Выберите вкладку
ESET PROTECT Hub – Содержание

Безопасность для ESET PROTECT Hub

Введение

Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью, которые применяются в ESET PROTECT Hub. Методы обеспечения безопасности и средства управления безопасностью предназначены для защиты конфиденциальности, целостности и доступности информации клиента. Обратите внимание, что методы обеспечения безопасности и средства управления безопасностью могут измениться.

Область

Настоящий документ содержит общие сведения о методах обеспечения безопасности и о средствах управления безопасностью для инфраструктуры ESET PROTECT Hub, организации, персонала и операционных процессов. Методы обеспечения безопасности и средства управления безопасностью включают в себя следующие элементы.

  1. Политики информационной безопасности
  2. Организация информационной безопасности
  3. Безопасность персонала
  4. Управление активами
  5. Управление доступом
  6. Шифрование
  7. Физическая безопасность и безопасность среды
  8. Операционная безопасность
  9. Безопасность обмена данными
  10. Получение, разработка и обслуживание системы
  11. Отношения с поставщиком
  12. Управление инцидентами информационной безопасности
  13. Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
  14. Нормативно-правовое соответствие

Концепция обеспечения безопасности

Компания ESET s.r.o. сертифицирована согласно стандарту ISO 27001, а область действия ее интегрированной системы управления явным образом распространяется на ESET PROTECT Hub.

Поэтому в рамках концепции информационной безопасности используется инфраструктура ISO 27001 для реализации многоуровневой стратегии защиты при применении средств управления безопасностью на уровне сети, операционных систем, баз данных, приложений, персонала и операционных процессов. Применяемые методы обеспечения безопасности и средства управления безопасностью намеренно частично дублируются и дополняют друг друга.

Методы обеспечения безопасности и средства управления безопасностью

1. Политики информационной безопасности

Компания ESET использует политики информационной безопасности для соответствия всем аспектам стандарта ISO 27001, в том числе в отношении управления информационной безопасностью, а также средств управления безопасностью и методов обеспечения безопасности. Политики пересматриваются ежегодно и обновляются после значительных изменений, чтобы обеспечить их непрерывную пригодность, достаточность и эффективность.

Компания ESET ежегодно пересматривает данную политику и проводит внутренние проверки безопасности, чтобы обеспечить соответствие данной политике. Несоблюдение политик информационной безопасности приводит к применению дисциплинарных мер по отношению к сотрудникам ESET или предусмотренных договором штрафных санкций по отношению к поставщикам вплоть до прекращения действия договора.

2. Организация информационной безопасности

Организация информационной безопасности для ESET PROTECT Hub предусматривает несколько групп и отдельных лиц, которые занимаются информационной безопасностью и информационными технологиями, в том числе:

  • Высшее руководство ESET
  • Отделы внутренней безопасности ESET
  • Отделы применения ИТ в бизнесе
  • Другие вспомогательные отделы

Обязанности в сфере информационной безопасности распределяются в соответствии с действующими политиками информационной безопасности. Внутренние процессы идентифицируются и оцениваются на предмет опасности несанкционированного или непреднамеренного изменения или ненадлежащего использования ресурсов ESET. С целью снижения риска в отношении рискованных или конфиденциальных действий в рамках внутренних процессов применяется принцип разделения обязанностей.

Отдел юридического обеспечения ESET отвечает за контакты с правительственными органами, в том числе с органами Словакии, которые отвечают за кибербезопасность и защиту персональных данных. Отдел внутренней безопасности ESET отвечает за контакты со специальными группами, например ISACA. Команда исследовательской лаборатории ESET отвечает за взаимодействие с другими компаниями, работающими в сфере безопасности, и с сообществом кибербезопасности в более широком смысле.

Информационная безопасность учитывается при управлении проектами с помощью применяемой платформы управления проектами от идеи до завершения проекта.

