Zabezpieczenia dla ESET PROTECT Cloud

Wprowadzenie

Celem tego dokumentu jest podsumowanie praktyk bezpieczeństwa i środków kontroli bezpieczeństwa stosowanych w programie ESET PROTECT Cloud. Praktyki i środki kontroli bezpieczeństwa mają na celu ochronę poufności, integralności i dostępności informacji klientów. Należy pamiętać, że praktyki bezpieczeństwa i środki kontroli mogą ulec zmianie.

Zakres

Zakres niniejszego dokumentu ma na celu podsumowanie praktyk bezpieczeństwa i środków kontroli bezpieczeństwa infrastruktury ESET PROTECT Cloud, ESET Business Account (zwana dalej „EBA”) i ESET MSP Administrator (zwana dalej „EMA”), organizacji, personelu i procesów operacyjnych. Praktyki i kontrole bezpieczeństwa obejmują następujące elementy:

  1. Polityki bezpieczeństwa informacji
  2. Organizacja bezpieczeństwa informacji
  3. Bezpieczeństwo zasobów ludzkich
  4. Zarządzanie aktywami
  5. Kontrola dostępu
  6. Kryptografia
  7. Bezpieczeństwo fizyczne i środowiskowe
  8. Bezpieczeństwo operacyjne
  9. Bezpieczeństwo komunikacji
  10. Pozyskiwanie, rozwój i konserwacja systemów
  11. Relacje z dostawcą
  12. Zarządzanie incydentami związanymi z bezpieczeństwem informacji
  13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
  14. Zgodność z przepisami

Koncepcja bezpieczeństwa

Firma ESET s.r.o. posiada certyfikat ISO 27001:2013 z zakresem zintegrowanego systemu zarządzania wyraźnie obejmującym ESET PROTECT Cloud, EBA i usługi EMA.

W związku z tym, koncepcja bezpieczeństwa informacji wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa na poziomie sieci, systemów operacyjnych, baz danych, aplikacji, personelu i procesów operacyjnych. Stosowane praktyki bezpieczeństwa i środki kontroli w zakresie ochrony mają się na siebie nakładać i uzupełniać.

Praktyki bezpieczeństwa i środki kontroli

1. Polityki bezpieczeństwa informacji

Firma ESET korzysta z polityk bezpieczeństwa informacji, aby objąć wszystkie aspekty normy ISO 27001, w tym zarządzanie bezpieczeństwem informacji oraz mechanizmy kontroli i praktyki w zakresie bezpieczeństwa. Zasady są poddawane corocznemu przeglądowi i aktualizowane po istotnych zmianach, aby zapewnić ich ciągłą przydatność, adekwatność i skuteczność.

Firma ESET przeprowadza coroczne przeglądy tej polityki i wewnętrzne kontrole bezpieczeństwa w celu zapewnienia zgodności z nią. Nieprzestrzeganie zasad polityki bezpieczeństwa informacji podlega działaniom dyscyplinarnym wobec pracowników firmy ESET lub karom umownym do momentu rozwiązania umowy z dostawcami.

2. Organizacja bezpieczeństwa informacji

Organizacja zabezpieczenia informacji dla ESET PROTECT Cloud obejmuje wiele zespołów i osób zaangażowanych w bezpieczeństwo informacji oraz IT, w tym:

  • Kierownictwo wykonawcze ESET
  • Zespoły ds. bezpieczeństwa wewnętrznego ESET
  • Zespoły IT ds. aplikacji biznesowych
  • Inne zespoły wspierające

Obowiązki w zakresie zabezpieczenia informacji są przydzielane zgodnie z obowiązującymi politykami zabezpieczenia informacji. Procesy wewnętrzne identyfikuje się i ocenia pod kątem ryzyka nieautoryzowanej lub niezamierzonej modyfikacji lub niewłaściwego użycia zasobów firmy ESET. Ryzykowne lub wrażliwe działania procesów wewnętrznych przyjmują zasadę podziału obowiązków w celu ograniczenia ryzyka.

