보안 ESET PROTECT
소개
이 문서의 목적은 ESET PROTECT 내에 적용되는 보안 관행 및 보안 제어를 요약하는 데 있습니다. 보안 관행 및 제어는 고객 정보의 기밀성과 무결성, 가용성을 보호하도록 설계되었습니다. 보안 관행 및 제어는 변경될 수 있습니다.
범위
이 문서의 범위는 ESET PROTECT 인프라, ESET Business Account(이하 "EBA"), ESET MSP Administrator(이하 "EMA") 인프라와 조직, 인력, 작업 프로세스에 대한 보안 관행 및 보안 제어를 요약하는 것입니다. 보안 관행 및 제어에 포함되는 내용은 다음과 같습니다.
- 정보 보안 정책
- 정보 보안 조직
- 인적 자원 보안
- 자산 관리
- 접근 제어
- 암호화
- 물리적/환경적 보안
- 작업 보안
- 통신 보안
- 시스템 획득, 개발 및 유지 관리
- 공급업체 관계
- 정보 보안 사고 관리
- 비즈니스 연속성 관리의 정보 보안 측면
- 규정 준수
보안 개념
ESET s.r.o.사는 ESET PROTECT, EBA, EMA 서비스를 명시적으로 포괄하는 통합 관리 시스템 범위로 ISO 27001:2013 인증을 받았습니다.
이에 따라 정보 보안 개념에서는 네트워크, 운영 체제, 데이터베이스, 애플리케이션, 직원 및 운영 프로세스 계층에 보안 제어를 적용할 때 계층화된 방어 보안 전략을 구현하기 위해 ISO 27001 프레임워크를 사용합니다. 적용된 보안 관행과 보안 제어는 중복되며 상호 보완하기 위한 것입니다.
보안 관행 및 제어
1. 정보 보안 정책
ESET은 정보 보안 정책을 사용하여 정보 보안 거버넌스와 보안 제어 및 관행을 포함한 ISO 27001 표준의 모든 측면을 다룹니다. 정책은 매년 검토되며 지속적인 적합성, 적절성, 효율성을 보장하기 위해 중요한 내용을 변경하면 업데이트됩니다.
ESET은 이 정책과의 일관성을 보장하기 위해 이 정책과 내부 보안 검사에 대한 연간 검토를 수행합니다. 정보 보안 정책을 준수하지 않을 경우 ESET 직원은 징계 조치를 받을 수 있고, 공급업체는 최고 계약 해지에 해당하는 계약상의 처벌을 받을 수 있습니다.
2. 정보 보안 조직
ESET PROTECT의 정보 보안 조직은 다음과 같은 정보 보안/IT 부서와 관련 있는 여러 팀과 개인으로 구성됩니다.
- ESET 경영진
- ESET 내부 보안 팀
- 비즈니스 애플리케이션 IT 팀
- 기타 지원 팀
정보 보안 책임은 마련된 정보 보안 정책에 따라 할당됩니다. 내부 프로세스에서는 ESET 자산을 무단으로 또는 의도치 않게 수정하거나 악용할 위험이 있는지 식별하고 평가합니다. 위험하거나 민감한 내부 프로세스 활동은 위험을 완화하기 위해 직무 분리 원칙을 채택합니다.
ESET 법률 팀은 사이버 보안 및 개인 데이터 보호에 관한 슬로바키아 규제 당국을 비롯해 정부 당국과의 연락을 담당합니다. ESET 내부 보안 팀은 ISACA 같은 특별 이익 집단에 연락할 책임이 있습니다. ESET 연구소 팀은 다른 보안 회사 및 대규모 사이버 보안 커뮤니티와의 통신을 담당합니다.
정보 보안에서는 구상부터 프로젝트 완료까지 적용된 프로젝트 관리 프레임워크를 사용하여 프로젝트 관리를 설명합니다.
원격 업무 및 재택근무는 신뢰할 수 없는 네트워크를 통해 이동하는 동안 모바일 장치에서 강력한 암호화 데이터 보호 기능을 사용하는 것을 포함하여, 모바일 장치에 구현된 정책을 사용하여 보호됩니다. 모바일 장치의 보안 제어는 ESET 내부 네트워크 및 내부 시스템과 독립적으로 작동하도록 설계되었습니다.
3. 인적 자원 보안
ESET에서는 정보 보안을 유지하기 위해 설계된 정책을 포함해 표준 인적 자원 관행을 사용합니다. 이러한 관행은 전체 직원 수명 주기에 적용되며, ESET PROTECT 환경에 접근하는 모든 팀에 적용됩니다.