Удаленная работа защищена за счет применения политики, реализованной на мобильных устройствах, которая предусматривает использование мощной защиты данных посредством шифрования на мобильных устройствах при работе в недоверенных сетях. Средства управления безопасностью на мобильных устройствах работают независимо от внутренних сетей и внутренних систем ESET.

3. Безопасность персонала

Компания ESET использует стандартные методы работы с персоналом, в том числе политики, разработанные для обеспечения информационной безопасности. Эти методы распространяются на весь жизненный цикл сотрудника, и они применяются ко всем группам пользователей, которые получают доступ к среде ESET PROTECT Hub.

4. Управление активами

Инфраструктура ESET PROTECT Hub включена в реестр активов ESET со строгим определением владельцев и правилами, которые применяются в соответствии с типом и уровнем конфиденциальности активов. В ESET определена внутренняя схема классификации. Все данные и конфигурации ESET PROTECT Hub классифицированы как конфиденциальные.

5. Управление доступом

Политика компании ESET относительно управления доступом регулирует все случаи доступа в ESET PROTECT Hub. Управление доступом применяется на уровне инфраструктуры, сетевых служб, операционной системы, базы данных и приложения. Полное управление доступом пользователей на уровне приложений является автономным за счет использования управления доступом на основе ролей Microsoft Azure.

Доступ к серверам ESET строго ограничен авторизованными лицами и ролями. Для управления доступом сотрудников ESET к инфраструктуре и сетям ESET PROTECT Hub используются стандартные процессы ESET для регистрации (отмены регистрации) пользователей, подготовки (отмены подготовки), управления правами и проверки прав доступа пользователей.

Для защиты доступа ко всем данным ESET PROTECT Hub применяется надежная система аутентификации.

6. Шифрование

В базах данных ESET PROTECT Hub передаваемые данные защищаются путем шифрования по протоколу TLS. Кроме того, неактивные данные шифруются, а ключ шифрования базы данных защищен встроенным сертификатом сервера.

В целом, для выпуска сертификатов для общедоступных служб используется доверенный центр сертификации.

7. Физическая безопасность и безопасность среды

ESET PROTECT Hub — это облачное решение, в котором используется Microsoft Azure для обеспечения физической безопасности и безопасности среды. Центр обработки данных физически расположен исключительно в Европейском союзе (ЕС). Для защиты данных клиента во время передачи применяется надежная система шифрования.

8. Операционная безопасность

ESET PROTECT Hub управляется с помощью автоматизированных средств на основе строгих операционных процедур и шаблонов конфигурации. Перед развертыванием в производственной среде все изменения, в том числе изменения конфигурации и развертывание нового пакета, утверждаются и тестируются в выделенной среде тестирования. Среда разработки, среда тестирования и производственная среда отделены друг от друга. Данные ESET PROTECT Hub находятся только в производственной среде.

Среда ESET PROTECT Hub контролируется с помощью операционного мониторинга для быстрого выявления проблем и предоставления достаточной емкости для всех служб на уровне сети и хоста.

Для всех данных конфигурации регулярно создаются резервные копии и применяются средства избыточности.

Резервные копии шифруются и регулярно проверяются на возможность восстановления в рамках тестирования непрерывности бизнес-процессов.

Аудит систем выполняется в соответствии с внутренними стандартами и правилами. Журналы и события из инфраструктуры, операционной системы, базы данных, серверов приложений и средств управления безопасностью собираются непрерывно. Журналы затем обрабатываются отделами ИТ и внутренней безопасности для выявления операционных аномалий и аномалий безопасности, а также инцидентов информационной безопасности.

Компания ESET использует общий процесс управления техническими уязвимостями для обработки случаев возникновения уязвимостей в инфраструктуре ESET, включая ESET PROTECT Hub и другие продукты ESET. Этот процесс включает в себя проактивное сканирование на предмет уязвимостей и повторяющееся тестирование на проникновение для инфраструктуры, продуктов и приложений.

