Egy helyen megismerheti az Ön jogait és a mi kötelezettségeinket

Lehet, hogy ennek az oldalnak a tartalma gépi lefordítással készült, és csak részben ment át ember általi szerkesztésen.

Biztonsági szabályzat

Bevezetés

A Dokumentum rendeltetése

A jelen dokumentum célja az ESET-infrastruktúrában alkalmazott műszaki, szervezeti és fizikai ellenőrzések és biztonsági eljárások összefoglalása, amely magában foglalja az ESET-portfóliót, azaz a termékeket, alkalmazásokat, megoldásokat és ESET-szolgáltatásokat (a továbbiakban „Termék”). A biztonsági intézkedések, ellenőrzések és irányelvek célja a következők védelme:

•Az ESET-portfólió működtetése és adatfeldolgozás a helyi vagy felhőalapú környezetben

•az ügyféladatok titkossága, sértetlensége és elérhetősége

•jogellenes megsemmisítésből, elvesztésből, megváltoztatásból, jogosulatlan közlésből vagy hozzáférésből származó vevői információk

Az ESET frissítheti a jelen dokumentumot és az azt szabályozó intézkedéseket, ellenőrzéseket és irányelveket az újonnan megjelenő kártevők kezelése, valamint a folyamatosan fejlődő biztonsági technológiákhoz és iparági szabványokhoz való alkalmazkodás céljából.

Közönség

Ezt a dokumentumot mindenkinek el kell olvasnia, aki az ESET-portfólió biztonsági területén biztosítékot igényel, illetve annak az Ügyfélnek, aki az ESET-megoldásokat vagy -szolgáltatásokat a környezetébe integrálva kívánja használni.

Környezet, koncepció és hatókör

Az ESET, spol s r.o. vállalat ISO 27001:2022 tanúsítvánnyal rendelkezik integrált irányítási rendszerrel.

Ezért az információbiztonság-kezelés elve az ISO 27001 keretrendszer szerint valósítja meg többrétegű biztonsági stratégiáját a biztonsági ellenőrzések információs rendszerarchitektúra minden szintjén, például hálózaton, operációs rendszerekben, adatbázisokban, alkalmazásokban, személyzet körében és működtető folyamatokban való alkalmazásakor. Az alkalmazott biztonsági gyakorlatok és biztonsági ellenőrzések átfedik és kiegészítik egymást.

Ez a dokumentum összefoglalja az ESET-portfólió, a szervezet, a személyzet és a működési folyamatok tekintetében végrehajtott műszaki és szervezeti intézkedéseket.

A biztonsági eljárások és ellenőrzések magukban foglalják az irányítási és műszaki intézkedéseket, ideértve, de nem kizárólagosan a következőket:

•Információbiztonsági irányelvek

•Információbiztonsági szervezeti felépítés

•Humánerőforrás-biztonság

•Hozzáférés-felügyelet

•Kriptográfia

•Fizikai és környezeti biztonság

•Adatvédelem, Hálózatbiztonság, Alkalmazások biztonsága

•Műveleti biztonság

•Kommunikációs biztonság

•Rendszerbeszerzés, -fejlesztés és -karbantartás

•Beszállítói kapcsolat

•Információbiztonsági incidensek kezelése

•Az üzletmenet-folytonosság kezelésének információbiztonsági szempontjai

•Jogi megfelelőség

Rövidítések

Kifejezés rövidítése	Teljes kifejezés
Vállalat	ESET, spol. s r.o.
CSP	Felhőszolgáltató
DR	Katasztrófahelyzet utáni helyreállítás
ESET	ESET, spol. s r.o.
GDPR	Általános adatvédelmi rendelet
IKT	Információs és kommunikációs technológiák
IR	Incidensre adott válasz
IS	Információbiztonság
ISMS	Információbiztonsági menedzsment rendszer
Informatika	Informatika
NIS	A Hálózat- és információbiztonsági irányelvet átültető kiberbiztonsági törvény
PKI	Nyilvános kulcsú infrastruktúra
Termék	ESET-portfólió – azaz ezek mellett a termékek, alkalmazások, felhőalapú platformok, megoldások és ESET-szolgáltatások
SIEM	Biztonsági információk és eseménykezelés
SSDLC	Biztonságos szoftverfejlesztési életciklus
QMS	Minőségirányítási rendszer

Megjegyzés: Olasz forgatókönyv – a hivatkozott belső vállalati dokumentumok nevéhez használják, amelyek nem érhetők el a nyilvánosság számára, például a Belső szabályozásra vonatkozó irányelvek

Biztonsági irányítás

Információbiztonsági menedzsment program

Az ESET létrehozott és fenntart egy információbiztonság-kezelési programot, amely egy olyan szervezeteken átnyúló funkció, amely az információs eszközök védelmét irányítja. Az információbiztonsági dokumentációt biztonsági irányelvek, folyamatok és dokumentációk vezérlik a Belső szabályozásokra vonatkozó szabályzaton keresztül. Az ESET elfogadta az Integrált felügyeleti rendszerre vonatkozó irányelvet, amely a legmagasabb szintű

•ISMS-szabályzat,

•QMS-szabályzat és

•Információbiztonsági irányelv.

