECT, του EBA και του EMA.

Συνεπώς, η έννοια της ασφάλειας πληροφοριών χρησιμοποιεί το πλαίσιο του προτύπου ISO 27001 για την υλοποίηση μιας στρατηγικής ασφάλειας άμυνας επιπέδων κατά την εφαρμογή στοιχείων ελέγχου ασφάλειας στο επίπεδο διεργασιών δικτύου, λειτουργικών συστημάτων, βάσεων δεδομένων, εφαρμογών, προσωπικού και λειτουργίας. Οι εφαρμοζόμενες πρακτικές ασφάλειας και τα στοιχεία ελέγχου ασφάλειας προορίζεται να αλληλοεπικαλύπτονται και να αλληλοσυμπληρώνονται.

Πρακτικές και στοιχεία ελέγχου ασφάλειας

1. Πολιτικές ασφάλειας πληροφοριών

Η ESET χρησιμοποιεί πολιτικές ασφάλειας πληροφοριών για να καλύπτει όλες τις πτυχές του προτύπου ISO 27001, που συμπεριλαμβάνει τη διακυβέρνηση της ασφάλειας πληροφοριών και τα στοιχεία ελέγχου και τις πρακτικές ασφάλειας. Οι πολιτικές επανεξετάζονται σε ετήσια βάση και επικαιροποιούνται μετά από σημαντικές αλλαγές, ώστε να διασφαλίζεται η συνεχής καταλληλότητα, επάρκεια και αποτελεσματικότητά τους.

Η ESET διενεργεί ετήσιες αναθεωρήσεις αυτής της πολιτικής και των εσωτερικών ελέγχων ασφάλειας για να διασφαλίζει τη συνέπεια με αυτήν την πολιτική. Η μη συμμόρφωση με τις πολιτικές ασφάλειας πληροφοριών υπόκειται σε πειθαρχικά μέτρα για τους υπαλλήλους της ESET ή σε συμβατικές κυρώσεις μέχρι και τη λύση της σύμβασης για τους προμηθευτές.

2. Οργάνωση της ασφάλειας πληροφοριών

Η οργάνωση της ασφάλειας πληροφοριών για το ESET PROTECT συνίσταται σε πολλές ομάδες και άτομα που εμπλέκονται με την ασφάλεια πληροφοριών και την πληροφορική, και περιλαμβάνουν τις εξής:

  • Εκτελεστική διοίκηση της ESET
  • Ομάδες εσωτερικής ασφάλειας της ESET
  • Ομάδες πληροφορικής επιχειρηματικών εφαρμογών
  • Άλλες υποστηρικτικές ομάδες

Οι αρμοδιότητες ασφάλειας πληροφοριών κατανέμονται σύμφωνα με τις υπάρχουσες πολιτικές ασφάλειας πληροφοριών. Οι εσωτερικές διεργασίες εντοπίζονται και αξιολογούνται για οποιονδήποτε κίνδυνο μη εξουσιοδοτημένης ή ακούσιας τροποποίησης ή κατάχρησης των πόρων της ESET. Οι επικίνδυνες ή ευαίσθητες δραστηριότητες των εσωτερικών διεργασιών υιοθετούν την αρχή του διαχωρισμού καθηκόντων, ώστε να μετριάζεται ο κίνδυνος.

Η νομική ομάδα της ESET είναι υπεύθυνη για τις επαφές με τις κυβερνητικές αρχές, όπως οι ρυθμιστικές αρχές της Σλοβακίας για την κυβερνοασφάλεια και την προστασία των δεδομένων προσωπικού χαρακτήρα. Η ομάδα Εσωτερικής ασφάλειας της ESET είναι υπεύθυνη για την επικοινωνία με ομάδες ειδικών συμφερόντων όπως η ISACA. Η ομάδα του Εργαστηρίου της ESET είναι υπεύθυνη για την επικοινωνία με άλλες εταιρείες ασφάλειας και την ευρύτερη κοινότητα κυβερνοασφάλειας.

