استمتع بفهم حقوقك ومسؤولياتنا في مكان واحد
سياسة الأمن
مقدمة
الغرض من المستند
الغرض من هذه الوثيقة هو جمع التحكم الفني والتنظيمي والطبيعي وممارسات الأمان المنصوص عليها داخل البنية الأساسية لـ ESET، والتي تتضمن مجموعة ESET، أي منتجات ESET، وتطبيقاتها، والتطبيقات، وخدمات ESET (المشار إليها أدناه باسم المنتج). تم تصميم تدابير الأمان والسياسة لحماية
•تشغيل ملف ESET مع معالجة البيانات في البيئات المحلية أو السحابية
•السرية والتواطؤ والاستفادة من بيانات العميل
•معلومات العميل من تدمير غير قانوني أو فقدان أو تغيير أو إخراج غير مصرح به أو الوصول إليه
يجوز لشركة ESET تحديث هذا الوثيقة والأنظمة والسياسات المحددة التي تديرها لتلبية التهديدات المتجددة وتكيفها مع تطوير تكنولوجيا الأمان ومستويات الصناعة.
الجمهور
يجب قراءة هذه الوثيقة من قبل أي شخص يحتاج إلى ضمان في مجال أمان مجموعة ESET أو العملاء الذين يريدون استخدام حلول ESET أو خدماتها من خلال التكامل مع بيئتهم.
السياق والتفكير والطاقة
شركة ESET، spol s r.o. هي ترخيص ISO 27001:2022 مع نظام إدارة متكامل.
لذلك، يعتمد مفهوم إدارة أمن المعلومات على إطار عمل ISO 27001 لتنفيذ إستراتيجية دفاع متعدد الطبقات عند تطبيق ضوابط الأمان على كل طبقة من طبقات بنية نظام المعلومات، مثل الشبكة، وأنظمة التشغيل، وقواعد البيانات، والتطبيقات، والموظفين، وعمليات التشغيل. تهدف ممارسات وضوابط الأمان المطبَّقة إلى التداخل والتكامل مع بعضها البعض.
تتضمن نطاق هذه الوثيقة جمع التدابير الفنية والتنظيمية التي تم تنفيذها لجمعية ESET، والتنظيم، والخدمات، والعمليات التشغيلية.
تتضمن ممارسات وضوابط الأمان التدابير الإدارية والتقنية، بما في ذلك على سبيل المثال لا الحصر:
•سياسات أمن المعلومات
•تنظيم أمن المعلومات
•أمن الموارد البشرية
•التحكم في الوصول
•التشفير
•الأمن المادي والبيئي
•حماية البيانات، أمان الشبكة، أمان التطبيق
•الأمن التشغيلي
•أمن الاتصالات
•الحصول على النظام وتطويره وصيانته
•العلاقة مع المورّدين
•إدارة حوادث أمن المعلومات
•جوانب أمن المعلومات لإدارة استمرارية الأعمال
•الالتزام
المقاطعات
فترة التقييد |
المدة الكاملة |
|---|---|
الشركة |
ESET، spol. s r.o. |
موفر الخدمة المدارة |
موفر خدمة السحابة |
د. |
استرداد الأحداث |
ESET |
ESET، spol. s r.o. |
GDPR |
البروتوكول العام لحماية البيانات |
ICT |
تكنولوجيات المعلومات والاتصالات |
IR |
استجابة الحوادث |
IS |
أمن المعلومات |
ISMS |
نظام إدارة أمن المعلومات |
تكنولوجيا المعلومات |
تكنولوجيا المعلومات |
NIS |
قانون الأمان السيبراني الذي ينص على تنشيط سياسة الأمان الشبكية والأمان المعلومات |
PKI |
البنية الأساسية العامة |
المنتج |
مجموعة ESET - أي المنتجات والتطبيقات والبرامج السحابية والحلول وخدمات ESET فوقها |
SIEM |
معلومات الأمان وإدارة الأحداث |
SSDLC |
دورة حياة تطوير البرنامج Secure |
QMS |
نظام إدارة الجودة |
ملاحظة: النسخة الإيطالية - تُستخدم على أسماء مستندات الشركة الداخلية المذكورة، غير متاحة للجمهور العام، على سبيل المثال، سياسة التنظيم الداخلية
إدارة الأمان
برنامج إدارة أمن المعلومات
تم إنشاء ESET وتبني إطار برنامج إدارة أمن المعلومات بصفتها وظيفة متعددة المنظمات التي تدير حماية أصول المعلومات. يتم تدريب وثائق أمان المعلومات بواسطة سياسات الأمان والعمليات والوثائق عبر سياسة الإجراءات الداخلية. استخدم ESET سياسة نظام الإدارة المتكامل التي تعمل على مستوى أعلى
•سياسة ISMS،
•سياسة QMS
•سياسة أمن المعلومات.
