Інтерактивна довідка ESET

Виберіть тему

Безпека для ESET PROTECT

Вступ

Мета цього документа — узагальнити методи захисту й елементи керування безпекою, які застосовуються в програмі ESET PROTECT. Методи захисту й елементи керування призначені для захисту конфіденційності, цілісності й доступності інформації клієнта. Зауважте, що методи захисту та елементи керування можуть змінюватися.

Область

У цьому документі узагальнено методи захисту й елементи керування безпекою для інфраструктури ESET PROTECT, ESET Business Account (далі "EBA"), а також для інфраструктури, організації, персоналу й операційних процесів ESET MSP Administrator (далі "EMA"). Методи захисту й елементи керування безпекою:

  1. Політики інформаційної безпеки
  2. Організація інформаційної безпеки
  3. Безпека, пов’язана з роботою персоналу
  4. Керування ресурсами
  5. Керування доступом
  6. Криптографія
  7. Фізична безпека й безпека середовища
  8. Безпека операцій
  9. Безпека обміну даними
  10. Придбання, розробка й обслуговування системи
  11. Відносини з постачальниками
  12. Керування інцидентами, які стосуються інформаційної безпеки
  13. Аспекти інформаційної безпеки керування безперервністю бізнесу
  14. Відповідність нормативним вимогам

Концепція безпеки

Компанія ESET s.r.o. має сертифікат ISO 27001:2013 та інтегровану систему керування, яка розповсюджується на ESET PROTECT і служби EBA та EMA.

Тому в концепції інформаційної безпеки використовується інфраструктура ISO 27001, яка дає змогу впровадити багатошарову стратегію захисту для засобів безпеки на рівні мережі, операційних систем, баз даних, програм, персоналу та операційних процесів. Застосовувані методи захисту й елементи керування безпекою призначені для доповнення один одного й дублювання певних функцій.

Методи захисту й елементи керування безпекою

1. Політики інформаційної безпеки

ESET використовує політики інформаційної безпеки для забезпечення відповідності всім аспектам стандарту ISO 27001, зокрема в питаннях управління безпекою інформації, а також контролю за безпекою й практиками. Політики переглядаються щорічно та оновлюються після суттєвих змін, що гарантує їхню актуальність.

ESET щорічно переглядає цю політику й внутрішні процедури перевірки безпеки, щоб забезпечити їхню узгодженість із цією політикою. Недотримання політик щодо інформаційної безпеки призводить до дисциплінарних стягнень для співробітників ESET або до передбачених контрактом штрафів аж до розірвання контракту для постачальників.

2. Організація інформаційної безпеки

Організацією інформаційної безпеки для ESET PROTECT займаються кілька груп і осіб із відділів інформаційної безпеки та IT, зокрема:

  • Керівництво ESET
  • Команди внутрішньої безпеки ESET
  • IT-команди, які працюють із бізнес-програмами
  • Інші команди підтримки

Обов’язки щодо безпеки інформації розподіляються відповідно до чинних політик інформаційної безпеки. Внутрішні процеси визначаються та оцінюються на наявність будь-якого ризику несанкціонованої чи ненавмисної модифікації або неналежного використання ресурсів ESET. Для тих операцій внутрішніх процесів, які пов’язані з ризиком або конфіденційними даними, діє принцип розподілення обов’язків. Це дає змогу знизити ризик.

Юридична команда ESET несе відповідальність за контакти з органами державної влади, зокрема словацькими регуляторами в галузі кібербезпеки й захисту персональних даних. Команди внутрішньої безпеки ESET несе відповідальність за контакти з групами певних інтересів, зокрема ISACA. Команда дослідницької лабораторії ESET відповідає за обмін даними з іншими компаніями з безпеки й спільнотою кібербезпеки.

Для керування проектами враховуються складові інформаційної безпеки з використанням структури керування проектами (від початку до завершення).

На віддалену роботу розповсюджується політика, реалізована на мобільних пристроях, зокрема використання надійного криптографічного захисту даних на мобільних пристроях під час роботи в недовірених мережах. Елементи керування безпекою на мобільних пристроях працюють незалежно від внутрішніх мереж ESET і внутрішніх систем.