Az ESET betartja az Integrált irányítási rendszerre vonatkozó irányelvet, amely meghatározza a minőség- és információbiztonsági kezelés keretrendszerét. Ez a szabályzat az ESET fő információbiztonsági tisztviselője (CISO) tulajdonában van, és a vezetőség legfelsőbb szintű elkötelezettségét képviseli a biztonság és a minőség iránt. Meghatározza az említett területek kezelésével és biztosításával kapcsolatos felelősségi köröket, és ismerteti az ESET az iránti elkötelezettségét, hogy folyamatosan értékelje és fejlessze kezelési rendszerének hatékonyságát az ISO 9001 és az ISO 27001 szabványnak megfelelően.

A vállalati irányelveket évente dokumentáljuk, karbantartjuk és felülvizsgáljuk, jelentős változtatások után pedig frissítjük, hogy biztosítsuk további alkalmasságukat, megfelelőségüket és hatékonyságukat. A frissítésekről tájékoztatjuk a belső személyzetet, ahol a szabályzatok elérhetők az összes alkalmazott számára. A szabályzatokat a vezérigazgató hivatalosan elfogadja, aláírja, közzéteszi, és közli az összes alkalmazottal és az érintett felekkel. Az ESET alkalmazottai hivatalosan is elfogadják a szabályzatokat a felvételüket követően.

A szabályzatok mellett az ESET Információbiztonsági és műszaki biztonsági csapatai kialakított folyamatokat, eljárásokat, szabványokat és konfigurációs alapvetéseket dolgoztak ki az iparági és gyártói bevált biztonsági gyakorlatok alapján (például CIS-referenciamutatók, OWASP, NIST). Ezeket az informatikai és technológiai csapatok kapják meg az ESET információs rendszerek és termékek biztonságos fejlesztésének, konfigurálásának és működtetésének biztosítása érdekében.

Az ESET összekapcsolt irányítási dokumentációkat tart fenn, amelyeket az ESET ISO 9001 és az ISO 27001 tanúsítványai szerint terveztek és bocsátottak rendelkezésre minden alkalmazott számára. Az operatív eljárásokat az egyes csapatok sajátos igényeihez igazítjuk, a kijelölt munkaterületeken kezeljük, és szükség szerint frissítjük.

Bevezettük a szabályzatok betartásának felügyeletét és fegyelmi eljárásokat, hogy kezelhetők és orvosolhatók legyenek a problémák a biztonsági szabályzatok betartásának elmulasztása esetén, ami megerősíti az ESET elkötelezettségét az elszámoltathatóság és a folyamatos fejlesztés iránt.

A folyamatos megfelelés és hatékonyság biztosítása érdekében az ESET egy kockázatkezelési keretrendszert vezetett be, amely technikai és szervezeti ellenőrzéseket tart fenn. Az ESET kockázatkezelési folyamata magában foglalja az integrált irányítási rendszerén belüli kockázatok átfogó értékelését és kezelését (az ISO 9001 és az ISO 27001 alapján). Ez magában foglalja az eszközök értékelését, a biztonsági követelmények azonosítását, a kockázatok kiszámítását és a megfelelő enyhítési stratégiák kiválasztását. A fő információbiztonsági tisztviselő (CISO) felügyeli az általános kockázatkezelési folyamatot, biztosítva a biztonsági kockázatok és a kapcsolódó mutatók rendszeres jelentését a vezetőségnek. Ezenkívül szigorúan érvényesítjük a harmadik féltől származó kockázatkezelést az ESET Szerződésbiztonsági szabványa szerinti beszállítói értékelések révén.

Az iparági előírásoknak való megfelelés

A külső validálás és akkreditálás alapvető fontosságú azoknak a szervezeteknek, amelyek az ESET képességeire és technológiájára támaszkodnak az adatok védelme és a szabályozási követelmények betartása érdekében. A részletekért tekintse meg az ESET tanúsítványokról szóló oldalát.

A megfelelés nyomon követése

Az Integrált kezelési rendszerre vonatkozó irányelv alapozza meg az integrált irányítási rendszert, beleértve a rendszeres felülvizsgálatokat és auditokat is.

