Seznamte se s vašimi právy a našimi povinnostmi na jednom místě
Politika zabezpečení
Úvod
Účel dokumentu
Účelem tohoto dokumentu je shrnout technické, organizační a fyzické postupy a bezpečnostní zásady uplatňované v rámci infrastruktury společnosti ESET, která zahrnuje portfolio společnosti ESET, tj. produkty, aplikace, řešení a služby společnosti ESET (dále jen „Produkt“). Bezpečnostní opatření, postupy a zásady jsou určeny k ochraně:
•Provozu portfolia ESET a zpracování údajů v lokálním nebo cloudovém prostředí
•Důvěrnosti, integrity a dostupnosti dat zákazníků
•Informací o zákaznících před protiprávním zničením, ztrátou, změnou, neoprávněným poskytnutím nebo zpřístupněním.
Společnost ESET může tento dokument a konkrétní opatření, postupy a zásady, které je upravují, aktualizovat tak, aby reagovaly na měnící se hrozby a přizpůsobily se rozvoji bezpečnostních technologií a oborových standardů.
Cílové publikum
Tento dokument by si měl přečíst každý, kdo požaduje ujištění v oblasti bezpečnosti portfolia společnosti ESET, jakož i zákazník, který zamýšlí využívat řešení nebo služby společnosti ESET prostřednictvím jejich integrace do svého prostředí.
Kontext, koncepce a rozsah
Společnost ESET, spol. s r.o. je držitelem certifikátu ISO 27001:2022 s integrovaným systémem řízení.
Koncept řízení informační bezpečnosti proto používá standard ISO 27001 k implementaci bezpečnostní strategie vícevrstvé ochrany při aplikování bezpečnostních zásad na všechny vrstvy architektury informačního systému, jako jsou síť, operační systémy, databáze, aplikace, zaměstnanci a provozní procesy. Použité bezpečnostní postupy a zásady se mají vzájemně překrývat a doplňovat.
Tento dokument vymezuje přehled technických a organizačních opatření uplatňovaných v rámci portfolia společnosti ESET, včetně opatření týkajících se organizace, zaměstnanců a provozních procesů.
Bezpečnostní postupy a zásady zahrnují opatření v oblasti řízení a technická opatření, mimo jiné zejména:
•Politiky bezpečnosti informací
•Organizace bezpečnosti informací
•Bezpečnost lidských zdrojů
•Řízení přístupu
•Kryptografie
•Fyzická bezpečnost a bezpečnost prostředí
•Ochrana dat, zabezpečení sítě, zabezpečení aplikací
•Bezpečnost provozu
•Bezpečnost komunikací
•Akvizice, vývoj a údržba systému
•Vztah s dodavateli
•Řízení incidentů bezpečnosti informací
•Aspekty řízení kontinuity organizace z hlediska bezpečnosti informací
•Soulad s požadavky
Zkratky
Zkratka |
Plný název |
|---|---|
Společnost |
ESET, spol. s r.o. |
CSP |
Poskytovatel cloudových služeb |
DR |
Obnovení po havárii |
ESET |
ESET, spol. s r.o. |
GDPR |
Obecné nařízení o ochraně osobních údajů |
ICT |
Informační a komunikační technologie |
IR |
Reakce na incidenty |
IS |
Informační bezpečnost |
ISMS |
Systém řízení incidentů bezpečnosti informací |
IT |
Informační technologie |
NIS |
Zákon o kybernetické bezpečnosti provádějící směrnici o bezpečnosti sítí a informačních systémů |
PKI |
Infrastruktura veřejných klíčů |
Produkt |
Portfolio společnosti ESET – tj. produkty, aplikace, cloudové platformy, řešení a na nich založené služby ESET. |
SIEM |
Správa bezpečnostních informací a událostí |
SSDLC |
Životní cyklus bezpečného vývoje softwaru |
QMS |
Systém řízení kvality |
Poznámka: Kurzíva – používá se pro názvy interních dokumentů společnosti, nejsou určeny pro veřejnost, například Politika interních předpisů
Správa zabezpečení
Program řízení bezpečnosti informací
Společnost ESET vytvořila a udržuje rámec programu řízení bezpečnosti informací jako celopodnikovou funkci řídící ochranu informačních aktiv. Dokumentace bezpečnosti informací se řídí politikou zabezpečení, procesy a dokumentací v souladu s dokumentem Politika interních předpisů. Společnost ESET přijala politiku integrovaného systému řízení, která představuje dokument nejvyšší úrovně pro:
•politiku ISMS,
•politiku QMS a
•politiky bezpečnosti informací.