Η ασφάλεια πληροφοριών λαμβάνεται υπόψη στη διαχείριση έργων χρησιμοποιώντας το εφαρμοζόμενο πλαίσιο διαχείρισης έργου από τη σύλληψη έως την ολοκλήρωσή του.

Η απομακρυσμένη εργασία και η τηλεργασία καλύπτονται μέσω της χρήσης μιας πολιτικής που εφαρμόζεται σε κινητές συσκευές και περιλαμβάνει τη χρήση ισχυρής προστασίας κρυπτογραφημένων δεδομένων σε κινητές συσκευές κατά τη μετακίνηση διαμέσου μη αξιόπιστων δικτύων. Τα στοιχεία ελέγχου ασφάλειας σε κινητές συσκευές έχουν σχεδιαστεί για να λειτουργούν ανεξάρτητα από τα εσωτερικά δίκτυα και τα εσωτερικά συστήματα της ESET.

3. Ασφάλεια ανθρώπινων πόρων

Η ESET χρησιμοποιεί τυπικές πρακτικές ανθρώπινων πόρων, οι οποίες περιλαμβάνουν πολιτικές που έχουν σχεδιαστεί για τη διατήρηση της ασφάλειας πληροφοριών. Αυτές οι πρακτικές καλύπτουν ολόκληρο τον κύκλο ζωής των εργαζόμενων και ισχύουν για όλες τις ομάδες που έχουν πρόσβαση στο περιβάλλον του ESET PROTECT.

4. Διαχείριση πόρων

Η υποδομή του ESET PROTECT περιλαμβάνεται στα αποθέματα πόρων της ESET με αυστηρή ιδιοκτησία και κανόνες που εφαρμόζονται ανάλογα με τον τύπο και την ευαισθησία των πόρων. Η ESET έχει καθορίσει ένα εσωτερικό σχήμα ταξινόμησης. Όλα τα δεδομένα και οι ρυθμίσεις παραμέτρων του ESET PROTECT ταξινομούνται ως εμπιστευτικά.

5. Έλεγχος πρόσβασης

Η πολιτική ελέγχου πρόσβασης της ESET διέπει κάθε πρόσβαση στο ESET PROTECT. Ο έλεγχος πρόσβασης ορίζεται σε επίπεδο υποδομής, υπηρεσιών δικτύου, λειτουργικού συστήματος, βάσης δεδομένων και εφαρμογών. Σε επίπεδο εφαρμογής, η διαχείριση πλήρους πρόσβασης χρηστών είναι αυτόνομη. Η καθολική σύνδεση του ESET PROTECT και του ESET Business Account διέπεται από έναν κεντρικό πάροχο ταυτότητας, ο οποίος εξασφαλίζει ότι ένας χρήστης μπορεί να έχει πρόσβαση μόνο στον εξουσιοδοτημένο μισθωτή. Η εφαρμογή χρησιμοποιεί τυπικά δικαιώματα του ESET PROTECT για την επιβολή του ελέγχου πρόσβασης βάσει ρόλων για τον μισθωτή.

Η πρόσβαση παρασκηνίου της ESET περιορίζεται αυστηρά σε εξουσιοδοτημένα άτομα και ρόλους. Οι τυπικές διεργασίες της ESET για την εγγραφή (κατάργηση εγγραφής) χρηστών, την παροχή (κατάργηση παροχής), τη διαχείριση δικαιωμάτων και την αναθεώρηση των δικαιωμάτων πρόσβασης χρηστών χρησιμοποιούνται για τη διαχείριση της πρόσβασης των υπαλλήλων της ESET σε υποδομές και δίκτυα του ESET PROTECT.

Υπάρχει ισχυρός έλεγχος ταυτότητας για την προστασία της πρόσβασης σε όλα τα δεδομένα του ESET PROTECT.