A belső auditok rendszeresen felülvizsgálják az ESET irányelveinek és eljárásainak betartását az Belső auditokra vonatkozó irányelvekben ismertetett módon. A Belső szabályokra vonatkozó irányelvek előírják a belső szabályok alkalmazásának rendszeres nyomon követésének felelősségét, valamint szükség esetén a vonatkozó kiigazításokat.

Rendszeres felülvizsgálatokat, illetve belső és külső auditokat végzünk egy egyéves és hároméves hosszú távú auditálási tervvel összhangban. A belső auditokat független könyvvizsgálók végzik, akik rendszeresen felülvizsgálják az ESET irányelveinek és eljárásainak vagy az alkalmazandó szabványoknak (például az ISO 9001, az ISO 27001 és a SOC2) való megfelelést az audit hatókörétől függően. A belső auditok megtervezésére és végrehajtására legalább évente sor kerül. Az auditálási eredményeket egy dedikált jegyrendszerben gyűjtjük és rögzítjük a megfelelő tulajdonosok kijelölése mellett, akik a szabálytalanságok előre meghatározott időkereten belüli orvoslásáért és elhárításáért felelősek. A vezetési felügyeletet igénylő auditálási megállapításokat és döntéseket rendszeres vezetési felülvizsgálati üléseken vizsgáljuk felül.

Információbiztonsági szervezeti felépítés

Az információbiztonsági feladatokat az alkalmazott információbiztonsági irányelveknek megfelelően osztjuk ki. Beazonosítjuk és kiértékeljük a belső folyamatokat az ESET információs eszközök jogosulatlan vagy nem szándékos módosításának, illetve az azokkal való visszaélések kockázata vonatkozásában. A kockázatok mérséklése érdekében a belső folyamatokban a kockázatos vagy bizalmas jellegű tevékenységek során a legjobb biztonsági eljárások elve érvényesül.

Az információbiztonság mindvégig megvalósul a projektmenedzsmentben az alkalmazott projektmenedzsment-keretrendszer révén az ötletek megszületésétől kezdve a projektek befejezéséig.

A távoli munkát és a távmunkát a mobileszközökön megvalósított házirend alkalmazásával tesszük lehetővé, amely magában foglalja az erős kriptográfiai adatvédelem alkalmazását a nem megbízható hálózatokon való áthaladás során. A mobileszközökön alkalmazott biztonsági ellenőrzések úgy vannak megtervezve, hogy az ESET belső hálózataitól és belső rendszereitől függetlenül működjenek.

Humánerőforrás-biztonság

Az ESET szabványos humánerőforrás-eljárásokat alkalmaz, ideértve az információbiztonság fenntartását célzó irányelveket is. Ezek a gyakorlatok kiterjednek az alkalmazottak teljes életciklusára, és minden alkalmazottra vonatkoznak.

Az ESET vállalat megköveteli, hogy az ESET munkatársai háttérellenőrzésen és szűrésen menjenek keresztül a felvételük keretében; hogy munkaszerződésük részeként aláírják a titoktartási szerződést, amely kötelezi őket a belső biztonsági szabályzatok és előírások betartására, az ESET bizalmas adatainak és az ügyfelek adatainak védelmére; hogy felvételük keretében információbiztonsági ismereti képzést végezzenek el az ESET megfelelőségi és ismereti programjának részeként.

Műszaki intézkedések

Személyazonosság és hozzáférés kezelése

Az ESET Hozzáférés-kezelési szabályzata szabályozza az ESET-infrastruktúrához való mindennemű hozzáférést. Hozzáférés-ellenőrzési folyamatok a hozzáférés megadása, visszavonása és módosítása területén, valamint azon megadott hozzáférési jogok felülvizsgálata, amelyek az infrastruktúra, a technológia, az alkalmazások és az eszközök minden szintjére vonatkoznak. Alkalmazásszinten a teljes felhasználói hozzáférés-kezelés önállóan történik. Az egyszeres identitás-bejelentkezést egy központi identitásszolgáltató szabályozza, amely biztosítja, hogy a felhasználó csak a felhatalmazott környezethez vagy alkalmazáshoz férhessen hozzá.

A felhasználók és a hozzáférés kezelése, a felhasználói hozzáférés megszüntetését célzó folyamatok és technikai intézkedések, a felhasználói hozzáférés aktiválása, a hozzáférési jogok felülvizsgálata, eltávolítása és módosítása segítségével kezeljük az ESET-alkalmazottak ESET-infrastruktúrához és -hálózatokhoz való hozzáférését a biztonsági előírásoknak megfelelően, amelyek többek között a következőket tartalmazzák:

•A hozzáférés biztosítása a „tudni kell” minimumjogosultság alapján

•A felhasználói hozzáférés rendszeres felülvizsgálata

•A felhasználói hozzáférés megszüntetése a biztonsági szabályzatnak megfelelően

•Az egyedi fiók mindenkinek történő hozzárendelése

•A felhasználók hozzáférési kísérleteinek naplózása, ellenőrzése és nyomon követése