Společnost ESET se řídí svou politikou integrovaného systému řízení, která vymezuje rámec pro řízení kvality a bezpečnosti informací. Tato politika, za kterou zodpovídá ředitel pro bezpečnost informací (CISO) společnosti ESET, představuje nejvyšší úroveň závazku vedení společnosti v oblasti bezpečnosti a kvality. Definuje odpovědnosti za řízení a zajištění těchto oblastí a stanoví závazek společnosti ESET průběžně vyhodnocovat a zlepšovat účinnost svého systému řízení v souladu s normami ISO 9001 a ISO 27001.
Firemní politiky jsou dokumentovány, udržovány a každoročně revidovány a v případě významných změn aktualizovány, aby byla zajištěna jejich kontinuální vhodnost, přiměřenost a účinnost. Aktualizace jsou sdělovány interním zaměstnancům a politiky jsou dostupné všem zaměstnancům. Politiky jsou oficiálně přijaty, schváleny podpisem generálního ředitele, publikovány a sděleny všem zaměstnancům a příslušným zainteresovaným stranám. Zaměstnanci společnosti ESET formálně potvrzují seznámení s politikami při nástupu do zaměstnání.
Kromě politik vytvořily týmy pro bezpečnost informací a technickou bezpečnost společnosti ESET procesy, postupy, standardy a konfigurační základny vycházející z osvědčených oborových bezpečnostních postupů a doporučení dodavatelů (např. benchmarky CIS, OWASP, NIST). Tyto podklady jsou předávány IT a technologickým týmům s cílem zajistit bezpečný vývoj, konfiguraci a provoz informačních systémů a produktů společnosti ESET.
Společnost ESET udržuje provázanou dokumentaci řízení, která je navržena a zpřístupněna všem zaměstnancům v souladu s certifikacemi společnosti ESET podle norem ISO 9001 a ISO 27001. Provozní postupy jsou přizpůsobeny specifickým potřebám jednotlivých týmů, spravovány v definovaných pracovních prostředích a podle potřeby aktualizovány.
Pro řešení a nápravu případného nedodržování bezpečnostních politik jsou zavedeny monitorovací a disciplinární postupy, které posilují závazek společnosti ESET k odpovědnosti a neustálému zlepšování.
K zajištění trvalého souladu a účinnosti implementovala společnost ESET rámec řízení rizik a udržuje technická a organizační kontrolní opatření. Proces řízení rizik ve společnosti ESET zahrnuje komplexní posuzování a řízení rizik v rámci integrovaného systému řízení (vycházejícího z norem ISO 9001 a ISO 27001). Tento proces zahrnuje hodnocení aktiv, identifikaci bezpečnostních požadavků, vyhodnocení rizik a volbu vhodných strategií pro jejich zmírnění. Ředitel pro bezpečnost informací (CISO) dohlíží na celkový proces řízení rizik a zajišťuje pravidelné předkládání zpráv o bezpečnostních rizicích a souvisejících ukazatelích vrcholovému vedení. Současně je důsledně prosazováno řízení rizik třetích stran prostřednictvím hodnocení dodavatelů v souladu se smluvním bezpečnostním standardem společnosti ESET.
Soulad s oborovými standardy
Externí ověřování a akreditace jsou zásadně důležité pro organizace, které se spoléhají na schopnosti a technologie společnosti ESET při zabezpečení svých dat a zajištění souladu s regulačními požadavky. Podrobnosti naleznete na stránce certifikací společnosti ESET.
Sledování dodržování předpisů
Politika integrovaného systému řízení stanoví integrovaný systém řízení, včetně pravidelného přezkoumávání a auditů.