6. Κρυπτογράφηση

Για την προστασία των δεδομένων του ESET PROTECT, χρησιμοποιείται ισχυρή κρυπτογράφηση για την κρυπτογράφηση δεδομένων σε ηρεμία και κατά τη μεταφορά. Γενικά, η αξιόπιστη αρχή έκδοσης πιστοποιητικών χρησιμοποιείται για την έκδοση πιστοποιητικών για δημόσιες υπηρεσίες. Η εσωτερική υποδομή δημόσιου κλειδιού της ESET χρησιμοποιείται για τη διαχείριση κλειδιών εντός της υποδομής του ESET PROTECT. Τα δεδομένα που είναι αποθηκευμένα στη βάση δεδομένων προστατεύονται από κλειδιά κρυπτογράφησης που δημιουργούνται από το cloud. Όλα τα δεδομένα αντιγράφων ασφαλείας προστατεύονται από τα διαχειριζόμενα κλειδιά της ESET.

7. Φυσική και περιβαλλοντική ασφάλεια

Επειδή το ESET PROTECT και το ESET Business Account βασίζονται στο cloud, η εταιρεία βασίζεται στο Microsoft Azure για φυσική και περιβαλλοντική ασφάλεια. Το Microsoft Azure χρησιμοποιεί πιστοποιημένα κέντρα δεδομένων με ισχυρά μέτρα φυσικής ασφάλειας. Η φυσική θέση του κέντρου δεδομένων εξαρτάται από την επιλογή περιοχής του πελάτη. Η ισχυρή κρυπτογράφηση χρησιμοποιείται για την προστασία των δεδομένων των πελατών κατά τη μεταφορά εκτός τοποθεσίας από το περιβάλλον cloud (για παράδειγμα, κατά τη μεταφορά σε φυσικό χώρο αποθήκευσης δεδομένων αντιγράφων ασφαλείας).

8. Ασφάλεια λειτουργιών

Η υπηρεσία ESET PROTECT λειτουργεί με αυτοματοποιημένα μέσα που βασίζονται σε αυστηρές επιχειρησιακές διαδικασίες και πρότυπα ρύθμισης παραμέτρων. Όλες οι αλλαγές, συμπεριλαμβανομένων των αλλαγών στις ρυθμίσεις παραμέτρων και της ανάπτυξης νέων πακέτων, εγκρίνονται και δοκιμάζονται σε ένα αποκλειστικό περιβάλλον δοκιμών πριν από την ανάπτυξη στην παραγωγή. Τα περιβάλλοντα ανάπτυξης, δοκιμών και παραγωγής διαχωρίζονται μεταξύ τους. Τα δεδομένα του ESET PROTECT βρίσκονται μόνο στο περιβάλλον παραγωγής.

Το περιβάλλον του ESET PROTECT εποπτεύεται με τη χρήση επιχειρησιακής παρακολούθησης για γρήγορο εντοπισμό των προβλημάτων και την παροχή επαρκούς χωρητικότητας σε όλες τις υπηρεσίες σε επίπεδο δικτύου και κεντρικού υπολογιστή.

Όλα τα δεδομένα ρύθμισης παραμέτρων αποθηκεύονται στα αποθετήρια της εταιρείας, όπου δημιουργούνται τακτικά αντίγραφα ασφαλείας, ώστε να επιτρέπεται η αυτοματοποιημένη ανάκτηση της ρύθμισης παραμέτρων ενός περιβάλλοντος. Τα αντίγραφα ασφαλείας των δεδομένων του ESET PROTECT αποθηκεύονται τόσο επιτόπου όσο και εκτός του χώρου.

Τα αντίγραφα ασφαλείας κρυπτογραφούνται και δοκιμάζονται τακτικά για τη δυνατότητα ανάκτησης ως μέρος των δοκιμών επιχειρηματικής συνέχειας.

Ο έλεγχος των συστημάτων εκτελείται σύμφωνα με εσωτερικά πρότυπα και κατευθυντήριες γραμμές. Τα αρχεία καταγραφής και τα συμβάντα από την υποδομή, το λειτουργικό σύστημα, τη βάση δεδομένων, τους διακομιστές εφαρμογών και τα στοιχεία ελέγχου ασφαλείας συλλέγονται διαρκώς. Τα αρχεία καταγραφής υποβάλλονται σε περαιτέρω επεξεργασία από τις ομάδες πληροφορικής και εσωτερικής ασφάλειας για τον εντοπισμό λειτουργικών ανωμαλιών και ανωμαλιών ασφάλειας, καθώς και συμβάντων ασφάλειας πληροφοριών.

