Безопасность для ESET PROTECT
Введение
Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью, которые применяются в ESET PROTECT. Методы обеспечения безопасности и средства управления безопасностью предназначены для защиты конфиденциальности, целостности и доступности информации клиента. Обратите внимание, что методы обеспечения безопасности и средства управления безопасностью могут измениться.
Область
Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью для инфраструктуры ESET PROTECT, учетной записи ESET Business Account (далее — «EBA»), инфраструктуры ESET MSP Administrator (далее — «EMA»), организации, персонала и операционных процессов. Методы обеспечения безопасности и средства управления безопасностью включают в себя следующие элементы.
- Политики информационной безопасности
- Организация информационной безопасности
- Безопасность персонала
- Управление активами
- Управление доступом
- Шифрование
- Физическая безопасность и безопасность среды
- Операционная безопасность
- Безопасность обмена данными
- Получение, разработка и обслуживание системы
- Отношения с поставщиком
- Управление инцидентами информационной безопасности
- Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
- Нормативно-правовое соответствие
Концепция обеспечения безопасности
Компания ESET s.r.o. сертифицирована согласно стандарту ISO 27001:2013, а область действия ее интегрированной системы управления явным образом распространяется на ESET PROTECT, службы EBA и EMA.
Поэтому в рамках концепции информационной безопасности используется инфраструктура ISO 27001 для реализации многоуровневой стратегии защиты при применении средств управления безопасностью на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Применяемые методы обеспечения безопасности и средства управления безопасностью намеренно частично дублируются и дополняют друг друга.
Методы обеспечения безопасности и средства управления безопасностью
1. Политики информационной безопасности
Компания ESET использует политики информационной безопасности для соответствия всем аспектам стандарта ISO 27001, в том числе в отношении управления информационной безопасностью, а также средств управления безопасностью и методов обеспечения безопасности. Политики пересматриваются ежегодно и обновляются после значительных изменений, чтобы обеспечить их непрерывную пригодность, достаточность и эффективность.
Компания ESET ежегодно пересматривает данную политику и проводит внутренние проверки безопасности, чтобы обеспечить соответствие данной политике. Несоблюдение политик информационной безопасности приводит к применению дисциплинарных мер по отношению к сотрудникам ESET или предусмотренных договором штрафных санкций по отношению к поставщикам вплоть до прекращения действия договора.
2. Организация информационной безопасности
Организация информационной безопасности для ESET PROTECT предусматривает несколько групп и отдельных лиц, которые занимаются информационной безопасностью и информационными технологиями, в том числе:
- Высшее руководство ESET
- Отделы внутренней безопасности ESET
- Отделы применения ИТ в бизнесе
- Другие вспомогательные отделы
Обязанности в сфере информационной безопасности распределяются в соответствии с действующими политиками информационной безопасности. Внутренние процессы идентифицируются и оцениваются на предмет опасности несанкционированного или непреднамеренного изменения или ненадлежащего использования ресурсов ESET. С целью снижения риска в отношении рискованных или конфиденциальных действий в рамках внутренних процессов применяется принцип разделения обязанностей.
Отдел юридического обеспечения ESET отвечает за контакты с правительственными органами, в том числе с органами Словакии, которые отвечают за кибербезопасность и защиту персональных данных. Отдел внутренней безопасности ESET отвечает за контакты со специальными группами, например ISACA. Команда исследовательской лаборатории ESET отвечает за взаимодействие с другими компаниями, работающими в сфере безопасности, и с сообществом кибербезопасности в более широком смысле.
Информационная безопасность учитывается при управлении проектами с помощью применяемой платформы управления проектами от идеи до завершения проекта.
Удаленная работа защищена за счет применения политики, реализованной на мобильных устройствах, которая предусматривает использование мощной защиты данных посредством шифрования на мобильных устройствах при работе в недоверенных сетях. Средства управления безопасностью на мобильных устройствах работают независимо от внутренних сетей и внутренних систем ESET.
3. Безопасность персонала
Компания ESET использует стандартные методы работы с персоналом, в том числе политики, разработанные для обеспечения информационной безопасности. Эти методы распространяются на весь жизненный цикл сотрудника, и они применяются ко всем группам пользователей, которые получают доступ к среде ESET PROTECT.