•Fizikai hozzáférés naplózása és ellenőrzése

•Többtényezős hitelesítés megvalósítása magas jogosultságú és rendszergazdai hozzáférés esetén

•Interaktív munkamenetek időtúllépéses érvényesítése meghatározott inaktivitási időtartam után

Adatvédelem

Adattitkosítás

Az ESET megvédi az adatokat az infrastruktúrájában; erős titkosítást használ az adatok titkosítására nyugalmi állapotban (beleértve a hordozható eszközöket is) és továbbítás során egyaránt. A kriptográfia megvalósítása belső kriptográfiai szabvány által meghatározott szabályok szerint történik. Az ügyfelek adatait a vonatkozó rendeletek, például a GDPR, az NIS2 irányelv vagy az iparági és pénzügyi rendeletek szerint tároljuk.

Hatályos intézkedések:

•Általában egy megbízhatónak talált tanúsítványhitelesítő adja ki a tanúsítványokat a nyilvános webszolgáltatások számára

•A belső ESET-PKI az ESET-infrastruktúra kulcsainak kezelésére szolgál

•A CSP platform natív titkosításának aktiválásával biztosítjuk az adatok nyugalmi állapotban való védelmét az adatfeldolgozás és az adatperzisztencia releváns részei számára a felhőalapú környezetben (adattárolás, biztonsági másolatok)

•Erős kriptográfia (például TLS) áll rendelkezésre az adatok továbbítás során történő titkosításához

Az adatok biztonsági mentése és helyreállítása

Az Információs és kommunikációs technológiák működésére vonatkozó információbiztonsági irányelvek vonatkoznak a biztonsági mentésekre.

Minden ESET-portfóliókonfigurációt és telepítési adatot az ESET védett és rendszeresen mentett tárházai tárolnak, ami lehetővé teszi egy környezeti konfiguráció automatikus helyreállítását. Rendszeres katasztrófa-helyreállítási tesztelési folyamatot használunk a konfigurációs biztonsági másolatok helyreállíthatóságának ellenőrzésére rendes munkaidőn belül.

Az ESET-ügyfelek adatairól rendszeresen készítünk biztonsági másolatot az iparági szabványok és rendelkezések, a magas fokú rendelkezésre állás és a szerződéses helyreállíthatóság követelményei szerint. Védelmet nyújtunk a biztonsági másolatoknak a manipuláció ellen, és rendszeresen teszteljük a biztonsági másolatok érvényességét katasztrófahelyzet utáni helyreállítási folyamatokkal.

Hálózati biztonság

A hálózati szegmentálás alkalmazása az ESET teljes hálózati környezetében megvalósul. A hálózatokat meghatározott kritériumok alapján elkülönítjük, és VLAN-okat alkalmazunk a tűzfalakon az érvényesítésükhöz.

Az ESET különböző határvédelmi rendszereket használ, többek között L7-es tűzfalakat, behatolásérzékelő rendszereket és behatolásmegelőző rendszereket. Ezeket a rendszereket úgy konfiguráljuk és karbantartjuk, hogy megvédjük a külső hozzáférési pontokat, biztosítva a hálózathoz való jogosulatlan hozzáférési kísérletek észlelését és megakadályozását.

A belső eszközökhöz távoli hozzáférést biztosít a felhasználói vagy telephelyek közötti VPN, amely megfelel az ESET belső szabályzataiban meghatározott szerep- és felelősségi köröknek, biztonsági követelményeknek és ellenőrzéseknek, és a biztonsági iparági szabványoknak megfelelően van konfigurálva. A VPN felhasználói fiókok az Active Directory-n belül vanna fenntartva, és az alkalmazotti fiókok üzembe helyezési folyamatának részét képezik.

Az ESET hálózati biztonsági ellenőrzéseket hajt végre és tart fenn a felhőben feldolgozott, fogadott vagy tárolt adatok védelme érdekében. A CSP-fiókok és az alapul szolgáló infrastruktúra hálózati hozzáférés-vezérlő listák és a CSPs virtuális hálózaton belüli biztonsági csoportok segítségével korlátozza az összes biztosított erőforráshoz való hozzáférést. Csak titkosított csatornákon keresztül lehet hozzáférni a felhőalapú erőforrásokhoz.