Zespół prawny ESET jest odpowiedzialny za kontakty z organami rządowymi, w tym z polskimi organami regulacyjnymi w zakresie cyberbezpieczeństwa i ochrony danych osobowych. Zespół ds. bezpieczeństwa wewnętrznego firmy ESET jest odpowiedzialny za kontaktowanie się ze stowarzyszeniami specjalistycznymi, takimi jak ISACA. Zespół laboratorium badawczego firmy ESET jest odpowiedzialny za komunikację z innymi firmami zajmującymi się bezpieczeństwem i większą społecznością zajmującą się cyberbezpieczeństwem.

Bezpieczeństwo informacji jest uwzględniane w zarządzaniu projektami przy użyciu stosowanych ram zarządzania projektami obejmujących etapy od koncepcji do zakończenia projektu.

Praca zdalna i telepraca są objęte polityką wdrożoną na urządzeniach mobilnych, która obejmuje stosowanie silnej kryptograficznej ochrony danych na urządzeniach mobilnych podczas podróży przez niezaufane sieci. Mechanizmy kontroli bezpieczeństwa na urządzeniach przenośnych są zaprojektowane do działania niezależnie od wewnętrznych sieci i systemów ESET.

3. Bezpieczeństwo zasobów ludzkich

Firma ESET stosuje standardowe praktyki w zakresie zasobów ludzkich, w tym polityki mające na celu utrzymanie bezpieczeństwa informacji. Praktyki te obejmują cały cykl życia pracownika i mają zastosowanie do wszystkich zespołów, które uzyskują dostęp do środowiska ESET PROTECT Cloud.

4. Zarządzanie aktywami

Infrastruktura ESET PROTECT Cloud jest uwzględniana w inwentarzu zasobów ESET ze ścisłą własnością i regułami stosowanymi odpowiednio do typu i wrażliwości zasobów. ESET ma zdefiniowany wewnętrzny schemat klasyfikacji. Wszystkie dane i konfiguracje ESET PROTECT Cloud są klasyfikowane jako poufne.

5. Kontrola dostępu

Polityka kontroli dostępu firmy ESET reguluje każdy dostęp w programie ESET PROTECT Cloud. Kontrola dostępu jest ustawiana na poziomie infrastruktury, usług sieciowych, systemu operacyjnego, bazy danych i aplikacji. Pełne zarządzanie dostępem użytkowników na poziomie aplikacji jest autonomiczne. Logowanie jednokrotne w ESET PROTECT Cloud i ESET Business Account jest zarządzane przez centralnego dostawcę tożsamości, który zapewnia, że użytkownik może uzyskać dostęp tylko do autoryzowanej dzierżawy. Aplikacja używa standardowych uprawnień ESET PROTECT Cloud do wymuszania kontroli dostępu opartej na rolach dla dzierżawy.

Dostęp do zaplecza ESET jest ściśle ograniczony do upoważnionych osób i ról. Standardowe procesy ESET dotyczące (de)rejestracji użytkowników, (de)aprowizacji, zarządzania uprawnieniami i przeglądu praw dostępu użytkowników służą do zarządzania dostępem pracowników ESET do infrastruktury ESET PROTECT Cloud i do sieci.

Silne uwierzytelnianie ma na celu ochronę dostępu do wszystkich danych ESET PROTECT Cloud.

6. Kryptografia

Aby chronić dane ESET PROTECT Cloud, stosuje się silną kryptografię do szyfrowania danych w spoczynku i podczas przesyłania. Korzystanie z usług urzędu certyfikacji cieszących się powszechnym uznaniem w zakresie wystawiania certyfikatów dla usług publicznych. Wewnętrzna infrastruktura kluczy publicznych ESET służy do zarządzania kluczami w infrastrukturze ESET PROTECT Cloud. Dane przechowywane w bazie danych są chronione przez klucze szyfrujące wygenerowane w chmurze. Wszystkie dane kopii zapasowych są chronione przez klucze zarządzane przez ESET.