تتوافق ESET مع سياسةها على نظام الإدارة المتكامل، وتحديد إطار إدارة الجودة والسلامة المعلومات. تملك هذه السياسة مدير أمن المعلومات (CISO) لـ ESET وتشكل التزام الإدارة بالخصوصية والجودة. ويحدد المسؤولية عن الإدارة والضمان لهذه المجالات وتحديد التزام ESET بتقييم ورفع فعالية نظام إدارةها باستمرار وفقاً لتقييمات ISO 9001 وISO 27001.
يتم توثيق السياسات المؤسسية وصيانتها ومراجعتها سنوياً، كما يتم تحديثها بعد إجراء أيّ تغييرات كبيرة لضمان استمرار ملاءمتها وكفاءتها وفعاليتها. يتم إرسال التحديثات إلى الموظفين الداخلية، حيث يتم توفير السياسات لجميع الموظفين. يتم اتخاذ السياسات رسمياً، وتسلمها من قبل الرئيس التنفيذي، وتُشير إلى جميع العمال والأطراف ذات الصلة. يتم الاعتراف السياسات رسمياً من قبل موظفي ESET عند التسجيل.
بالإضافة إلى السياسات، تم تصميم فريق ESET لأمن المعلومات والأمن الفني العمليات والإجراءات والتنظيمات والخطوط الأساسية للتصميم بناءً على أفضل الممارسات في أمن الصناعات والموردين (على سبيل المثال، مقارنة CIS، OWASP، NIST). يتم توفير هذه الخدمات إلى فريق تكنولوجيا المعلومات والاتصالات لضمان تطوير وتصميم وتشغيل أنظمة المعلومات ومنتجات ESET آمنة.
تحتفظ ESET بتوثيق الإدارة المتصلة، والتي تم تصميمها وإتاحتها لجميع الموظفين وفقاً لشهادات ESET لـ ISO 9001 و ISO 27001. يتم تخصيص إجراءات التشغيل لتلبية احتياجات كل فريق محددة، وإدارةها داخل مساحات العمل المحددة، وتحديثها حسب الحاجة.
تُعد مراقبة الامتثال للسياسات وإجراءات التصفية موجودة لتنفيذ أي عدم الامتثال لسياسات الأمان وتحديدها، مما يعزز التزام ESET بالمسؤولية والتحسين المستمر.
لضمان الامتثال المستمر والفعالية، تم تطبيق ESET إطار إدارة المخاطر، مع الحفاظ على التحكم الفني والتنظيمي. يتضمن عملية إدارة المخاطر لـ ESET تقييم شامل وممارسة المخاطر داخل نظام إدارة متكامل (أساساً لـ ISO 9001 و ISO 27001). يتضمن ذلك تقييم الأصول وتحديد متطلبات الأمان وحساب المخاطر وإختيار استراتيجيات التخفيف المناسبة. يراقب مدير أمن المعلومات الرئيسي (CISO) عملية إدارة المخاطر بشكل عام، مما يضمن إبلاغات منتظمة عن المخاطر الأمنية والرقائق ذات الصلة إلى الإدارة التنفيذية. بالإضافة إلى ذلك، يتم تطبيق إدارة المخاطر التابعة لجهات خارجية بشكل صارم من خلال تقييمات الموفر، وفقاً لتصنيف ESET لأمن التعاقد.
الامتثال لأساليب الصناعة
تعتبر التقييم والتعهد الخارجي مهمة للهيئات التي تعتمد على القدرات والتكنولوجيا لـ ESET لضمان أمان بياناتها وإتباع متطلبات التنظيم. لمزيد من التفاصيل يرجى الاطلاع على الصفحة الترخيصية لـ ESET.
مراقبة الامتثال
يُعد سياسة نظام الإدارة المدمّر نظام الإدارة المدمّر، بما في ذلك مراجعات وتحليلات منتظمة.
تراجع التحقيقات الداخلية بشكل منتظم الالتزام بالسياسات والعمليات لـ ESET كما هو موضح في سياسة التحقيق الداخلية. يحدد سياسة التنظيمات الداخلية المسؤولية عن مراقبة منتظمة لتطبيق التنظيمات الداخلية والتعديلات ذات الصلة إذا لزم الأمر.