Keményítés

Az ESET a rendszervédelmi folyamatot alkalmazza a támadásokkal szembeni esetleges sebezhetőség mérséklése érdekében. Ez magában foglalja a következő technikákat és bevált gyakorlatokat:

•aláírt aranykép, amelyet hoszt vagy tároló telepítéséhez használunk

•szükségtelen szolgáltatások kikapcsolása

•Nagy kockázat esetén a kritikus komponensek automatikus tervezett rögzítése és ad hoc javítása

•az operációs rendszer frissítése az élettartam vége elérése előtt

•Biztonsági beállítások konfigurálása

•az infrastruktúra- és alkalmazáskezelés automatizálása ismétlődő és következetes módon

•A felesleges szoftverek eltávolítása

•a helyi erőforrásokhoz való hozzáférés korlátozása

•hosztalapú vezérlők, például vírusirtó, végponti észlelés és elhárítás, valamint hálózati házirendek

Az ESET központosított megközelítést alkalmaz az informatikai környezetekben lévő összetevők keményítésének alkalmazására és ellenőrzésére, amelynek célja a támadási felület minimalizálása, amely az összes potenciális bemeneti pont összege, amelyet a támadók esetlegesen kihasználhatnak. A részletekért lásd a dokumentum következő részét.

Alkalmazásbiztonság

Biztonságos fejlesztési gyakorlatok

Az ESET biztonságos szoftverfejlesztési gyakorlatokat valósít meg a Biztonsági szabályzat a szoftverfejlesztési életciklusban (SSDLC) révén, amely biztonsági ellenőrzéseket és kockázatkezelést integrál a fejlesztés minden szakaszában.

Az SSDLC szabályzat meghatározza a következő követelményeket:

•A kódot biztonságos kódolási irányelvek szerint írjuk, és az egyesülés előtt felülvizsgáljuk.

•Kártevő-modellezést és tervezési felülvizsgálatokat végzünk új funkciók és jelentős változások esetén

•Automatizált biztonsági ellenőrzések (statikus elemzések, függőségi vizsgálatok és válogatott dinamikus tesztek) futnak a CI/CD folyamatok részeként

•A harmadik felek és a nyílt forráskódú komponensek nyomon követése és naprakésszé tétele; az összes kiadott termék vonatkozásában egy SBOM-ot fenntartunk.

•Az incidensekből, a behatolási tesztekből és a hibakeresési jelentésekből származó megállapításokat felülvizsgáljuk, és visszajuttatjuk a fejlesztési folyamatba.

Az SSDLC szabályzat célja annak biztosítása, hogy minden ESET-szoftvertermék biztonságos, megbízható és megfeleljen az alkalmazandó szabványoknak és előírásoknak.

Terméksebezhetőségek kezelése

Az ESET meghatározott folyamatot tart fenn az alkalmazásokban és a Termékekben található biztonsági rések azonosítására, felmérésére és kijavítására az életciklusuk során.

A folyamat magában foglalja mind a belsőleg felfedezett problémákat, mind a külső forrásokból származó jelentéseket.

A Terméksebezhetőségi menedzsment keretében az ESET:

•Automatizált ellenőrzési eszközökkel vizsgálja, hogy találhatók-e ismert sebezhetőségek a forráskódokban, függőségekben és fejlesztési fájlokban

•A problémakezelés meghatározása előtt manuálisan felülvizsgálja az eredményeket a hatások és a relevancia megerősítése érdekében

•A hibajavítások nyomon követése és rangsorolása a súlyosság, a kihasználhatóság és a termékkitettség alapján

•Célzott biztonsági tesztelést és újbóli tesztelést végez a javítás ellenőrzése érdekében

•Integrálja a sebezhetőségi adatokat a fejlesztések és kiadások megtervezésébe, így a kritikus problémák szállítás előtt kezelhetők

•Külső jelentések elfogadása és kezelése koordinált közzététel és nyilvános hibakártalanítási program révén

•CVE-azonosítókat rendel a megerősített terméksebezhetőségekhez a CVE-számozási hatósági (CNA) szerepkörének részeként

•A sebezhetőség súlyosságán és üzleti hatásán alapuló hibajavításokat alkalmaz egy strukturált osztályozási folyamatot követve

oAz osztályozási folyamat összhangban van az ISO/IEC 30111 (sebezhetőségek kezelése) és az ISO/IEC 29147 (sebezhetőségek közlése) számú szabvánnyal

oA priorizálás irányítására CVSS-pontozást és külső hírszerzési forrásokat, például a CISA Ismert kihasznált sebezhetőségek (Known Exploited Vulnerabilities – KEV) katalógusát használjuk

oA kezelésről szóló végső döntéseket a felelős Termék- és biztonsági csapatok hozzák meg közösen

Ezek a folyamatok biztosítják, hogy az ESET-termékeken következetes, átlátható és nyomon követhető módon kezeljük a biztonsági réseket.

Penetrációs tesztelés

Az ESET a teljes termékbiztonsági folyamat részeként rendszeresen végzi a Termékeinek behatolási tesztelését – saját Behatolási tesztelési programunkon belül. A főverziók előtt és a fenntartott Termékek esetében tervezett időközönként végezzük a teszteléseket.

