ESET-ova online pomoć

Traži Hrvatski
Odaberite kategoriju
Odaberite temu

Sigurnost za program ESET PROTECT Hub

Uvod

Svrha ovog dokumenta je sažeti sigurnosne prakse i kontrole koje se primjenjuju u programu ESET PROTECT Hub. Sigurnosne prakse i kontrole osmišljene su za zaštitu povjerljivosti, integriteta i dostupnosti podataka o klijentima. Imajte na umu da se sigurnosne prakse i kontrole mogu promijeniti.

Opseg

Područje primjene ovog dokumenta je sažeti sigurnosne prakse i sigurnosne kontrole za infrastrukturu, organizaciju, osoblje i operativne procese programa ESET PROTECT Hub. Sigurnosne prakse i kontrole uključuju:

  1. Pravila informacijske sigurnosti
  2. Organizacija informacijske sigurnosti
  3. Sigurnost ljudskih resursa
  4. Upravljanje imovinom
  5. Kontrola pristupa
  6. Kriptografija
  7. Fizička sigurnost i sigurnost okruženja
  8. Sigurnost operacija
  9. Komunikacijska sigurnost
  10. Nabava, razvoj i održavanje sustava
  11. Odnos s dobavljačima
  12. Upravljanje incidentima informacijske sigurnosti
  13. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
  14. Sukladnost

Koncept sigurnosti

ESET s.r.o. je tvrtka certificirana prema normi ISO 27001:2013 i ima integrirani opseg sustava upravljanja koji izričito obuhvaća program ESET PROTECT Hub.

Stoga se za koncept informacijske sigurnosti upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na sloju mreže, operacijskih sustava, baza podataka, aplikacija, osoblja i operativnih procesa. Primijenjene sigurnosne prakse i sigurnosne kontrole namijenjene su preklapanju i međusobnom nadopunjavanju.

Sigurnosne prakse i kontrole

1. Pravila informacijske sigurnosti

ESET upotrebljava pravila informacijske sigurnosti kako bi obuhvatio sve aspekte ISO 27001 norme, uključujući upravljanje informacijskom sigurnošću te sigurnosne kontrole i prakse. Pravila se revidiraju svake godine i nadograđuju nakon znatnih promjena kako bi se osigurala njihova trajna prikladnost, primjerenost i učinkovitost.

ESET provodi godišnje revizije ovih pravila i unutarnje provjere sigurnosti kako bi osigurao sukladnost s ovim pravilima. Nepoštovanje pravila informacijske sigurnosti podliježe disciplinskim mjerama za ESET-ove zaposlenike ili ugovornim kaznama do raskida ugovora za dobavljače.

2. Organizacija informacijske sigurnosti

Organizacija informacijske sigurnosti za ESET PROTECT Hub sastoji se od više timova i pojedinaca uključenih u informacijsku sigurnost i tima za IT, uključujući:

  • ESET-ovu izvršnu upravu
  • ESET-ove timove za unutarnju sigurnost
  • IT timove za poslovne aplikacije
  • Ostale timove za podršku

Odgovornosti za informacijsku sigurnost dodjeljuju se u skladu s utvrđenim pravilima informacijske sigurnosti. Interni procesi identificiraju se i procjenjuju za svaki rizik od neovlaštene ili nenamjerne izmjene ili zlouporabe ESET-ove imovine. Rizične ili osjetljive aktivnosti unutarnjih procesa segregiraju dužnosti kako bi se ublažio rizik.

ESET-ov pravni tim odgovoran je za kontaktiranje s državnim tijelima, uključujući slovačke regulatore za kibernetičku sigurnost i zaštitu osobnih podataka. ESET-ov tim za unutarnju sigurnost odgovoran je za kontaktiranje s posebnim interesnim skupinama kao što je ISACA. ESET-ov tim istraživačkog laboratorija odgovoran je za komunikaciju s drugim sigurnosnim tvrtkama i većom zajednicom za kibernetičku sigurnost.

Informacijska sigurnost uzima se u obzir u upravljanju projektima pomoću primijenjenog okvira za upravljanje projektima od početka do završetka projekta.

Rad na daljinu i rad od kuće obuhvaćeni su pravilima koja se provode na mobilnim uređajima, koja uključuju upotrebu snažne kriptografske zaštite podataka na mobilnim uređajima tijekom putovanja kroz nepouzdane mreže. Sigurnosne kontrole na mobilnim uređajima osmišljene su tako da rade neovisno o ESET-ovim internim mrežama i internim sustavima.