4. 자산 관리
ESET PROTECT 인프라는 자산 유형 및 민감도에 따라 엄격한 소유권과 규칙이 적용되는 ESET 자산 인벤토리에 포함되어 있습니다. ESET에는 내부 분류 체계가 정의되어 있습니다. 모든 ESET PROTECT 데이터 및 구성은 기밀로 분류됩니다.
5. 접근 제어
ESET의 접근 제어 정책은 ESET PROTECT에 대한 모든 접근을 통제합니다. 접근 제어는 인프라, 네트워크 서비스, 운영 체제, 데이터베이스 및 애플리케이션 수준에서 설정됩니다. 애플리케이션 수준의 전체 사용자 접근 관리는 자율적입니다. ESET PROTECT 및 ESET Business Account Single Sign-On은 중앙 ID 공급업체가 통제하므로, 사용자는 권한이 있는 테넌트에만 접근할 수 있습니다. 애플리케이션은 표준 ESET PROTECT 권한을 사용하여 테넌트에 대한 역할 기반 접근 제어를 적용합니다.
ESET 백엔드 접근은 권한 있는 개인과 역할로 엄격하게 제한됩니다. 사용자 등록(해제), 프로비저닝(해제), 권한 관리 및 사용자 접근 권한 검토를 위한 표준 ESET 프로세스는 ESET PROTECT 인프라와 네트워크에 대한 ESET 직원의 접근을 관리하는 데 사용됩니다.
모든 ESET PROTECT 데이터에 대한 접근을 보호하기 위해 강력한 인증이 마련되어 있습니다.
6. 암호화
ESET PROTECT 데이터를 보호하기 위한 강력한 암호화는 보관 중인 데이터와 전송 중인 데이터를 암호화하는 데 사용됩니다. 일반적으로 신뢰할 수 있는 인증서 권한은 공공 서비스용 인증서를 발급하는 데 사용됩니다. 내부 ESET 공개 키 인프라는 ESET PROTECT 인프라 내에서 키를 관리하는 데 사용됩니다. 데이터베이스에 저장된 데이터는 클라우드에서 생성된 암호화 키로 보호됩니다. 모든 백업 데이터는 ESET 관리 키로 보호됩니다.
7. 물리적/환경적 보안
ESET PROTECT 및 ESET Business Account는 클라우드 기반이므로, 물리적/환경적 보안을 위해 Microsoft Azure를 사용합니다. Microsoft Azure에서는 강력한 물리적 보안 조치를 갖춘 인증된 데이터 센터를 사용합니다. 데이터 센터의 물리적 위치는 고객의 지역 선택에 따라 다릅니다. 강력한 암호화는 클라우드 환경에서 오프사이트로 전송(예: 물리적 백업 데이터 저장소로 전송)하는 동안 고객 데이터를 보호하는 데 사용됩니다.
8. 작업 보안
ESET PROTECT 서비스는 엄격한 작업 절차와 구성 템플릿에 따라 자동화된 수단을 통해 작동됩니다. 구성 변경, 새 패키지 배포를 포함한 모든 변경 사항은 프로덕션에 배포하기 전에 전용 테스트 환경에서 승인 및 테스트됩니다. 개발, 테스트 및 프로덕션 환경은 서로 분리됩니다. ESET PROTECT 데이터는 프로덕션 환경에만 있습니다.
ESET PROTECT 환경은 작업 모니터링을 사용해 감독되어 문제를 신속하게 식별하고 네트워크 및 호스트 수준의 모든 서비스에 충분한 용량을 제공합니다.
모든 구성 데이터는 환경 구성을 자동으로 복구할 수 있도록 정기적으로 백업되는 저장소에 저장됩니다. ESET PROTECT 데이터 백업은 온사이트와 오프사이트에 모두 저장됩니다.
백업은 암호화되며 비즈니스 연속성 테스트의 일부로 복구 가능성이 있는지 정기적으로 테스트됩니다.
시스템 감사는 내부 표준 및 지침에 따라 수행됩니다. 인프라, 운영 체제, 데이터베이스, 애플리케이션 서버 및 보안 제어의 로그와 이벤트가 지속적으로 수집됩니다. IT/내부 보안 팀에서 로그를 추가 처리하여 작업 및 보안 이상과 정보 보안 사고를 식별합니다.
ESET은 일반적인 기술 취약성 관리 프로세스를 사용하여 ESET PROTECT 및 기타 ESET 제품 등의 ESET 인프라에서 발생하는 취약성을 처리합니다. 이 프로세스에는 인프라, 제품, 애플리케이션에 대한 사전 취약성 검사 및 반복된 침투 테스트가 포함됩니다.