يتم إجراء مراجعات منتظمة والتحقيقات الداخلية والخارجية وفقاً لخطط التحقيقات السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية السنوية الس يتم إجراء التحقيقات الداخلية من قبل المراقبين المستقلين الذين يتحققون بشكل منتظم عن الامتثال لسياسات ESET ومتطلباتها أو القيود المعمول بها (على سبيل المثال، ISO 9001, ISO 27001 وSOC2)، اعتماداً على نطاق التحقيق. يتم إعداد التحقيقات الداخلية وإجراءها على الأقل سنوياً. يتم جمع نتائج التحقيقات وتسجيلها في نظام ترخيص خاص، مع تخصيص أصحابها ذات الصلة، الذين يتحملون المسؤولية عن التعامل مع عدم الامتثال وإصلاحه في إطار زمني محدد مسبقاً. يتم مراجعة نتائج التحقيقات التي تتطلب مراقبة الإدارة وحلولها في جلسات التحليل الإداري العادية.
تنظيم أمن المعلومات
يتم تخصيص مسؤوليات أمن المعلومات بما يتماشى مع سياسات أمن المعلومات المعمول بها. يتم تحديد العمليات الداخلية وتقييمها بحثاً عن أيّ مخاطر تتعلق بالتعديل غير المصرّح به أو غير المتعمَّد أو إساءة استخدام أصول معلومات ESET. تعتمد الأنشطة الحساسة أو عالية المخاطر ضمن العمليات الداخلية على ممارسات الأمان للحد من المخاطر.
يتم احتساب أمن المعلومات في إدارة المشروع باستخدام إطار عمل إدارة المشروع المطبّق من الفكرة إلى اكتمال المشروع.
يتم تنظيم العمل عن بُعد والعمل خارج المقر من خلال تطبيق سياسة على الأجهزة المحمولة، وتتضمن استخدام وسائل قوية لحماية البيانات بالتشفير عند الاتصال عبر شبكات غير موثوق بها. تم تصميم ضوابط الأمان على الأجهزة المحمولة للعمل بشكل مستقل عن شبكات ESET الداخلية والأنظمة الداخلية.
أمن الموارد البشرية
تستخدم ESET ممارسات الموارد البشرية القياسية، بما في ذلك السياسات المصممة لدعم أمن المعلومات. وتغطي هذه الممارسات كل دورة حياة الموظفين، وتطبق على جميع الموظفين.
تتطلب شركة ESET من موظفي ESET إجراء تحديد الأوضاع والتحليل أثناء التسجيل، وتسجيل اتفاقية عدم التسجيل أو السرية كجزء من اتفاقية العمل التي تتحملهم عن الالتزام بمسيرات الأمان الداخلية وأساليبها، وحماية معلومات ESET السرية والبيانات العملاء، وتحقيق تدريب على الوعي بأمن المعلومات أثناء التسجيل كجزء من برنامج الامتثال والتعرف على ESET.
التدابير الفنية
إدارة الهوية والاستخدام
تنطبق سياسة ESET سياسة إدارة الوصول على كل الوصول إلى البنية الأساسية لـ ESET. عملية التحكم في الوصول في مجال تقديم أو إلغاء أو تغيير الوصول وكذلك مراجعة حقوق الوصول المسموح بها لجميع مستويات البنية التحتية أو التكنولوجيا أو التطبيقات أو الأدوات. إدارة وصول المستخدم الكاملة على مستوى التطبيق مستقلة. يتم تنظيم تسجيل الهوية واحدة بواسطة موفر الهوية المركزي، والذي يضمن أن المستخدم يمكن الوصول إلى البيئة أو التطبيق المسموح بها فقط.
تُستخدم إدارة المستخدم وإدارة الوصول والتدابير الفنية لتحديد الوصول للمستخدم، وتوفير الوصول للمستخدم، وتقييم حقوق الوصول وإزالةها وتعديلها لإدارة وصول موظفي ESET إلى البنية الأساسية والأجهزة ESET وفقاً لأساليب الأمان، بما في ذلك، على سبيل المثال لا الحصر،:
•توفير الوصول بناءً على الحد الأدنى من الحقوق "الحاجة إلى معرفة"
•مراجعة منتظمة للوصول إلى المستخدم
•إنهاء وصول المستخدم وفقاً لسياسة الأمان
•تخصيص الحساب الفريد للجميع
•تسجيل محاولات الوصول إلى المستخدم وإعادة النظر وتتبعها
•تسجيل الوصول الفكري وإعادة النظر
•تنفيذ تأكيدات متعددة الأبعاد للحصول على الوصول الممتاز والمحكم
•ممارسة زمن الاستغناء عن الجلسات التفاعلية بعد فترة غير نشطة محددة
حماية البيانات
تشفير البيانات
تحمي ESET البيانات في البنية الأساسية؛ تُستخدم التشفير القوي لتشفير البيانات في وقت استراحة (بما في ذلك الأجهزة المحمولة) وفي أثناء الرحلة. تتبع تنفيذ التشفير القواعد المنصوص عليها بواسطة القواعد التشفيرية الداخلية. يتم الاحتفاظ ببيانات العميل وفقاً للقرارات ذات الصلة مثل GDPR أو سياسة NIS2 أو القوانين الصناعية والمالية.
