Selectați fila
ESET PROTECT Hub – Cuprins

Securitatea pentru ESET PROTECT Hub

Introducere

Scopul acestui document este de a rezuma practicile de securitate și controalele de securitate aplicate în ESET PROTECT Hub. Practicile și controalele de securitate sunt concepute pentru a proteja confidențialitatea, integritatea și disponibilitatea informațiilor clienților. Rețineți că practicile și controalele de securitate se pot modifica.

Domeniu de aplicare

Scopul acestui document este de a rezuma practicile de securitate și controalele de securitate pentru infrastructura, organizația, personalul și procesele operaționale pentru ESET PROTECT Hub. Practicile și controalele de securitate includ:

  1. Politici de securitate a informațiilor
  2. Organizarea securității informațiilor
  3. Securitatea resurselor umane
  4. Gestionarea activelor
  5. Controlul accesului
  6. Criptografie
  7. Securitatea fizică și a mediului
  8. Securitatea operațiunilor
  9. Securitatea comunicațiilor
  10. Achiziționarea, dezvoltarea și întreținerea sistemelor
  11. Relația cu furnizorii
  12. Gestionarea incidentelor de securitate a informațiilor
  13. Aspecte privind securitatea informațiilor legate de managementul continuității afacerii
  14. Conformitate

Concept de securitate

Compania ESET s.r.o. este certificată ISO 27001, domeniul de aplicare al sistemului de management integrat acoperind în mod explicit ESET PROTECT Hub.

Prin urmare, conceptul de securitate a informațiilor folosește cadrul ISO 27001 pentru a implementa o strategie de securitate stratificată atunci când aplică controale de securitate care vizează rețeaua, sistemele de operare, bazele de date, aplicațiile, personalul și procesele operaționale. Practicile de securitate și controalele de securitate aplicate sunt menite să se suprapună și să se completeze reciproc.

Practici și controale de securitate

1. Politici de securitate a informațiilor

ESET utilizează politici de securitate a informațiilor care acoperă toate aspectele standardului ISO 27001, inclusiv guvernanța securității informațiilor și controalele și practicile de securitate. Politicile sunt revizuite anual și sunt actualizate după modificări semnificative, pentru a asigura relevanța, adecvarea și eficacitatea lor permanente.

ESET efectuează revizuiri anuale ale acestei politici și verificări de securitate internă pentru a asigura conformitatea cu această politică. Nerespectarea politicilor de securitate a informațiilor este supusă acțiunilor disciplinare pentru angajații ESET sau penalităților contractuale, mergând până la rezilierea contractului pentru furnizori.

2. Organizarea securității informațiilor

Organizarea securității informațiilor pentru ESET PROTECT Hub constă în mai multe echipe și persoane implicate în securitatea informațiilor și IT, inclusiv:

  • Managementul executiv ESET
  • Echipele de securitate internă ESET
  • Echipele IT de aplicații pentru business
  • Alte echipe de asistență

Responsabilitățile în materie de securitate a informațiilor sunt alocate în conformitate cu politicile de securitate a informațiilor în vigoare. Procesele interne sunt identificate și evaluate pentru orice risc de modificare neautorizată sau neintenționată sau utilizare neintenționată a activelor ESET. Activitățile riscante sau sensibile din procesele interne adoptă principiul separării sarcinilor, pentru a reduce riscurile.

Echipa juridică ESET este responsabilă pentru contactele cu autoritățile guvernamentale, inclusiv cu autoritățile de reglementare slovace privind securitatea cibernetică și protecția datelor cu caracter personal. Echipa de securitate internă a ESET este responsabilă pentru contactarea grupurilor de interese speciale, cum ar fi ISACA. Echipa laboratorului de cercetare ESET este responsabilă pentru comunicarea cu alte companii de securitate și cu comunitatea extinsă de securitate cibernetică.

Securitatea informațiilor este luată îân calcul în managementul de proiect, folosind cadrul aplicat de management de proiect de la concepție până la finalizarea proiectului.

Munca și lucrul la distanță sunt acoperite prin utilizarea unei politici implementate pe dispozitive mobile, inclusiv utilizarea unei protecții criptografice puternice a datelor pe dispozitive mobile în timpul călătoriei prin rețele care nu sunt de încredere. Controalele de securitate pe dispozitive mobile sunt proiectate să funcționeze independent de rețelele interne și sistemele interne ESET.