ESET은 내부 인프라, 네트워크, 운영 체제, 데이터베이스, 애플리케이션 서버 및 애플리케이션의 보안에 대한 내부 지침을 명시합니다. 이러한 지침은 기술 규정 준수 모니터링 및 내부 정보 보안 감사 프로그램을 통해 확인됩니다.
9. 통신 보안
ESET PROTECT 환경은 네트워크 세그먼트 중 필요한 서비스로만 네트워크 접근이 제한된 네이티브 클라우드 세분화를 통해 세분화됩니다. 네트워크 서비스의 가용성은 가용성 영역, 부하 분산 및 중복성 같은 네이티브 클라우드 제어를 통해 달성됩니다. 전용 부하 분산 구성 요소는 트래픽과 부하 분산의 인증을 적용하는 특정 ESET PROTECT 인스턴스 라우팅 엔드포인트를 제공하도록 배포됩니다. 네트워크 트래픽은 작업 및 보안에 이상이 있는지 지속적으로 모니터링됩니다. 잠재적인 공격은 네이티브 클라우드 제어 또는 배포된 보안 솔루션을 사용하여 해결할 수 있습니다. 모든 네트워크 통신은 IPsec 및 TLS 등 일반적으로 사용 가능한 기술을 통해 암호화됩니다.
10. 시스템 획득, 개발 및 유지 관리
ESET PROTECT 시스템 개발은 ESET 보안 소프트웨어 개발 정책에 따라 수행됩니다. 내부 보안 팀은 초기 단계의 ESET PROTECT 개발 프로젝트에 포함되며 모든 개발 및 유지 관리 활동을 감독합니다. 내부 보안 팀은 다양한 소프트웨어 개발 단계에서 보안 요구 사항의 이행을 정의하고 확인합니다. 새로 개발된 서비스를 포함한 모든 서비스의 보안은 출시 후 지속적으로 테스트됩니다.
11. 공급업체 관계
관련 공급업체 관계는 정보 보안/개인 정보 보호 관점에서 전체 관계 관리 및 계약 요구 사항을 포괄하는 유효한 ESET 지침에 따라 수행됩니다. 중요한 서비스 공급업체에서 제공하는 서비스의 품질과 보안은 정기적으로 평가됩니다.
또한 ESET은 공급업체 잠금을 방지하기 위해 ESET PROTECT에 대한 이동성 원칙을 활용합니다.
12. 정보 보안 관리
ESET PROTECT의 정보 보안 사고 관리는 다른 ESET 인프라와 유사하게 수행되며 정의된 사고 대응 절차를 사용합니다. 사고 대응 내 역할은 IT, 보안, 법률, 인적 자원, 홍보 및 경영진을 포함한 여러 팀에 걸쳐 정의되고 할당됩니다. 사고에 대한 사고 대응 팀은 내부 보안 팀의 사고 분류를 기준으로 구성됩니다. 해당 팀은 사고를 처리하는 다른 팀을 추가로 조정하게 됩니다. 내부 보안 팀은 증거 수집과 얻은 교훈에 대한 업무도 담당합니다. 사고 발생 및 해결은 관련 당사자에게 전달됩니다. ESET 법률 팀은 일반 데이터 보호 규정(GDPR)과 네트워크 및 정보 보안 지침(NIS)을 전송하는 사이버 보안법에 따라 필요한 경우 규제 기관에 통보할 책임이 있습니다.
13. 비즈니스 연속성 관리의 정보 보안 측면
ESET PROTECT 서비스의 비즈니스 연속성은 제공된 서비스의 가용성을 극대화하는 데 사용되는 강력한 아키텍처에 코딩됩니다. ESET PROTECT 구성 요소 또는 ESET PROTECT 서비스의 모든 중복 노드에 치명적인 오류가 발생할 경우 오프사이트 백업 및 구성 데이터에서 완전히 복원할 수 있습니다. 복원 프로세스는 정기적으로 테스트됩니다.
14. 규정 준수
ESET PROTECT 관련 규정/계약 요구 사항의 준수 여부는 ESET의 다른 인프라 및 프로세스와 마찬가지로 정기적으로 평가 및 검토되고, 지속적으로 준수하는 데 필요한 단계가 수행됩니다. ESET은 ESET PROTECT 등의 다양한 ESET 서비스를 포괄하는 클라우드 컴퓨팅 디지털 서비스의 디지털 서비스 공급업체로 등록되어 있습니다. ESET 규정 준수 활동이 반드시 고객의 전체 규정 준수 요구 사항을 충족한다는 것을 의미하지는 않습니다.