ESET-ova online pomoć

Traži Hrvatski
Odaberite temu

Sigurnost za program ESET PROTECT

Uvod

Svrha ovog dokumenta je sažeti sigurnosne prakse i kontrole koje se primjenjuju u programu ESET PROTECT. Sigurnosne prakse i kontrole osmišljene su za zaštitu povjerljivosti, integriteta i dostupnosti podataka o klijentima. Imajte na umu da se sigurnosne prakse i kontrole mogu promijeniti.

Opseg

Područje primjene ovog dokumenta je sažeti sigurnosne prakse i sigurnosne kontrole za infrastrukturu programa ESET PROTECT, ESET Business Account (u daljnjem tekstu "EBA") i infrastrukturu programa ESET MSP Administrator (u daljnjem tekstu "EMA"), organizaciju, osoblje i operativne procese. Sigurnosne prakse i kontrole uključuju:

  1. Pravila informacijske sigurnosti
  2. Organizacija informacijske sigurnosti
  3. Sigurnost ljudskih resursa
  4. Upravljanje imovinom
  5. Kontrola pristupa
  6. Kriptografija
  7. Fizička sigurnost i sigurnost okruženja
  8. Sigurnost operacija
  9. Komunikacijska sigurnost
  10. Nabava, razvoj i održavanje sustava
  11. Odnos s dobavljačima
  12. Upravljanje incidentima informacijske sigurnosti
  13. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
  14. Sukladnost

Koncept sigurnosti

Tvrtka ESET s.r.o. je certificirana prema normi ISO 27001:2013 u okviru integriranog sustava upravljanja koji eksplicitno obuhvaća servise ESET PROTECT, EBA i EMA.

Stoga se za koncept informacijske sigurnosti upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na sloju mreže, operacijskih sustava, baza podataka, aplikacija, osoblja i operativnih procesa. Primijenjene sigurnosne prakse i sigurnosne kontrole namijenjene su preklapanju i međusobnom nadopunjavanju.

Sigurnosne prakse i kontrole

1. Pravila informacijske sigurnosti

ESET upotrebljava pravila informacijske sigurnosti kako bi obuhvatio sve aspekte ISO 27001 norme, uključujući upravljanje informacijskom sigurnošću te sigurnosne kontrole i prakse. Pravila se revidiraju svake godine i nadograđuju nakon znatnih promjena kako bi se osigurala njihova trajna prikladnost, primjerenost i učinkovitost.

ESET provodi godišnje revizije ovih pravila i unutarnje provjere sigurnosti kako bi osigurao sukladnost s ovim pravilima. Nepoštovanje pravila informacijske sigurnosti podliježe disciplinskim mjerama za ESET-ove zaposlenike ili ugovornim kaznama do raskida ugovora za dobavljače.

2. Organizacija informacijske sigurnosti

Organizacija informacijske sigurnosti za ESET PROTECT sastoji se od više timova i pojedinaca uključenih u informacijsku sigurnost i tima za IT, uključujući:

  • ESET-ovu izvršnu upravu
  • ESET-ove timove za unutarnju sigurnost
  • IT timove za poslovne aplikacije
  • Ostale timove za podršku

Odgovornosti za informacijsku sigurnost dodjeljuju se u skladu s utvrđenim pravilima informacijske sigurnosti. Interni procesi identificiraju se i procjenjuju za svaki rizik od neovlaštene ili nenamjerne izmjene ili zlouporabe ESET-ove imovine. Rizične ili osjetljive aktivnosti unutarnjih procesa segregiraju dužnosti kako bi se ublažio rizik.

ESET-ov pravni tim odgovoran je za kontaktiranje s državnim tijelima, uključujući slovačke regulatore za kibernetičku sigurnost i zaštitu osobnih podataka. ESET-ov tim za unutarnju sigurnost odgovoran je za kontaktiranje s posebnim interesnim skupinama kao što je ISACA. ESET-ov tim istraživačkog laboratorija odgovoran je za komunikaciju s drugim sigurnosnim tvrtkama i većom zajednicom za kibernetičku sigurnost.

Informacijska sigurnost uzima se u obzir u upravljanju projektima pomoću primijenjenog okvira za upravljanje projektima od početka do završetka projekta.

Rad na daljinu i rad od kuće obuhvaćeni su pravilima koja se provode na mobilnim uređajima, koja uključuju upotrebu snažne kriptografske zaštite podataka na mobilnim uređajima tijekom putovanja kroz nepouzdane mreže. Sigurnosne kontrole na mobilnim uređajima osmišljene su tako da rade neovisno o ESET-ovim internim mrežama i internim sustavima.

