ESET Online súgó

Keresés Magyar
Válassza ki a kategóriát
Válassza ki a témakört

Az ESET PROTECT Hub védelme

Bevezetés

Jelen dokumentum rendeltetése, hogy összefoglalja az ESET PROTECT Hub szolgáltatáson belül alkalmazott biztonsági eljárásokat és biztonsági ellenőrzéseket. A biztonsági eljárások és ellenőrzések célja az ügyféladatok titkosságának, sértetlenségének és elérhetőségének védelme. Vegye figyelembe, hogy a biztonsági eljárások és ellenőrzések változhatnak.

Hatókör

Jelen dokumentum a biztonsági eljárások és biztonsági ellenőrzések összefoglalását nyújtja az ESET PROTECT Hub-infrastruktúra, -szervezet, -személyzet és működtetési folyamatok vonatkozásában. A biztonsági eljárások és ellenőrzések közé tartoznak a következők:

  1. Információbiztonsági irányelvek
  2. Információbiztonsági szervezeti felépítés
  3. Humánerőforrás-biztonság
  4. Eszközkezelés
  5. Hozzáférés-felügyelet
  6. Kriptográfia
  7. Fizikai és környezeti biztonság
  8. Műveleti biztonság
  9. Kommunikációs biztonság
  10. Rendszerbeszerzés, -fejlesztés és -karbantartás
  11. Beszállítói kapcsolat
  12. Információbiztonsági incidensek kezelése
  13. Az üzletmenet-folytonosság kezelésének információbiztonsági szempontjai
  14. Jogi megfelelőség

Biztonsági elv

Az ESET s.r.o. cég ISO 27001:2013 tanúsítvánnyal rendelkezik, és integrált irányítási rendszert alkalmaz, amely kifejezetten kiterjed az ESET PROTECT Hub szolgáltatásra.

Ezért az információbiztonság elve az ISO 27001 keretrendszer szerint valósítja meg többrétegű biztonsági stratégiáját a biztonsági ellenőrzések hálózaton, operációs rendszerekben, adatbázisokban, alkalmazásokban, személyzet körében és működtető folyamatokban való alkalmazásakor. Az alkalmazott biztonsági gyakorlatok és biztonsági ellenőrzések átfedik és kiegészítik egymást.

Biztonsági eljárások és ellenőrzések

1. Információbiztonsági irányelvek

Az ESET információbiztonsági irányelveket alkalmaz az ISO 27001 szabvány minden szempontját figyelembe véve, ideértve az információbiztonsági irányítást, valamint a biztonsági ellenőrzéseket és eljárásokat. Az irányelveket évente felülvizsgáljuk, jelentős változtatások után pedig frissítjük, hogy biztosítsuk további alkalmasságukat, megfelelőségüket és hatékonyságukat.

Az ESET évente felülvizsgálja a jelen irányelvet és a belső biztonsági ellenőrzéseket a jelen irányelvvel való összhang biztosítása érdekében. Az információbiztonsági irányelvek megszegése fegyelmi intézkedéseket von maga után az ESET alkalmazottai esetén, a beszállítók esetén pedig szerződéses szankciókat, ami akár a szerződés felmondását is jelentheti.

2. Információbiztonsági szervezeti felépítés

Az ESET PROTECT Hub esetén az információbiztonsági szervezet több információbiztonsági és informatikai csapatból és személyből épül fel, többek között a következőkből:

  • ESET-vezetőség
  • Belső biztonsági ESET-csapatok
  • Üzleti alkalmazások IT-csapatai
  • Egyéb támogató csapatok

Az információbiztonsági feladatokat az alkalmazott információbiztonsági irányelveknek megfelelően osztjuk ki. Beazonosítjuk és kiértékeljük a belső folyamatokat az ESET-eszközök jogosulatlan vagy nem szándékos módosításának, illetve az azokkal való visszaélések kockázata vonatkozásában. A kockázatok mérséklése érdekében a belső folyamatokban a kockázatos vagy bizalmas jellegű tevékenységek során a feladatok szétválasztásának elve érvényesül.

Az ESET jogi csoportja felel az állami hatóságokkal, többek között a kiberbiztonsággal és a személyes adatok védelmével foglalkozó szlovák szabályozó hivatalokkal való kapcsolattartásért. Az ESET belső biztonsági csapata felel az olyan speciális érdekcsoportokkal való kapcsolatfelvételért, mint például az ISACA. Az ESET kutatási laboratóriumi csapata felel a többi biztonsági céggel és a szélesebb kiberbiztonsági közösséggel folytatott kommunikációért.

Az információbiztonság mindvégig megvalósul a projektmenedzsmentben az alkalmazott projektmenedzsment-keretrendszer révén az ötletek megszületésétől kezdve a projektek befejezéséig.