Prostřednictvím interních auditů je pravidelně ověřován soulad s politikami a procesy společnosti ESET, jak je stanoveno v Politice interního auditu. Politika interních předpisů vymezuje odpovědnost za průběžné monitorování uplatňování interních předpisů a za provádění příslušných úprav v případě potřeby.
Pravidelné přezkoumávání a interní a externí audity jsou prováděny v souladu s ročním a tříletým dlouhodobým plánem auditů. Interní audity jsou vykonávány nezávislými auditory, kteří pravidelně kontrolují dodržování politik a procesů společnosti ESET nebo příslušných norem (například ISO 9001, ISO 27001 a SOC2) v závislosti na rozsahu auditu. Interní audity jsou plánovány a prováděny nejméně jednou ročně. Výstupy z auditů jsou shromažďovány a evidovány ve speciálním systému požadavků s příslušnými vlastníky, kteří jsou odpovědní za řešení a nápravu neshod v předem stanoveném časovém rámci. Výstupy z auditů, které vyžadují dohled a rozhodnutí vedení, jsou projednávány na pravidelných poradách vedení.
Organizace bezpečnosti informací
Odpovědnost za bezpečnost informací je přidělována v souladu se zavedenými politikami informační bezpečnosti. Interní procesy jsou identifikovány a posuzovány z hlediska rizik vyplývajících z neoprávněné nebo neúmyslné modifikace nebo zneužití informačních aktiv společnosti ESET. Při rizikových nebo citlivých činnostech souvisejících s interními procesy je za účelem snížení rizika uplatňován princip osvědčených bezpečnostních postupů.
Informační bezpečnost je zohledněna v projektovém řízení pomocí aplikovaného rámce řízení projektů od koncepce až po dokončení projektu.
Práci na dálku a práci z domova pokrývají politiky implementované na mobilních zařízeních, které zahrnují použití silné kryptografické ochrany dat při pohybu mezi nedůvěryhodnými sítěmi. Bezpečnostní kontroly na mobilních zařízeních jsou navrženy tak, aby fungovaly nezávisle na interních sítích a interních systémech společnosti ESET.
Bezpečnost lidských zdrojů
Společnost ESET používá standardní postupy v oblasti lidských zdrojů, včetně politik určených k dodržování informační bezpečnosti. Tyto postupy se vztahují na celý životní cyklus zaměstnanců a platí pro všechny zaměstnance.
Společnost ESET vyžaduje, aby zaměstnanci společnosti ESET při nástupu do zaměstnání absolvovali ověření a prověření minulosti; aby jako součást pracovní smlouvy podepsali dohodu o mlčenlivosti nebo důvěrnosti, která je zavazuje k dodržování interních bezpečnostních politik a standardů a k ochraně důvěrných informací společnosti ESET a údajů zákazníků; a aby v rámci programu souladu s předpisy a informovanosti společnosti ESET absolvovali školení o informační bezpečnosti.
Technická opatření
Správa identit a přístupu
Politika řízení přístupu společnosti ESET řídí veškerý přístup k infrastruktuře společnosti ESET. Procesy kontroly přístupu, zahrnující udělování, rušení, změny přístupů a pravidelné revize udělených přístupových práv, se uplatňují na všech úrovních infrastruktury, technologií, aplikací nebo nástrojů. Správa úplného přístupu uživatelů na úrovni aplikace je autonomní. Jednotné přihlášení k identitě je spravováno centrálním poskytovatelem identit, který zajišťuje, že uživatel má přístup pouze k autorizovanému prostředí nebo aplikaci.
Správa uživatelů a přístupů, včetně procesů a technických opatření pro udělování, odebrání, revizi a úpravu přístupových oprávnění, slouží k řízení přístupu zaměstnanců společnosti ESET k infrastruktuře a sítím ESET v souladu s bezpečnostními standardy, které zahrnují mimo jiné:
•Udělování přístupu na základě principu nejmenších oprávnění („need to know“)
•Pravidelné revize uživatelských přístupů
•Ukončení uživatelských přístupů v souladu s bezpečnostní politikou
•Přiřazení jedinečného účtu každému uživateli
•Protokolování pokusů o přístup uživatelů, jejich přezkum a monitorování
•Protokolování a přezkum fyzických přístupů
•Implementace vícefázového ověřování pro privilegované přístupy a účty správce
•Vynucení časového limitu pro interaktivní relace po zadané době nečinnosti
Ochrana dat
Šifrování dat
ESET zajišťuje ochranu dat ve své infrastruktuře prostřednictvím silné kryptografie používané k šifrování uložených dat (včetně přenosných zařízení) i přenášených dat. Implementace kryptografických opatření se řídí pravidly definovanými v interním kryptografickém standardu. Údaje o zákaznících jsou uchovávány v souladu s příslušnými předpisy, např. GDPR, směrnicí NIS2 nebo oborovými a finančními předpisy.