3. Безпека, пов’язана з роботою персоналу

ESET використовує стандартні практики щодо персоналу, зокрема політики, призначені для забезпечення інформаційної безпеки. Ці методи розповсюджуються на весь термін роботи працівника, і вони застосовуються до всіх груп, які мають доступ до середовища ESET PROTECT.

4. Керування ресурсами

Інфраструктура ESET PROTECT входить до складу наявних ресурсів ESET із чітко визначеним правами власності й правилами, які застосовуються відповідно до типу й рівня конфіденційності ресурсу. У ESET є визначена внутрішня схема класифікації. Усі дані й конфігурації ESET PROTECT класифікуються як конфіденційні.

5. Керування доступом

Політика ESET щодо керування доступом регламентує кожну спробу доступу в ESET PROTECT. Керування доступом можна задати на рівні інфраструктури, мережевих служб, операційної системи, бази даних і програми. Керування повним доступом користувача на рівні програми є автономним. Керування єдиним входом ESET PROTECT і ESET Business Account здійснюється централізованим постачальником ідентифікаційних даних, який гарантує, що користувач має доступ тільки до авторизованого клієнта. Для впровадження керування доступом на основі ролей для клієнта в програмі використовуються стандартні дозволи ESET PROTECT.

Доступ до серверів ESET відкрито виключно для вповноважених користувачів і користувачів із певними ролями. Для керування доступом працівників ESET до інфраструктури й мереж ESET PROTECT використовуються стандартні процеси ESET щодо реєстрації (скасування реєстрації), підготовки (відкату підготовки), керування привілеями й огляду прав доступу користувача.

Доступ до всіх даних ESET PROTECT захищено з використанням надійної автентифікації.

6. Криптографія

Дані ESET PROTECT (постійні й транзитні) захищено шифруванням із використанням надійної криптографії. Сертифікати для загальнодоступних служб зазвичай випускаються довіреним центром сертифікації. Для керування ключами в інфраструктурі ESET PROTECT використовується внутрішня інфраструктура відкритих ключів ESET. Дані, які зберігаються в базі даних, захищені ключами шифрування, згенерованими у хмарі. Усі резервні дані захищені керованими ключами ESET.

7. Фізична безпека й безпека середовища

ESET PROTECT і ESET Business Account працюють на основі хмари. Щоб забезпечити належний рівень фізичної безпеки й безпеки інфраструктури, ми використовуємо Microsoft Azure. Microsoft Azure використовує сертифіковані центри обробки даних із надійним захистом. Фізичне розташування центру обробки даних залежить від регіону, який вибирає клієнт. Для захисту даних клієнта під час передачі поза межі майданчика з хмарної інфраструктури (наприклад, під час передавання у фізичне сховище резервних копій) використовується надійна криптографія.

8. Безпека операцій

Служба ESET PROTECT працює з використанням автоматичних засобів на основі чітко визначених операційних процедур і шаблонів конфігурації. Перед робочим розгортанням усі зміни, зокрема зміни конфігурації та розгортання нових пакетів, затверджуються й тестуються в спеціально виділеному тестовому середовищі. Середовища розгортання, тестові й робочі середовища відокремлені одне від одного. Дані ESET PROTECT розташовані тільки в робочому середовищі.

Нагляд за середовищем ESET PROTECT здійснюється в режимі операційного моніторингу. Це дає змогу швидко виявляти проблеми й надавати достатні ресурси всім службам на рівні мережі й рівні хостів.

Усі дані конфігурації зберігаються в наших репозиторіях, для яких регулярно створюються резервні копії. Це дає змогу автоматично відновлювати конфігурацію середовища. Резервні копії даних ESET PROTECT зберігаються як на майданчику, так і поза ним.

Резервні копії шифруються й регулярно перевіряються на можливість використання для відновлення (один з етапів тестування безперервності бізнесу).

Аудит систем проводиться відповідно до внутрішніх стандартів і вказівок. Постійно збираються журнали й події інфраструктури, операційної системи, бази даних, серверів програм і елементів керування безпекою. Після збору журнали обробляються IT-фахівцями й внутрішніми командами безпеки для виявлення нетипових операцій та аномалій безпеки, а також інцидентів інформаційної безпеки.

Для усунення вразливостей в інфраструктурі ESET, зокрема в ESET PROTECT та інших продуктах, ESET дотримується загального процесу роботи з технічними вразливостями. Складовими цього процесу є проактивне сканування на наявність уразливостей, а також тестування інфраструктури, продуктів і програм на стійкість до проникнення.

