Proučite svoja prava i naše obveze na jednom mjestu
Sigurnosno pravilo
Uvod
Svrha dokumenta
Svrha je ovog dokumenta sažeti tehničke, organizacijske i fizičke kontrole i sigurnosne prakse koje se primjenjuju unutar ESET-ove infrastrukture, koja uključuje ESET-ov portfelj, tj. ESET-ove programe, aplikacije, rješenja i ESET-ove usluge (u daljnjem tekstu: program). Sigurnosne mjere, kontrole i pravila namijenjena su zaštiti
•Rad ESET-ovog portfelja i obrada podataka u lokalnim ili cloud okruženjima
•povjerljivost, integritet i dostupnost podataka o korisnicima
•informacije o korisniku od nezakonitog uništenja, gubitka, izmjene, neovlaštenog otkrivanja ili pristupa
ESET može ažurirati ovaj dokument i posebne mjere, kontrole i pravila koja ih uređuju kako bi odgovorio rastućim prijetnjama i prilagodio se razvoju sigurnosnih tehnologija i industrijskih standarda.
Audijent
Ovaj dokument treba pročitati svatko tko zahtijeva jamstvo u području sigurnosti ESET-ovog portfelja ili korisnik koji namjerava upotrebljavati ESET-ove rješenja ili usluge integracijom u svoje okruženje.
Kontekst, koncept i područje primjene
ESET, spol s r.o. je ISO 27001:2022 certificiran s integriranim sustavom upravljanja.
Stoga se za koncept informacijske sigurnosti upotrebljava okvir norme ISO 27001 za provedbu slojevite strategije obrambene sigurnosti prilikom primjene sigurnosnih kontrola na svakom sloju strukture, npr. mreži, operacijskim sustavima, bazama podataka, aplikacijama, osoblju i operativnim procesima. Primijenjene sigurnosne prakse i sigurnosne kontrole namijenjene su preklapanju i međusobnom nadopunjavanju.
Područje primjene ovog dokumenta je sažeti tehničke i organizacijske mjere provedene za ESET-ov portfelj, organizaciju, osoblje i operativne procese.
Sigurnosne prakse i kontrole uključuju upravljanje i tehničke mjere, uključujući, među ostalim:
•Pravila informacijske sigurnosti
•Organizacija informacijske sigurnosti
•Sigurnost ljudskih resursa
•Kontrola pristupa
•Kriptografija
•Fizička sigurnost i sigurnost okruženja
•Zaštita podataka, mrežna sigurnost, sigurnost aplikacije
•Operativna sigurnost
•Komunikacijska sigurnost
•Nabava, razvoj i održavanje sustava
•Odnos s dobavljačima
•Upravljanje incidentima informacijske sigurnosti
•Aspekti informacijske sigurnosti upravljanja kontinuitetom poslovanja
•Sukladnost
Ukratke
Razdoblje skraćivanja |
Puni rok |
|---|---|
Tvrtka |
ESET, spol. s r.o. |
CSP |
Davatelj usluga u cloudu |
DR |
Oporavak od katastrofe |
ESET |
ESET, spol. s r.o. |
GDPR |
Opća uredba o zaštiti podataka |
ICT |
Informacijske i komunikacijske tehnologije |
IR |
Odgovor na incident |
IS |
Sigurnost informacija |
ISMS |
Sustav upravljanja informacijskom sigurnošću |
Informacijske tehnologije |
Informacijske tehnologije |
NIS |
Zakon o kibersigurnosti kojim se prenosi Direktiva o mrežnoj i informacijskoj sigurnosti |
PKI |
Infrastruktura javnog ključa |
Program |
ESET-ov portfelj – tj. ESET-ovi programi, aplikacije, platforme u cloudu, rješenja i ESET-ove usluge |
SIEM |
Sigurnosne informacije i upravljanje događajima |
SSDLC |
Životni ciklus razvoja sigurnog softvera |
QMS |
Sustav upravljanja kvalitetom |
Napomena: italijanski scenarij – upotrebljava se za nazive internih dokumenata tvrtke na koje se upućuje, a koji nisu dostupni javnosti, na primjer Pravila o internoj regulaciji
Sigurnosno upravljanje
Program upravljanja informacijskom sigurnošću
Tvrtka ESET uspostavila je i održava okvir programa za upravljanje informacijskom sigurnošću kao prekograničnu funkciju kojom se upravlja zaštitom informacijskih sredstava. Dokumentacija o informacijskoj sigurnosti upravlja se sigurnosnim pravilima, postupcima i dokumentacijom putem Pravila o unutarnjim propisima. ESET je usvojio Integrirano pravilo o sustavu upravljanja koje služi kao najviša razina
•ISMS-ova pravila,
•Pravila o QMS-u i
•Pravilo informacijske sigurnosti.