Zavedená opatření:
•Certifikáty pro veřejné webové služby vydává důvěryhodná certifikační autorita.
•Ke správě klíčů v rámci infrastruktury společnosti ESET slouží interní PKI společnosti ESET.
•K zajištění ochrany uložených dat pro příslušné části zpracování dat nebo uchovávání dat v cloudovém prostředí (datová úložiště, zálohy) je povoleno nativní šifrování platformy CSP.
•K šifrování přenášených dat je používána silná kryptografie (např. TLS).
Zálohování a obnova dat
Zálohování se řídí politikou bezpečnosti informací při provozu informačních a komunikačních technologií.
Veškerá data týkající se konfigurace a nasazení portfolia ESET jsou uložena v chráněných a pravidelně zálohovaných úložištích společnosti ESET, což umožňuje automatickou obnovu konfigurace prostředí. Pravidelný proces testování obnovení po havárii slouží k ověření obnovitelnosti konfiguračních záloh v časech očekávaných z hlediska provozních požadavků.
Zákaznická data společnosti ESET jsou pravidelně zálohována v souladu s oborovými standardy a právními předpisy, požadavky na vysokou dostupnost provozu a smluvními požadavky na obnovitelnost. Zálohy jsou chráněny proti neoprávněné manipulaci a jejich platnost je pravidelně testována v rámci procesů obnovení po havárii.
Zabezpečení sítě
V celém síťovém prostředí společnosti ESET je implementována segmentace sítě. Sítě jsou odděleny na základě definovaných kritérií a jejich oddělení je vynucováno prostřednictvím VLAN na úrovni firewallů.
Společnost ESET využívá různé systémy ochrany perimetru, včetně firewallů na aplikační vrstvě (L7), systémů detekce průniku a systémů prevence průniku. Tyto systémy jsou nakonfigurovány a udržovány tak, aby chránily externí přístupové body a zajistily, že jakékoli neoprávněné pokusy o přístup do sítě budou odhaleny a zablokovány.
Vzdálený přístup k interním prostředkům je zajišťován prostřednictvím uživatelské nebo site-to-site VPN, přičemž role a odpovědnosti, bezpečnostní požadavky a kontroly jsou stanoveny v interních politikách společnosti ESET a nakonfigurovány v souladu s oborovými bezpečnostními standardy. Uživatelské účty VPN jsou spravovány v rámci služby Active Directory a jsou součástí procesu zřizování účtů zaměstnancům.
Společnost ESET implementuje a udržuje síťová bezpečnostní kontrolní opatření k ochraně dat, která jsou zpracovávána, přijímána nebo ukládána v cloudovém prostředí. Účty CSP a základní infrastruktura využívají seznamy řízení přístupu k síti a skupiny zabezpečení v rámci virtuální sítě CSP k omezení přístupu ke všem poskytovaným prostředkům. Přístup ke cloudovým prostředkům je možný výhradně prostřednictvím šifrovaných kanálů.
Hardening systémů
ESET využívá proces zabezpečení systémů s cílem snížit možnou zranitelnosti vůči útokům. Tento přístup zahrnuje používání následujících technik a osvědčených postupů:
•Využívání podepsané bitové kopie (gold image), která slouží k instalaci nebo nasazení hostitele nebo kontejneru.
•Vypínání nepotřebných služeb.
•Automatizované plánované nasazování oprav a ad hoc záplatování kritických komponent v případě vysokého rizika.
•Aktualizace operačního systému před dosažením konce jeho životního cyklu.
