Zabezpečenie ESET PROTECT
Úvod
Účelom tohto dokumentu je zhrnúť bezpečnostné postupy a bezpečnostné kontroly uplatňované v rámci ESET PROTECT. Bezpečnostné postupy a kontroly sú navrhnuté tak, aby chránili dôvernosť, integritu a dostupnosť informácií o zákazníkoch. Upozorňujeme, že bezpečnostné postupy a kontroly sa môžu meniť.
Rozsah
Tento dokument popisuje bezpečnostné postupy a bezpečnostné kontroly týkajúce sa infraštruktúry ESET PROTECT, ako aj infraštruktúry, organizácie, personálu a prevádzkových procesov spojených s ESET Business Account (ďalej iba „EBA“) a ESET MSP Administrator (ďalej iba „EMA“). Bezpečnostné postupy a kontroly zahŕňajú:
- Politiky informačnej bezpečnosti
- Organizácia informačnej bezpečnosti
- Ľudské zdroje a bezpečnosť
- Správa aktív
- Kontrola prístupu
- Kryptografia
- Fyzické zabezpečenie a ochrana prostredia
- Bezpečnosť operácií
- Bezpečnosť sieťovej komunikácie
- Akvizícia, vývoj a údržba systému
- Dodávateľský vzťah
- Správa incidentov v oblasti informačnej bezpečnosti
- Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky
- Súlad s požiadavkami
Bezpečnostný koncept
Spoločnosť ESET, spol. s r. o., je držiteľom certifikátu ISO 27001:2013 s integrovaným systémom správy, ktorý pokrýva služby ESET PROTECT, EBA a EMA.
Preto koncept informačnej bezpečnosti používa štandard ISO 27001 na implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Použité bezpečnostné postupy a bezpečnostné kontroly sa majú navzájom prekrývať a dopĺňať.
Bezpečnostné postupy a kontroly
1. Politiky informačnej bezpečnosti
Spoločnosť ESET uplatňuje politiky informačnej bezpečnosti, ktoré pokrývajú všetky aspekty štandardu ISO 27001 vrátane riadenia informačnej bezpečnosti a bezpečnostných kontrol a postupov. Politiky sa každoročne prehodnocujú a po výrazných zmenách aj aktualizujú, čo vedie k ich kontinuálnej vhodnosti, primeranosti a účinnosti.
Spoločnosť ESET vykonáva každoročnú revíziu týchto politík a interné bezpečnostné kontroly s cieľom zaistiť s nimi súlad. V prípade nedodržiavania politík informačnej bezpečnosti sú zamestnanci spoločnosti ESET vystavení disciplinárnemu konaniu a dodávatelia zmluvným sankciám alebo až výpoveďou zmluvy.
2. Organizácia informačnej bezpečnosti
Organizácia informačnej bezpečnosti služby ESET PROTECT pozostáva z viacerých tímov a jednotlivcov zaoberajúcich sa informačnou bezpečnosťou a oblasťou IT vrátane:
- výkonného manažmentu spoločnosti ESET,
- interných bezpečnostných tímov spoločnosti ESET,
- IT tímov zaoberajúcich sa firemnými aplikáciami,
- ostatných podporných tímov.
Záväzky a úlohy v oblasti informačnej bezpečnosti sa prideľujú v súlade so zavedenými politikami informačnej bezpečnosti. Interné procesy sú identifikované a posudzované z hľadiska rizík vyplývajúcich z neoprávnenej alebo neúmyselnej modifikácie či zneužitia aktív spoločnosti ESET. Pri rizikových alebo citlivých činnostiach v spojení s internými procesmi sa na zmiernenie rizika uplatňuje zásada rozdelenia povinností.
Právny tím spoločnosti ESET je zodpovedný za kontakt so štátnymi orgánmi vrátane slovenských regulačných orgánov v oblasti kybernetickej bezpečnosti a ochrany osobných údajov. Interný bezpečnostný tím spoločnosti ESET je zodpovedný za kontakt so záujmovými skupinami, ako napríklad ISACA. Tím výskumníkov spoločnosti ESET je zodpovedný za komunikáciu s ostatnými spoločnosťami zameranými na bezpečnosť a so širšou komunitou z oblasti kybernetickej bezpečnosti.
Informačná bezpečnosť sa pri riadení projektov zohľadňuje pomocou aplikovaného rámca riadenia projektov od koncepcie až po dokončenie projektu.
Práca na diaľku a práca z domu sú kryté politikou implementovanou na mobilných zariadeniach, ktorá zahŕňa používanie silnej kryptografickej ochrany údajov na mobilných zariadeniach počas prenosu cez nedôveryhodné siete. Bezpečnostné kontroly na mobilných zariadeniach sú navrhnuté tak, aby fungovali nezávisle od interných sietí a interných systémov spoločnosti ESET.