ESET se pridržava svojih Pravila o integriranom sustavu upravljanja kojima se definira okvir za upravljanje kvalitetom i informacijskom sigurnošću. Ova je pravila vlasništvo glavnog službenika za informacijsku sigurnost (CISO) tvrtke ESET i predstavljaju predanost vodstva na najvišoj razini sigurnosti i kvaliteti. Definiše odgovornosti za upravljanje i osiguravanje ovih područja te opisuje ESET-ovu predanost kontinuiranoj procjeni i poboljšanju učinkovitosti svog sustava upravljanja u skladu sa standardima ISO 9001 i ISO 27001.
Pravila tvrtke se dokumentiraju, održavaju i revidiraju svake godine i nadograđuju nakon znatnih promjena kako bi se osigurala njihova trajna prikladnost, primjerenost i učinkovitost. Nadogradnje se komuniciraju internom osoblju, gdje su pravila dostupna svim zaposlenicima. Pravila su službeno usvojena, potpisana od strane izvršnog direktora, objavljena i priopćena svim zaposlenicima i relevantnim stranama. Pravila službeno priznaju ESET-ovi zaposlenici pri uključivanju.
Uz pravila, ESET-ove timove za informacijsku sigurnost i tehničku sigurnost osmislili su procese, postupke, standarde i osnove za konfiguraciju na temelju najboljih praksi za sigurnost industrije i dobavljača (npr. referentne vrijednosti CIS-a, OWASP, NIST). Oni se pružaju timovima za IT i tehnologiju kako bi se osigurao siguran razvoj, konfiguracija i rad ESET-ovih informacijskih sustava i programa.
ESET održava međusobno povezanu dokumentaciju o upravljanju koja je osmišljena i dostupna svim osobljem u skladu s ESET-ovim certifikatima za ISO 9001 i ISO 27001. Operativni postupci prilagođeni su specifičnim potrebama svake ekipe, upravljaju se unutar određenih radnih prostora i ažuriraju se prema potrebi.
Nadzor usklađenosti s pravilima i disciplinski postupci uspostavljeni su kako bi se riješile i ispravile sve neusklađenosti sa sigurnosnim pravilima, što jača ESET-ovu predanost odgovornosti i kontinuiranom poboljšanju.
Kako bi se osigurala kontinuirana usklađenost i učinkovitost, ESET je implementirao okvir za upravljanje rizicima, održavajući tehničke i organizacijske kontrole. ESET-ov proces upravljanja rizicima uključuje sveobuhvatnu procjenu i upravljanje rizicima unutar integriranog sustava upravljanja (na temelju standarda ISO 9001 i ISO 27001). To uključuje procjenu imovine, utvrđivanje sigurnosnih zahtjeva, izračunavanje rizika i odabir odgovarajućih strategija ublažavanja. Glavni službenik za informacijsku sigurnost (CISO) nadzire cjelokupni proces upravljanja rizicima, osiguravajući redovito izvješćivanje o sigurnosnim rizicima i povezanim metrikama izvršnom vodstvu. Osim toga, upravljanje rizicima treće strane strogo se provodi putem procjena dobavljača, u skladu s ESET-ovim standardom za sigurnost ugovora.
Sukladnost s industrijskim standardima
Vanjska validacija i akreditacija ključni su za organizacije koje se oslanjaju na ESET-ove mogućnosti i tehnologiju kako bi osigurale svoje podatke i ispunile regulatorne zahtjeve. Za detalje pogledajte ESET-ovu stranicu za certifikaciju.
Praćenje usklađenosti
Pravila integriranog sustava upravljanja utvrđuju integrirani sustav upravljanja, uključujući redovite revizije i revizije.