•Konfigurace nastavení zabezpečení.
•Automatizace správy infrastruktury a aplikací opakovatelným a konzistentním způsobem.
•Odstraňování nepotřebného softwaru.
•Omezení přístupu k místním zdrojům.
•Kontroly na úrovni hostitele, jako je antivirový program, detekce incidentů na koncových zařízeních a reakce na ně (EDR) a síťové politiky.
Společnost ESET využívá centralizovaný přístup k zavádění a ověřování hardeningu komponent IT prostředí, jehož cílem je minimalizovat útočnou plochu, což je souhrn všech potenciálních vstupních bodů, které by útočníci mohli zneužít. Podrobnosti naleznete v následující části tohoto dokumentu.
Bezpečnost aplikací
Postupy bezpečného vývoje
ESET uplatňuje postupy bezpečného vývoje softwaru prostřednictvím své Politiky bezpečnosti v životním cyklu vývoje softwaru (SSDLC), která integruje bezpečnostní kontroly a řízení rizik ve všech fázích vývoje.
Politika SSDLC stanovuje následující požadavky:
•Kód je psán v souladu s pokyny pro bezpečné programování a před začleněním je zkontrolován.
•Pro nové funkce a významné změny se provádí modelování hrozeb a revize návrhu.
•Automatizované bezpečnostní kontroly (statická analýza, skenování závislostí a vybrané dynamické testy) jsou spouštěny v rámci procesu CI/CD.
•Komponenty třetích stran a open-source jsou sledovány a aktualizovány; pro všechny vydané produkty je udržován SBOM.
•Zjištěné poznatky z incidentů, penetračních testů a hlášení o chybách jsou vyhodnocovány a zapracovány do procesu vývoje.
Účelem politiky SSDLC je zajistit, aby všechny softwarové produkty společnosti ESET byly bezpečné, spolehlivé a v souladu s platnými normami a předpisy.
Správa zranitelností produktů
Společnost ESET má zavedený definovaný proces identifikace, hodnocení a řešení zranitelností svých aplikací a produktů v průběhu jejich životního cyklu.
Tento proces se vztahuje jak na interně zjištěné problémy, tak na hlášení pocházející z externích zdrojů.
V rámci správy zranitelností produktu ESET:
•Používá automatické skenovací nástroje ke kontrole zdrojového kódu, závislostí a artefaktů sestavení za účelem identifikace známých zranitelností.
•Před přiřazením řešení jsou zjištěné nálezy manuálně vyhodnocovány, aby byl potvrzen jejich skutečný dopad a význam.
•Sleduje opravy a určuje jejich prioritu na základě závažnosti, zneužitelnosti a rizika pro produkt.
•Provádí cílené bezpečnostní testování a opakované testování za účelem ověření řešení.
•Zapracovává údaje o zranitelnostech do plánování vývoje a vydávání verzí, aby byly kritické problémy řešeny před uvedením produktu na trh.
•Přijímá a zpracovává externí hlášení prostřednictvím koordinovaného zveřejňování a veřejného programu odměn za nahlášení chyb.
•Přiděluje identifikátory CVE potvrzeným zranitelnostem produktů v rámci své role CNA (CVE Numbering Authority).
•Aplikuje záplaty a opravy na základě závažnosti zranitelnosti a dopadu na provoz podle strukturovaného procesu třídění.
oProces třídění je v souladu s normami ISO/IEC 30111 (ošetření zranitelností) a ISO/IEC 29147 (odhalení zranitelností).
oK určení priorit se využívá hodnocení CVSS a externí zdroje informací, jako je katalog známých zneužitých zranitelností (KEV) CISA.
oKonečná rozhodnutí o řešení jsou přijímána společně odpovědnými produktovými a bezpečnostními týmy.
Tyto procesy zajišťují konzistentní, transparentní a sledovatelnou správu zranitelností u všech produktů společnosti ESET.
Penetrační testování
Společnost ESET provádí pravidelné penetrační testování svých produktů v rámci celkového procesu zajištění bezpečnosti produktů, a to prostřednictvím vlastního programu penetračního testování. Testování se provádí před vydáním hlavních verzí a v plánovaných intervalech u udržovaných produktů.
