Zabezpieczenia dla ESET PROTECT Hub
Wprowadzenie
Celem tego dokumentu jest podsumowanie praktyk bezpieczeństwa i środków kontroli bezpieczeństwa stosowanych w programie ESET PROTECT Hub. Praktyki i środki kontroli bezpieczeństwa mają na celu ochronę poufności, integralności i dostępności informacji klientów. Należy pamiętać, że praktyki bezpieczeństwa i środki kontroli mogą ulec zmianie.
Zakres
Zakres niniejszego dokumentu ma celu podsumowanie praktyk bezpieczeństwa i środków kontroli bezpieczeństwa infrastruktury ESET PROTECT Hub, personelu i procesów operacyjnych. Praktyki i kontrole bezpieczeństwa obejmują następujące elementy:
- Polityki bezpieczeństwa informacji
- Organizacja bezpieczeństwa informacji
- Bezpieczeństwo zasobów ludzkich
- Zarządzanie aktywami
- Kontrola dostępu
- Kryptografia
- Bezpieczeństwo fizyczne i środowiskowe
- Bezpieczeństwo operacyjne
- Bezpieczeństwo komunikacji
- Pozyskiwanie, rozwój i konserwacja systemów
- Relacje z dostawcą
- Zarządzanie incydentami związanymi z bezpieczeństwem informacji
- Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
- Zgodność z przepisami
Koncepcja bezpieczeństwa
Firma ESET s.r.o. posiada certyfikat ISO 27001:2013 w zakresie zintegrowanego systemu zarządzania wyraźnie obejmujący usługi ESET PROTECT Hub.
W związku z tym, koncepcja bezpieczeństwa informacji wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa na poziomie sieci, systemów operacyjnych, baz danych, aplikacji, personelu i procesów operacyjnych. Stosowane praktyki bezpieczeństwa i środki kontroli w zakresie ochrony mają się na siebie nakładać i uzupełniać.
Praktyki bezpieczeństwa i środki kontroli
1. Polityki bezpieczeństwa informacji
Firma ESET korzysta z polityk bezpieczeństwa informacji, aby objąć wszystkie aspekty normy ISO 27001, w tym zarządzanie bezpieczeństwem informacji oraz mechanizmy kontroli i praktyki w zakresie bezpieczeństwa. Zasady są poddawane corocznemu przeglądowi i aktualizowane po istotnych zmianach, aby zapewnić ich ciągłą przydatność, adekwatność i skuteczność.
Firma ESET przeprowadza coroczne przeglądy tej polityki i wewnętrzne kontrole bezpieczeństwa w celu zapewnienia zgodności z nią. Nieprzestrzeganie zasad polityki bezpieczeństwa informacji podlega działaniom dyscyplinarnym wobec pracowników firmy ESET lub karom umownym do momentu rozwiązania umowy z dostawcami.
2. Organizacja bezpieczeństwa informacji
Organizacja zabezpieczenia informacji dla ESET PROTECT Hub obejmuje wiele zespołów i osób zaangażowanych w bezpieczeństwo informacji oraz IT, w tym:
- Kierownictwo wykonawcze ESET
- Zespoły ds. bezpieczeństwa wewnętrznego ESET
- Zespoły IT ds. aplikacji biznesowych
- Inne zespoły wspierające
Obowiązki w zakresie zabezpieczenia informacji są przydzielane zgodnie z obowiązującymi politykami zabezpieczenia informacji. Procesy wewnętrzne identyfikuje się i ocenia pod kątem ryzyka nieautoryzowanej lub niezamierzonej modyfikacji lub niewłaściwego użycia zasobów firmy ESET. Ryzykowne lub wrażliwe działania procesów wewnętrznych przyjmują zasadę podziału obowiązków w celu ograniczenia ryzyka.
Zespół prawny ESET jest odpowiedzialny za kontakty z organami rządowymi, w tym z polskimi organami regulacyjnymi w zakresie cyberbezpieczeństwa i ochrony danych osobowych. Zespół ds. bezpieczeństwa wewnętrznego firmy ESET jest odpowiedzialny za kontaktowanie się ze stowarzyszeniami specjalistycznymi, takimi jak ISACA. Zespół laboratorium badawczego firmy ESET jest odpowiedzialny za komunikację z innymi firmami zajmującymi się bezpieczeństwem i większą społecznością zajmującą się cyberbezpieczeństwem.
Bezpieczeństwo informacji jest uwzględniane w zarządzaniu projektami przy użyciu stosowanych ram zarządzania projektami obejmujących etapy od koncepcji do zakończenia projektu.
Praca zdalna i telepraca są objęte polityką wdrożoną na urządzeniach mobilnych, która obejmuje stosowanie silnej kryptograficznej ochrony danych na urządzeniach mobilnych podczas podróży przez niezaufane sieci. Mechanizmy kontroli bezpieczeństwa na urządzeniach przenośnych są zaprojektowane do działania niezależnie od wewnętrznych sieci i systemów ESET.