3. Sigurnost ljudskih resursa

ESET upotrebljava standardne prakse u području ljudskih resursa, uključujući pravila osmišljena za očuvanje informacijske sigurnosti. Te prakse obuhvaćaju cijeli životni ciklus zaposlenika i primjenjuju se na sve timove koji imaju pristup okruženju programa ESET PROTECT Hub.

4. Upravljanje imovinom

Infrastruktura programa ESET PROTECT Hub je uključena u ESET-ove zalihe imovine sa strogim vlasništvom i pravilima koja se primjenjuju u skladu s vrstom i osjetljivošću imovine. ESET ima definiranu internu shemu klasifikacije. Svi podaci i konfiguracije programa ESET PROTECT Hub klasificirani su kao povjerljivi.

5. Kontrola pristupa

ESET-ovo pravilo kontrole pristupa upravlja svakim pristupom u programu ESET PROTECT Hub. Kontrola pristupa postavljena je na razini infrastrukture, mrežnih servisa, operacijskog sustava, baze podataka i aplikacije. Potpuno upravljanje korisničkim pristupom na razini aplikacije autonomno je putem kontrole pristupa koja se temelji na ulogama Microsoft Azure.

Pristup ESET-ovom pozadinskom servisu strogo je ograničen na ovlaštene pojedince i uloge. Standardni ESET-ovi procesi za (od)registraciju korisnika, dodjelu/oduzimanje resursa, upravljanje povlasticama i pregled prava pristupa korisnika se upotrebljavaju za upravljanje pristupom ESET-ovih zaposlenika infrastrukturi i mrežama programa ESET PROTECT Hub.

Uspostavljena je snažna autentikacija kako bi se zaštitio pristup svim podacima programa ESET PROTECT Hub.

6. Kriptografija

Baze podataka programa ESET PROTECT Hub štite podatke šifriranjem podataka u prijenosu pomoću TLS-a. Nadalje, podaci u mirovanju su šifrirani, a ugrađeni certifikat servera štiti ključ za šifriranje baze podataka.

Za izdavanje certifikata za javne usluge upotrebljava se općenito pouzdano tijelo za izdavanje certifikata.

7. Fizička sigurnost i sigurnost okruženja

Program ESET PROTECT Hub temelji se na cloudu i upotrebljava Microsoft Azure za fizičku sigurnost i sigurnost okoliša. Fizička lokacija podatkovnog centra isključivo je u Europskoj uniji (EU). Uspostavljena je snažna kriptografija za zaštitu korisničkih podataka tijekom transporta.

8. Sigurnost operacija

Programom ESET PROTECT Hub upravlja se na automatiziran način na temelju strogih operativnih procedura i konfiguracijskih predložaka. Sve promjene, uključujući konfiguracijske promjene i instalaciju novih paketa, se odobravaju i testiraju u namjenskom okruženju za testiranje prije uvođenja u proizvodnju. Razvojna, testna i proizvodna okruženja su odvojena. Podaci programa ESET PROTECT Hub se nalaze samo u proizvodnom okruženju.

Okruženje programa ESET PROTECT Hub se nadzire operativnim praćenjem kako bi se brzo utvrdili problemi i osigurao dovoljan kapacitet za sve servise na razini mreže i servera.

Svi konfiguracijski podaci redovito se sigurnosno kopiraju i imaju primijenjene funkcije redundancije.

Sigurnosne kopije su šifrirane i redovito se provode testiranja njihova vraćanja kao dio testiranja kontinuiteta poslovanja.

Provjera sustava provodi se u skladu s internim standardima i smjernicama. Dnevnici i događaji iz infrastrukture, operacijskog sustava, baze podataka, servera aplikacija i sigurnosnih kontrola se prikupljaju kontinuirano. Te dnevnike dodatno obrađuju timovi za IT i unutarnju sigurnost kako bi se utvrdile operativne i sigurnosne anomalije i incidenti informacijske sigurnosti.

ESET upotrebljava opći postupak upravljanja tehničkom ranjivošću za rješavanje pojave ranjivosti u ESET-ovoj infrastrukturi, uključujući ESET PROTECT Hub i druge ESET-ove programe. Ovaj proces uključuje proaktivno skeniranje ranjivosti i ponovljeno penetracijsko testiranje infrastrukture, programa i aplikacija.

