ESET Online nápověda

Hledat Čeština
Vyberte kategorii
Změnit kapitolu

Bezpečnostní dokumentace pro ESET PROTECT Hub

Úvod

Účelem tohoto dokumentu je shrnout bezpečnostní zásady a postupy uplatňované v rámci služby ESET PROTECT Hub. Bezpečnostní zásady a postupy jsou navrženy tak, aby byla zajištěna důvěrnost, integrita a dostupnost dat zákazníků. Mějte na paměti, že se bezpečnostní zásady a postupy mohou kdykoli změnit.

Rozsah

Účelem tohoto dokumentu je shrnout bezpečnostní postupy a zásady uplatňované v ESET PROTECT Hub infrastruktuře, organizaci, personálních a provozních procesech. Mezi bezpečnostní zásady a postupy patří:

  1. Politiky bezpečnosti informací
  2. Organizace bezpečnosti informací
  3. Bezpečnost lidských zdrojů
  4. Řízení aktiv
  5. Řízení přístupu
  6. Kryptografie
  7. Fyzická bezpečnost a bezpečnost prostředí
  8. Bezpečnost provozu
  9. Bezpečnost komunikací
  10. Akvizice, vývoj a údržba systému
  11. Vztah s dodavateli
  12. Řízení incidentů bezpečnosti informací
  13. Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací
  14. Soulad s požadavky

Bezpečnostní koncept

Společnost ESET s.r.o. je držitelem certifikátu ISO 27001:2013 s integrovaným systémem správy, který pokrývá službu ESET PROTECT Hub.

Koncept informační bezpečnosti proto používá standard ISO 27001 k implementaci bezpečnostní strategie vícevrstvé ochrany při aplikování bezpečnostních zásad na vrstvě sítové, operačních systémů, databází, aplikací, zaměstnanců a provozních procesů. Použité bezpečnostní postupy a zásady se mají vzájemně překrývat a doplňovat.

Bezpečnostní zásady a postupy

1. Politiky bezpečnosti informací

Společnost ESET uplatňuje politiky informační bezpečnosti, které pokrývají všechny aspekty standardu ISO 27001, včetně řízení bezpečnosti informací a bezpečnostní zásady a postupy. Politiky jsou každoročně revidovány a po významných změnách aktualizovány, aby byla zajištěna jejich kontinuální vhodnost, přiměřenost a účinnost.

Společnost ESET provádí každoroční revize těchto politik a kontroly interní bezpečnosti za účelem zajištění souladu s jejich ustanoveními. V případě nedodržování politik informační bezpečnosti jsou zaměstnancům společnosti ESET uložena disciplinární opatření a dodavatelům smluvní sankce, které mohou vést až k ukončení smlouvy.

2. Organizace bezpečnosti informací

Organizace informační bezpečnosti služby ESET PROTECT Hub se skládá z více týmů a jednotlivců zapojených do informační bezpečnosti a IT, včetně:

  • výkonného managementu společnosti ESET,
  • týmů interní bezpečnosti společnosti ESET,
  • IT týmů podnikových aplikací,
  • dalších podpůrných týmů.

Odpovědnost za informační bezpečnost je přidělována v souladu se zavedenými politikami informační bezpečnosti. Interní procesy jsou identifikovány a posuzovány z hlediska rizik vyplývajících z neoprávněné nebo neúmyslné modifikace nebo zneužití aktiv společnosti ESET. Při rizikových nebo citlivých činnostech souvisejících s interními procesy je za účelem snížení rizika uplatňován princip oddělení odpovědností.

Právní tým společnosti ESET je zodpovědný za kontakt s orgány státní správy, včetně regulačních orgánů v oblasti kybernetické bezpečnosti a ochrany osobních údajů. Tým interní bezpečnosti společnosti ESET je zodpovědný za kontakt se zájmovými skupinami, jako je například ISACA. Výzkumné týmy společnosti ESET jsou zodpovědné za komunikaci s dalšími společnostmi zabývajícími se bezpečností a širší komunitou pro kybernetickou bezpečnosti.

Informační bezpečnost je zohledněna v projektovém řízení pomocí aplikovaného rámce řízení projektů od koncepce až po dokončení projektu.