3. Securitatea resurselor umane

ESET utilizează practici standard privind resursele umane, inclusiv politici concepute pentru a susține securitatea informațiilor. Aceste practici acoperă întregul ciclu de viață al angajaților și se aplică tuturor echipelor care accesează mediul ESET PROTECT Hub.

4. Gestionarea activelor

Infrastructura ESET PROTECT Hub este inclusă în inventarele de active ESET, care beneficiază de proprietate strictă și reguli aplicate în funcție de tipul de activ și sensibilitate. ESET are o schemă de clasificare internă definită. Toate datele și configurațiile ESET PROTECT Hub sunt clasificate ca fiind confidențiale.

5. Controlul accesului

Politica ESET de control al accesului guvernează fiecare acces din ESET PROTECT Hub. Controlul accesului este setat la nivel de infrastructură, servicii de rețea, sistem de operare, bază de date și aplicație. Gestionarea completă a accesului utilizatorilor la nivel de aplicație este autonomă și folosește controlul accesului bazat pe roluri Microsoft Azure.

Accesul în sistemele backend ESET este strict limitat la persoane și roluri autorizate. Procesele ESET standard pentru înregistrarea utilizatorilor și pentru anularea înregistrării utilizatorilor, pentru asigurarea accesului utilizatorilor și pentru anularea asigurării accesului utilizatorilor, pentru gestionarea privilegiilor utilizatorilor și pentru revizuirea drepturilor de acces ale utilizatorilor sunt utilizate pentru a gestiona accesul angajaților ESET la infrastructura și rețelele ESET PROTECT Hub.

Folosim o autentificare puternică pentru a proteja accesul la toate datele ESET PROTECT Hub.

6. Criptografie

Bazele de date ESET PROTECT Hub securizează datele prin criptarea datelor în tranzit cu TLS. În plus, datele inactive sunt criptate, iar un certificat de server încorporat protejează cheia de criptare a bazei de date.

Pentru a emite certificate pentru servicii publice folosim o autoritatea de certificare care este considerată ca fiind general de încredere.

7. Securitatea fizică și a mediului

ESET PROTECT Hub este bazat pe cloud și utilizează Microsoft Azure pentru securitatea fizică și de mediu. Locația fizică a centrului de date este exclusiv în Uniunea Europeană (UE). Există o criptografie puternică pentru a proteja datele clienților în timpul transportului.

8. Securitatea operațiunilor

Serviciul ESET PROTECT Hub este operat prin mijloace automatizate, bazate pe proceduri operaționale stricte și șabloane de configurare. Toate modificările, inclusiv modificările de configurare și implementarea pachetelor noi, sunt aprobate și testate într-un mediu de testare dedicat, înainte de implementarea în producție. Mediile de dezvoltare, testare și producție sunt separate unele de altele. Datele ESET PROTECT Hub se află numai în mediul de producție.

Mediul ESET PROTECT Hub este supravegheat prin monitorizarea operațională, pentru a identifica rapid problemele și pentru a oferi o capacitate suficientă tuturor serviciilor de la nivel de rețea și gazdă.

Toate datele de configurare sunt salvate în mod regulat și au aplicate funcționalități de redundanță.

Copiile de rezervă sunt criptate și posibilitatea de recuperare a datelor este testată în mod regulat, ca parte a testelor de continuitate a afacerii.

Auditarea sistemelor se efectuează în conformitate cu standardele și orientările interne. Jurnalele și evenimentele din infrastructură, sistemul de operare, baza de date, serverele de aplicații și controalele de securitate sunt colectate continuu. Jurnalele sunt prelucrate suplimentar de către echipe IT și de securitate internă, pentru a identifica anomalii operaționale și de securitate și incidente de securitate a informațiilor.

ESET utilizează un proces tehnic general de gestionare a vulnerabilităților, pentru a gestiona apariția vulnerabilităților în infrastructura ESET, inclusiv în ESET PROTECT Hub și în alte produse ESET. Acest proces include scanarea proactivă pentru detectarea vulnerabilităților și testarea repetată a penetrării infrastructurii, produselor și aplicațiilor.