Interne revizije redovito provjeravaju usklađenost s ESET-ovim pravilima i postupcima kako je opisano u Pravilima o internoj reviziji. Pravila o unutarnjim propisima propisuju odgovornost za redovito praćenje primjene unutarnjih propisa i relevantnih prilagodbi, ako je potrebno.
Redovite revizije i unutarnje i vanjske revizije provode se u skladu s godišnjim i trogodišnjim dugoročnim planom revizije. Unutarnje revizije provode neovisni revizori koji redovito provjeravaju usklađenost s ESET-ovim pravilima i postupcima ili primjenjivim standardima (na primjer, ISO 9001, ISO 27001 i SOC2), ovisno o opsegu revizije. Unutarnje revizije planiraju se i provode najmanje jednom godišnje. Zaključci revizije prikupljaju se i bilježe u posebnom sustavu za izdavanje karata, a dodjeljuju se odgovarajući vlasnici, koji su odgovorni za rješavanje i rješavanje neusklađenosti u unaprijed određenom vremenskom okviru. Zaključci revizije koji zahtijevaju nadzor vodstva i odluke pregledavaju se na redovitim sastancima upravljačkog preispitivanja.
Organizacija informacijske sigurnosti
Odgovornosti za informacijsku sigurnost dodjeljuju se u skladu s utvrđenim pravilima informacijske sigurnosti. Interni procesi identificiraju se i procjenjuju za svaki rizik od neovlaštene ili nenamjerne izmjene ili zlouporabe ESET-ovih informacija. Na rizične ili osjetljive aktivnosti unutarnjih procesa primjenjuju se najbolje sigurnosne prakse kako bi se ublažio rizik.
Informacijska sigurnost uzima se u obzir u upravljanju projektima pomoću primijenjenog okvira za upravljanje projektima od početka do završetka projekta.
Rad na daljinu i rad od kuće obuhvaćeni su pravilima koja se provode na mobilnim uređajima, koja uključuju upotrebu snažne kriptografske zaštite podataka tijekom putovanja kroz nepouzdane mreže. Sigurnosne kontrole na mobilnim uređajima osmišljene su tako da rade neovisno o ESET-ovim internim mrežama i internim sustavima.
Sigurnost ljudskih resursa
ESET upotrebljava standardne prakse u području ljudskih resursa, uključujući pravila osmišljena za očuvanje informacijske sigurnosti. Te prakse obuhvaćaju cijeli životni ciklus zaposlenika i primjenjuju se na sve zaposlenike.
ESET-ovo društvo zahtijeva od ESET-ovog osoblja da se tijekom uključivanja podvrgne provjeri pozadinske provjere i screening-u; potpisivanje ugovora o neobjavljivanju ili povjerljivosti kao dijela ugovora o radu koji ih obvezuje da slijede pravila i standarde unutarnje sigurnosti, zaštite ESET-ovih povjerljivih informacija i podataka o korisnicima; da dovrše obuku o osviještenosti o informacijskoj sigurnosti tijekom uključivanja kao dio ESET-ovog programa usklađenosti i osvi
Tehničke mjere
Upravljanje identitetom i pristupom
ESET-ova Pravila o upravljanju pristupom upravljaju svakim pristupom ESET-ovoj infrastrukturi. Postupci kontrole pristupa u području dodjele, povlačenja, promjene pristupa te revizije dodijeljenih prava pristupa koji se primjenjuju na sve razine infrastrukture, tehnologije, aplikacije ili alata. Potpuno upravljanje korisničkim pristupom na razini aplikacije je autonomno. Jedinstvenu prijavu za identitet upravlja središnji davatelj identiteta, koji osigurava da korisnik može pristupiti samo ovlaštenom okruženju ili aplikaciji.