3. Ľudské zdroje a bezpečnosť
Spoločnosť ESET používa štandardné postupy v oblasti ľudských zdrojov vrátane politík určených na dodržiavanie informačnej bezpečnosti. Tieto postupy sa vzťahujú na celý životný cyklus zamestnanca a platia pre všetky tímy, ktoré majú prístup k prostrediu ESET PROTECT.
4. Správa aktív
Infraštruktúra ESET PROTECT je zahrnutá v inventároch aktív spoločnosti ESET s výhradným vlastníctvom a pravidlami uplatňovanými podľa typu a citlivosti aktív. Spoločnosť ESET má definovanú internú klasifikačnú schému. Všetky údaje a konfigurácie spojené s ESET PROTECT sú klasifikované ako dôverné.
5. Kontrola prístupu
Politika kontroly prístupu spoločnosti ESET upravuje každý prístup v rámci ESET PROTECT. Kontrola prístupu sa nastavuje na úrovni infraštruktúry, sieťových služieb, operačného systému, databázy a aplikácie. Správa úplného prístupu používateľov na úrovni aplikácie je autonómna. Prihlásenie jedným vstupom v rámci služieb ESET PROTECT a ESET Business Account je riadené centrálnym poskytovateľom identity, ktorý zabezpečuje, že používateľ má prístup len k oprávnenému nájomníkovi. Aplikácia používa štandardné povolenia ESET PROTECT s cieľom presadiť pre nájomníka kontrolu prístupu na základe rolí.
Prístup k backendu je obmedzený výlučne na oprávnené osoby a roly. Na správu prístupu zamestnancov spoločnosti ESET k infraštruktúre a sieťam služby ESET PROTECT sa používajú štandardné procesy ESET pre (de)registráciu používateľov, ich pridávanie alebo odoberanie, správu oprávnení a kontrolu prístupových práv používateľov.
Na ochranu prístupu ku všetkým údajom týkajúcim sa služby ESET PROTECT sa používa silné overovanie.
6. Kryptografia
Silná kryptografia slúži na šifrovanie uložených a prenášaných údajov s cieľom ochrániť údaje v rámci služby ESET PROTECT. Certifikáty pre verejné služby vydáva všeobecne uznávaná a dôveryhodná certifikačná autorita. Kľúče v rámci infraštruktúry ESET PROTECT sa spravujú prostredníctvom internej infraštruktúry verejných kľúčov spoločnosti ESET. Údaje uložené v databáze sú chránené šifrovacími kľúčmi generovanými cloudom. Všetky zálohované údaje sú chránené spravovanými kľúčmi ESET.
7. Fyzické zabezpečenie a ochrana prostredia
Keďže ESET PROTECT a ESET Business Account sú cloudové služby, spoliehame sa na cloudovú platformu Microsoft Azure, ktorá zaisťuje fyzické zabezpečenie a ochranu prostredia. Microsoft Azure používa certifikované dátové centrá a spoľahlivo chráni uložené údaje. Fyzické umiestnenie dátového centra závisí od výberu oblasti zákazníka. Silná kryptografia slúži na ochranu používateľských dát počas prenosu mimo cloudového prostredia (napríklad počas prenosu do fyzického záložného úložiska dát).
8. Bezpečnosť operácií
Služba ESET PROTECT je prevádzkovaná automatizovanými prostriedkami na základe prísnych prevádzkových postupov a konfiguračných šablón. Všetky zmeny vrátane zmien konfigurácie a nasadzovania nových balíkov sa pred nasadením do produkcie schvaľujú a testujú v špecializovanom testovacom prostredí. Vývojové, testovacie a produkčné prostredia sú navzájom oddelené. Údaje služby ESET PROTECT sú dostupné len v produkčnom prostredí.
Prostredie služby ESET PROTECT je sledované pomocou prevádzkového monitorovania s cieľom rýchlo identifikovať problémy a zabezpečiť dostatočnú kapacitu všetkých služieb na úrovni siete a hostiteľa.
Všetky konfiguračné údaje sú uložené v našich pravidelne zálohovaných úložiskách, aby bolo možné automaticky obnoviť konfiguráciu prostredia. Zálohované údaje služby ESET PROTECT sa ukladajú lokálne aj externe.
Zálohy sú šifrované a pravidelne testované na obnoviteľnosť v rámci testovania kontinuity prevádzky.
Audit systémov sa vykonáva podľa interných noriem a usmernení. Záznamy a udalosti z infraštruktúry, operačného systému, databázy, aplikačných serverov a bezpečnostných kontrol sa zhromažďujú nepretržite. IT a interné bezpečnostné tímy následne tieto záznamy spracúvajú s cieľom identifikovať prevádzkové a bezpečnostné anomálie a incidenty týkajúce sa informačnej bezpečnosti.
Spoločnosť ESET sa riadi všeobecným technickým procesom správy zraniteľností na riešenie výskytu zraniteľností v infraštruktúre spoločnosti ESET vrátane ESET PROTECT a ďalších produktov ESET. Tento proces zahŕňa proaktívnu kontrolu zraniteľností a opakované penetračné testovanie infraštruktúry, produktov a aplikácií.