ESET stabilește orientări interne pentru securitatea infrastructurii interne, a rețelelor, a sistemelor de operare, a bazelor de date, a serverelor de aplicații și a aplicațiilor. Aceste orientări sunt verificate prin monitorizarea conformității tehnice și prin programul nostru de audit intern de securitate a informațiilor.

9. Securitatea comunicațiilor

Accesul la rețea pentru ESET PROTECT Hub este limitat doar la serviciile necesare.

Traficul de rețea este monitorizat continuu pentru anomalii operaționale și de securitate. Atacurile potențiale pot fi rezolvate utilizând controale native în cloud sau soluții de securitate implementate. Toate comunicațiile în rețea sunt criptate prin tehnici general disponibile, inclusiv IPsec și TLS.

10. Achiziționarea, dezvoltarea și întreținerea sistemelor

Dezvoltarea sistemelor ESET PROTECT Hub se realizează în conformitate cu politica de dezvoltare software securizată ESET. Echipele de securitate internă sunt incluse în proiectul de dezvoltare ESET PROTECT Hub încă din faza inițială și supraveghează toate activitățile de dezvoltare și mentenanță. Echipa de securitate internă definește și verifică îndeplinirea cerințelor de securitate în diferite etape de dezvoltare software. Securitatea tuturor serviciilor, inclusiv a celor nou dezvoltate, este testată continuu după lansare.

11. Relația cu furnizorii

O relație relevantă cu furnizorii se desfășoară în conformitate cu orientările ESET valabile, care acoperă gestionarea întregii relații și cerințele contractuale din perspectiva securității informațiilor și a confidențialității. Calitatea și securitatea serviciilor furnizate de furnizorul de servicii critice sunt evaluate în mod regulat.

În plus, ESET utilizează principiul portabilității pentru ESET PROTECT Hub, pentru a evita blocarea furnizorilor.

12. Managementul securității informațiilor

Gestionarea incidentelor de securitate a informațiilor în ESET PROTECT Hub se realizează în mod similar cu alte infrastructuri ESET și se bazează pe proceduri definite de răspuns la incidente. Rolurile din cadrul răspunsului la incidente sunt definite și alocate între mai multe echipe, inclusiv IT, securitate, juridic, resurse umane, relații publice și management executiv. Echipa de răspuns la incidente pentru un incident este stabilită pe baza triajului incidentului de către echipa de securitate internă. Această echipă va asigura coordonarea în continuare a altor echipe care se ocupă de incident. Echipa de securitate internă este responsabilă în același timp pentru colectarea probelor și pentru lecțiile învățate. Apariția și rezolvarea incidentelor sunt comunicate părților afectate. Echipa juridică ESET este responsabilă pentru notificarea organismelor de reglementare, dacă este necesar, în conformitate cu Regulamentul general privind protecția datelor (GDPR) și Legea privind securitatea cibernetică care transpune Directiva privind securitatea rețelelor și a informațiilor (NIS).

13. Aspecte privind securitatea informațiilor legate de managementul continuității afacerii

Continuitatea afacerii pentru serviciul ESET PROTECT Hub este codificată în arhitectura robustă utilizată pentru a maximiza disponibilitatea serviciilor furnizate. Restaurarea completă din copii de rezervă și date de configurare stocate în afara site-ului este posibilă în cazul unei defecțiuni catastrofale a tuturor nodurilor redundante pentru componentele ESET PROTECT Hub sau pentru serviciul ESET PROTECT Hub. Procesul de restaurare este testat în mod regulat.

14. Conformitate

Conformitatea cu cerințele de reglementare și contractuale pentru ESET PROTECT Hub este evaluată și revizuită în mod similar altor infrastructuri și procese ale ESET, urmând a se lua măsurile necesare pentru a se asigura continuitatea conformității. ESET este înregistrat ca furnizor de servicii digitale pentru serviciul digital de cloud computing care acoperă mai multe servicii ESET, inclusiv ESET PROTECT Hub. Rețineți că activitățile de conformitate ESET nu înseamnă în mod implicit că sunt satisfăcute ca atare cerințele generale de conformitate ale clienților.