3. Bezpieczeństwo zasobów ludzkich
Firma ESET stosuje standardowe praktyki w zakresie zasobów ludzkich, w tym polityki mające na celu utrzymanie bezpieczeństwa informacji. Praktyki te obejmują cały cykl życia pracownika i mają zastosowanie do wszystkich zespołów, które uzyskują dostęp do środowiska ESET PROTECT Hub.
4. Zarządzanie aktywami
Infrastruktura ESET PROTECT Hub jest uwzględniana w inwentarzu zasobów ESET ze ścisłą własnością i regułami stosowanymi odpowiednio do typu i wrażliwości zasobów. ESET ma zdefiniowany wewnętrzny schemat klasyfikacji. Wszystkie dane i konfiguracje ESET PROTECT Hub są klasyfikowane jako poufne.
5. Kontrola dostępu
Polityka kontroli dostępu firmy ESET reguluje każdy dostęp w programie ESET PROTECT Hub. Kontrola dostępu jest ustawiana na poziomie infrastruktury, usług sieciowych, systemu operacyjnego, bazy danych i aplikacji. Pełne zarządzanie dostępem użytkowników na poziomie aplikacji jest autonomiczne i odbywa się z wykorzystaniem sterowania dostępem Microsoft Azure opartego na rolach.
Dostęp do zaplecza ESET jest ściśle ograniczony do upoważnionych osób i ról. Standardowe procesy ESET dotyczące (de)rejestracji użytkowników, (de)aprowizacji, zarządzania uprawnieniami i przeglądu praw dostępu użytkowników służą do zarządzania dostępem pracowników ESET do infrastruktury ESET PROTECT Hub i do sieci.
Silne uwierzytelnianie ma na celu ochronę dostępu do wszystkich danych ESET PROTECT Hub.
6. Kryptografia
Bazy danych ESET PROTECT Hub zabezpieczają dane poprzez ich szyfrowanie podczas przekazywania za pomocą TLS. Ponadto dane w spoczynku są szyfrowane, a wbudowany certyfikat serwera chroni klucz szyfrowania bazy danych.
Korzystanie z usług urzędu certyfikacji cieszących się powszechnym uznaniem w zakresie wystawiania certyfikatów dla usług publicznych.
7. Bezpieczeństwo fizyczne i środowiskowe
Program ESET PROTECT Hub jest oparty na chmurze i korzysta z platformy Microsoft Azure w celu zapewnienia bezpieczeństwa fizycznego i środowiskowego. Fizyczna lokalizacja centrum danych znajduje się wyłącznie na terenie Unii Europejskiej (UE). Silna kryptografia ma na celu ochronę danych klientów podczas transportu.
8. Bezpieczeństwo operacyjne
Program ESET PROTECT Hub jest obsługiwany za pomocą zautomatyzowanych środków opartych na ścisłych procedurach operacyjnych i szablonach konfiguracyjnych. Wszystkie zmiany, w tym zmiany konfiguracji i wdrażanie nowych pakietów, są zatwierdzane i testowane w dedykowanym środowisku testowym przed wdrożeniem w środowisku produkcyjnym. Środowiska programistyczne, testowe i produkcyjne są od siebie oddzielone. Dane ESET PROTECT Hub znajdują się tylko w środowisku produkcyjnym.
Środowisko ESET PROTECT Hub jest nadzorowane za pomocą monitorowania operacyjnego w celu szybkiego identyfikowania problemów i zapewnienia wystarczającej pojemności wszystkim usługom na poziomie sieci i hosta.
Regularnie tworzone są kopie zapasowe wszystkich danych konfiguracyjnych, dla których stosuje się funkcje redundancji.
Kopie zapasowe są szyfrowane i regularnie testowane pod kątem możliwości odzyskania w ramach testów ciągłości działania.
Audyt systemów odbywa się zgodnie z wewnętrznymi standardami i wytycznymi. Dzienniki i zdarzenia dotyczące infrastruktury, systemu operacyjnego, bazy danych, serwerów aplikacji i mechanizmów kontroli bezpieczeństwa są zbierane w sposób ciągły. Dzienniki są następnie przetwarzane przez zespoły IT i zespoły ds. bezpieczeństwa wewnętrznego w celu identyfikacji anomalii operacyjnych i bezpieczeństwa oraz incydentów związanych z bezpieczeństwem informacji.
Firma ESET wykorzystuje ogólny proces zarządzania lukami technicznymi do obsługi występowania luk w zabezpieczeniach w infrastrukturze ESET, w tym ESET PROTECT Hub oraz w innych produktach ESET. Proces ten obejmuje proaktywne skanowanie luk w zabezpieczeniach i powtarzające się testy penetracyjne infrastruktury, produktów i aplikacji.
