ESET PROTECT 的安全性
簡介
本文件的目的為提供 ESET PROTECT 內所套用安全性實務與安全性控制項的摘要。安全實務與控制項旨於保護客戶資訊機密性、完整性和可用性。請注意,安全性實務和控制項可能會變更。
範圍
本文件的範圍為 ESET PROTECT 基礎架構、ESET Business Account (以下稱「EBA」)、ESET MSP Administrator (以下稱「EMA」) 基礎架構、組織、人員及作業程序的安全性實務與安全性控制項摘要。安全性實務與控制項包括:
- 資訊安全性原則
- 資訊安全性組織
- 人力資源安全性
- 資產管理
- 存取控制
- 密碼編譯
- 實體與環境安全性
- 作業安全性
- 通訊安全性
- 系統取得、開發和維護
- 供應商關係
- 資訊安全性事件管理
- 業務永續性管理的資訊安全性層面
- 合規性
安全性概念
ESET s.r.o. 公司通過 ISO 27001:2013 認證,證明其整合式管理系統範圍明確涵蓋 ESET PROTECT、EBA 及 EMA 服務。
因此,資訊安全性的概念使用 ISO 27001 架構以在安全性控制項套用於網路、作業系統、資料庫、應用程式、人員與作業流程的階層時實作階層式防護安全性策略。應用的安全性實務和安全性控制項旨在相互重疊和互補。
安全實務與控制項
1.資訊安全性原則
ESET 使用資訊安全性原則來涵蓋 ISO 27001 標準的所有層面,包括資訊安全性監管及安全性控制項與實務。每年會對原則進行一次審查,並在有重大更改後進行更新,以確保其持續維持適用性、充分性和有效性。
ESET 每年會執行此原則的審核與內部安全性檢查,以確保符合此原則。若未遵循資訊安全性原則,將對 ESET 員工紀律處分,或對供應商履行合約罰則,最高可終止合約。
2.資訊安全性組織
ESET PROTECT 的資訊安全性組織由多個涉及資訊安全性和 IT 的團隊和個人所組成,其中包括:
- ESET 執行管理
- ESET 內部安全性團隊
- 商業應用程式 IT 團隊
- 其他支援團隊
資訊安全性責任是根據現有的資訊安全性原則分配的。找出並評估內部程序中是否有任何未經授權或無意間修改或濫用 ESET 資產的風險。內部程序的高風險或敏感活動採用職責分離原則來降低風險。
ESET 法律團隊負責與政府當局 (包括斯洛伐克監管機關) 就網路安全和個人資料保護方面進行聯繫。ESET 內部安全性團隊負責連絡特殊利益團體,例如 ISACA。ESET 研究實驗室團隊負責與其他安全性公司及大型網路安全社群溝通。
從概念到專案完成,使用套用的專案管理架構在專案管理中考量資訊安全性。
透過使用在行動裝置上實作的原則,來涵蓋遠距工作與電子通勤,原則包括在透過不信任的網路連線時,在行動裝置上使用增強式密碼編譯資料保護。行動裝置的安全控制項指於在獨立於 ESET 內部網路和內部系統之外運作。
3.人力資源安全性
ESET 使用標準的人力資源實務,包括旨於保護資訊安全性的原則。這些實務涵蓋整個員工生命週期,適用於存取 ESET PROTECT 環境的所有團隊。
4.資產管理
ESET PROTECT 基礎架構包含在 ESET 資產庫存中,其中含根據資產類型與敏感性所套用的嚴格擁有權與規則。ESET 已定義內部分類配置。所有 ESET PROTECT 資料和配置均分類為機密。
5.存取控制
ESET 的存取權控制原則監管 ESET PROTECT 中的每一個存取。存取控制設定在基礎架構、網路服務、作業系統、資料庫和應用程式層級上。應用程式層級的完整使用者存取權管理是自主運作的。ESET PROTECT 和 ESET Business Account 單一登入是由中央身分提供者管理的,可確保使用者只能存取經授權的租用戶。此應用程式使用標準 ESET PROTECT 權限為租用戶強制執行以角色為基礎的存取權控制。
嚴格限制僅經授權的個人與角色能夠存取 ESET 後端。使用者 (取消) 註冊、(取消) 佈建、權限管理、及審查使用者存取權等標準 ESET 程序,用於管理 ESET 員工對 ESET PROTECT 基礎架構與網路的存取權。
有現成的增強式驗證保護對所有資料 ESET PROTECT 的存取。
6.密碼編譯
為了保護 ESET PROTECT 資料,使用增強式密碼編譯來加密待用與傳輸中的資料。通常,受信任的憑證授權單位用於核發公用服務的憑證。內部 ESET 公用金鑰基礎架構用於管理 ESET PROTECT 基礎架構中的金鑰。儲存在資料庫中的資料受雲端產生的加密金鑰保護。所有備份資料均由 ESET 受管理金鑰保護。