ESET впроваджує внутрішні керівні принципи щодо безпеки внутрішньої інфраструктури, мереж, операційних систем, баз даних, серверів програм і програм. Ці рекомендації перевіряються через моніторинг дотримання технічних вимог і нашу внутрішню програму аудиту безпеки.

9. Безпека обміну даними

Середовище ESET PROTECT сегментоване за власною схемою сегментації хмари. Мережевий доступ надається тільки для необхідних служб серед сегментів мережі. Доступність мережевих служб реалізована за допомогою власних елементів керування хмари (зони доступності, балансування навантаження й надлишковість). Розгорнуто окремі компоненти балансування навантаження, які забезпечують певні кінцеві точки для маршрутизації екземплярів ESET PROTECT з авторизацію трафіку й балансуванням навантаження. Мережевий трафік постійно відстежується на наявність нетипових операцій та аномалій безпеки. Потенційні атаки можуть нейтралізуватися з використанням власних елементів керування хмарою або розгорнутих рішень для захисту. Усі мережеві з’єднання зашифровано за допомогою загальнодоступних технологій, зокрема IPsec і TLS.

10. Придбання, розробка й обслуговування системи

Розробка систем ESET PROTECT виконується відповідно до політики безпечної розробки програмного забезпечення ESET. Команди внутрішньої безпеки беруть участь у проекті розробки ESET PROTECT з його початкового етапу й відстежують усі операції з розробки й обслуговування. Внутрішня команда з безпеки визначає й перевіряє виконання вимог щодо безпеки на різних етапах розробки програмного забезпечення. Безпека всіх служб, зокрема й розроблених нових, постійно перевіряється після випуску.

11. Відносини з постачальниками

Відповідні відносини з постачальниками регламентуються відповідно до дійсних керівних принципів ESET, які чинні для керування всіма відносинами і розповсюджуються на всі договірні вимоги з точки зору безпеки інформації та конфіденційності. Якість і безпека послуг, що надаються критично важливим постачальником послуг, регулярно оцінюються.

Окрім цього, ESET використовує перенос даних, щоб можна було уникнути блокування постачальника для ESET PROTECT.

12. Керування інформаційною безпекою

Керування інцидентами, які стосуються інформаційної безпеки, в ESET PROTECT виконується так само, як і в інших інфраструктурах ESET, на основі визначених процедур реагування на інциденти. Ролі реагування на інциденти визначаються й виділяються для кількох команд (IT, безпека, юридичний відділ, відділ кадрів, PR і керівництво). Команда реагування на інцидент формується на основі класифікації інциденту спеціалістами внутрішньої команди безпеки. Ця команда в подальшому координує інші команди, які займатимуться цим інцидентом. Команда внутрішньої безпеки також відповідає за збір доказів і робить висновки. Дані про всі інциденти й застосовані заходи надсилаються всім сторонам, які мають до цього відношення. Юридична команда ESET несе відповідальність за повідомлення про інциденти в регуляторні органи (за потреби) відповідно до вимог документів General Data Protection Regulation (GDPR) і Cybersecurity Act transposing Network and Information Security Directive (NIS).

13. Аспекти інформаційної безпеки керування безперервністю бізнесу

Безперервність роботи служби ESET PROTECT передбачено в надійній архітектурі, яка використовується для забезпечення максимальної доступності служб. Повне відновлення з даних резервної копії поза майданчиком і даних конфігурації можливе в разі непереборного збою всіх вузлів надлишковості для компонентів ESET PROTECT або служби ESET PROTECT. Процес відновлення перевіряється регулярно.

14. Відповідність нормативним вимогам

Відповідність нормативним вимогам і умовам угоди ESET PROTECT регулярно оцінюється та перевіряється, як й інші елементи інфраструктури й процеси ESET. ESET уживає необхідних кроків для їх дотримання на постійній основі. Компанію ESET зареєстровано як постачальник цифрових послуг для хмарних обчислень. Ця класифікація розповсюджується на кілька служб ESET, зокрема ESET PROTECT. Зауважте, що дії ESET щодо забезпечення відповідності нормативним вимогам не обов’язково означають, що ці вимоги в повному обсязі виконуються клієнтами.