Η ESET χρησιμοποιεί μια γενική τεχνική διεργασία διαχείρισης τρωτών σημείων για τον χειρισμό της εμφάνισης τρωτών σημείων στην υποδομή της ESET, που συμπεριλαμβάνει το ESET PROTECT και άλλα προϊόντα της ESET. Αυτή η διεργασία περιλαμβάνει προληπτική σάρωση τρωτών σημείων και επαναλαμβανόμενες δοκιμές διείσδυσης στην υποδομή, στα προϊόντα και στις εφαρμογές.

Η ESET αναφέρει εσωτερικές οδηγίες για την ασφάλεια της εσωτερικής υποδομής, των δικτύων, των λειτουργικών συστημάτων, των βάσεων δεδομένων, των διακομιστών εφαρμογών και των εφαρμογών. Αυτές οι οδηγίες ελέγχονται μέσω της παρακολούθησης τεχνικής συμμόρφωσης και του προγράμματος εσωτερικού ελέγχου ασφαλείας πληροφοριών.

9. Ασφάλεια επικοινωνιών

Το περιβάλλον του ESET PROTECT κατακερματίζεται μέσω τοπικού κατακερματισμού στο cloud με την πρόσβαση δικτύου να περιορίζεται μόνο στις απαραίτητες υπηρεσίες μεταξύ των τμημάτων δικτύου. Η διαθεσιμότητα των υπηρεσιών δικτύου επιτυγχάνεται μέσω τοπικών στοιχείων ελέγχου του cloud, όπως οι ζώνες διαθεσιμότητας, η εξισορρόπηση φορτίου και ο πλεονασμός. Τα αποκλειστικά στοιχεία εξισορρόπησης φορτίου αναπτύσσονται για την παροχή συγκεκριμένων τερματικών για τη δρομολόγηση παρουσιών του ESET PROTECT που επιβάλλουν την εξουσιοδότηση της κίνησης και της εξισορρόπησης φορτίου. Η δικτυακή κίνηση παρακολουθείται συνεχώς για λειτουργικές ανωμαλίες και ανωμαλίες ασφάλειας. Οι πιθανές επιθέσεις μπορούν να επιλυθούν χρησιμοποιώντας τοπικά στοιχεία ελέγχου στο cloud ή ανεπτυγμένες λύσεις ασφάλειας. Όλες οι επικοινωνίες δικτύου κρυπτογραφούνται μέσω γενικά διαθέσιμων τεχνικών, όπως των IPsec και TLS.

10. Απόκτηση, ανάπτυξη και συντήρηση συστήματος

Η ανάπτυξη των συστημάτων ESET PROTECT πραγματοποιείται σύμφωνα με την πολιτική ασφαλούς ανάπτυξης λογισμικού της ESET. Οι ομάδες εσωτερικής ασφάλειας περιλαμβάνονται στο έργο ανάπτυξης του ESET PROTECT από την αρχική φάση και παραβλέπουν όλες τις δραστηριότητες ανάπτυξης και συντήρησης. Η ομάδα εσωτερικής ασφάλειας καθορίζει και ελέγχει την εκπλήρωση των απαιτήσεων ασφάλειας σε διάφορα στάδια ανάπτυξης λογισμικού. Η ασφάλεια όλων των υπηρεσιών, συμπεριλαμβανομένων εκείνων που αναπτύχθηκαν πρόσφατα, δοκιμάζεται διαρκώς μετά την κυκλοφορία.