التدابير الموجودة:
•يتم استخدام المرجع المصدق الموثوق به بشكل عام لإصدار الشهادات لخدمات الويب العامة
•تُستخدم ESET PKI الداخلي لإدارة المفتاحات داخل البنية الأساسية ESET
•يتم تفعيل تشفير منصة CSP الأصلية لضمان حماية البيانات المتأخرة لأجزاء ذات الصلة من معالجة البيانات أو استمرار البيانات في بيئة السحابة (خزائن البيانات، نسخ احتياطية).
•يوجد تشفير قوي (على سبيل المثال، TLS) لتشفير البيانات أثناء الانتقال.
تأمين البيانات واستردادها
تنطبق نسخ احتياطية على سياسة أمن المعلومات في تشغيل تكنولوجيات المعلومات والاتصالات.
يتم تخزين جميع بيانات تكوين مجموعة ESET وتطويرها في مخزونات ESET الممنهجة ومحمية بشكل منتظم لتمكين استعادة تلقائياً لتكوين البيئة. تُستخدم عملية اختبار استعادة الحرائق التقليدية لتحديد إمكانية استعادة نسخة احتياطية من التحكم داخل الأوقات المتوقعة للشركة.
يتم تأمين بيانات عمل ESET منتظمًا وفقاً لتقييمات الصناعة والتنظيم، وعملاً بالتوفر العالي وإحتياجات الاسترداد التعاقدية. يتم حماية النسخ الاحتياطية من التغييرات، ويتم اختبار صحة النسخ الاحتياطية بشكل منتظم من خلال عمليات ممارسة استرداد الأحداث.
أمان الشبكة
يتم تنشيط الشبكة عبر بيئة ESET الشبكية بأكملها. يتم تقسيم الشبكات بناءً على المعايير المحددة وتنفيذها باستخدام شبكات الاتصالات المتنقلة على جدار النار.
تستخدم ESET مجموعة متنوعة من أنظمة حماية الحدود، بما في ذلك جدار النار L7, أنظمة اكتشاف التسلل وإدارة أنظمة منع التسلل. يتم تكوين هذه الأنظمة وتوفيرها لحماية نقاط الوصول الخارجية، مما يضمن عدم اكتشاف أي محاولات غير مصرح بها للوصول إلى الشبكة وتجنبها.
يتم توفير الوصول عن بُعد إلى الأصول الداخلية عبر VPN المستخدم أو الموقع إلى الموقع مع الأدوار والالتزامات والمتطلبات الأمان والسياسات المنصوص عليها في سياسات ESET الداخلية، ويتم تكوينها وفقاً لتقييمات صناعة الأمان. يتم الحفاظ على حسابات مستخدم VPN داخل Active Directory وتكون جزءاً من عملية توفير حساب الموظف.
تطبق ESET ودعم التحكم في أمان الشبكة لحماية البيانات التي تتم معالجتها أو استلامها أو تخزينها في بيئة السحابة. تستخدم حسابات موفر الخدمة المدارة والبنية الأساسية قائمة التحكم في الوصول للبنية الأساسية وجماعات الأمان داخل الشبكة الافتراضية للخدمة المدارة لتقييد الوصول إلى جميع الموارد المقدمة. الوصول إلى الموارد السحابية فقط عبر القنوات التشفيرية.