3. Sigurnost ljudskih resursa

ESET upotrebljava standardne prakse u području ljudskih resursa, uključujući pravila osmišljena za očuvanje informacijske sigurnosti. Te prakse obuhvaćaju cijeli životni ciklus zaposlenika i primjenjuju se na sve timove koji imaju pristup okruženju programa ESET PROTECT.

4. Upravljanje imovinom

Infrastruktura programa ESET PROTECT je uključena u ESET-ove zalihe imovine sa strogim vlasništvom i pravilima koja se primjenjuju u skladu s vrstom i osjetljivošću imovine. ESET ima definiranu internu shemu klasifikacije. Svi podaci i konfiguracije programa ESET PROTECT klasificirani su kao povjerljivi.

5. Kontrola pristupa

ESET-ovo pravilo kontrole pristupa upravlja svakim pristupom u programu ESET PROTECT. Kontrola pristupa postavljena je na razini infrastrukture, mrežnih servisa, operacijskog sustava, baze podataka i aplikacije. Potpuno upravljanje korisničkim pristupom na razini aplikacije je autonomno. Jedinstvenom prijavom u ESET PROTECT i na ESET Business Account upravlja središnji davatelj identiteta koji osigurava da korisnik može pristupiti samo ovlaštenom klijentu. Aplikacija upotrebljava standardna dopuštenja programa ESET PROTECT za uspostavljanje kontrole pristupa koja se temelji na ulogama za klijenta.

Pristup ESET-ovom pozadinskom servisu strogo je ograničen na ovlaštene pojedince i uloge. Standardni ESET-ovi procesi za (od)registraciju korisnika, dodjelu/oduzimanje resursa, upravljanje povlasticama i pregled prava pristupa korisnika se upotrebljavaju za upravljanje pristupom ESET-ovih zaposlenika infrastrukturi i mrežama programa ESET PROTECT.

Uspostavljena je snažna autentikacija kako bi se zaštitio pristup svim podacima programa ESET PROTECT.

6. Kriptografija

Kako bi se zaštitili podaci programa ESET PROTECT, upotrebljava se snažna kriptografija za šifriranje podataka u mirovanju i u tranzitu. Za izdavanje certifikata za javne servise upotrebljava se općenito pouzdano tijelo za izdavanje certifikata. Interna infrastruktura ESET-ovog javnog ključa upotrebljava se za upravljanje ključevima u infrastrukturi programa ESET PROTECT. Podaci pohranjeni u bazi podataka zaštićeni su ključevima za šifriranje generiranima u cloudu. Svi podaci sigurnosne kopije zaštićeni su ESET-ovim upravljanim ključevima.

7. Fizička sigurnost i sigurnost okruženja

Budući da su program ESET PROTECT i račun ESET Business Account u cloudu, oslanjamo se na Microsoft Azure za fizičku sigurnost i sigurnost okruženja. Microsoft Azure upotrebljava certificirane podatkovne centre sa strogim mjerama za fizičku sigurnost. Fizička lokacija podatkovnog centra ovisi o odabiru regije klijenta. Snažna kriptografija se upotrebljava za zaštitu korisničkih podataka tijekom prijenosa izvan lokacije iz okruženja clouda (na primjer, u tranzitu do fizičkog spremišta podataka sigurnosne kopije).

8. Sigurnost operacija

Servisom ESET PROTECT se upravlja na automatiziran način na temelju strogih operativnih procedura i konfiguracijskih predložaka. Sve promjene, uključujući konfiguracijske promjene i instalaciju novih paketa, se odobravaju i testiraju u namjenskom okruženju za testiranje prije uvođenja u proizvodnju. Razvojna, testna i proizvodna okruženja su odvojena. Podaci programa ESET PROTECT se nalaze samo u proizvodnom okruženju.

Okruženje programa ESET PROTECT se nadzire operativnim praćenjem kako bi se brzo utvrdili problemi i osigurao dovoljan kapacitet za sve servise na razini mreže i servera.

Svi konfiguracijski podaci se pohranjuju u našim repozitorijima za koje se redovito stvaraju sigurnosne kopije kako bi se omogućio automatizirani oporavak konfiguracije okruženja. Sigurnosne kopije podataka programa ESET PROTECT se pohranjuju na lokaciji i izvan nje.

Sigurnosne kopije su šifrirane i redovito se provode testiranja njihova vraćanja kao dio testiranja kontinuiteta poslovanja.

Provjera sustava provodi se u skladu s internim standardima i smjernicama. Dnevnici i događaji iz infrastrukture, operacijskog sustava, baze podataka, servera aplikacija i sigurnosnih kontrola se prikupljaju kontinuirano. Te dnevnike dodatno obrađuju timovi za IT i unutarnju sigurnost kako bi se utvrdile operativne i sigurnosne anomalije i incidenti informacijske sigurnosti.