7. Bezpieczeństwo fizyczne i środowiskowe

Ponieważ ESET PROTECT Cloud i ESET Business Account są oparte na chmurze, polegamy na Microsoft Azure w zakresie bezpieczeństwa fizycznego i środowiskowego. Microsoft Azure wykorzystuje certyfikowane centra danych z solidnymi fizycznymi środkami zabezpieczającymi. Fizyczna lokalizacja centrum danych zależy od wyboru regionu przez klienta. Silna kryptografia służy do ochrony danych klientów podczas transportu poza siedzibę firmy ze środowiska chmury (na przykład podczas przesyłania do fizycznego magazynu danych kopii zapasowych).

8. Bezpieczeństwo operacyjne

Usługa ESET PROTECT Cloud jest obsługiwana za pomocą zautomatyzowanych środków opartych na ścisłych procedurach operacyjnych i szablonach konfiguracyjnych. Wszystkie zmiany, w tym zmiany konfiguracji i wdrażanie nowych pakietów, są zatwierdzane i testowane w dedykowanym środowisku testowym przed wdrożeniem w środowisku produkcyjnym. Środowiska programistyczne, testowe i produkcyjne są od siebie oddzielone. Dane ESET PROTECT Cloud znajdują się tylko w środowisku produkcyjnym.

Środowisko ESET PROTECT Cloud jest nadzorowane za pomocą monitorowania operacyjnego w celu szybkiego identyfikowania problemów i zapewnienia wystarczającej pojemności wszystkim usługom na poziomie sieci i hosta.

Wszystkie dane konfiguracyjne są przechowywane w naszych regularnie archiwizowanych repozytoriach, aby umożliwić automatyczne odzyskiwanie konfiguracji środowiska. Kopie zapasowe danych ESET PROTECT Cloud są przechowywane zarówno na miejscu, jak i poza nim.

Kopie zapasowe są szyfrowane i regularnie testowane pod kątem możliwości odzyskania w ramach testów ciągłości działania.

Audyt systemów odbywa się zgodnie z wewnętrznymi standardami i wytycznymi. Dzienniki i zdarzenia dotyczące infrastruktury, systemu operacyjnego, bazy danych, serwerów aplikacji i mechanizmów kontroli bezpieczeństwa są zbierane w sposób ciągły. Dzienniki są następnie przetwarzane przez zespoły IT i zespoły ds. bezpieczeństwa wewnętrznego w celu identyfikacji anomalii operacyjnych i bezpieczeństwa oraz incydentów związanych z bezpieczeństwem informacji.

Firma ESET wykorzystuje ogólny proces zarządzania lukami technicznymi do obsługi występowania luk w zabezpieczeniach w infrastrukturze ESET, w tym ESET PROTECT Cloud oraz w innych produktach ESET. Proces ten obejmuje proaktywne skanowanie luk w zabezpieczeniach i powtarzające się testy penetracyjne infrastruktury, produktów i aplikacji.

Firma ESET określa wewnętrzne wytyczne dotyczące bezpieczeństwa infrastruktury wewnętrznej, sieci, systemów operacyjnych, baz danych, serwerów aplikacji i aplikacji. Wytyczne te są sprawdzane za pomocą monitorowania zgodności technicznej i naszego wewnętrznego programu audytu zabezpieczeń informacji.

9. Bezpieczeństwo komunikacji

Środowisko ESET PROTECT Cloud jest segmentowane za pomocą natywnej segmentacji chmury z dostępem do sieci ograniczonym tylko do niezbędnych usług między segmentami sieci. Dostępność usług sieciowych osiąga się za pomocą natywnych kontroli w chmurze, takich jak strefy dostępności, równoważenie obciążenia i nadmiarowość. Dedykowane składniki równoważenia obciążenia są wdrażane w celu zapewnienia określonych punktów końcowych dla routingu instancji ESET PROTECT Cloud, które wymuszają autoryzację ruchu i równoważenie obciążenia. Ruch sieciowy jest stale monitorowany pod kątem anomalii dotyczących działania i bezpieczeństwa. Potencjalnym atakom można zapobiegać, korzystając z natywnych mechanizmów kontroli w chmurze lub wdrożonych rozwiązań zabezpieczających. Cała komunikacja sieciowa jest szyfrowana za pomocą ogólnie dostępnych technik, w tym IPsec i TLS.

