ESET PROTECT için güvenlik

Giriş

Bu belgede, ESET PROTECT Cloud içerisinde uygulanan güvenlik uygulamaları ve güvenlik denetimleri ile ilgili özet bilgiler sağlanmaktadır. Güvenlik uygulamaları ve denetimleri, müşteri bilgilerinin gizliliğini, bütünlüğünü ve kullanılabilirliğini korumak için tasarlanmıştır. Güvenlik uygulamalarının ve denetimlerinin değişebileceğini unutmayın.

Kapsam

Bu belgede ESET PROTECT Cloud altyapısı, ESET Business Account (buradan sonra "EBA" olarak anılacaktır) ve ESET MSP Administrator altyapısı (buradan sonra "EMA" olarak anılacaktır), organizasyon, personel ve operasyonel işlemler için güvenlik uygulamaları ve güvenlik denetimleriyle ilgili özet bilgiler sunulmaktadır. Güvenlik uygulamaları ve denetimleri şunları içerir:

1. Bilgi güvenliği politikaları
2. Bilgi güvenliği organizasyonu
3. İnsan kaynakları güvenliği
4. Varlık yönetimi
5. Erişim Denetimi
6. Şifreleme
7. Fiziksel güvenlik ve çevre güvenliği
8. İşlem güvenliği
9. İletişim güvenliği
10. Sistem edinimi, geliştirilmesi ve bakımı
11. Sağlayıcı ilişkisi
12. Bilgi güvenliği olay yönetimi
13. İş devamlılığı yönetiminin bilgi güvenliğiyle ilgili yönleri
14. Uyumluluk

Güvenlik Konsepti

ESET s.r.o. şirketi ISO 27001:2013 sertifikalıdır ve ESET PROTECT Cloud, EBA ve EMA hizmetlerini açıkça içeren entegre yönetim sistemi kapsamına sahiptir.

Bu nedenle, bilgi güvenliği konsepti ağ katmanında, işletim sistemlerinde, veri tabanlarında, uygulamalarda, personel ve işleme süreçlerinde güvenlik denetimleri yürütülürken katmanlı bir güvenlik stratejisi uygulamak için ISO 27001 çerçevesini kullanır. Uygulanan güvenlik pratikleri ve güvenlik denetimleri birbiriyle örtüşecek ve tamamlayıcı olacak şekilde tasarlanmıştır.

Güvenlik Uygulamaları ve Denetimleri

1. Bilgi Güvenliği Politikaları

ESET, bilgi güvenliği politikalarını bilgi güvenliği yönetimi ile güvenlik denetimleri ve uygulamaları da dahil olmak üzere ISO 27001 standardının tüm yönlerini kapsayacak şekilde kullanır. Politikalar sürekli olarak uygunluğu, yeterliliği ve etkililiğini sağlamak amacıyla önemli bir değişiklik sonrasında yıllık olarak gözden geçirilir ve güncellenir.

ESET, bu politikayla tutarlılığı sağlamak amacıyla politika ve dahili güvenlik denetimleri üzerinde yıllık incelemeler yapar. Bilgi güvenliği politikalarına uygunsuzluk, ESET çalışanları için yasal işlemlere veya sağlayıcılar için sözleşme feshine kadar çıkabilen sözleşme cezalarına tabidir.

2. Bilgi Güvenliği Organizasyonu

ESET PROTECT Cloud için bilgi güvenliği organizasyonu bilgi güvenliği ve BT'ye dahil olan birden çok ekip ve kişilerden oluşur. Bu kapsama dahil olan birimler:

• ESET yürütme yönetimi
• ESET dahili güvenlik ekipleri
• Kurumsal uygulamalar BT ekipleri
• Diğer destek ekipleri

Bilgi güvenliği ile ilgili sorumluluklar, yürürlükteki bilgi güvenliği politikalarına göre tahsis edilir. Dahili işlemler, ESET varlıklarının yetkisiz veya izinsiz değiştirilmesi ya da kötü amaçlı kullanımına yönelik herhangi bir risk açısından tanımlanır ve değerlendirilir. Dahili işlemlerin riskli veya hassas faaliyetleri için, riski azaltmak üzere görevlerin ayrılığı ilkesi benimsenir.