Upravljanje korisnicima i pristupom, procesi i tehničke mjere za deproviziranje korisničkog pristupa, pružanje korisničkog pristupa, reviziju, uklanjanje i prilagodbu prava pristupa upotrebljavaju se za upravljanje ESET-ovim zaposlenicima pristupom ESET-ovoj infrastrukturi i mrežama u skladu sa sigurnosnim standardima, koji uključuju, ali nisu ograničeni na:
•Pružanje pristupa na temelju najmanje povlastice „treba znati“
•Redovita revizija pristupa korisnicima
•Prekid pristupa korisniku u skladu sa sigurnosnim pravilima
•Dodjela jedinstvenog računa svima
•Logiranje pokušaja pristupa korisnika, pregled i praćenje
•Praćenje i preispitivanje fizičkog pristupa
•Implementacija višestruke provjere vjerodostojnosti za visoki privilegirani i administrativni pristup
•Provedba prekida trajanja za interaktivne sesije nakon određenog razdoblja neaktivnosti
Zaštita podataka
Šifriranje podataka
ESET štiti podatke u svojoj infrastrukturi; snažna kriptografija se upotrebljava za šifriranje podataka u mirovanju (uključujući prenosive uređaje) i u tranzitu. Implementacija kriptografije slijedi pravila definirana internim Kriptografskim standardom. Podaci o korisnicima pohranjuju se u skladu s relevantnim propisima, npr. GDPR-om, NIS2 direktivom ili propisima industrije i financija.
Mjere koje su na snazi:
•Za izdavanje certifikata za javne mrežne usluge upotrebljava se općenito pouzdano tijelo za izdavanje certifikata
•ESET-ov interni PKI upotrebljava se za upravljanje ključevima unutar ESET-ove infrastrukture
•Aktivirano je natjecano šifriranje platforme CSP kako bi se osigurala zaštita podataka u mirovanju za relevantne dijelove obrade podataka ili trajnost podataka u okruženju u cloudu (skladištenje podataka, sigurnosne kopije)
•Uspostavljena je snažna kriptografija (npr. TLS) za šifriranje podataka u tranzitu
Backup podataka i oporavak
Backup je uređen Pravilima o informacijskoj sigurnosti u radu informacijskih i komunikacijskih tehnologija.
Svi podaci o konfiguraciji i implementaciji ESET-ovog portfelja pohranjuju se u ESET-ovim zaštićenim i redovito sigurnosnim pohranama kako bi se omogućilo automatsko oporavak konfiguracije okruženja. Redoviti postupak testiranja oporavka od katastrofa upotrebljava se za provjeru obnovljivosti sigurnosne kopije konfiguracije unutar očekivanog vremena poslovanja.
Podaci ESET-ovih korisnika redovito se sigurnosno kopiraju u skladu sa standardima i propisima industrije, radom visoke dostupnosti i ugovornim zahtjevima za obnovljivost. Sigurnosne kopije su zaštićene od manipulacije, a valjanost sigurnosne kopije redovito se testira postupcima za oporavak od katastrofa.
Mrežna sigurnost
Mrežna segmentacija primjenjuje se u cijelom ESET-ovom mrežnom okruženju. Mreže se segregiraju na temelju definiranih kriterija i provode se korištenjem VLAN-ova na zaštitnim zidovima.
ESET upotrebljava razne sustave za zaštitu granica, uključujući L7 zaštitne zidove, sustave za otkrivanje ulaska i sustave za sprečavanje ulaska. Ti su sustavi konfigurirani i održavani kako bi zaštitili vanjske pristupne točke, osiguravajući otkrivanje i sprječavanje svih neovlaštenih pokušaja pristupa mreži.
Daljinski pristup internim sredstvima pruža se putem korisnika ili VPN-a od lokacije do lokacije s ulogama i odgovornostima, sigurnosnim zahtjevima i kontrolama predviđenima ESET-ovim internim pravilima i konfiguriran je u skladu sa standardima sigurnosne industrije. Računi korisnika VPN-a održavaju se u programu Active Directory i dio su postupka pružanja računa zaposlenika.
ESET provodi i održava mrežne sigurnosne kontrole kako bi zaštitio podatke koji se obrađuju, primaju ili pohranjuju u okruženju u cloudu. Računi CSP-a i temeljna infrastruktura upotrebljavaju popise kontrole pristupa mreži i sigurnosne grupe unutar virtualne mreže CSP-ova kako bi ograničili pristup svim predviđenim resursima. Pristup resursima u cloudu postoji samo putem šifriranih kanala.
