ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kategóriu
Vyberte kapitolu

Zabezpečenie ESET PROTECT Hub

Úvod

Účelom tohto dokumentu je zhrnúť bezpečnostné postupy a bezpečnostné kontroly uplatňované v rámci ESET PROTECT Hub. Bezpečnostné postupy a kontroly sú navrhnuté tak, aby chránili dôvernosť, integritu a dostupnosť informácií o zákazníkoch. Upozorňujeme, že bezpečnostné postupy a kontroly sa môžu meniť.

Rozsah

Tento dokument popisuje bezpečnostné postupy a bezpečnostné kontroly týkajúce sa infraštruktúry, organizácie, personálu a prevádzkových procesov spojených s ESET PROTECT Hub. Bezpečnostné postupy a kontroly zahŕňajú:

  1. Politiky informačnej bezpečnosti
  2. Organizácia informačnej bezpečnosti
  3. Ľudské zdroje a bezpečnosť
  4. Správa aktív
  5. Kontrola prístupu
  6. Kryptografia
  7. Fyzické zabezpečenie a ochrana prostredia
  8. Bezpečnosť operácií
  9. Bezpečnosť sieťovej komunikácie
  10. Akvizícia, vývoj a údržba systému
  11. Dodávateľský vzťah
  12. Správa incidentov v oblasti informačnej bezpečnosti
  13. Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky
  14. Súlad s požiadavkami

Bezpečnostný koncept

Spoločnosť ESET s.r.o. je držiteľom certifikátu ISO 27001:2013 s integrovaným systémom správy, ktorý pokrýva službu ESET PROTECT Hub.

Preto koncept informačnej bezpečnosti používa štandard ISO 27001 na implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na vrstve siete, operačných systémov, databáz, aplikácií, personálu a operačných procesov. Použité bezpečnostné postupy a bezpečnostné kontroly sa majú navzájom prekrývať a dopĺňať.

Bezpečnostné postupy a kontroly

1. Politiky informačnej bezpečnosti

Spoločnosť ESET uplatňuje politiky informačnej bezpečnosti, ktoré pokrývajú všetky aspekty štandardu ISO 27001 vrátane riadenia informačnej bezpečnosti a bezpečnostných kontrol a postupov. Politiky sa každoročne prehodnocujú a po výrazných zmenách aj aktualizujú, čo vedie k ich kontinuálnej vhodnosti, primeranosti a účinnosti.

Spoločnosť ESET vykonáva každoročnú revíziu týchto politík a interné bezpečnostné kontroly s cieľom zaistiť s nimi súlad. V prípade nedodržiavania politík informačnej bezpečnosti sú zamestnanci spoločnosti ESET vystavení disciplinárnemu konaniu a dodávatelia zmluvným sankciám alebo až výpoveďou zmluvy.

2. Organizácia informačnej bezpečnosti

Organizácia informačnej bezpečnosti služby ESET PROTECT Hub pozostáva z viacerých tímov a jednotlivcov zaoberajúcich sa informačnou bezpečnosťou a oblasťou IT vrátane:

  • výkonného manažmentu spoločnosti ESET,
  • interných bezpečnostných tímov spoločnosti ESET,
  • IT tímov zaoberajúcich sa firemnými aplikáciami,
  • ostatných podporných tímov.

Záväzky a úlohy v oblasti informačnej bezpečnosti sa prideľujú v súlade so zavedenými politikami informačnej bezpečnosti. Interné procesy sú identifikované a posudzované z hľadiska rizík vyplývajúcich z neoprávnenej alebo neúmyselnej modifikácie či zneužitia aktív spoločnosti ESET. Pri rizikových alebo citlivých činnostiach v spojení s internými procesmi sa na zmiernenie rizika uplatňuje zásada rozdelenia povinností.

Právny tím spoločnosti ESET je zodpovedný za kontakt so štátnymi orgánmi vrátane slovenských regulačných orgánov v oblasti kybernetickej bezpečnosti a ochrany osobných údajov. Interný bezpečnostný tím spoločnosti ESET je zodpovedný za kontakt so záujmovými skupinami, ako napríklad ISACA. Tím výskumníkov spoločnosti ESET je zodpovedný za komunikáciu s ostatnými spoločnosťami zameranými na bezpečnosť a so širšou komunitou z oblasti kybernetickej bezpečnosti.

Informačná bezpečnosť sa pri riadení projektov zohľadňuje pomocou aplikovaného rámca riadenia projektov od koncepcie až po dokončenie projektu.