Práci na dálku a práci z domova pokrývají politiky implementované na mobilních zařízeních, které zahrnují použití silné kryptografické ochrany dat na mobilních zařízeních při pohybu mezi nedůvěryhodnými sítěmi. Bezpečnostní kontroly na mobilních zařízeních jsou navrženy tak, aby fungovaly nezávisle na interních sítích a interních systémech společnosti ESET.

3. Bezpečnost lidských zdrojů

Společnost ESET používá standardní postupy v oblasti lidských zdrojů, včetně politik určených k dodržování informační bezpečnosti. Tyto postupy jsou platné po celý životní cyklus zaměstnance a vztahují se na všechny týmy, které mají přístup k prostředí služby ESET PROTECT Hub.

4. Řízení aktiv

Infrastruktura služby ESET PROTECT Hub je součástí katalogu aktiv společnosti ESET s určeným vlastnictvím a pravidly aplikovanými podle typu a citlivosti aktiv. Společnost ESET má definované interní klasifikační schéma. Veškerá data a konfigurace související se službou ESET PROTECT Hub jsou klasifikována jako důvěrná.

5. Řízení přístupu

Politika řízení přístupu společnosti ESET upravuje každý přístup v rámci služby ESET PROTECT Hub. Řízení přístupu se nastavuje na úrovni infrastruktury, síťových služeb, operačního systému, databáze a aplikace. Správa úplného přístupu uživatelů na úrovni aplikace je autonomní a využívá řízení přístupu založené na rolích služby Microsoft Azure.

Přístup k backendu je výhradně omezen na oprávněné osoby a role. Při správě přístupu zaměstnanců společnosti ESET k infrastruktuře a sítím služby ESET PROTECT Hub se využívají standardní procesy společnosti ESET pro (de)registraci uživatelů, (de)provisioning, správu oprávnění a kontrolu přístupových oprávnění uživatelů.

Pro ochranu přístupu ke všem datům souvisejícím se službou ESET PROTECT Hub se používá silné ověřování.

6. Kryptografie

Databáze služby ESET PROTECT Hub zabezpečují data jejich šifrováním při přenosu pomocí TLS. Kromě toho jsou šifrována i uložená data a šifrovací klíč databáze je chráněn vestavěným certifikátem serveru.

Certifikáty pro veřejné služby vydává důvěryhodná certifikační autorita.

7. Fyzická bezpečnost a bezpečnost prostředí

ESET PROTECT Hub je cloudová služba a využívá Microsoft Azure k zajištění fyzické bezpečnosti a bezpečnosti prostředí. Fyzické umístění datového centra je výhradně v Evropské unii (EU). Data zákazníků jsou při svém přenosu chráněna silnou kryptografií.

8. Bezpečnost provozu

Služba ESET PROTECT Hub je provozována automatizovanými prostředky na základě přísných provozních postupů a konfiguračních šablon. Všechny změny, včetně změn v konfiguraci a nasazení nového balíčku, se nasazením do produkčního prostředí schvalují a testují ve vyhrazeném testovacím prostředí. Vývojová, testovací a produkční prostředí jsou od sebe oddělená. Data služby ESET PROTECT Hub se nacházejí výhradně v produkčním prostředí.

Prostředí služby ESET PROTECT Hub je sledováno prostřednictvím monitorování provozu za účelem rychlé identifikace problémů a zajištění dostatečné kapacity všem službám na úrovni sítě a hostitele.

Veškerá konfigurační data jsou pravidelně zálohována a jsou na ně aplikovány funkce redundance.

Zálohy jsou šifrovány a v rámci testování kontinuity je pravidelně ověřována jejich obnovitelnost.

Audit systémů je prováděn dle interních standardů a směrnic. Protokoly a auditní záznamy z infrastruktury, operačního systému, databáze, aplikačních serverů a prvků zabezpečení se shromažďují nepřetržitě. Auditní záznamy jsou dále zpracovávány týmy IT a interní bezpečností za účelem identifikace provozních a bezpečnostních anomálií a incidentů informační bezpečnosti.

Společnost ESET se řídí všeobecným technickým procesem pro správu zranitelností k řízení zranitelností v infrastruktuře ESET, včetně služby ESET PROTECT Hub a dalších produktech ESET. Součástí tohoto procesu je proaktivní skenování zranitelností a opakované penetrační testování infrastruktury, produktů a aplikací.