Spoločnosť ESET má zavedené interné smernice pre bezpečnosť internej infraštruktúry, sietí, operačných systémov, databáz, aplikačných serverov a aplikácií. Ich dodržiavanie sa kontroluje prostredníctvom technického monitorovania súladu a nášho interného bezpečnostného auditu.
9. Bezpečnosť sieťovej komunikácie
Prostredie ESET PROTECT je segmentované prostredníctvom natívnej cloudovej segmentácie, pričom prístup k sieti je obmedzený len na nevyhnutné služby v rámci sieťových segmentov. Dostupnosť sieťových služieb je zabezpečená pomocou natívnych cloudových kontrol, ako sú zóny dostupnosti, vyrovnávanie zaťaženia a redundancia. Nasadia sa špeciálne komponenty na vyrovnávanie zaťaženia a overovanie sieťovej komunikácie medzi koncovými zariadeniami a inštanciou služby ESET PROTECT. Sieťová komunikácia je nepretržite monitorovaná z hľadiska prevádzkových a bezpečnostných anomálií. Potenciálne útoky je možné vyriešiť pomocou natívnych cloudových kontrol alebo nasadených bezpečnostných riešení. Všetka sieťová komunikácia je šifrovaná prostredníctvom všeobecne dostupných techník vrátane protokolu IPsec a TLS.
10. Akvizícia, vývoj a údržba systému
Vývoj systémov služby ESET PROTECT prebieha v súlade s politikou vývoja bezpečnostného softvéru spoločnosti ESET. Interné bezpečnostné tímy sú súčasťou projektu vývoja služby ESET PROTECT od počiatočnej fázy a dohliadajú na všetky aspekty vývoja a údržby. Interný bezpečnostný tím stanovuje a kontroluje plnenie bezpečnostných požiadaviek v rôznych fázach vývoja softvéru. Bezpečnosť všetkých služieb, vrátane tých novo vyvinutých, sa od ich vydania nepretržite testuje.
11. Dodávateľský vzťah
Príslušný dodávateľský vzťah prebieha podľa platných smerníc spoločnosti ESET, ktoré upravujú celú správu vzťahov a zmluvné požiadavky z hľadiska informačnej bezpečnosti a ochrany osobných údajov. Kvalita a bezpečnosť služieb poskytovaných poskytovateľom kritických služieb sa pravidelne vyhodnocuje.
Spoločnosť ESET pre ESET PROTECT využíva taktiež právo na prenosnosť údajov s cieľom vyhnúť sa závislosti od poskytovateľa.
12. Správa incidentov v oblasti informačnej bezpečnosti
Správa incidentov v oblasti informačnej bezpečnosti pre službu ESET PROTECT je podobná riadeniu ostatných infraštruktúr ESET a opiera sa o definované postupy riešenia incidentov. Úlohy v rámci riešenia incidentov sú zadefinované a rozdelené medzi viaceré tímy z oblasti IT, bezpečnosti, právnych služieb, ľudských zdrojov, vzťahov s verejnosťou a výkonného manažmentu. Priradenie tímu na riešenie incidentu závisí od roztriedenia incidentov interným bezpečnostným tímom. Tento tím zabezpečí koordináciu ostatných tímov, ktoré incident riešia. Interný bezpečnostný tím je tiež zodpovedný za zhromažďovanie dôkazov k incidentu a získaných poznatkov. Vznik incidentu a jeho riešenie sa oznamuje dotknutým stranám. Právny tím spoločnosti ESET je v prípade potreby zodpovedný za nahlásenie incidentu regulačným orgánom v súlade so všeobecným nariadením o ochrane údajov (GDPR) a aktom EÚ o kybernetickej bezpečnosti transponujúcim smernicu o bezpečnosti sietí a informačných systémov (NIS).
13. Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky
Kontinuita prevádzky služby ESET PROTECT je zakódovaná v robustnej architektúre, ktorá maximalizuje dostupnosť poskytovaných služieb. V prípade úplného zlyhania všetkých redundantných uzlov pre súčasti ESET PROTECT alebo službu ESET PROTECT je možná kompletná obnova zo zálohovaných a konfiguračných údajov. Proces obnovy sa pravidelne testuje.
14. Súlad s požiadavkami
Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov pre službu ESET PROTECT sa pravidelne vyhodnocuje a kontroluje podobne ako iné infraštruktúry a procesy spoločnosti ESET, pričom sa tiež neustále prijímajú nevyhnutné kroky pre zabezpečenie súladu s požiadavkami. Spoločnosť ESET je registrovaná ako poskytovateľ digitálnych služieb v oblasti cloud computingu, kam spadajú viaceré služby spoločnosti ESET vrátane ESET PROTECT. Upozorňujeme, že aktivity spoločnosti ESET zamerané na dodržiavanie požiadaviek nemusia nevyhnutne znamenať, že požiadavky zákazníkov v tejto oblasti sú kompletne splnené.