Penetrační testování ve společnosti ESET se zaměřuje na:
•Ověřování účinnosti implementovaných bezpečnostních kontrol a zmírňujících opatření.
•Identifikaci potenciálních zranitelností, které automatické nástroje nemusí zachytit.
•Ověřování výsledků předchozích řešení.
•Posouzení celkové útočné plochy a míry vystavení rizikům u vydaných produktů.
Testy jsou prováděny v izolovaných prostředích kvalifikovanými interními specialisty nebo důvěryhodnými externími partnery podle uznávaných oborových metodik (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Zjištění jsou dokumentována, hodnocena a sledována prostřednictvím stejného procesu správy zranitelností, který je používán pro interně i externě hlášené problémy.
Výsledky penetračních testů jsou přímo zapracovávána do plánů zlepšování produktů a do SSDLC, což pomáhá zajistit, aby byly získané poznatky zohledněny a opakující se slabá místa byla postupně eliminována.
Bezpečnost provozu
Politika bezpečnosti informací při provozu informačních a komunikačních technologií
Politika bezpečnosti informací při provozu informačních a komunikačních technologií ve společnosti stanovuje základní bezpečnostní pravidla týkající se provozu ICT v souladu s normou ISO 27001.
Politika bezpečnosti informací při provozu informačních a komunikačních technologií definuje bezpečnostní požadavky na provozní procesy IT a jejich dokumentaci, včetně provozních postupů, řízení změn, rozdělení rolí a odpovědností, oddělení produkčního, testovacího a vývojového prostředí, služeb IT třetích stran, plánování výkonu, projektů IT, ochrany proti škodlivému kódu, zálohování, zabezpečení sítí, zabezpečení médií, požadavků na elektronické obchodování a monitorování.
Protokolování a auditování
Protokolování a auditování systému jsou prováděny v souladu s interními standardy a směrnicemi (Politika monitorování zabezpečení a řízení bezpečnostních incidentů).
Protokoly a auditní záznamy z infrastruktury, operačního systému, databáze, aplikačních serverů a prvků zabezpečení se shromažďují nepřetržitě. Společnost ESET využívá centrální platformu pro správu protokolů (SIEM), která zajišťuje ochranu příslušné protokolů před neoprávněnou manipulací nebo zničením. Auditní záznamy jsou dále zpracovávány týmy IT a interní bezpečností za účelem identifikace provozních a bezpečnostních anomálií a incidentů informační bezpečnosti. Data v SIEM jsou uchovávána po dobu vyžadovanou předpisy a pro účely zpětného vyhledávání hrozeb.
Monitorování zabezpečení a reakce na incidenty
Monitorování zabezpečení a řízení bezpečnostních incidentů je definováno v politice bezpečnostního monitorování a řízení bezpečnostních incidentů.
Tato politika stanovuje:
•Odpovědnosti a pravidla pro vývoj, správnou konfiguraci, ochranu, ukládání, analýzu, vyhodnocování a uchovávání záznamů bezpečnostního logování a auditování.
•Proces, role a odpovědnosti při řízení bezpečnostních incidentů.
•Opatření k prevenci bezpečnostních incidentů.
•Postupy k minimalizaci dopadů bezpečnostních incidentů.
•Mechanismy pro získávání poučení z bezpečnostních incidentů.
•Školení zaměstnanců o monitorovacích činnostech, jejich rozsahu a roli zaměstnanců při monitorování a reakci na incidenty.
Společnost ESET zřídilo bezpečnostní operační centrum (SOC) s nepřetržitým provozem, které je pověřeno nepřetržitým sledováním bezpečnostního stavu IT infrastruktury a aplikací a reakcí na bezpečnostní incidenty.