Jačanje sigurnosti
ESET upotrebljava postupak osiguravanja sustava kako bi smanjio moguću ranjivost na napade. To uključuje sljedeće tehnike i najbolje prakse:
•imaju potpisanu zlatnu sliku koja se upotrebljava za instalaciju ili distribuciju hosta ili kontejnera
•isključivanje nepotrebnih usluga
•automatsko planirano pričvršćivanje i ad hoc popravak kritičnih komponenti u slučaju visokog rizika
•nadogradnje operativnog sustava prije dostizanja isteka vijeka trajanja
•konfiguracija sigurnosnih postavki
•automatizacija upravljanja infrastrukturom i aplikacijama na ponovljiv i dosljedan način
•uklanjanje nepotrebnog softvera
•ograničavanje pristupa lokalnim resursima
•kontrolama koje se temelje na domaćinu, kao što su antivirusni program, otkrivanje i odgovor na krajnje točke i mrežna pravila
ESET primjenjuje centralizirani pristup za primjenu i provjeru tvrđivanja na komponente IT okruženja s ciljem smanjenja površine napada, što je suma svih potencijalnih ulaznih točaka koje bi napadači mogli iskoristiti. Za detalje pogledajte sljedeći dio ovog dokumenta.
Zaštita aplikacija
Secure Development Practices
ESET provodi sigurne prakse razvoja softvera putem Pravila o sigurnosti tijekom životnog ciklusa razvoja softvera (SSDLC), koja integrira sigurnosne kontrole i upravljanje rizicima u svim fazama razvoja.
Pravila SSDLC definiraju zahtjeve za:
•Kod je napisan prema sigurnim smjernicama za kodiranje i pregledan prije spajanja
•Modeliranje prijetnji i revizije dizajna provode se za nove značajke i glavne promjene
•Automatizirane sigurnosne provjere (staticna analiza, skeniranje ovisnosti i odabrana dinamička ispitivanja) pokreću se kao dio CI/CD plinovoda
•Komponente treće strane i otvorenog koda prati se i ažurira; SBOM se održava za sve objavljene programe
•Zaključci iz incidenata, testovi penetracije i izvješća o nagradi za pogreške pregledavaju se i vraćaju se u razvojni proces
Svrha je pravila SSDLC osigurati da su svi ESET-ovi softverski programi sigurni, pouzdani i u skladu s primjenjivim standardima i propisima.
Upravljanje ranjivostima programa
ESET održava definirani proces za identifikaciju, procjenu i rješavanje ranjivosti u svojim aplikacijama i programima tijekom njihovog vijeka trajanja.
Proces obuhvaća i interno otkrivenih problema i izvješća iz vanjskih izvora.
Kao dio upravljanja ranjivostima programa ESET:
•Upotrebljava automatizirane alate za skeniranje za skeniranje izvornog koda, ovisnosti i izgradnju artefakata za poznate ranjivosti
•Ručno provjerava zaključke radi potvrde učinka i relevantnosti prije dodjele pravne zaštite
•Sleduje i prioritizira popravke na temelju ozbiljnosti, iskorištenosti i izloženosti programa
•Izvršava ciljano sigurnosno testiranje i ponovno testiranje kako bi provjerio ispravljanje
•Integrira podatke o ranjivosti u planiranje razvoja i izdavanja kako bi se prije isporuke riješili kritični problemi
•Prihvaća i obrađuje vanjske izvještaje koordiniranim otkrivanjem i programom nagrade za javnu pogrešku
•Dodjeljuje CVE identifikatore za potvrđene ranjivosti programa kao dio svoje uloge tijela za brojanje CVE-a (CNA)
•Primjenjuje patchove i popravke na temelju ozbiljnosti ranjivosti i poslovnog utjecaja, nakon strukturiranog procesa triježa
oProces triježenja usklađen je s standardom ISO/IEC 30111 (rješenje o ranjivostima) i standardom ISO/IEC 29147 (otkrivanje ranjivosti)
oCVSS-ov rezultat i izvori vanjske inteligencije kao što je CISA-in katalog poznatih iskorištenih ranjivosti (KEV) upotrebljavaju se za usmjeravanje postavljanja prioriteta
oOdluke o konačnom popravku donose zajednički odgovorni timovi za program i sigurnost
Ovi procesi osiguravaju da se ranjivosti upravljaju na dosljedan, transparentan i sljediv način u svim ESET-ovim programima.