Společnost ESET má zavedené interní směrnice pro bezpečnost interní infrastruktury, sítí, operačních systémů, databází, aplikačních serverů a aplikací. Jejich dodržování je kontrolováno prostřednictvím monitorování technického souladu a našeho programu interního auditu informační bezpečnosti.

9. Bezpečnost komunikací

Přístup služby ESET PROTECT Hub k síti je omezen pouze na nezbytné služby.

Síťový provoz je nepřetržitě monitorován na výskyt provozních a bezpečnostních anomálií. Potenciální útoky lze vyřešit pomocí nativních možností dostupných v cloudu nebo nasazených bezpečnostních řešení. Veškerá síťová komunikace je šifrována pomocí obecně dostupných technik, včetně protokolů IPsec a TLS.

10. Akvizice, vývoj a údržba systému

Vývoj systémů služby ESET PROTECT Hub probíhá v souladu s politikou pro vývoj bezpečného softwaru společnosti ESET. Týmy interní bezpečnosti se na vývoji služby ESET PROTECT Hub podílejí již od počáteční fáze a dohlížejí na všechny aspekty vývoje a údržby. Tým interní bezpečnosti definuje a kontroluje plnění bezpečnostních požadavků v různých fázích vývoje softwaru. Bezpečnost všech služeb, včetně nově vyvinutých, je od jejich vydání průběžně testována.

11. Vztah s dodavateli

Relevantní dodavatelský vztah je veden podle platných směrnic společnosti ESET, které upravují řízení vztahů se zákazníky a smluvní požadavky z hlediska informační bezpečnosti a ochrany osobních údajů. Kvalita a bezpečnost služeb poskytovaných poskytovatelem kritických služeb podléhá pravidelnému hodnocení.

Dále společnost ESET u služby ESET PROTECT Hub uplatňuje princip přenositelnosti, aby se zabránilo závislosti na konkrétním dodavateli.

12. Řízení incidentů bezpečnosti informací

Správa incidentů v oblasti informační bezpečnosti souvisejících se službou ESET PROTECT Hub je řízena podobně jako u jiných infrastruktur společnosti ESET a opírá se o definované postupy řešení incidentů. Role v rámci reakce na incidenty jsou definovány a rozděleny mezi více týmů, nejen z oblasti IT, bezpečnosti, právní, lidských zdrojů, vztahů s veřejností a výkonného managementu. Incidenty třídí tým interní bezpečnosti, které si následně přebírá sestavený tým zodpovědný za řešení incidentu. Tento tým zajistí další koordinaci ostatních týmů, které se podílejí na řešení incidentu. Tým interní bezpečnost je rovněž zodpovědný za shromažďování důkazů a získaných poznatků. Vznik incidentu a jeho řešení je sděleno dotčeným stranám. Právní tým společnosti ESET je v případě potřeby zodpovědný za informování regulačních orgánů v souladu se všeobecným nařízení o ochraně osobních údajů (GDPR) a aktem EU o kybernetické bezpečnosti EU transponujícím směrnici o bezpečnosti sítí a informačních systémů (NIS).

13. Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací

Kontinuita provozu služby ESET PROTECT Hub je zakódována v robustní architektuře, která maximalizuje dostupnosti poskytovaných služeb. V případě katastrofického selhání všech redundantních uzlů komponent služby ESET PROTECT Hub, nebo služby ESET PROTECT Hub samotné, je možné provést kompletní obnovení z externích záloh a konfiguračních dat. Proces obnovy je pravidelně testován.

14. Soulad s požadavky

Dodržování regulačních a smluvních požadavků souvisejících se službou ESET PROTECT Hub je pravidelně posuzováno a přezkoumáváno podobně jako jiná infrastruktura a procesy společnosti ESET. Provádějí se nezbytná opatření k zajištění soustavného dodržování požadavků. Společnost ESET je registrována jako poskytovatel digitálních služeb v oblasti cloud computingu, mezi které spadají další služby společnosti ESET včetně ESET PROTECT Hub. Mějte na paměti, že aktivity společnost ESET týkající se dodržování předpisů nemusí nutně znamenat, že jsou splněny celkové požadavky zákazníků na dodržování předpisů.