التحصين
تستخدم ESET عملية حماية المنشآت لتقليل الضعف المحتمل في الهجمات. يتضمن ذلك التقنيات والطرق الأفضل التالية:
•لديك صورة ذهبية صريحة تُستخدم لتثبيت المستخدم أو المخزون أو التطبيق
•إزالة الخدمات غير الضرورية
•التحكم التلقائي المنصوص على المكونات الأساسية وتصحيحها في حالة المخاطر العالية
•تحديث نظام التشغيل قبل وصوله إلى نهاية حياته
•تحديد إعدادات الأمان
•تثبيت إدارة البنية التحتية والتطبيقات بطريقة متكررة ومستمرة
•إزالة البرامج غير الضرورية
•تحديد الوصول إلى الموارد المحلية
•التحكمات المستندة إلى المتصفح مثل مكافحة الفيروسات وتحديد نقطة انتهاء واستجابة، وسياسات الشبكة
تستخدم ESET نهجًا مختصرًا لتطبيق وتحديد الارتباك على مكونات بيئات تكنولوجيا المعلومات التي تهدف إلى تقليل أرض الهجوم، وهو مجموع جميع نقاط الوصول المحتملة التي قد تستخدمها الهجمات. لمزيد من التفاصيل، يرجى الاطلاع على الجزء التالي من هذا الوثيقة.
أمن التطبيقات
ممارسات تطوير Secure
تطبق ESET ممارسات تطوير البرمجيات الآمنة من خلال سياسة سياسة الأمان في دورة حياة تطوير البرمجيات (SSDLC)، والتي تتضمن التحكم في الأمان وإدارة المخاطر عبر جميع مراحل التطوير.
يحدد سياسة SSDLC المتطلبات التالية:
•يتم كتابة الكود وفقاً لإرشادات التصفح الآمنة وتقييمها قبل الانضمام.
•يتم إجراء نموذج التهديد وتقييم التصميم للحصول على ميزات جديدة والتغييرات الرئيسية.
•تحليلات الأمان تلقائياً (التحليلات الإحساسية والتحليلات التهديدية والتحليلات الديناميكية المختارة) تعمل كجزء من خطوط CI/CD
•يتم مراقبة المكونات التابعة لجهات خارجية وإصدارات مفتوحة وإبلاغها؛ يتم الحفاظ على SBOM لجميع المنتجات المتوفرة.
•يتم مراجعة النتائج من الحوادث وإجراء اختبار التسلل وإشعارات مكافأة البحوث وإعادة تأهيلها في عملية التطوير.
الغرض من سياسة SSDLC هو ضمان أن جميع منتجات ESET البرمجية آمنة وموثوق بها وفقاً للمعايير والأنظمة المعمول بها.
إدارة ضعف المنتج
تحتفظ ESET بتطبيق عملية محددة لتحديد الإخلالات في التطبيقات والمنتجات وتقييمها وتحديدها طوال دورة حياتها.
تتضمن هذه العملية كل من المشاكل التي تم اكتشافها داخلياً والإحصاءات من مصادر خارجية.
كجزء من إدارة ضعف المنتج، فإن ESET:
•يستخدم أدوات التحكم تلقائياً لتسجيل رمز المصدر والتأثيرات وتطوير العناوين الأدبية للحدود المعروفة.
•تقييم النتائج يدوياً لتأكيد التأثير والتأثير قبل تخصيص الإصلاح.
•تقييد التأثيرات وتحديد الأولوية بناءً على شدة وإمكانية الاستفادة والتعاطي مع المنتج
•يقوم بتنفيذ اختبار أمن محدد وإعادة اختبار لتحديد الحلول.
•يتضمن بيانات الضعف في إعداد التطوير وإطلاقه، بحيث يتم حل المشاكل الأساسية قبل إرسالها.
•يوافق على التقارير الخارجية وتتعامل معها من خلال إفشال متوازن وبرنامج مكافأة الفحوصات العامة
•تخصيص معرفات CVE للمخاطر التي تم تأكيدها على المنتج كجزء من دورها كمؤسسة رقمية CVE (CNA).
•تطبق التعديلات والتعديلات بناءً على شدة الضعف والتأثيرات التجارية، استناداً إلى عملية التحليل المعمول بها.
oيتوافق عملية الترجمة مع ISO/IEC 30111 (استخدام الضعف) و ISO/IEC 29147 (إبلاغ الضعف)
oتُستخدم أرقام CVSS وأشكال إعلام خارجية مثل فئة الضعف المعروفة المستفيدة (KEV) من CISA لتقييم الأولوية.
oيتم اتخاذ القرارات النهائية بالتعاون من قبل فريق المنتج والأمن المسؤول.
تتضمن هذه العمليات ضمان إدارة الإخلالات بطريقة متوافقة وغير قابلة للتتبع عبر جميع منتجات ESET.
اختبار التسلل
تنفذ ESET اختبارات التسلل المعتادة لمنتجاتها كجزء من عملية ضمان الأمان العامة للمنتج - داخل برنامج برنامج اختبار التسلل الخاص بنا. يتم إجراء الاختبارات قبل الإصدارات الرئيسية وعادةً في الأقسام المنصوص عليها في المنتجات المتبقية.