4. Управление активами
Инфраструктура ESET PROTECT включена в реестр активов ESET со строгим определением владельцев и правилами, которые применяются в соответствии с типом и уровнем конфиденциальности активов. В ESET определена внутренняя схема классификации. Все данные и конфигурации ESET PROTECT классифицированы как конфиденциальные.
5. Управление доступом
Политика компании ESET относительно управления доступом регулирует все случаи доступа в ESET PROTECT. Управление доступом применяется на уровне инфраструктуры, сетевых служб, операционной системы, базы данных и приложения. Полное управление доступом пользователей на уровне приложений является автономным. Единый вход в ESET PROTECT и ESET Business Account регулируется центральным поставщиком удостоверений, который обеспечивает доступ пользователя только к авторизованному арендатору. В приложении используются стандартные разрешения ESET PROTECT для управления доступом на основе ролей в отношении арендатора.
Доступ к серверам ESET строго ограничен авторизованными лицами и ролями. Для управления доступом сотрудников ESET к инфраструктуре и сетям ESET PROTECT используются стандартные процессы ESET для регистрации (отмены регистрации) пользователей, подготовки (отмены подготовки), управления правами и проверки прав доступа пользователей.
Для защиты доступа ко всем данным ESET PROTECT применяется надежная система аутентификации.
6. Шифрование
Для защиты данных ESET PROTECT применяется надежная система шифрования, которая шифрует хранящиеся и передаваемые данные. Для выпуска сертификатов для общедоступных служб используется центр сертификации, пользующийся общим доверием. Для управления ключами в пределах инфраструктуры ESET PROTECT используется внутренняя инфраструктура открытых ключей ESET. Данные, которые хранятся в базе данных, защищены с помощью облачных ключей шифрования. Все данные резервного копирования защищены управляемыми ключами ESET.
7. Физическая безопасность и безопасность среды
Поскольку ESET PROTECT и ESET Business Account являются облачными службами, безопасность физического оборудования и среды обеспечивается с помощью Microsoft Azure. В Microsoft Azure используются сертифицированные центры обработки данных с высокой степенью физической безопасности. Физическое расположение центра обработки данных зависит от выбранного клиентом региона. Для защиты данных клиента во время передачи за пределы центра из облачной среды применяется надежная система шифрования (например, при передаче в физическое хранилище данных резервного копирования).
8. Операционная безопасность
Служба ESET PROTECT управляется с помощью автоматизированных средств согласно строгим операционным процедурам и шаблонам конфигурации. Перед развертыванием в производственной среде все изменения, в том числе изменения конфигурации и развертывание нового пакета, утверждаются и тестируются в выделенной среде тестирования. Среда разработки, среда тестирования и производственная среда отделены друг от друга. Данные ESET PROTECT находятся только в производственной среде.
Среда ESET PROTECT контролируется с помощью операционного мониторинга для быстрого выявления проблем и предоставления достаточной емкости для всех служб на уровне сети и хоста.
Все данные конфигурации хранятся в наших репозиториях, для которых регулярно создаются резервные копии, с целью обеспечения автоматического восстановления конфигурации среды. Резервные копии данных ESET PROTECT хранятся как на внутренних, так и на сторонних площадках.
Резервные копии шифруются и регулярно проверяются на возможность восстановления в рамках тестирования непрерывности бизнес-процессов.
Аудит систем выполняется в соответствии с внутренними стандартами и правилами. Журналы и события из инфраструктуры, операционной системы, базы данных, серверов приложений и средств управления безопасностью собираются непрерывно. Журналы затем обрабатываются отделами ИТ и внутренней безопасности для выявления операционных аномалий и аномалий безопасности, а также инцидентов информационной безопасности.
Компания ESET использует общий процесс управления техническими уязвимостями для обработки случаев возникновения уязвимостей в инфраструктуре ESET, включая ESET PROTECT и другие продукты ESET. Этот процесс включает в себя проактивное сканирование на предмет уязвимостей и повторяющееся тестирование на проникновение для инфраструктуры, продуктов и приложений.