Test penetracije
ESET provodi redovita testiranja penetracije svojih programa kao dio općeg postupka osiguravanja sigurnosti programa – u okviru vlastitog programa za testiranje penetracije. Testiranje se provodi prije glavnih izdanja i u planiranim intervalima za održavane programe.
ESET-ovo testiranje penetracije usmjereno je na:
•Provjera jesu li provedene sigurnosne kontrole i ublažavanja učinkovite
•Identificiranje potencijalnih ranjivosti koje automatizirani alati možda neće otkriti
•Validiranje rezultata prethodnih korektivnih napora
•Procjena ukupne površine napada i izloženosti riziku oslobođenih programa
Testove provode u izoliranim okruženjima kvalificirani interni stručnjaci ili pouzdani vanjski partneri koristeći priznate industrijske metodologije (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Nastavak se dokumentira, ocjenjuje i prati putem istog postupka upravljanja ranjivostima koji se upotrebljava za interne i vanjske prijavljene probleme.
Rezultati testiranja penetracije direktno se unose u planove za poboljšanje programa i SSDLC-a, čime se osigurava da se naučene lekcije uhvate, a ponavljajuće slabosti se vremenom smanjuju.
Operativna sigurnost
Pravila informacijske sigurnosti u operacijama IKT-a
Pravila o informacijskoj sigurnosti u radu IKT-a unutar tvrtke utvrđuju temeljna sigurnosna pravila povezana s radom IKT-a u skladu sa standardom ISO 27001.
Pravila informacijske sigurnosti u radu IKT-a definiraju sigurnosne zahtjeve za IT operativne procese i njihovu dokumentaciju, uključujući operativne postupke, upravljanje promjenama, odvajanje uloga i odgovornosti, odvajanje proizvodnje, okruženja za testiranje i razvoj, IT usluge trećih strana, planiranje performansi, IT projekte, zaštitu od zlonamjernih programa, sigurnost mreže, sigurnost medija, zahtjeve za e-trgovinu i
Evidencija i revizija
Evidencija i revizija sustava provode se u skladu s internim standardima i smjernicama (Pravila o sigurnosnom praćenju i upravljanju sigurnosnim incidentima).
Dnevnici i događaji iz infrastrukture, operacijskog sustava, baze podataka, servera aplikacija i sigurnosnih kontrola se prikupljaju kontinuirano. ESET upotrebljava centralnu platformu za upravljanje dnevnicima (SIEM) za zaštitu relevantnih dnevnika od neovlaštenih izmjena ili uništenja. Te dnevnike dodatno obrađuju timovi za IT i unutarnju sigurnost kako bi se utvrdile operativne i sigurnosne anomalije i incidenti informacijske sigurnosti. Podaci u SIEM-u čuvaju se tijekom vremena propisanog propisima i za retrospektivnu lov na prijetnje.
Sigurnosno praćenje i odgovor na incidente
Sigurnosno praćenje i upravljanje sigurnosnim incidentima definirano je Pravilima o sigurnosnom praćenju i upravljanju sigurnosnim incidentima.
Opisi pravila
•odgovornosti i pravila za razvoj, pravilnu konfiguraciju, zaštitu, pohranu, analizu, procjenu i zadržavanje sigurnosnog bilježenja i revizije
•postupak, uloge i odgovornosti za upravljanje sigurnosnim incidentima
•sprječavanje sigurnosnih incidenata
•minimiziranje učinka sigurnosnih incidenata
•učenje iz sigurnosnih incidenata
•obrazovanje zaposlenika o aktivnostima praćenja, njihovom opsegu i ulozi zaposlenika u praćenju i odgovoru na incidente
Osnovani centar za sigurnosne operacije (SOC), koji djeluje 24 sata dnevno, ovlašten je kontinuirano pratiti sigurnosno stanje IT infrastrukture i aplikacija te reagirati na sigurnosne incidente.