Řízení incidentů bezpečnosti informací ve společnosti ESET se opírá o definovaný postup reakce na incidenty. Role v rámci reakce na incidenty jsou definovány a rozděleny mezi více týmů, nejen z oblasti IT, bezpečnosti, právní, lidských zdrojů, vztahů s veřejností a výkonného managementu. Standardní incidenty řeší tým SOC. V případě závažnějších bezpečnostních incidentů je informováno řídicí centrum. Řídící centrum ve spolupráci s týmem SOC koordinuje reakci na incident a zapojuje další týmy potřebné k řešení incidentu. Tým SOC, podporovaný odpovědnými členy týmu interní bezpečnosti, je rovněž zodpovědný za shromažďování důkazů a získaných poznatků. Vznik incidentu a jeho řešení je sděleno dotčeným stranám, včetně zákazníků a partnerů. Právní tým společnosti ESET je v případě potřeby zodpovědný za informování regulačních orgánů v souladu se všeobecným nařízení o ochraně osobních údajů (GDPR) a aktem EU o kybernetické bezpečnosti EU transponujícím směrnici o bezpečnosti sítí a informačních systémů (NIS2).
Správa záplat
Správa záplat je používána jako jedna z nápravných činností ke zmírnění a vyřešení zranitelností.
Bezpečnostní záplaty jsou vyhodnocovány a aplikovány na základě závažnosti a rizika identifikovaných zranitelností.
Definovaný proces třídění a stanovení priorit určuje pořadí a časový harmonogram nasazení záplat. Tento proces se řídí interními směrnicemi společnosti ESET, které jsou v souladu s normou ISO/IEC 30111. K podpoře rozhodování a určení priorit na základě rizik se využívá hodnocení CVSS a externí zdroje informací, jako je katalog známých zneužitých zranitelností (KEV) CISA.
Všechny záplaty jsou před nasazením do produkčního prostředí ověřovány v kontrolovaných prostředích, aby bylo zajištěno, že řeší cílový problém bez negativního dopadu na stabilitu nebo kompatibilitu systému.
Nasazení probíhá v souladu se zavedenými postupy řízení změn, které zajišťují sledovatelnost, odpovědnost a možnost návratu ke stavu před změnou v případě potřeby.
Činnosti spojené se záplatami jsou průběžně monitorovány a vyhodnocovány s cílem potvrdit jejich účinnost, identifikovat zastaralé systémy a podporovat průběžné zlepšování procesů.
Směrnice pro protokolování aplikací definuje technická opatření a požadavky pro protokolování všech aplikací vyvíjených společností ESET.
Ochrana před škodlivým kódem a hrozbami
Ochrana proti škodlivému kódu (antivirovým softwarem a EDR) je stanovena v politice bezpečnosti informací při provozu informačních a komunikačních technologií. Zaměstnanci jsou povinni neprodleně nahlásit SOC jakékoliv podezření na infekci škodlivým kódem, jak je stanoveno v politice bezpečnosti informací pro zaměstnance společnosti ESET.
Požadavky na koncová zařízení zaměstnanců jsou uvedeny v Bezpečnostním standardu pro pracovní stanice.
Společnost ESET využívá k ochraně koncových zařízení a cloudových zátěží své vlastní antimalwarové nástroje doplněné o ověřená řešení třetích stran.
Tým SOC provádí činnosti vyhledávání hrozeb na základě politiky bezpečnostního monitorování a řízení bezpečnostních incidentů. Data o hrozbách (kanály) jsou shromažďována v systému SIEM, který je automaticky zpracovává a vytváří z nich zpravodajské informace o hrozbách, které jsou využívány při vyhodnocování událostí v rámci monitorování zabezpečení.
Technický soulad
Tým interní bezpečnosti zajišťuje a udržuje různé technické bezpečnostní standardy pro infrastrukturu, cloud a webové komponenty, jakož i osvědčené postupy, kterými se řídí vývojáři a správci IT. Na základě těchto technických standardů připravuje tým interní bezpečnosti konfigurační soubory základních nastavení, které IT týmy využívají k automatizaci nasazení a k vynucování bezpečných konfigurací.