تعتمد ESET على اختبار التسلل على ما يلي:
•التحقق من أن التحكمات والأحكام الأمنية المنصوص عليها فعالة.
•تحديد الإخلالات المحتملة التي قد لا تكتشفها الأدوات التلقائية
•تحديد النتائج من جهود الإصلاح السابقة
•تقييم سطح الهجوم الكامل وإضافت المنتجات المرسلة بالخطر
يتم إجراء الاختبارات في بيئات محددة من قبل الخبراء الداخلية المختصين أو الشركاء الخارجيين الموثوق بهم باستخدام أساليب الصناعة المعترف بها (OWASP WSTG / MTG، NIST SP 800-115, PTES).
يتم تسجيل النتائج وتقييمها وتتبعها من خلال عملية إدارة التحديات ذات الصلة المستخدمة لمشاكل الإبلاغ داخلياً وباطنياً.
تُستخدم نتائج اختبار التسلل مباشرة في خطط تحسين المنتج وSSDLC، مما يساعد على التأكد من أن الدراسات التي تم اكتشافها تتم تخزينها وتقييد الضعف المتكرر مع مرور الوقت.
الأمن التشغيلي
سياسة أمن المعلومات في عمليات تكنولوجيا المعلومات
سياسة أمان المعلومات في تشغيل تكنولوجيا المعلومات داخل الشركة تنص على قواعد الأمان الأساسية المتعلقة باستخدام تكنولوجيا المعلومات وفقاً لتصنيف ISO 27001.
سياسة أمان المعلومات في تشغيل تكنولوجيا المعلومات تحدد متطلبات الأمان لعمليات تكنولوجيا المعلومات وتوثيقه، بما في ذلك إجراءات تشغيلية وإدارة التغييرات، وتحديد الأدوار والالتزامات، وتحديد الإنتاج والبيئات الاختبارية والتطويرية، وخدمات تكنولوجيا المعلومات من جهات خارجية، وتخطيط الأداء، ومشاريع تكنولوجيا المعلومات، وحماية البرامج الضارة، وحماية الشب
التسجيل والتحكم
يتم إجراء التسجيل والتحكم في النظام وفقاً للمعايير والقيود الداخلية (سياسة مراقبة الأمان وإدارة أحداث الأمان).
يتم جمع السجلات والأحداث من البنية الأساسية ونظام التشغيل وقاعدة البيانات وخوادم التطبيقات وضوابط الأمان بشكل مستمر. تستخدم ESET منصة إدارة التسجيل المركزية (SIEM) لحماية التسجيلات ذات الصلة من تعديل غير مصرح به أو إنهاءه. تتم معالجة السجلات أيضاً بواسطة فرق تكنولوجيا المعلومات والأمن الداخلي لتحديد الحالات غير الطبيعية التشغيلية والأمنية وحوادث أمن المعلومات. يتم الاحتفاظ بالبيانات في SIEM طوال الوقت المطلوب من قبل القوانين والبحث عن التهديد النسبي.
مراقبة الأمان وإجابة الحوادث
يتم تحديد مراقبة الأمان وإدارة أحداث الأمان بواسطة سياسة مراقبة الأمان وإدارة أحداث الأمان.
توصيات السياسة
•المسؤوليات والأحكام المتعلقة بتطوير وحدة التحكم الصحيحة وحماية وحفظ وتحليل وتقييم واستخدامه للتسجيلات الأمنية والتحكم
•المعالجة والأنشطة والمسؤوليات لإدارة حوادث الأمان
•منع أحداث الأمان
•تحديد تأثيرات أحداث الأمان
•التعلم من أحداث الأمان
•تعليم الموظفين حول الأنشطة التفتيشية وتطويره ودور الموظفين في التفتيش والإجابة على الحوادث
يُعد مركز العمليات الأمنية (SOC)، الذي يعمل 24 × 7، مصدراً لتتبع مستمر حالة الأمان للبنية التحتية والتطبيقات التكنولوجية واستجابة لأحداث الأمان.