Компания ESET утверждает внутренние правила для обеспечения безопасности внутренней инфраструктуры, сетей, операционных систем, баз данных, серверов приложений и приложений. Эти правила проверяются с помощью мониторинга технического соответствия и нашей внутренней программы аудита информационной безопасности.

9. Безопасность обмена данными

Доступ решения ESET PROTECT Hub к сети ограничен только необходимыми службами.

Сетевой трафик непрерывно отслеживается на предмет операционных аномалий и аномалий безопасности. Потенциальные атаки могут быть устранены с помощью собственных облачных средств управления или развернутых решений по обеспечению безопасности. Сетевой обмен данными полностью шифруется с помощью общедоступных методов, включая IPsec и TLS.

10. Получение, разработка и обслуживание системы

Разработка систем ESET PROTECT Hub выполняется в соответствии с политикой ESET касательно разработки безопасного программного обеспечения. Отделы внутренней безопасности включены в проект разработки ESET PROTECT Hub с самого первого этапа и контролируют все действия по разработке и обслуживанию. Отдел внутренней безопасности определяет требования безопасности и проверяет их соблюдение на различных этапах разработки программного обеспечения. Безопасность всех служб, в том числе новых служб, которые разрабатываются, непрерывно проверяется после выпуска.

11. Отношения с поставщиком

Отношения с поставщиком ведутся в соответствии с действующими правилами ESET, которые полностью охватывают управление отношениями и договорные требования с точки зрения информационной безопасности и конфиденциальности. Качество и безопасность услуг, предоставляемых поставщиком критически важных услуг, оцениваются регулярно.

Кроме того, для ESET PROTECT Hub компания ESET использует принцип портативности, чтобы избежать блокировки поставщика.

12. Управление информационной безопасностью

Управление инцидентами информационной безопасности в ESET PROTECT Hub выполняется аналогично другим инфраструктурам ESET, и для него используются определенные процедуры реагирования на инциденты. Роли при реагировании на инциденты определяются и распределяются для множества групп пользователей, в том числе для отделов ИТ, безопасности, юридического обеспечения, управления кадрами, связей с общественностью и для высшего руководства. Группа реагирования на инцидент определяется согласно данным рассмотрения инцидента, которое проводится отделом внутренней безопасности. Эта группа обеспечивает дальнейшую координацию других групп, занимающихся инцидентом. Кроме того, отдел внутренней безопасности отвечает за сбор фактических данных и накопление практического опыта. О возникновении и разрешении инцидентов сообщается заинтересованным сторонам. Отдел юридического обеспечения ESET отвечает за уведомление регулятивных органов (если такое уведомление является необходимым) в соответствии с требованиями Общего регламента по защите данных (GDPR) и Закона о кибербезопасности, который преобразует Директиву о сетевой и информационной безопасности (NIS).

13. Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов

Непрерывность бизнес-процессов для службы ESET PROTECT Hub запрограммирована в надежной архитектуре, которая обеспечивает максимальную доступность предоставляемых услуг. В случае катастрофического отказа всех узлов избыточности для компонентов ESET PROTECT Hub или службы ESET PROTECT Hub возможно полное восстановление с помощью данных резервного копирования и данных конфигурации, находящихся на сторонних площадках. Процесс восстановления регулярно тестируется.

14. Нормативно-правовое соответствие

Соответствие решения ESET PROTECT Hub нормативным и договорным требованиям регулярно оценивается и анализируется аналогично другой инфраструктуре и процессам ESET, а также постоянно принимаются необходимые меры для соблюдения соответствия. Компания ESET зарегистрирована как поставщик цифровых услуг для цифровой службы облачных вычислений, которая охватывает разные службы ESET, в том числе ESET PROTECT Hub. Обратите внимание, что деятельность компании ESET по соблюдению нормативных требований не обязательно означает, что будут удовлетворяться как таковые общие требования клиентов к нормативно-правовому соответствию.