11. Σχέση με τους προμηθευτές

Μια κατάλληλη σχέση με τον προμηθευτή διεξάγεται σύμφωνα με έγκυρες οδηγίες της ESET, οι οποίες καλύπτουν ολόκληρη τη διαχείριση της σχέσης και τις συμβατικές απαιτήσεις από την άποψη της ασφάλειας πληροφοριών και της προστασίας απορρήτου. Η ποιότητα και η ασφάλεια των υπηρεσιών που παρέχονται από τον πάροχο κρίσιμων υπηρεσιών αξιολογούνται τακτικά.

Επιπλέον, η ESET χρησιμοποιεί την αρχή της φορητότητας ώστε το ESET PROTECT να αποφεύγει το κλείδωμα των προμηθευτών.

12. Διαχείριση ασφάλειας πληροφοριών

Η διαχείριση συμβάντων ασφάλειας πληροφοριών στο ESET PROTECT πραγματοποιείται με παρόμοιο τρόπο με άλλες υποδομές της ESET και στηρίζεται σε καθορισμένες διαδικασίες απόκρισης σε συμβάντα. Οι ρόλοι στο πλαίσιο της απόκρισης σε συμβάντα καθορίζονται και κατανέμονται σε πολλές ομάδες, που συμπεριλαμβάνουν τις ομάδες πληροφορικής, ασφάλειας, νομικών θεμάτων, ανθρώπινων πόρων, δημοσίων σχέσεων και εκτελεστικής διοίκησης. Η ομάδα απόκρισης σε συμβάντα για ένα συμβάν δημιουργείται με βάση την διαλογή περιστατικών από την ομάδα εσωτερικής ασφάλειας. Η ομάδα αυτή παρέχει περαιτέρω συντονισμό των άλλων ομάδων που χειρίζονται το συμβάν. Η ομάδα εσωτερικής ασφάλειας είναι επίσης υπεύθυνη για τη συλλογή αποδεικτικών στοιχείων και των διδαγμάτων που προέκυψαν. Η εμφάνιση και η επίλυση συμβάντων κοινοποιούνται στα επηρεαζόμενα μέρη. Η νομική ομάδα της ESET είναι υπεύθυνη για την ενημέρωση των ρυθμιστικών φορέων, εάν απαιτείται, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (GDPR) και τον Νόμο περί Κυβερνοασφάλειας, ο οποίος μεταφέρει την Οδηγία για την Ασφάλεια δικτύων και πληροφοριών (NIS).

13. Πτυχές ασφάλειας πληροφοριών της διαχείρισης επιχειρηματικής συνέχειας

Η επιχειρηματική συνέχεια της υπηρεσίας ESET PROTECT κωδικοποιείται στην ισχυρή αρχιτεκτονική που χρησιμοποιείται για τη μεγιστοποίηση της διαθεσιμότητας των παρεχόμενων υπηρεσιών. Η πλήρης επαναφορά από τα δεδομένα αντιγράφων ασφαλείας και ρύθμισης παραμέτρων εκτός τοποθεσίας είναι δυνατή σε περίπτωση καταστροφικής αστοχίας όλων των κόμβων πλεονασμού για τα στοιχεία του ESET PROTECT ή για την υπηρεσία ESET PROTECT. Η διαδικασία επαναφοράς δοκιμάζεται τακτικά.

14. Συμμόρφωση

Η συμμόρφωση με τις ρυθμιστικές και συμβατικές απαιτήσεις του ESET PROTECT αξιολογείται τακτικά και αναθεωρείται με παρόμοιο τρόπο με άλλες υποδομές και διεργασίες της ESET, ενώ λαμβάνονται τα απαραίτητα μέτρα ώστε να υπάρχει συμμόρφωση σε συνεχή βάση. Η ESET είναι εγγεγραμμένη ως πάροχος ψηφιακών υπηρεσιών για την ψηφιακή υπηρεσία υπολογιστικού cloud που καλύπτει πολλαπλές υπηρεσίες της ESET, συμπεριλαμβανομένου του ESET PROTECT. Σημειώνεται ότι οι δραστηριότητες συμμόρφωσης της ESET δεν σημαίνουν απαραίτητα ότι πληρούνται έτσι οι συνολικές απαιτήσεις συμμόρφωσης των πελατών.