ESET navodi interne smjernice za sigurnost interne infrastrukture, mreža, operativnih sustava, baza podataka, servera aplikacija i aplikacija. Te se smjernice provjeravaju praćenjem tehničke sukladnosti i našeg internog programa za sigurnosnu provjeru.

9. Komunikacijska sigurnost

Pristup mreži programa ESET PROTECT Hub ograničen je samo na potrebne usluge.

Mrežni promet se kontinuirano prati zbog operativnih i sigurnosnih anomalija. Potencijalni napadi mogu se riješiti upotrebom izvornih kontrola u cloudu ili implementiranih sigurnosnih rješenja. Sva mrežna komunikacija je šifrirana općenito dostupnim tehnikama, uključujući IPsec i TLS.

10. Nabava, razvoj i održavanje sustava

Razvoj sustava ESET PROTECT Hub provodi se u skladu s ESET-ovim pravilima razvoja sigurnog softvera. Timovi za unutarnju sigurnost uključeni su u razvojni projekt za ESET PROTECT Hub od početne faze i nadgledaju sve razvojne aktivnosti i aktivnosti održavanja. Tim za unutarnju sigurnost definira sigurnosne zahtjeve i provjerava ispunjavaju li se u različitim fazama razvoja softvera. Sigurnost svih servisa, uključujući i novorazvijene, kontinuirano se testira nakon puštanja u promet.

11. Odnos s dobavljačima

Odnos s relevantnim dobavljačima provodi se u skladu s važećim ESET-ovim smjernicama koje obuhvaćaju cjelokupno upravljanje odnosima i ugovorne zahtjeve iz perspektive informacijske sigurnosti i privatnosti. Kvaliteta i sigurnost usluga koje pruža ključni pružatelj usluga redovito se procjenjuju.

Nadalje, ESET upotrebljava načelo prenosivosti za ESET PROTECT Hub kako bi izbjegao zaključavanje dobavljača.

12. Upravljanje informacijskom sigurnošću

Upravljanje incidentima informacijske sigurnosti u programu ESET PROTECT Hub se provodi slično kao i za druge ESET-ove infrastrukture i oslanja se na definirane postupke odgovora na incidente. Uloge u odgovoru na incidente se definiraju i raspoređuju u više timova, uključujući timove za IT, sigurnost, pravni tim, ljudske resurse, odnose s javnošću i izvršnu upravu. Tim za odgovor na incident je uspostavljen na temelju trijaže incidenata tima za unutarnju sigurnost. Taj tim će osigurati daljnju koordinaciju drugih timova koji se bave incidentom. Tim za unutarnju sigurnost odgovoran je još i za prikupljanje dokaza i stečena iskustva. Pogođene strane se obavještavaju o nastanku incidenta i njegovom rješavanju. ESET-ov pravni tim odgovoran je za obavještavanje regulatornih tijela ako je to potrebno u skladu s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o kibernetičkoj sigurnosti kojim se prenosi Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS).

13. Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja

Kontinuitet poslovanja servisa programa ESET PROTECT Hub kodiran je u robusnoj arhitekturi koja se koristi za maksimiziranje dostupnosti pruženih servisa. Potpuno vraćanje podataka iz sigurnosne kopije izvan lokacije i konfiguracijskih podataka je moguće u slučaju katastrofalne pogreške svih suvišnih čvorova za komponente programa ESET PROTECT Hub ili servis programa ESET PROTECT Hub. Proces vraćanja se redovito testira.

14. Sukladnost

Sukladnost s regulatornim i ugovornim zahtjevima za ESET PROTECT Hub se redovito procjenjuje i preispituje slično drugim ESET-ovim infrastrukturama i procesima i poduzimaju se potrebni koraci kako bi se kontinuirano osiguravala sukladnost. ESET je registriran kao pružatelj digitalnih usluga za digitalnu uslugu Računalstvo u cloudu koja obuhvaća više ESET-ovih servisa, uključujući ESET PROTECT Hub. Imajte na umu da ESET-ove aktivnosti povezane sa sukladnosti ne znače nužno da su ispunjeni ukupni zahtjevi kupaca u pogledu sukladnosti.