ESET upravlja incidentima informacijske sigurnosti na temelju definiranog postupa za odgovor na incidente. Uloge u odgovoru na incidente se definiraju i raspoređuju u više timova, uključujući timove za IT, sigurnost, pravni tim, ljudske resurse, odnose s javnošću i izvršnu upravu. Standardne incidente obrađuje tim SOC-a. Za značajnije sigurnosne incidente obavješćuje se zapovjedni centar. Command Center, u suradnji s timom SOC-a, koordinira odgovore na incidente i angažira druge timove za rješavanje incidenta. SOC tim, koji podržavaju članovi tima za unutarnju sigurnost, odgovoran je još i za prikupljanje dokaza i stečena iskustva. Pogođene strane, uključujući kupce i partnere, obavještavaju se o nastanku incidenta i njegovu rješavanju. ESET-ov pravni tim odgovoran je za obavještavanje regulatornih tijela ako je to potrebno u skladu s Općom uredbom o zaštiti podataka (GDPR) i Zakonom o kibernetičkoj sigurnosti kojim se prenosi Direktiva o sigurnosti mrežnih i informacijskih sustava (NIS2).
Upravljanje zakrpama
Upravljanje patch-om upotrebljava se kao jedna od nekoliko aktivnosti ublažavanja za ispravljanje ranjivosti.
Sigurnosni dodatci procjenjuju se i primjenjuju na temelju ozbiljnosti i rizika identificiranih ranjivosti.
Definirani proces triježenja i prioritizacije određuje redoslijed i vremenske linije za uvođenje patch-a. Ovaj proces slijedi ESET-ove interne smjernice usklađene s standardom ISO/IEC 30111. CVSS ocjena i izvori obavijesti o vanjskim prijetnjama, kao što je CISA-in katalog poznatih iskorištenih ranjivosti (KEV), podržavaju odluke temeljene na riziku i određivanje prioriteta.
Svi patchovi se provjeravaju u kontroliranim okruženjima prije raspoređivanja u proizvodnju kako bi se osiguralo da riješe ciljni problem bez negativnog utjecaja na stabilnost ili kompatibilnost sustava.
Razvoj slijedi utvrđene postupke za upravljanje promjenama koji osiguravaju sljedivost, odgovornost i sposobnost povratka u slučaju potrebe.
Aktivnosti patch-a neprestano se prate i revidiraju kako bi se potvrdila učinkovitost, identificirali zastarjeli sustavi i potaknulo kontinuirano poboljšanje procesa.
Pravila za bilježenje aplikacija određuju tehničke mjere i zahtjeve koji uređuju bilježenje za sve aplikacije koje razvija ESET.
Zaštita od zlonamjernih programa i prijetnji
Zaštita od zlonamjernih programa (antivirusnim softverom i EDR-om) propisana je u Pravilima o informacijskoj sigurnosti u radu informacijskih i komunikacijskih tehnologija. Zaposlenici su dužni odmah prijaviti svaku sumnju na infekciju zlonamjernim softverom SOC-u kako je opisano u Pravilima o informacijskoj sigurnosti za ESET-ove zaposlenike.
Zahtjevi za krajnje točke zaposlenika navedeni su u sigurnosnom standardu za radne stanice.
ESET upotrebljava vlastite anti-malware alate obogaćene provjerenim rješenjima trećih strana za zaštitu krajnjih točaka i radnih opterećenja u cloudu.
SOC tim provodi aktivnosti lov na prijetnje na temelju Pravila o sigurnosnom praćenju i upravljanju sigurnosnim incidentima. Podaci o prijetnjama (feedovi) prikupljaju se u SIEM sustav, koji se automatski unosi kako bi se proizvela inteligencija o prijetnjama koja se primjenjuje na događaje u sigurnosnom praćenju.
Tehnička usklađenost
Tim za unutarnju sigurnost osigurava i održava različite tehničke sigurnosne standarde za infrastrukturu, cloud, web-povezane komponente i najbolje prakse za programere i IT administratore. Na temelju tehničkih standarda tim za unutarnju sigurnost priprema konfiguracijske osnovne datoteke koje IT timovi upotrebljavaju za automatizaciju implementacije i provedbu sigurnih konfiguracija.
Nadalje, skeniranje usklađenosti provodi se pomoću alata za procjenu ranjivosti gdje je to izvedivo. ESET ima uspostavljen program za testiranje penetracije, a ESET-ovi programi, aplikacije i usluge podliježu redovitim testiranjima penetracije na temelju programa. Sve su nalaze dokumentirane i prijavljene dionicima programa kako bi se osiguralo da se one ublaže što je prije moguće.