تعتمد إدارة حوادث أمن المعلومات في ESET على مبدأ رد الحوادث المحدد. يتم تحديد الأدوار ضمن الاستجابة للحوادث وتخصيصها عبر فرق متعددة، بما في ذلك تكنولوجيا المعلومات والأمن والموارد القانونية والبشرية والعلاقات العامة والإدارة التنفيذية. يتم معالجت الحوادث القياسية بواسطة فريق SOC. بالنسبة لأحداث الأمان الأكثر أهمية، يتم إبلاغ مركز التحكم. مركز التحكم، بالتعاون مع فريق SOC، يتحكم في استجابة الحوادث وتتعاون مع فريقين آخرين للتعامل مع الحوادث. يتولّى فريق SOC، بدعم من الأعضاء المسؤولين في فريق الأمن الداخلي، مسؤولية جمع الأدلة واستخلاص الدروس المستفادة. يتم إبلاغ الأطراف المتضرّرة بوقوع الحوادث وطرق معالجتها، بما في ذلك العملاء والشركاء. فريق ESET القانوني مسؤول عن إخطار الهيئات التنظيمية إذا لزم الأمر وفقاً للائحة العامة لحماية البيانات (GDPR) وقانون الأمن السيبراني لنقل الشبكة وتوجيهات أمن المعلومات (NIS2).
إدارة التصحيح
تُستخدم إدارة التحليلات كحد أدنى من العديد من الأنشطة التخفيفية لإصلاح الضعف.
يتم تقييم وتطبيق تحديثات الأمان بناءً على شدة وخطر الضعف المحدد.
يحدد عملية التحليل والتصديق المحددة الجانب والتوقعات لتنفيذ التعديل. تتبع هذه العملية الإرشادات الداخلية لـ ESET المتوافقة مع ISO/IEC 30111. تساعد تقييم CVSS وأشكال إعلام التهديد الخارجي، مثل فئة التحديات المعروفة التي يمكن الاستفادة منها (KEV) من CISA، في اتخاذ القرارات المستندة إلى المخاطر وتحديد الأولوية.
يتم تحديد جميع التعديلات في بيئات محددة قبل نشرها في الإنتاج لضمان حل المشكلة الأساسية دون تأثير إيجابي على استقرار النظام أو متوافقه.
تتبع التطبيق إجراءات إدارة التغييرات المنصوص عليها لضمان التتبع وإدخال المسؤولية وإمكانية الاسترداد عند الحاجة.
يتم مراقبت وتقييم نشاطات التقييم بشكل مستمر لتأكيد فعالية وتحديد الأنظمة المتأخرة وتشجيع تحسينات عملية مستمرة.
يحدد إرشادات تسجيل التطبيق التدابير الفنية والمتطلبات التي تحكم التسجيل لجميع التطبيقات التي تطورها ESET.
حماية البرامج الضارة والتهديدات
الحماية من البرمجيات الضارة (من خلال برنامج مكافحة الفيروسات وEDR) هي المنصوص عليها في سياسة أمن المعلومات في تشغيل تكنولوجيات المعلومات والاتصالات. يتعين على الموظفين إبلاغ SOC على الفور بأي شكوك حول إصابة ببرمجيات ضارة كما هو موضح في سياسة أمن المعلومات لأفراد ESET.
تتوافق متطلبات نقطات انتهاء الموظف في معايير الأمان للأقمار الصناعية.
تستخدم ESET أدوات مكافحة البرمجيات الخبيثة الخاصة بها الممتعة باستخدام حلول خارجية مجهولة لحماية النقاط النهائية وملفات العمل السحابية.
يقوم فريق SOC بإجراء أنشطة البحث عن التهديد بناءً على سياسة مراقبة الأمان وإدارة أحداث الأمان. يتم جمع بيانات التهديد (فيروسات) إلى نظام SIEM، والذي يتناول تلقائياً إنتاج معلومات التهديد المطبقة على الأحداث في مراقبة الأمان.
الامتثال الفني
يوفر فريق الأمان الداخلي وإبقاء معايير الأمان الفنية المختلفة للبنية الأساسية والأحجام والأجزاء ذات الصلة بالبنية الأساسية وممارسات أفضل للمطورين والمديريين في تكنولوجيا المعلومات لمتابعةها. بناءً على القيود الفنية، يُعد فريق الأمان الداخلي ملفات خطة التحكم الأساسية التي تُستخدم من قبل فرق تكنولوجيا المعلومات لتسريع تطوير وتأمين التكوينات الآمنة.
بالإضافة إلى ذلك، تتم تشخيص الامتثال من خلال أداة تقييم الضعف عند حدّ ممكن. تحتفظ ESET ببرنامج اختبار التسلل المنصوص عليه، وتكون المنتجات والتطبيقات والخدمات التي تطورها ESET تحت إشراف اختبار التسلل السريع بناءً على خطة البرنامج. يتم تسجيل جميع النتائج وإبلاغ المشاركين في المنتج لضمان تقليلها في أقرب وقت ممكن.