7.實體與環境安全性
由於 ESET PROTECT 與 ESET Business Account 以雲端為基礎,因此我們依賴 Microsoft Azure 維護系統與環境的安全性。Microsoft Azure 使用具有強大實體安全性措施的認證資料中心。資料中心的實體位置取決於客戶區域選擇。增強式加密編譯用於在從雲端環境進行異地傳輸期間 (例如,傳輸至實體備份資料儲存裝置) 保護客戶資料。
8.作業安全性
系統會根據嚴格的作業程序與配置範本,來透過自動化方式操作 ESET PROTECT 服務。所有變更 (包括配置變更與新套件部署) 在部署到生產環境之前,均已獲得核准並在專用測試環境中進行測試。開發、測試及生產環境彼此分隔。ESET PROTECT 資料只位於生產環境中。
使用作業監視來監督 ESET PROTECT 環境,以快速找出問題,並為網路和主機層級的所有服務提供足夠的功能。
所有配置資料都儲存在我們定期備份的存放庫中,以允許自動復原環境配置。ESET PROTECT 資料備份同時儲存在現場與異地。
備份已經過加密,並在業務永續性測試的過程中定期測試。
根據內部標準及指南對系統執行審核。系統會持續從基礎架構、作業系統、資料庫、應用程式伺服器和安全性控制項中收集防護記錄和事件。IT 與內部安全性團隊會進一步處理防護記錄,以找出作業與安全性異常及資訊安全性事件。
ESET 使用一般的技術弱點管理程序,來處理 ESET 基礎架構 (包括 ESET PROTECT 和其他 ESET 產品) 中發生的弱點。此程序包括主動弱點掃描,以及重複的基礎架構、產品和應用程式滲透測試。
ESET 規定內部基礎架構、網路、作業系統、資料庫、應用程式伺服器和應用程式安全性的內部指南。這些指南均透過技術合規性監控及我們的內部資訊安全審核程式進行檢查。
9.通訊安全性
透過原生雲端分割來分割 ESET PROTECT 環境,其中網路存取權僅限網路區段之間的必要服務。網路服務的可用性是透過原生雲端控制項 (如可用性區域、負載平衡和備援) 達成。已部署專用的負載平衡元件,為強制執行流量授權與負載平衡的 ESET PROTECT 執行個體路由提供特定的端點。系統會持續監控網路流量中是否有操作和安全方面的異常。可以使用原生雲端控制項或部署的安全性解決方案解決潛在攻擊。所有網路通訊都透過普遍可用的技術 (包括 IPsec 和 TLS) 加密。
10.系統取得、開發和維護
ESET PROTECT 系統的開發是根據 ESET 安全軟體開發原則執行的。內部安全性團隊自初始階段起,便納入 ESET PROTECT 開發專案中,監督所有的開發與維護活動。內部安全性團隊會定義並檢查軟體發展各個階段的安全性需求實現狀況。所有服務 (包括新開發的服務) 在發行後,仍會持續測試其安全性。
11.供應商關係
相關供應商關係是根據有效 ESET 指南進行的,從資訊安全和隱私的角度來看,此指南涵蓋整個關係管理和合約要求。定期評估關鍵服務提供者所提供服務的品質和安全性。
此外,ESET 利用 ESET PROTECT 的可攜性原則來避免供應商鎖定。
12.資訊安全性管理
ESET PROTECT 中資訊安全性事件管理的執行方式與其他 ESET 基礎架構類似,並依賴定義的事件回應程序。事件回應中的角色會在多個團隊 (包括 IT、安全性、法律、人力資源、公共關係和執行管理) 之間定義和分配。內部安全性團隊會根據事件分類成立該事件的事件回應團隊。該團隊將進一步協調處理此事件的其他團隊。內部安全性團隊還會負責收集證據和吸取教訓。會向受影響方傳達事件的發生與解決。ESET 法律團隊負責根據《一般資料保護法規》(GDPR) 和轉置《網路與資訊系統安全指令》(NIS) 的網路安全條款,視需要通知監管機構。
13.業務永續性管理的資訊安全性層面
ESET PROTECT 服務的業務永續性採用強大的架構進行編碼,用於充分提高所提供服務的可用性。如果 ESET PROTECT 元件或 ESET PROTECT 服務的所有備援節點均發生嚴重失敗,便能夠從異地備份與配置進行完整還原。還原程序會定期進行測試。
14.合規性
類似於 ESET 的其他基礎結構與流程,將會定期評估並審查 ESET PROTECT 法規與合約要求的遵循情況,且會採取必要步驟來持續滿足法規與合約要求。ESET 已註冊為雲端運算數位服務的數位服務提供者,範圍涵蓋多個 ESET 服務,包括 ESET PROTECT。請注意,ESET 合規性活動不一定表示符合客戶的整體合規性需求。