A távoli munkát és a távmunkát a mobileszközökön megvalósított házirend alkalmazásával tesszük lehetővé, amely magában foglalja az erős kriptográfiai adatvédelem alkalmazását a mobileszközökön a nem megbízható hálózatokon való áthaladás során. A mobileszközökön alkalmazott biztonsági ellenőrzések úgy vannak megtervezve, hogy az ESET belső hálózataitól és belső rendszereitől függetlenül működjenek.

3. Humánerőforrás-biztonság

Az ESET szabványos humánerőforrás-eljárásokat alkalmaz, ideértve az információbiztonság fenntartását célzó irányelveket is. Az eljárások az alkalmazottak teljes életciklusát felölelik, és minden olyan csapatra kiterjednek, amely hozzáfér az ESET PROTECT Hub-környezethez.

4. Eszközkezelés

Az ESET PROTECT Hub-infrastruktúra szerepel az ESET eszközkészleteiben, szigorú tulajdonjogi meghatározással, valamint az eszköztípus és -érzékenység szerint alkalmazott szabályok alkalmazása mellett. Az ESET belső osztályozási sémával rendelkezik. Minden ESET PROTECT Hub-adat és -konfiguráció bizalmasnak minősül.

5. Hozzáférés-felügyelet

Az ESET hozzáférés-vezérlési irányelve szabályoz mindennemű hozzáférést az ESET PROTECT Hub szolgáltatásban. A hozzáférés-vezérlés az infrastruktúra, a hálózati szolgáltatások, az operációs rendszer, az adatbázis és az alkalmazás szintjén egyaránt be van állítva. Az alkalmazás szintjén a teljes felhasználói hozzáférés-kezelés önállóan történik a Microsoft Azure szerepalapú hozzáférés-vezérlése segítségével.

Az ESET háttér-hozzáférése szigorúan a jóváhagyott személyekre és szerepkörökre korlátozódik. A felhasználói regisztrációhoz/regisztráció megszüntetéséhez, az üzembe helyezéshez/üzemen kívül helyezéshez, a jogosultságkezeléshez és a felhasználói hozzáférési jogok felülvizsgálatához használt szabványos ESET-folyamatok az ESET alkalmazottainak ESET PROTECT Hub-infrastruktúrához és hálózatokhoz való hozzáférésének kezelésére szolgálnak.

Erős hitelesítés van érvényben az összes ESET PROTECT Hub-adathoz való hozzáférés védelme érdekében.

6. Kriptográfia

Az ESET PROTECT Hub-adatbázisok úgy védik meg az adatokat, hogy TLS segítségével titkosítják őket a továbbításuk során. Ezenkívül az adatok nyugalmi állapotban titkosítva vannak, és egy beépített szervertanúsítvány védi az adatbázis titkosítási kulcsát.

Általában egy megbízhatónak talált tanúsítványhitelesítő adja ki a tanúsítványokat a közszolgáltatások számára.

7. Fizikai és környezeti biztonság

Az ESET PROTECT Hub felhőalapú, és a Microsoft Azure-t használja a fizikai és környezeti védelemhez. Az adatközpont fizikailag kizárólag az Európai Unióban (EU) található. Erős kriptográfia van működésben, amely megvédi az ügyfelek adatait a továbbításuk közben.

8. Műveleti biztonság

Az ESET PROTECT Hub működtetése automatizált eszközökkel történik, szigorú működtetési eljárások és konfigurációs sablonok alapján. Minden változtatást – ideértve a konfigurációs módosításokat és az új csomagok telepítését – jóvá kell hagyni és tesztelni kell dedikált tesztelési környezetben, mielőtt sor kerülne az üzembe helyezésükre. A fejlesztési, tesztelési és termelési környezetek elkülönülnek egymástól. Az ESET PROTECT Hub-adatok csak a termelési környezetben találhatók meg.

Az ESET PROTECT Hub-környezet operatív ellenőrzéssel felügyeljük, így gyorsan azonosíthatók a problémák, és elegendő kapacitás biztosítható az összes szolgáltatás számára hálózati és hosztolási szinten.

Rendszeresen végbemegy az összes konfigurációs adat biztonsági mentése redundancia-funkciók alkalmazása mellett.

A biztonsági másolatokat titkosítjuk, és rendszeresen teszteljük a helyreállíthatóságukat az üzletmenet-folytonossági tesztelés részeként.

Az auditálás belső szabványok és iránymutatások szerint történik a rendszereken. Folyamatosan begyűjtjük a naplókat és az incidenseket az infrastruktúra, az operációs rendszer, az adatbázis, az alkalmazásszerverek és a biztonsági ellenőrzések vonatkozásában. A naplókat mélyrehatóbban elemzik az informatikai és belső biztonsági csapatok az operatív és biztonsági rendellenességek, valamint az információbiztonsági incidensek azonosítása érdekében.

Az ESET általános technikai sebezhetőségkezelési eljárást alkalmaz az ESET infrastruktúrájában – beleértve az ESET PROTECT Hub szolgáltatást és más ESET-termékeket is – előforduló biztonsági rések kezelésére. A folyamat magában foglal egy proaktív sebezhetőségi ellenőrzést, valamint az infrastruktúra, a termékek, és az alkalmazások ismétlődő penetrációs tesztelését.