ESET upotrebljava opći postupak upravljanja tehničkom ranjivošću za rješavanje pojave ranjivosti u ESET-ovoj infrastrukturi, uključujući ESET PROTECT i druge ESET-ove programe. Ovaj proces uključuje proaktivno skeniranje ranjivosti i ponovljeno penetracijsko testiranje infrastrukture, programa i aplikacija.

ESET navodi interne smjernice za sigurnost interne infrastrukture, mreža, operativnih sustava, baza podataka, servera aplikacija i aplikacija. Te se smjernice provjeravaju praćenjem tehničke sukladnosti i našeg internog programa za sigurnosnu provjeru.

9. Komunikacijska sigurnost

Okruženje programa ESET PROTECT je segmentirano pomoću izvorne segmentacije clouda s mrežnim pristupom ograničenim samo na potrebne servise među mrežnim segmentima. Dostupnost mrežnih servisa se postiže izvornim kontrolama u cloudu kao što su zone dostupnosti, raspodjela opterećenja i redundancija. Namjenske komponente za raspodjelu opterećenja uvode se kako bi pružile određene krajnje točke za usmjeravanje programa ESET PROTECT koje nameću autorizaciju prometa i raspodjelu opterećenja. Mrežni promet se kontinuirano prati zbog operativnih i sigurnosnih anomalija. Potencijalni napadi se mogu riješiti upotrebom izvornih kontrola u cloudu ili implementiranih sigurnosnih rješenja. Sva mrežna komunikacija je šifrirana općenito dostupnim tehnikama, uključujući IPsec i TLS.

10. Nabava, razvoj i održavanje sustava

Razvoj sustava ESET PROTECT provodi se u skladu s ESET-ovim pravilima razvoja sigurnog softvera. Timovi za unutarnju sigurnost uključeni su u razvojni projekt za ESET PROTECT od početne faze i nadgledaju sve razvojne aktivnosti i aktivnosti održavanja. Tim za unutarnju sigurnost definira sigurnosne zahtjeve i provjerava ispunjavaju li se u različitim fazama razvoja softvera. Sigurnost svih servisa, uključujući i novorazvijene, kontinuirano se testira nakon puštanja u promet.

11. Odnos s dobavljačima

Odnos s relevantnim dobavljačima provodi se u skladu s važećim ESET-ovim smjernicama koje obuhvaćaju cjelokupno upravljanje odnosima i ugovorne zahtjeve iz perspektive informacijske sigurnosti i privatnosti. Kvaliteta i sigurnost usluga koje pruža ključni pružatelj usluga redovito se procjenjuju.

Nadalje, ESET upotrebljava načelo prenosivosti za ESET PROTECT kako bi izbjegao zaključavanje dobavljača.

12. Upravljanje informacijskom sigurnošću

Upravljanje incidentima informacijske sigurnosti u programu ESET PROTECT se provodi slično kao i za druge ESET-ove infrastrukture i oslanja se na definirane postupke odgovora na incidente. Uloge u odgovoru na incidente se definiraju i raspoređuju u više timova, uključujući timove za IT, sigurnost, pravni tim, ljudske resurse, odnose s javnošću i izvršnu upravu. Tim za odgovor na incident je uspostavljen na temelju trijaže incidenata tima za unutarnju sigurnost. Taj tim će osigurati daljnju koordinaciju drugih timova koji se bave incidentom. Tim za unutarnju sigurnost odgovoran je još i za prikupljanje dokaza i stečena iskustva. Pogođene strane se obavještavaju o nastanku incidenta i njegovom rješavanju. ESET-ov pravni tim odgovoran je za obavještavanje regulatornih tijela ako je to potrebno u skladu s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o kibernetičkoj sigurnosti kojim se prenosi Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS).

13. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja

Kontinuitet poslovanja servisa programa ESET PROTECT kodiran je u robusnoj arhitekturi koja se koristi za maksimiziranje dostupnosti pruženih servisa. Potpuno vraćanje podataka iz sigurnosne kopije izvan lokacije i konfiguracijskih podataka je moguće u slučaju katastrofalne pogreške svih suvišnih čvorova za komponente programa ESET PROTECT ili servis programa ESET PROTECT. Proces vraćanja se redovito testira.

14. Sukladnost

Sukladnost s regulatornim i ugovornim zahtjevima za ESET PROTECT se redovito procjenjuje i preispituje slično drugim ESET-ovim infrastrukturama i procesima i poduzimaju se potrebni koraci kako bi se kontinuirano osiguravala sukladnost. ESET je registriran kao pružatelj digitalnih usluga za digitalnu uslugu Računalstvo u cloudu koja obuhvaća više ESET-ovih servisa, uključujući ESET PROTECT. Imajte na umu da ESET-ove aktivnosti povezane sa sukladnosti ne znače nužno da su ispunjeni ukupni zahtjevi kupaca u pogledu sukladnosti.