Az ESET-nél végzett behatolási tesztelés a következőkre összpontosít:

•Az implementált biztonsági ellenőrzések és kockázatcsökkentési intézkedések hatékonyságának ellenőrzése

•Olyan potenciális biztonsági rések azonosítása, amelyeket az automatizált eszközök esetleg nem észlelnek

•A korábbi kezelési erőfeszítések eredményeinek érvényesítése

•A kiadott Termékek teljes támadó felületének és kockázati kitettségének értékelése

A teszteket szakképzett belső szakemberek vagy megbízható külső partnerek végzik el elszigetelt környezetben, elismert ipari módszerekkel (OWASP WSTG/MTG, NIST SP 800-115, PTES).

A megállapításokat dokumentáljuk, értékeljük és nyomon követjük ugyanazon sebezhetőségkezelési folyamaton keresztül, amelyet belsőleg és külsőleg jelentett problémákhoz használunk.

A behatolási tesztelések eredményei közvetlenül a Termékfejlesztési tervekbe és az SSDLC-be kerülnek, ezáltal biztosítható, hogy a tanulságok rögzítésre kerüljenek, és hogy az ismétlődő gyengeségek idővel csökkentsék a számukat.

Műveleti biztonság

Információbiztonsági szabályzat az IKT-műveletekben

A Vállalat Információbiztonsági szabályzat az IKT műveletekben című dokumentációja fekteti le az IKT működésével kapcsolatos alapvető biztonsági szabályokat az ISO 27001 számú szabványnak megfelelően.

Az Információbiztonsági irányelv az IKT működésében című dokumentum határozza meg az informatikai operatív folyamatok és dokumentációjuk biztonsági követelményeit, beleértve az operatív eljárásokat, a változások kezelését, a szerep- és felelősségi körök szétválasztását, a gyártás szétválasztását, a tesztelési és fejlesztési környezeteket, a harmadik felektől származó informatikai szolgáltatásokat, a teljesítménytervezést, az informatikai projekteket, a kártevővédelmeket, a biztonsági mentéseket, a hálózati biztonságot, a médiabiztonságot, az elektronikus kereskedelem követelményeit és felügyeletét.

naplózás és auditálás

A rendszer naplózását és auditálását belső szabványok és iránymutatások szerint végezzük (A biztonsági felügyeletre és a biztonsági események kezelésére vonatkozó irányelvek).

Folyamatosan begyűjtjük a naplókat és az incidenseket az infrastruktúra, az operációs rendszer, az adatbázis, az alkalmazásszerverek és a biztonsági ellenőrzések vonatkozásában. Az ESET központi naplókezelési platformot (SIEM) használ a releváns naplók jogosulatlan módosítással vagy megsemmisítéssel szembeni védelmére. A naplókat mélyrehatóbban elemzik az informatikai és belső biztonsági csapatok az operatív és biztonsági rendellenességek, valamint az információbiztonsági incidensek azonosítása érdekében. A SIEM-ben tárolt adatokat a jogszabályok által előírt időtartamra és visszamenőleges kártevővadászat céljából őrizzük meg.

Biztonsági felügyelet és incidensekre adott válaszműveletek

A biztonsági incidensek biztonsági felügyeletét és kezelését a Biztonsági felügyeletre és biztonsági incidensek kezelésére vonatkozó irányelv határozza meg.

A szabályzat ismerteti

•a biztonsági naplózás és auditálás fejlesztésére, megfelelő konfigurálására, védelmére, tárolására, elemzésére, kiértékelésére és megőrzésére vonatkozó felelősségi köröket és szabályokat

•a biztonsági incidensek kezelésére vonatkozó folyamatokat, szerepköröket és felelősségi köröket

•biztonsági incidensek megelőzése

•a biztonsági incidensek hatásának minimalizálása

•biztonsági incidensekből származó tanulás

•a munkavállalók felvilágosítása a felügyeleti tevékenységekről, azok hatóköréről és a munkavállalók szerepéről a felügyeletben és az eseményekre adott válaszban

Egy nonstop működő Biztonsági műveleti központ (SOC) kap felhatalmazást arra, hogy folyamatosan figyelemmel kísérje az informatikai infrastruktúra és alkalmazások biztonsági állapotát, és reagáljon a biztonsági incidensekre.