Компания ESET утверждает внутренние правила для обеспечения безопасности внутренней инфраструктуры, сетей, операционных систем, баз данных, серверов приложений и приложений. Эти правила проверяются с помощью мониторинга технического соответствия и нашей внутренней программы аудита информационной безопасности.
9. Безопасность обмена данными
Среда ESET PROTECT сегментирована с помощью собственной облачной сегментации. При этом сетевой доступ ограничен только необходимыми службами среди сетевых сегментов. Доступность сетевых служб обеспечивается с помощью собственных облачных средств управления, таких как зоны доступности, балансировка нагрузки и избыточность. Выделенные компоненты балансировки нагрузки развертываются, чтобы предоставить для маршрутизации экземпляров ESET PROTECT определенные конечные точки, которые обеспечивают авторизацию трафика и балансировку нагрузки. Сетевой трафик непрерывно отслеживается на предмет операционных аномалий и аномалий безопасности. Потенциальные атаки могут быть разрешены с помощью собственных облачных средств управления или развернутых решений по обеспечению безопасности. Сетевой обмен данными полностью шифруется с помощью общедоступных методов, включая IPsec и TLS.
10. Получение, разработка и обслуживание системы
Разработка систем ESET PROTECT выполняется в соответствии с политикой ESET касательно разработки безопасного программного обеспечения. Отделы внутренней безопасности включены в проект разработки ESET PROTECT с самого первого этапа и контролируют все действия по разработке и обслуживанию. Отдел внутренней безопасности определяет требования безопасности и проверяет их соблюдение на различных этапах разработки программного обеспечения. Безопасность всех служб, в том числе новых служб, которые разрабатываются, непрерывно проверяется после выпуска.
11. Отношения с поставщиком
Отношения с поставщиком ведутся в соответствии с действующими правилами ESET, которые полностью охватывают управление отношениями и договорные требования с точки зрения информационной безопасности и конфиденциальности. Качество и безопасность услуг, предоставляемых поставщиком критически важных услуг, оцениваются регулярно.
Кроме того, для ESET PROTECT компания ESET использует принцип портативности, чтобы избежать блокировки поставщика.
12. Управление информационной безопасностью
Управление инцидентами информационной безопасности в ESET PROTECT выполняется аналогично другим инфраструктурам ESET, и для него используются определенные процедуры реагирования на инциденты. Роли при реагировании на инциденты определяются и распределяются для множества групп пользователей, в том числе для отделов ИТ, безопасности, юридического обеспечения, управления кадрами, связей с общественностью и для высшего руководства. Группа реагирования на инцидент определяется согласно данным рассмотрения инцидента, которое проводится отделом внутренней безопасности. Эта группа обеспечивает дальнейшую координацию других групп, занимающихся инцидентом. Кроме того, отдел внутренней безопасности отвечает за сбор фактических данных и накопление практического опыта. О возникновении и разрешении инцидентов сообщается заинтересованным сторонам. Отдел юридического обеспечения ESET отвечает за уведомление регулятивных органов (если такое уведомление является необходимым) в соответствии с требованиями Общего регламента по защите данных (GDPR) и Закона о кибербезопасности, который преобразует Директиву о сетевой и информационной безопасности (NIS).
13. Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
Непрерывность бизнес-процессов для службы ESET PROTECT запрограммирована в надежной архитектуре, которая обеспечивает максимальную доступность предоставляемых услуг. В случае катастрофического отказа всех узлов избыточности для компонентов ESET PROTECT или службы ESET PROTECT возможно полное восстановление с помощью данных резервного копирования и данных конфигурации, находящихся на сторонних площадках. Процесс восстановления регулярно тестируется.
14. Нормативно-правовое соответствие
Соответствие решения ESET PROTECT нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и процессам ESET, а также постоянно принимаются необходимые меры для соблюдения соответствия. Компания ESET зарегистрирована как поставщик цифровых услуг для цифровой службы облачных вычислений, которая охватывает разные службы ESET, в том числе ESET PROTECT. Обратите внимание, что деятельность компании ESET по соблюдению нормативных требований не обязательно означает, что будут удовлетворяться как таковые общие требования клиентов к нормативно-правовому соответствию.