Kromě toho jsou podle možností prováděny kontroly souladu prostřednictvím nástroje pro analýzu zranitelnosti. Společnost ESET má zavedený program penetračního testování a produkty, aplikace a služby vyvíjené společností ESET podléhají pravidelnému penetračnímu testování v souladu s plánem tohoto programu. Všechna zjištění jsou dokumentována a hlášena zúčastněným stranám odpovědným za produkty, aby byla co nejdříve přijata nápravná opatření
Fyzické zabezpečení
Politika fyzického zabezpečení a související standardy fyzického zabezpečení definují pravidla fyzického zabezpečení kancelářských prostor a datových center. Tato politika stanoví pravidla a postupy pro:
•Ochranu prostor společnosti ESET
•Řízení fyzického přístupu
•Zabezpečení kanceláří, místností a budov
•Práci v zabezpečených oblastech
•Zabezpečení zařízení, kabeláže a infrastruktury
Zabezpečení datového centra
Komponenty IT infrastruktury jsou fyzicky umístěny ve více datových centrech, díky tomu je v každém regionu zajištěna redundance.
Perimetr fyzického zabezpečení je definován v politice fyzického zabezpečení a souvisejících bezpečnostních standardech pro kancelářské prostory a datová centra - standard fyzického zabezpečení pro datová centra. Společnost ESET stanovila pravidla pro vymezení bezpečnostního perimetru a kontrolních mechanismů, které se na tomto perimetru uplatňují. Klíčová kontrolní opatření, jako je stanovení zón a oddělení fyzické bezpečnosti, správa přístupu a návštěvníků, požární a protipovodňové ochrana, jakož i využívání kamerových systémů (CCTV) a fyzické ostrahy, jsou jednoznačně definována, zavedena a průběžně monitorována. Zabezpečení datových center je pravidelně kontrolováno pověřenými osobami a externími auditory.
Společnost ESET se spoléhá na opatření a kontrolní mechanismy fyzického zabezpečení poskytovatelů cloudových služeb, proto pravidelně vyhodnocuje jejich zprávy o shodě.
Řízení fyzického přístupu
Kontrolní opatření týkající se fyzického vstupu jsou definována v politice fyzického zabezpečení a souvisejících bezpečnostních standardech pro kancelářské prostory a datová centra. Prostory jsou rozděleny do chráněných zón s definovanými pravidly přístupu.
Ověřování je prováděno v souladu s osvědčenými bezpečnostními postupy pomocí klíčů, identifikačních a přístupových karet a kódů PIN.
Je zavedeno monitorování fyzického přístupu a implementována opatření pro prevenci a detekci neoprávněného přístupu. Všechny vstupy jsou monitorovány kamerovým systémem se záznamem. Perimetr je také monitorován pomocí snímačů pohybu nebo rozbití skla (včetně konstrukcí s nižší odolností, jako jsou skleněné nebo sádrokartonové stěny, požární východy a okna).
Kontinuita provozu a obnovení po havárii
Společnost ESET udržuje, pravidelně přezkoumává, vyhodnocuje a zavádí zlepšení svého systému řízení kontinuity provozu v souladu s politikou řízení kontinuity provozu a normou ISO 22301.
Společnost ESET zavedla program BCM, který stanovuje priority všech činností ve společnosti a podléhá schválení ze strany CISO v souladu s politikou BCM. Program BCM definuje provozní činnosti a opatření ke zmírnění rizik souvisejících s BCM, např. prostřednictvím redundance nebo replikace funkcí a infrastruktury IT.
Jsou připravovány a pravidelně přezkoumávány analýzy dopadů na podnikání (BIA) s definovanými cíli kontinuity provozu (RTO, RPO, MTD, priority obnovy). Plány obnovení po havárii (DRP) jsou přezkoumávány a testovány v souladu s programem BCM. Strategie kontinuity provozu určuje přístup k udržení kritických podnikových aktiv. Veškeré výstupy z pravidelných činností v oblasti kontinuity provozu jsou využívány jako podklad pro průběžné zlepšování.
Řízení rizik třetích stran
Monitorování a kontrola dodavatelských služeb se řídí politikou bezpečnosti informací ve vztazích s dodavateli. Kontroly se provádějí čtvrtletně a výsledky jsou zaznamenávány do hodnocení dodavatelů.
Dokumentace, životní cyklus, aktualizace a integrace
- Zobrazit verzi pro počítač
- ESET Online nápověda
- Konec životního cyklu bezpečnostních řešení
- Aktuální verze
- Seznam změn
- API a integrace
- Aktualizace detekčního jádra