Az ESET-nél az információbiztonsági incidensek kezelése az Incidensekre adott válaszműveletek meghatározott eljárása szerint megy végbe. Az incidenskezelés során a szerepköröket több csapat határozza meg és osztja fel, ideértve az informatikai, biztonsági, jogi, HR-, közönségkapcsolati és vezetőségi csapatot. A szabványos eseményeket a SOC-csapat kezeli. Jelentősebb biztonsági incidensekről értesíteni kell a Vezérlőközpontot. A SOC csapattal együttműködve az Irányítóközpont koordinálja az incidensekre adott válaszokat, és bevonja a többi csapatot az incidensek kezelésébe. A SOC csapat, a belső biztonsági csapat felelős tagjai által támogatva a bizonyítékok begyűjtéséért és a tanulságok levonásáért is felel. Az incidensek megtörténtéről és elhárításáról értesítjük az érintett feleket, beleértve az ügyfeleket és a partnereket. Az ESET jogi csapata felelős azért, hogy szükség esetén értesítse a szabályozó testületeket az Általános adatvédelmi rendelet (GDPR) és a Hálózati és információbiztonsági irányelvet (NIS2) felváltó Kiberbiztonsági törvénynek megfelelően.

Hibajavítás kezelés

A hibajavítás-kezelés számos kockázatcsökkentési tevékenység egyike a sebezhetőségek kezelésére.

A biztonsági javításokat az azonosított biztonsági rések súlyosságának és kockázatának megfelelően értékeljük és alkalmazzuk.

Egy meghatározott osztályozási és priorizálási folyamat határozza meg a hibajavítások telepítésének sorrendjét és időrendjét. Ez a folyamat az ISO/IEC 30111 számú szabványhoz igazított belső ESET-iránymutatásokat követi. A CVSS-pontozás és a külső kártevő-felderítési források, például a CISA Ismert kihasznált sebezhetőségek (Known Exploited Vulnerabilities – KEV) katalógusa támogatja a kockázatalapú döntéseket és a prioritások meghatározását.

Minden hibajavítás igazoláson megy át ellenőrzött környezetekben a termelésben való telepítésük előtt annak biztosítása érdekében, hogy megoldják a célzott problémát anélkül, hogy negatívan befolyásolnák a rendszer stabilitását vagy kompatibilitását.

A telepítés követi a bevezetett változáskezelési eljárásokat, amelyek szükség esetén biztosítják a nyomon követhetőséget, az elszámoltathatóságot és a visszafordíthatóságot.

A hibajavításokkal kapcsolatos tevékenységeket folyamatosan figyelemmel kísérjük és felülvizsgáljuk a hatékonyság megerősítése, az elavult rendszerek beazonosítása és a sorozatos folyamatfejlesztések elősegítése érdekében.

Az Alkalmazások naplózására vonatkozó iránymutatás meghatározza az ESET által kifejlesztett összes alkalmazásra vonatkozóan a naplózásra vonatkozó műszaki intézkedéseket és követelményeket.

Rosszindulatú alkalmazások és kártevők elleni védelem

A kártevőkkel szembeni védelmet (vírusölő szoftverekkel és EDR-kkel) az Információs és kommunikációs technológiák működésében alkalmazott információbiztonságról szóló irányelvek szabályozzák. Az alkalmazottak kötelesek haladéktalanul jelenteni a kártevőfertőzés bárminemű gyanúját a SOC-nak az ESET alkalmazottainak szóló információbiztonsági irányelv szerint.

A munkavállalói végpontokra vonatkozó követelményeket a munkaállomások biztonsági szabványa ismerteti.

Az ESET saját kártevőkeresési eszközeit használja, amelyeket kibővít harmadik felektől származó ellenőrzött megoldásokkal a végpontok és a felhőalapú szolgáltatások védelme érdekében.

A SOC-csapat a biztonsági felügyeletre és a biztonsági incidensek kezelésére vonatkozó irányelvek alapján végzi a fenyegetésekkel kapcsolatos tevékenységeket. A kártevőkre vonatkozó adatokat (hírcsatornák) a SIEM-rendszer gyűjti, amely automatikusan feldolgozza őket a biztonsági felügyelet eseményeire alkalmazott kártevő-információk előállításához.

Műszaki megfelelőség

A belső biztonsági csapat különböző műszaki biztonsági szabványokat biztosít és fenntart az infrastruktúra, a felhő, a webes komponensek, valamint a fejlesztők és az informatikai rendszergazdák által követendő bevált gyakorlatok tekintetében. A műszaki szabványok alapján a Belső biztonsági csapat elkészíti a konfigurációs kiindulási fájlokat, amelyeket az informatikai csapatok használnak a biztonságos konfigurációk telepítésének és érvényesítésének automatizálására.

Ezenkívül megfelelőségi vizsgálatokat végzünk egy sebezhetőségértékelő eszközön keresztül, ahol lehetséges. Az ESET rendelkezik beépített behatolási tesztelési programmal, és az ESET által kifejlesztett termékek, alkalmazások és szolgáltatások rendszeres behatolási tesztelésnek vannak alávetve a programterv alapján. Minden megállapítást dokumentálunk és jelentünk a Termék érdekelt felei számára annak érdekében, hogy a lehető leghamarabb enyhítsük a következményeket.