الأمن المادي
تحدد سياسة الأمان البدنية وتنص على معايير الأمان البدنية ذات الصلة قواعد الأمان البدني حول مكاتب المكتب ومراكز البيانات. يحدد هذا السياسة قواعد ومتطلبات ما يلي:
•حماية أماكن ESET
•التحكم في مَن يمكنه الدخول فعلياً
•أمن المكاتب والمناسبات والبناءات
•العمل في المناطق الآمنة
•أمن الأجهزة والطاقة والبنية الأساسية
أمان مركز البيانات
تقع مكونات البنية التحتية التكنولوجية جسدياً داخل العديد من مراكز البيانات؛ وبالتالي، يتم تحقيق إخلاء في كل منطقة.
يتم تحديد محطة الأمان الجسدية في سياسة الأمان الجسدية ونصوص الأمان ذات الصلة لأسواق المكتب ومراكز البيانات - قياس الأمان الجسدي لأسواق البيانات. تحدد ESET القواعد لتحديد محطة الأمان والتحكمات التي يجب تطبيقها على محطة الأمان الفردية. يتم تحديد التحكم الأساسية بما في ذلك الحد من الأمان الفردي والتحديد، وإدارة الوصول والزوار، وحماية الحرائق والضفادع، بالإضافة إلى مراقبة التحكم الرقمي والتحكم العسكري بشكل واضح وتطبيقها وتتبعها باستمرار. يتم مراجعة أمان DC بشكل منتظم من قبل الموظفين المسؤولين والمدراء الخارجيين.
تعتمد ESET على تدابير وضوابط الأمان الفردية من موفر الخدمة المدارة؛ وبالتالي، تراجع تقارير الامتثال المتوافقة من موفر الخدمة المدارة بشكل منتظم.
التحكم في الوصول الفكري
يتم تعيين التحكم في الوصول الفعلي في سياسة الأمان الفعلي وأساليب الأمان ذات الصلة لمنافذ المكتب ومراكز البيانات. يتم تقسيم المباني إلى المناطق المحمية مع التحكم في الوصول المحدد.
يتم إدارة الاعتماد وفقاً لأفضل ممارسات الأمان باستخدام مفتاحات وطاقات الهوية/الوصول ومرسيدس PIN.
يتم تنفيذ مراقبة الوصول الفعلي والوقاية من الوصول غير المصرح به. تتم مراقبة جميع الوثائق بواسطة CCTV باستخدام تسجيل مسجل. يتم أيضاً مراقبة الحد الأقصى من خلال محركات الحركة أو حفر النار (بما في ذلك جدران الحاجة ضعيفة (أي الجدران أو الجدران الجافة)، وإخراج النار، والنوافذ).
استمرارية الأعمال واستعادة الأضرار
تحتفظ ESET بتقييمات منتظمة وتقييمها وتطبيق تحسينات نظام إدارة استمرارية الأعمال وفقاً لـ سياسة إدارة استمرارية الأعمال وفقاً لـ ISO 22301.
تم إنشاء ESET برنامج BCM، الذي يهدف إلى جميع الأنشطة داخل الشركة ويحصل على موافقة CISO وفقاً لسياسة BCM. يحدد برنامج BCM الأنشطة والأنشطة التشغيلية لتقليل المخاطر المتعلقة بـ BCM، على سبيل المثال، عبر إخلاءات أو نسخ الوظائف والبنية التحتية التكنولوجية.
تُعد تحليلات تأثير الأعمال (BIA) مع أهداف استمرارية الأعمال المحددة (RTO،RPO،MTD،أولويات الاسترداد) مستمرة في إعداد وتقييمها. يتم مراجعة خطط استرداد الحرائق (DRP) وتحديدها وفقاً لبرنامج BCM. يحدد استراتيجية استمرارية الأعمال نهج الحفاظ على الأصول التجارية الأساسية. تعمل جميع النتائج من أنشطة استمرارية الأعمال القياسية كدخول لتحسين مستمر.
إدارة المخاطر التابعة لجهة خارجية
تُحكّم مراقبة خدمات المورّدين وتقييمها بواسطة سياسة أمن المعلومات في روابط المورّدين. يتم إجراء التقييمات على أساس شهري، ويتم تخزين النتائج في تقييم موفر.
التوثيق ودورة الحياة والتحديثات وعمليات الدمج
- عرض موقع سطح المكتب
- تعليمات ESET عبر الإنترنت
- انتهاء الصلاحية
- أحدث الإصدارات
- سجل التغيير
- واجهات برمجة التطبيقات وعمليات التكامل
- تحديثات محرك الكشف