Práca na diaľku a práca z domu sú kryté politikou implementovanou na mobilných zariadeniach, ktorá zahŕňa používanie silnej kryptografickej ochrany údajov na mobilných zariadeniach počas prenosu cez nedôveryhodné siete. Bezpečnostné kontroly na mobilných zariadeniach sú navrhnuté tak, aby fungovali nezávisle od interných sietí a interných systémov spoločnosti ESET.

3. Ľudské zdroje a bezpečnosť

Spoločnosť ESET používa štandardné postupy v oblasti ľudských zdrojov vrátane politík určených na dodržiavanie informačnej bezpečnosti. Tieto postupy sa vzťahujú na celý životný cyklus zamestnanca a platia pre všetky tímy, ktoré majú prístup k prostrediu ESET PROTECT Hub.

4. Správa aktív

Infraštruktúra ESET PROTECT Hub je zahrnutá v inventároch aktív spoločnosti ESET s výhradným vlastníctvom a pravidlami uplatňovanými podľa typu a citlivosti aktív. Spoločnosť ESET má definovanú internú klasifikačnú schému. Všetky údaje a konfigurácie spojené s ESET PROTECT Hub sú klasifikované ako dôverné.

5. Kontrola prístupu

Politika kontroly prístupu spoločnosti ESET upravuje každý prístup v rámci ESET PROTECT Hub. Kontrola prístupu sa nastavuje na úrovni infraštruktúry, sieťových služieb, operačného systému, databázy a aplikácie. Správa úplného prístupu používateľov na úrovni aplikácie je autonómna vďaka riadeniu prístupu na základe rolí Microsoft Azure.

Prístup k backendu je obmedzený výlučne na oprávnené osoby a roly. Na správu prístupu zamestnancov spoločnosti ESET k infraštruktúre a sieťam služby ESET PROTECT Hub sa používajú štandardné procesy ESET pre (de)registráciu používateľov, ich pridávanie alebo odoberanie, správu oprávnení a kontrolu prístupových práv používateľov.

Na ochranu prístupu ku všetkým údajom týkajúcim sa služby ESET PROTECT Hub sa používa silné overovanie.

6. Kryptografia

Databázy ESET PROTECT Hub zabezpečujú údaje šifrovaním údajov pri prenose prostredníctvom protokolu TLS. Uložené údaje sú okrem toho šifrované a šifrovací kľúč databázy je chránený integrovaným certifikátom servera.

Certifikáty pre verejné služby vydáva všeobecne uznávaná a dôveryhodná certifikačná autorita.

7. Fyzické zabezpečenie a ochrana prostredia

ESET PROTECT Hub je cloudová služba a na fyzické zabezpečenie a ochranu prostredia využíva Microsoft Azure. Fyzické umiestnenie dátového centra je výlučne v Európskej únii (EÚ). Na ochranu používateľských dát počas prenosu slúži silná kryptografia.

8. Bezpečnosť operácií

Služba ESET PROTECT Hub je prevádzkovaná automatizovanými prostriedkami na základe prísnych prevádzkových postupov a konfiguračných šablón. Všetky zmeny vrátane zmien konfigurácie a nasadzovania nových balíkov sa pred nasadením do produkcie schvaľujú a testujú v špecializovanom testovacom prostredí. Vývojové, testovacie a produkčné prostredia sú navzájom oddelené. Údaje služby ESET PROTECT Hub sú dostupné len v produkčnom prostredí.

Prostredie služby ESET PROTECT Hub je sledované pomocou prevádzkového monitorovania s cieľom rýchlo identifikovať problémy a zabezpečiť dostatočnú kapacitu všetkých služieb na úrovni siete a hostiteľa.

Všetky konfiguračné údaje sa pravidelne zálohujú a sú vybavené funkciami redundancie.

Zálohy sú šifrované a pravidelne testované na obnoviteľnosť v rámci testovania kontinuity prevádzky.

Audit systémov sa vykonáva podľa interných noriem a usmernení. Záznamy a udalosti z infraštruktúry, operačného systému, databázy, aplikačných serverov a bezpečnostných kontrol sa zhromažďujú nepretržite. IT a interné bezpečnostné tímy následne tieto záznamy spracúvajú s cieľom identifikovať prevádzkové a bezpečnostné anomálie a incidenty týkajúce sa informačnej bezpečnosti.

Spoločnosť ESET sa riadi všeobecným technickým procesom správy zraniteľností na riešenie výskytu zraniteľností v infraštruktúre spoločnosti ESET vrátane ESET PROTECT Hub a ďalších produktov ESET. Tento proces zahŕňa proaktívnu kontrolu zraniteľností a opakované penetračné testovanie infraštruktúry, produktov a aplikácií.