Fizikai biztonság

A Fizikai biztonságra vonatkozó szabályzat és a kapcsolódó fizikai biztonsági előírások határozzák meg az irodahelyiségek és az adatközpontok körüli fizikai biztonságra vonatkozó szabályokat. A szabályzat különböző szabályokat és eljárásokat határoz meg a következők tekintetében:

•az ESET-létesítmények védelme

•fizikai hozzáférés ellenőrzése

•irodák, szobák és épületek biztonsága

•biztonságos területeken végzett munka

•a berendezések, a kábelezés és az infrastruktúra biztonsága

Adatközpont-biztonság

Az informatikai infrastruktúra-komponensek fizikailag több adatközpontban helyezkednek el, így a redundancia minden régióban megvalósul.

A fizikai biztonsági határoló felületeket a Fizikai biztonsági szabályzat és a kapcsolódó biztonsági előírások határozzák meg az irodahelyiségek és az adatközpontok számára – Adatközpontokra vonatkozó fizikai biztonsági szabvány. Az ESET meghatározta a biztonsági körzet beállítására vonatkozó szabályokat, valamint a fizikai biztonsági körzetre alkalmazandó ellenőrzéseket. A kulcsfontosságú ellenőrzések – többek között a fizikai biztonsági zónázás és szétválasztás, a hozzáférés és a látogatók kezelése, a tűz és az árvizek megelőzése, valamint a CCTV és a személyzettel végzett felügyelet – egyértelműen meghatározottak, végrehajtottak és folyamatosan ellenőrzés alatt állnak. A DC biztonságát rendszeresen felülvizsgálják a felelős személyzet és külső auditőrök.

Az ESET a CSP fizikai biztonsági intézkedéseire és ellenőrzéseire támaszkodik, ezért rendszeresen felülvizsgálja a megfelelő CSP-k megfelelőségi jelentéseit.

Fizikai hozzáférés-ellenőrzések

A fizikai bejáratok ellenőrzését a Fizikai biztonsági szabályzat, illetve az irodahelyiségekre és az adatközpontokra vonatkozó biztonsági előírások határozzák meg. A helyszínek védett zónákra vannak felosztva, speciális hozzáférési ellenőrzésekkel.

A hitelesítést kulcsok, személyazonosító/hozzáférési kártyák és PIN-kódok segítségével kezeljük a legjobb biztonsági eljárásoknak megfelelően.

Fizikai hozzáférés-felügyeletet és jogosulatlan hozzáférés megelőzését/felismerését hajtjuk végre. CCTV figyeli az összes bejáratot felvételek naplózása mellett. A határoló felületeket mozgásérzékelők és üvegtörés-érzékelők is figyelik (beleértve a gyenge ellenállású falakat [pl. üveg vagy szárazfalazat], vészkijáratokat és ablakokat).

Üzletmenet-folytonosság és katasztrófahelyzet utáni helyreállítás

Az ESET fenntart, rendszeresen felülvizsgál, értékel és implementál fejlesztéseket az üzletmenetfolytonosság-kezelési rendszerére vonatkozólag az Üzletmenetfolytonosság-kezelési irányelv szerint és az ISO 22301 számú szabvánnyal összhangban.

Az ESET létrehozta a BCM-programot, amely rangsorolja a Társaságon belüli összes tevékenységet, és amelyre CISO-jóváhagyás vonatkozik a BCM-szabályzatnak megfelelően. A BCM-program meghatározza a BCM-vel kapcsolatos kockázatok mérséklésére irányuló működési tevékenységeket és tevékenységeket, például elbocsátásokkal vagy funkciók és informatikai infrastruktúra replikálásával.

Meghatározott üzletmenet-folytonossági célokkal (RTO, RPO, MTD, helyreállítási prioritások) rendelkező Üzleti hatáselemzéseket (BIA) készítünk és vizsgálunk felül. A katasztrófaelhárítási tervek (DRP) felülvizsgálata és tesztelése a BCM program szerint történik. Az üzletmenet-folytonossági stratégia meghatározza a kritikus üzleti eszközök fenntartásának módját. A rendszeres üzletmenet-folytonossággal kapcsolatos tevékenységek összes eredménye hozzájárul a folyamatos fejlesztésekhez.

Harmadik fél kockázatkezelése

A beszállítói szolgáltatások felügyeletét és felülvizsgálatát a A beszállítói kapcsolatokban alkalmazott információbiztonsági szabályzat szabályozza. A felülvizsgálatokat negyedévente végezzük, az eredményeket pedig a Beszállítói értékelésben tároljuk.