ESET yasal ekibi, siber güvenlik ve kişisel veri koruması ile ilgili Slovak düzenleyiciler de dahil olmak üzere devlet yetkilileriyle iletişimlerden sorumludur. ESET Internal Security ekibi ISACA gibi özel ilgi gruplarıyla iletişim kurmaktan sorumludur. ESET Araştırma Laboratuvarı ekibi, diğer güvenlik şirketleri ve daha büyük siber güvenlik topluluğuyla iletişimden sorumludur.

Bilgi güvenliği, projenin başlangıcından tamamlanmasına kadar uygulanan proje yönetimi çerçevesi kullanılarak proje yönetiminde dikkate alınır.

Uzaktan çalışma ve tele çalışma, güvenilir olmayan ağlarda gezinirken mobil cihazlarda güçlü kriptografik veri korumasının kullanımını içeren ve mobil cihazlarda uygulanan bir ilkenin kullanımıyla gerçekleştirilir. Mobil cihazlardaki güvenlik denetimleri, ESET dahili ağlarından ve dahili sistemlerinden bağımsız olarak çalışacak şekilde tasarlanmıştır.

3. İnsan Kaynakları Güvenliği

ESET, bilgi güvenliğini sürdürecek şekilde tasarlanan ilkeler dahil olmak üzere standart insan kaynakları uygulamalarını kullanır. Bu uygulamalar çalışanların tüm yaşam döngüsünü kapsar ve ESET PROTECT Cloud ortamına erişimi olan tüm ekipler için geçerlidir.

4. Varlık Yönetimi

ESET PROTECT Cloud altyapısı, katı mülkiyete sahip ESET varlık envanterlerine dahil edilir ve varlık türüne ve hassasiyet düzeyine uygun olarak kurallar uygulanır. ESET'in tanımlanmış bir dahili sınıflandırma şeması vardır. Tüm ESET PROTECT Cloud verileri ve yapılandırmalar gizli olarak sınıflandırılır.

5. Erişim Denetimi

ESET'in Erişim denetimi ilkesi ESET PROTECT Cloud ürünündeki her erişimi yönetir. Erişim denetimi altyapı, ağ hizmetleri, işletim sistemi, veri tabanı ve uygulama düzeyinde ayarlanır. Uygulama düzeyinde tam kullanıcı erişimi yönetimi otonom bir sistemde gerçekleştirilir. ESET PROTECT Cloud ve ESET Business Account tek seferlik oturum açma işlemi, kullanıcının yalnızca yetkili kiracıya erişmesini sağlayan merkezi bir kimlik sağlayıcısı tarafından yönetilir. Uygulama, kiracı için rol tabanlı erişim denetimi uygulamak üzere standart ESET PROTECT Cloud izinlerini kullanır.

ESET arka uç erişimi kesinlikle yetkili kişilerle ve rollerle sınırlandırılmıştır. ESET çalışanlarının ESET PROTECT Cloud altyapı ve ağlarına erişimini yönetmek üzere kullanıcı kaydı/kayıt kaldırma, yetkilendirme/yetki kaldırma, ayrıcalık yönetimi ve kullanıcı erişim haklarının incelenmesi işlemleri için standart ESET süreçleri kullanılır.

Tüm ESET PROTECT Cloud verilerine erişimi korumak için güçlü kimlik doğrulama sürecinden yararlanılır.

6. Şifreleme

ESET PROTECT Cloud verilerini korumak amacıyla durağan ve taşınmakta olan verilerin şifrelenmesi için güçlü şifreleme yöntemi kullanılır. Genel hizmetlere yönelik sertifikaların çıkarılması için genel olarak güvenilir sertifika yetkilisi kullanılır. ESET PROTECT Cloud altyapısı içindeki anahtarları yönetmek için dahili ESET ortak anahtar altyapısı kullanılır. Veri tabanına depolanan veriler, bulut tarafından oluşturulan şifreleme anahtarları ile korunur. Tüm yedekleme verileri ESET yönetilen anahtarları tarafından korunur.