Az ESET belső iránymutatásokat fogalmaz meg a belső infrastruktúra, hálózatok, operációs rendszerek, adatbázisok, alkalmazásszerverek és alkalmazások biztonságára vonatkozóan. Az iránymutatásokat a műszaki megfelelőség figyelésével és belső információbiztonsági auditálási programunkkal ellenőrizzük.

9. Kommunikációs biztonság

Az ESET PROTECT Hub hálózati hozzáférés csak a szükséges szolgáltatásokra korlátozódik.

Folyamatosan figyelemmel kísérjük, hogy a hálózati forgalomban nincsenek-e üzemeltetési és biztonsági rendellenességek. A potenciális támadások natív felhővezérlő eszközökkel, illetve telepített biztonsági megoldásokkal háríthatók el. Minden hálózati kommunikáció olyan általánosan elérhető technikákkal van titkosítva, mint például az IPsec és a TLS.

10. Rendszerbeszerzés, -fejlesztés és -karbantartás

Az ESET PROTECT Hub rendszerek fejlesztése az ESET biztonságos szoftverfejlesztési irányelvének megfelelően történik. A belső biztonsági csapatok a kezdeti szakasztól kezdve részt vesznek az ESET PROTECT Hub fejlesztési projektben, és felügyelik az összes fejlesztési és karbantartási tevékenységet. A belső biztonsági csapat meghatározza és ellenőrzi a biztonsági követelmények teljesítését a szoftverfejlesztés különböző szakaszaiban. Az összes szolgáltatás biztonsága – ideértve az újonnan kifejlesztetteket is – folyamatos tesztelésen megy át a kiadás után.

11. Beszállítói kapcsolat

A megfelelő beszállítói kapcsolat kialakítása az ESET érvényes irányelvei mentén zajlik, amelyek kiterjednek az összes kapcsolatkezelési és szerződéses követelményre az információbiztonság és az adatvédelem szempontjából. A kritikus szolgáltató által nyújtott szolgáltatások minősége és biztonsága rendszeres kiértékelések tárgyát képezi.

Az ESET továbbá a hordozhatóság elvét alkalmazza az ESET PROTECT Hub esetén a beszállítói zárolás elkerülése érdekében.

12. Információbiztonsági menedzsment

Az ESET PROTECT Hub szolgáltatásban az információbiztonsági incidensek kezelése a többi ESET-infrastruktúrához hasonlóan megy végbe, és meghatározott incidenskezelési eljárásokra támaszkodik. Az incidenskezelés során a szerepköröket több csapat határozza meg és osztja fel, ideértve az informatikai, biztonsági, jogi, HR-, közönségkapcsolati és vezetőségi csapatot. Egy adott incidens során az incidenskezelési csapatot a belső biztonsági csapat határozza meg az incidens-rangsorolás alapján. Az adott csapat végzi majd az incidenst kezelő többi csapat további koordinálását. A belső biztonsági csapat felelős a bizonyítékok begyűjtéséért és a tanulságok levonásáért is. Az incidensek megtörténtéről és elhárításáról értesítik az érintett feleket. Az ESET jogi csapata felelős azért, hogy szükség esetén értesítse a szabályozó testületeket az Általános adatvédelmi rendelet (GDPR) és a Hálózati és információbiztonsági irányelvet (NIS) felváltó Kiberbiztonsági törvénynek megfelelően.

13. Az üzletmenet-folytonosság kezelésének információbiztonsági szempontjai

Az ESET PROTECT Hub szolgáltatás üzletmenet-folytonosságát az a masszív architektúra biztosítja, amelyet a nyújtott szolgáltatások elérhetőségének maximalizálására használunk. A helyszínen kívül tárolt biztonsági másolat és konfigurációs adatok révén teljes helyreállításra van lehetőség az ESET PROTECT Hub-komponensek vagy az ESET PROTECT Hub szolgáltatás összes redundáns csomópontjának katasztrofális meghibásodása esetén is. A helyreállítási folyamatot rendszeresen teszteljük.

14. Jogi megfelelőség

Az ESET PROTECT Hub megfelelőségi és szerződéses követelményeinek betartásának felmérése és ellenőrzése rendszeresen megtörténik az ESET egyéb infrastruktúráihoz és folyamataihoz hasonlóan, és folyamatosan elvégezzük a követelmények betartásához szükséges tevékenységeket. Az ESET digitális szolgáltatóként van regisztrálva a Cloud Computing digitális szolgáltatások területén, amely több ESET-szolgáltatást is magában foglal, ideértve az ESET PROTECT Hub szolgáltatást is. Vegye figyelembe, hogy az ESET megfelelőségi tevékenységei nem feltétlenül jelentik azt, hogy az ügyfelek általános megfelelési követelményei teljesülnek.