Spoločnosť ESET má zavedené interné smernice pre bezpečnosť internej infraštruktúry, sietí, operačných systémov, databáz, aplikačných serverov a aplikácií. Ich dodržiavanie sa kontroluje prostredníctvom technického monitorovania súladu a nášho interného bezpečnostného auditu.

9. Bezpečnosť sieťovej komunikácie

Prístup produktu ESET PROTECT Hub na sieť je obmedzený len na nevyhnutné služby.

Sieťová komunikácia je nepretržite monitorovaná z hľadiska prevádzkových a bezpečnostných anomálií. Potenciálne útoky je možné vyriešiť pomocou natívnych cloudových kontrol alebo nasadených bezpečnostných riešení. Všetka sieťová komunikácia je šifrovaná prostredníctvom všeobecne dostupných techník vrátane protokolu IPsec a TLS.

10. Akvizícia, vývoj a údržba systému

Vývoj systémov služby ESET PROTECT Hub prebieha v súlade s politikou vývoja bezpečnostného softvéru spoločnosti ESET. Interné bezpečnostné tímy sú súčasťou projektu vývoja služby ESET PROTECT Hub od počiatočnej fázy a dohliadajú na všetky aspekty vývoja a údržby. Interný bezpečnostný tím stanovuje a kontroluje plnenie bezpečnostných požiadaviek v rôznych fázach vývoja softvéru. Bezpečnosť všetkých služieb, vrátane tých novo vyvinutých, sa od ich vydania nepretržite testuje.

11. Dodávateľský vzťah

Príslušný dodávateľský vzťah prebieha podľa platných smerníc spoločnosti ESET, ktoré upravujú celú správu vzťahov a zmluvné požiadavky z hľadiska informačnej bezpečnosti a ochrany osobných údajov. Kvalita a bezpečnosť služieb poskytovaných poskytovateľom kritických služieb sa pravidelne vyhodnocuje.

Spoločnosť ESET pre ESET PROTECT Hub využíva taktiež právo na prenosnosť údajov s cieľom vyhnúť sa závislosti od poskytovateľa.

12. Správa incidentov v oblasti informačnej bezpečnosti

Správa incidentov v oblasti informačnej bezpečnosti pre službu ESET PROTECT Hub je podobná riadeniu ostatných infraštruktúr ESET a opiera sa o definované postupy riešenia incidentov. Úlohy v rámci riešenia incidentov sú zadefinované a rozdelené medzi viaceré tímy z oblasti IT, bezpečnosti, právnych služieb, ľudských zdrojov, vzťahov s verejnosťou a výkonného manažmentu. Priradenie tímu na riešenie incidentu závisí od roztriedenia incidentov interným bezpečnostným tímom. Tento tím zabezpečí koordináciu ostatných tímov, ktoré incident riešia. Interný bezpečnostný tím je tiež zodpovedný za zhromažďovanie dôkazov k incidentu a získaných poznatkov. Vznik incidentu a jeho riešenie sa oznamuje dotknutým stranám. Právny tím spoločnosti ESET je v prípade potreby zodpovedný za nahlásenie incidentu regulačným orgánom v súlade so všeobecným nariadením o ochrane údajov (GDPR) a aktom EÚ o kybernetickej bezpečnosti transponujúcim smernicu o bezpečnosti sietí a informačných systémov (NIS).

13. Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky

Kontinuita prevádzky služby ESET PROTECT Hub je zakódovaná v robustnej architektúre, ktorá maximalizuje dostupnosť poskytovaných služieb. V prípade úplného zlyhania všetkých redundantných uzlov pre súčasti ESET PROTECT Hub alebo službu ESET PROTECT Hub je možná kompletná obnova zo zálohovaných a konfiguračných údajov. Proces obnovy sa pravidelne testuje.

14. Súlad s požiadavkami

Dodržiavanie zmluvných požiadaviek a požiadaviek vychádzajúcich z právnych predpisov pre službu ESET PROTECT Hub sa pravidelne vyhodnocuje a kontroluje podobne ako iné infraštruktúry a procesy spoločnosti ESET, pričom sa tiež neustále prijímajú nevyhnutné kroky pre zabezpečenie súladu s požiadavkami. Spoločnosť ESET je registrovaná ako poskytovateľ digitálnych služieb v oblasti cloud computingu, kam spadajú viaceré služby spoločnosti ESET vrátane ESET PROTECT Hub. Upozorňujeme, že aktivity spoločnosti ESET zamerané na dodržiavanie požiadaviek nemusia nevyhnutne znamenať, že požiadavky zákazníkov v tejto oblasti sú kompletne splnené.