7. Fiziksel Güvenlik ve Çevre Güvenliği

ESET PROTECT Cloud ve ESET Business Account bulut tabanlı olduğu için fiziksel ve çevre güvenliği açısından Microsoft Azure sistemine güveniyoruz. Microsoft Azure güçlü fiziksel güvenlik önlemlerine sahip sertifikalı veri merkezleri kullanmaktadır. Veri merkezinin fiziksel konumu müşteri bölge seçimine bağlıdır. Bulut ortamından site dışına aktarım sırasında müşteri verilerini korumak amacıyla (örneğin, fiziksel bir yedekleme veri depolamasına aktarım için) güçlü bir şifreleme kullanılır.

8. İşlem Güvenliği

ESET PROTECT Cloud hizmeti, katı operasyonel prosedürlere ve yapılandırma şablonlarına dayalı olarak otomatik yöntemlerle çalıştırılır. Yapılandırma değişiklikleri ve yeni paket dağıtımı da dahil olmak üzere tüm değişiklikler, üretime dağıtımdan önce özel bir test ortamında onaylanır ve test edilir. Geliştirme, test ve üretim ortamları birbirlerinden ayrıdır. ESET PROTECT Cloud verileri yalnızca üretim ortamında yer almaktadır.

ESET PROTECT Cloud ortamı, sorunları hızlıca tespit etmek ve ağ ve ana bilgisayar düzeylerinde tüm hizmetlere yeterli kapasite sağlamak için operasyonel izleme kullanılarak denetlenmektedir.

Tüm yapılandırma verileri, bir ortamın yapılandırmasını otomatik olarak kurtarma işleminin gerçekleştirilmesine olanak tanımak için düzenli olarak yedekleme depolarımıza depolanır. ESET PROTECT Cloud veri yedeklemeleri, hem kurum içinde hem de kurum dışında depolanır.

Yedeklemeler şifrelenir ve iş devamlılığı testlerinin bir parçası olarak kurtarılabilirlik açısından düzenli olarak test edilir.

Sistemlerde denetleme, dahili standartlara ve talimatlara göre gerçekleştirilir. Altyapıdan, işletim sisteminden, veri tabanından, uygulama sunucularından ve güvenlik denetimlerinden alınan günlükler ve olaylar sürekli olarak toplanır. Günlükler, operasyonel anomalileri ve güvenlik anomalilerinin yanı sıra bilgi güvenliği ile ilgili olayları tespit etmek için BT ve dahili güvenlik tarafından daha fazla işlenir.

ESET, ESET PROTECT Cloud ile diğer ESET ürünleri de dahil olmak ESET altyapısında ortaya çıkan güvenlik açıklarını yönetmek amacıyla genel bir teknik güvenlik açığı yönetim sürecinden yararlanır. Bu işlem, proaktif güvenlik açığı taramasını ve altyapı, ürün ve uygulamaların tekrar tekrar gerçekleştirilen penetrasyon testlerini içerir.

ESET; dahili altyapı, ağlar, işletim sistemleri, veri tabanları, uygulama sunucuları ve uygulamaların güvenliği için dahili talimatları belirler. Bu talimatlar, teknik uyumluluk izlemesi ve dahili bilgi güvenliği denetim programımız üzerinden denetlenir.

9. İletişim Güvenliği

ESET PROTECT Cloud ortamı, ağ segmentleri arasında yalnızca gerekli hizmetlerle sınırlı ağ erişimine sahip yerel bulut segmentasyonu üzerinden segmentlere ayrılır. Ağ hizmetlerinin kullanılabilirliği; kullanılabilirlik bölgeleri, yük dengeleme ve fazlalık gibi yerel bulut denetimleri üzerinden sağlanır. Tahsis edilmiş yük dengeleme bileşenleri, trafiğin ve yük dengelemenin yetkilendirilmesini sağlamak amacıyla ESET PROTECT Cloud örneği yönlendirme için belirli uç noktaları sağlamak üzere dağıtılır. Ağ trafiği operasyonel ve güvenlik anomalileri için sürekli olarak izlenir. Potansiyel saldırılar, yerel bulut denetimleri veya dağıtılan güvenlik çözümleri kullanılarak çözümlenebilir. Tüm ağ iletişimi, IPsec ve TLS dahil olmak üzere genel olarak kullanılan tekniklerle şifrelenir.