Fizička zaštita
Pravila o fizičkoj sigurnosti i povezani standardi fizičke sigurnosti definiraju pravila za fizičku sigurnost oko uredskih prostora i podatkovnih centara. Ova pravila utvrđuju pravila i postupke za:
•zaštita ESET-ovih objekata
•kontrola fizičkog pristupa
•sigurnost ureda, soba i zgrada
•rad u sigurnim područjima
•sigurnost opreme, kabeliranja i infrastrukture
Sigurnost podatkovnog centra
Komponente IT infrastrukture fizički se nalaze u više podatkovnih centara; stoga se redundancija postiže u svakoj regiji.
Perimetar fizičke sigurnosti definiran je u Pravilima o fizičkoj sigurnosti i povezanim sigurnosnim standardima za uredske prostore i podatkovne centre – Standard fizičke sigurnosti za podatkovne centre. ESET je definirao pravila za postavljanje sigurnosnog perimetra i kontrole koje se primjenjuju na fizički sigurnosni perimetar. Ključne kontrole – uključujući zoniranje i segregaciju fizičke sigurnosti, upravljanje pristupom i posjetiteljima, sprječavanje požara i poplava, kao i CCTV i posadjeno praćenje – jasno su definirane, provode se i stalno se prate. Sigurnost DC-a redovito revidiraju odgovorna osoblja i vanjski revizori.
ESET se oslanja na fizičke sigurnosne mjere i kontrole CSP-ova; stoga redovito pregledava izvješća o usklađenosti odgovarajućih CSP-ova.
Kontrola fizičkog pristupa
Fizičke kontrole ulaska navedene su u Pravilima o fizičkoj sigurnosti i povezanim sigurnosnim standardima za uredske prostore i podatkovne centre. Premijere su podijeljene na zaštićene zone s posebnim kontrolama pristupa.
Autentifikacijom se upravlja u skladu s najboljim sigurnosnim praksama pomoću ključeva, identifikacijskih kartica/pristupnih kartica i PIN-ova.
Provodi se praćenje fizičkog pristupa i sprječavanje/detekcija neovlaštenog pristupa. Sve uloge prati CCTV sa zabilježenim zapisom. Perimetar se također prati senzorima za pokret ili razbijanje stakla (uključujući zidove sa slabim otporima (tj. staklo ili suhi zid), izlaze iz požara i prozore).
Kontinuitet poslovanja i oporavak od katastrofa
ESET održava, redovito pregledava, procjenjuje i provodi poboljšanja svog sustava za upravljanje kontinuitetom poslovanja u skladu s Pravilima o upravljanju kontinuitetom poslovanja u skladu s ISO 22301.
ESET je uspostavio program BCM, koji prioritizira sve aktivnosti unutar tvrtke i podliježe odobrenju CISO-a u skladu s pravilima BCM-a. Program BCM definira operativne aktivnosti i aktivnosti za ublažavanje rizika povezanih s BCM-om, npr. putem otpuštanja ili replikacije funkcija i IT infrastrukture.
Analiza poslovnih učinaka (BIA) s definiranim ciljevima kontinuiteta poslovanja (RTO, RPO, MTD, prioriteti oporavka) priprema se i pregledava. Planovi oporavka od katastrofa (DRP) pregledavaju se i testiraju u skladu s programom BCM. Strategija kontinuiteta poslovanja određuje pristup održavanju kritičnih poslovnih sredstava. Svi rezultati iz redovitih aktivnosti kontinuiteta poslovanja služe kao unos za kontinuirana poboljšanja.
Upravljanje rizicima treće strane
Nadzor i revizija usluga dobavljača uređuje se Pravilima o informacijskoj sigurnosti u odnosima s dobavljačima. Revizije se provode tromjesečno, a rezultati se pohranjuju u evaluciji dobavljača.
Dokumentacija, životni ciklus, ažuriranja i integracije
- Prikaži stranicu za radnu površinu
- ESET-ova online pomoć
- Istek trajanja
- Najnovije verzije
- Dnevnik promjena
- API-ji i integracije
- Nadogradnje modula detekcije