Firma ESET określa wewnętrzne wytyczne dotyczące bezpieczeństwa infrastruktury wewnętrznej, sieci, systemów operacyjnych, baz danych, serwerów aplikacji i aplikacji. Wytyczne te są sprawdzane za pomocą monitorowania zgodności technicznej i naszego wewnętrznego programu audytu zabezpieczeń informacji.
9. Bezpieczeństwo komunikacji
Dostęp programu ESET PROTECT Hub do sieci jest ograniczony tylko do niezbędnych usług.
Ruch sieciowy jest stale monitorowany pod kątem anomalii dotyczących działania i bezpieczeństwa. Potencjalnym atakom można zapobiegać, korzystając z natywnych mechanizmów kontroli w chmurze lub wdrożonych rozwiązań zabezpieczających. Cała komunikacja sieciowa jest szyfrowana za pomocą ogólnie dostępnych technik, w tym IPsec i TLS.
10. Pozyskiwanie, rozwój i konserwacja systemów
Rozwój systemów ESET PROTECT Hub odbywa się zgodnie z polityką bezpiecznego rozwoju oprogramowania firmy ESET. Zespoły ds. bezpieczeństwa wewnętrznego są włączone do projektu rozwojowego ESET PROTECT Hub od początkowej fazy i pomijają wszystkie działania związane z rozwojem i utrzymaniem. Zespół ds. bezpieczeństwa wewnętrznego definiuje i sprawdza spełnienie wymagań bezpieczeństwa na różnych etapach tworzenia oprogramowania. Bezpieczeństwo wszystkich usług, w tym nowo opracowanych, jest testowane w sposób ciągły po jego wydaniu.
11. Relacje z dostawcą
Odpowiednie relacje z dostawcą są utrzymywane zgodnie z obowiązującymi wytycznymi firmy ESET, które obejmują całość zarządzania relacjami i wymagania umowne z punktu widzenia bezpieczeństwa informacji i prywatności. Jakość i bezpieczeństwo usług świadczonych przez dostawcę usług o znaczeniu krytycznym są regularnie oceniane.
Ponadto firma ESET stosuje zasadę przenośności w przypadku ESET PROTECT Hub, aby uniknąć blokady dostawcy.
12. Zarządzanie bezpieczeństwem informacji
Zarządzanie incydentami w zakresie bezpieczeństwa informacji w ESET PROTECT Hub odbywa się podobnie jak w przypadku innych infrastruktur firmy ESET i opiera się na zdefiniowanych procedurach reagowania na incydenty. Role w zakresie reagowania na incydenty są definiowane i przydzielane wielu zespołom, w tym zespołowi IT, zespołowi ds. zabezpieczeń, działowi prawnemu, HR, public relations i członkom zarządzania wykonawczego. Skład zespołu reagowania na incydenty jest ustalany na podstawie klasyfikacji incydentów przez zespół ds. bezpieczeństwa wewnętrznego. Zespół ten zapewni dalszą koordynację innych zespołów zajmujących się incydentem. Zespół ds. bezpieczeństwa wewnętrznego jest również odpowiedzialny za gromadzenie dowodów i wyciąganie wniosków. Informacje o wystąpieniu i rozwiązaniu incydentu są przekazywane zainteresowanym stronom. Zespół prawny firmy ESET jest odpowiedzialny za powiadamianie organów regulacyjnych w razie potrzeby zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) i ustawą o cyberbezpieczeństwie przy transpozycji dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS).
13. Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
Ciągłość działania usługi ESET PROTECT Hub jest zakodowana w solidnej architekturze służącej do maksymalizacji dostępności świadczonych usług. Całkowite przywrócenie z kopii zapasowych i danych konfiguracyjnych poza siedzibą firmy jest możliwe w przypadku katastrofalnej awarii wszystkich nadmiarowych węzłów dla komponentów ESET PROTECT Hub lub usługi ESET PROTECT Hub. Proces przywracania jest regularnie testowany.
14. Zgodność z przepisami
Zgodność z wymogami regulacyjnymi i umownymi ESET PROTECT Hub jest poddawana regularnym ocenom oraz przeglądom podobnie jak w przypadku innych elementów infrastruktury oraz procesów ESET, a także podejmowane są niezbędne kroki w celu zapewnienia zgodności w sposób ciągły. Firma ESET jest zarejestrowana jako dostawca usług cyfrowych dla usługi cyfrowej Cloud Computing obejmującej wiele usług ESET, w tym ESET PROTECT Hub. Należy pamiętać, że działania firmy ESET w zakresie zgodności niekoniecznie oznaczają, że są spełnione ogólne wymagania klientów dotyczące zgodności.