10. Sistem Edinimi, Geliştirilmesi ve Bakımı

ESET PROTECT Cloud sistemlerinin geliştirilmesi, ESET güvenli yazılımı geliştirme politikasına uygun olarak gerçekleştirilir. Dahili güvenlik ekipleri ilk aşamadan itibaren ESET PROTECT Cloud geliştirme projesinde yer almaktadır ve tüm geliştirme ve bakım faaliyetlerini gözlemler. Dahili güvenlik ekibi, çeşitli yazılım geliştirme aşamalarında güvenlik gereksinimlerini tanımlar ve bu gereksinimlerin karşılanmasıyla ilgili denetimler gerçekleştirir. Yeni geliştirilen hizmetler de dahil olmak üzere tüm hizmetlerin güvenliği, yayından sonra sürekli olarak test edilir.

11. Sağlayıcı ilişkisi

Alakalı bir sağlayıcı ilişkisi geçerli ESET kurallarına uygun olarak gerçekleştirilir. Bu kurallar, bilgi güvenliği ve gizlilik perspektifi ile ilgili ilişki yönetiminin ve sözleşme gerekliliklerinin tamamını kapsamaktadır. Kritik hizmet sağlayıcısı tarafından sağlanan hizmetlerin kalitesi ve güvenliği düzenli olarak değerlendirilir.

Ayrıca ESET, sağlayıcı kilitlenmesini önlemek amacıyla ESET PROTECT Cloud için taşınabilirlik ilkesini de kullanır.

12. Bilgi Güvenliği Yönetimi

ESET PROTECT Cloud içindeki bilgi güvenliği olay yönetimi, diğer ESET altyapılarına benzer şekilde gerçekleştirilir ve tanımlanan olay yanıt işlemlerine dayanmaktadır. Olay yanıtı içindeki roller; BT, güvenlik, hukuk, insan kaynakları, kamu ilişkileri ve yürütme yönetimi dahil olmak üzere birden çok ekip arasında tanımlanır ve tahsis edilir. Bir olay için olay yanıt ekibi, dahili güvenlik ekibi tarafından olay triyajına dayalı olarak kurulur. Bu ekip, olayı ele alan başka ekiplerle daha fazla koordinasyon sağlayacaktır. Ayrıca iç güvenlik ekibi de kanıt koleksiyonundan ve öğrenilen bilgilerden de sorumludur. Olay oluşum ve çözümleme etkilenen taraflara iletilir. ESET yasal ekibi, Genel Veri Koruma Yönetmeliği (GDPR) ve Ağ ve Bilgi Güvenliği Yönetmeliği'ni (NIS) aktaran Siber Güvenlik Yasası'na uygun olarak gerektiğinde düzenleyici kurumlara bildirimde bulunmaktan sorumludur.

13. İş Devamlılığı Yönetiminin Bilgi Güvenliğiyle İlgili Yönleri

ESET PROTECT Cloud hizmetinin iş devamlılığı özelliği, sağlanan hizmetlerin kullanılabilirliğini en üst düzeye çıkarmak için kullanılan güçlü mimaride kodlanmıştır. ESET PROTECT Cloud bileşenleri veya ESET PROTECT Cloud hizmeti için tüm düğümlerde yıkıcı bir arıza meydana gelmesi durumunda, site dışı yedekleme ve yapılandırma verilerinden tam geri yükleme işlemi mümkündür. Geri yükleme işlemi düzenli olarak test edilir.

14. Uyumluluk

ESET PROTECT Cloud ile ilgili düzenleme ve sözleşme gereksinimleriyle uyumluluk düzenli olarak değerlendirilir ve ESET'in diğer altyapı ve işlemlerine benzer şekilde değerlendirilir, ayrıca uyumluluğun sürekli olarak temin edilmesi için gerekli adımlar atılır. ESET, Cloud Computing dijital hizmeti için ESET PROTECT Cloud dahil olmak üzere birden çok ESET hizmetini kapsayan bir dijital hizmet sağlayıcısı olarak tescillidir. ESET uyumluluk etkinliklerinin, müşterilerin genel uyumluluk gereksinimlerinin de bu şekilde sağlandığı anlamına gelmez.