10. Pozyskiwanie, rozwój i konserwacja systemów

Rozwój systemów ESET PROTECT Cloud odbywa się zgodnie z polityką bezpiecznego rozwoju oprogramowania firmy ESET. Zespoły ds. bezpieczeństwa wewnętrznego są włączone do projektu rozwojowego ESET PROTECT Cloud od początkowej fazy i pomijają wszystkie działania związane z rozwojem i utrzymaniem. Zespół ds. bezpieczeństwa wewnętrznego definiuje i sprawdza spełnienie wymagań bezpieczeństwa na różnych etapach tworzenia oprogramowania. Bezpieczeństwo wszystkich usług, w tym nowo opracowanych, jest testowane w sposób ciągły po jego wydaniu.

11. Relacje z dostawcą

Odpowiednie relacje z dostawcą są utrzymywane zgodnie z obowiązującymi wytycznymi firmy ESET, które obejmują całość zarządzania relacjami i wymagania umowne z punktu widzenia bezpieczeństwa informacji i prywatności. Jakość i bezpieczeństwo usług świadczonych przez dostawcę usług o znaczeniu krytycznym są regularnie oceniane.

Ponadto firma ESET stosuje zasadę przenośności w przypadku ESET PROTECT Cloud, aby uniknąć blokady dostawcy.

12. Zarządzanie bezpieczeństwem informacji

Zarządzanie incydentami w zakresie bezpieczeństwa informacji w ESET PROTECT Cloud odbywa się podobnie jak w przypadku innych infrastruktur firmy ESET i opiera się na zdefiniowanych procedurach reagowania na incydenty. Role w zakresie reagowania na incydenty są definiowane i przydzielane wielu zespołom, w tym zespołowi IT, zespołowi ds. zabezpieczeń, działowi prawnemu, HR, public relations i członkom zarządzania wykonawczego. Skład zespołu reagowania na incydenty jest ustalany na podstawie klasyfikacji incydentów przez zespół ds. bezpieczeństwa wewnętrznego. Zespół ten zapewni dalszą koordynację innych zespołów zajmujących się incydentem. Zespół ds. bezpieczeństwa wewnętrznego jest również odpowiedzialny za gromadzenie dowodów i wyciąganie wniosków. Informacje o wystąpieniu i rozwiązaniu incydentu są przekazywane zainteresowanym stronom. Zespół prawny firmy ESET jest odpowiedzialny za powiadamianie organów regulacyjnych w razie potrzeby zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) i ustawą o cyberbezpieczeństwie przy transpozycji dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS).

13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania

Ciągłość działania usługi ESET PROTECT Cloud jest zakodowana w solidnej architekturze służącej do maksymalizacji dostępności świadczonych usług. Całkowite przywrócenie z kopii zapasowych i danych konfiguracyjnych poza siedzibą firmy jest możliwe w przypadku katastrofalnej awarii wszystkich nadmiarowych węzłów dla komponentów ESET PROTECT Cloud lub usługi ESET PROTECT Cloud. Proces przywracania jest regularnie testowany.

14. Zgodność z przepisami

Zgodność z wymogami regulacyjnymi i umownymi ESET PROTECT Cloud jest poddawana regularnym ocenom oraz przeglądom podobnie jak w przypadku innych elementów infrastruktury oraz procesów ESET, a także podejmowane są niezbędne kroki w celu zapewnienia zgodności w sposób ciągły. Firma ESET jest zarejestrowana jako dostawca usług cyfrowych dla usługi cyfrowej Cloud Computing obejmującej wiele usług ESET, w tym ESET PROTECT Cloud. Należy pamiętać, że działania firmy ESET w zakresie zgodności niekoniecznie oznaczają, że są spełnione ogólne wymagania klientów dotyczące zgodności.