보안 정책

소개

문서의 목적

본 문서의 목적은 ESET 인프라에 적용되는 기술적, 조직적, 물리적 제어 및 보안 관행을 요약하는 것입니다. 이는 ESET 포트폴리오(즉, 제품, 애플리케이션, 솔루션 및 ESET 서비스(이하 "제품")를 포함합니다. 보안 조치, 제어 및 정책은 보호하도록 설계되었습니다.

•온-프레미스 또는 클라우드 환경에서 ESET 포트폴리오 운영 및 데이터 처리

•고객 데이터의 기밀성, 무결성 및 가용성

•불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 인한 고객 정보

ESET은 진화하는 위협에 대응하고 진화하는 보안 기술 및 업계 표준에 적응하기 위해 본 문서와 이를 규제하는 특정 조치, 제어 및 정책을 업데이트할 수 있습니다.

대상

본 문서는 ESET 포트폴리오의 보안 영역에 대한 보증이 필요하거나 ESET 솔루션이나 서비스를 환경에 통합하여 사용하려는 고객이 읽어야 합니다.

맥락, 개념 및 범위

ESET, spol s r.o. 회사는 통합 관리 시스템으로 ISO 27001:2022 인증을 획득했습니다.

이에 따라 정보 보안 관리 개념에서는 정보 시스템 아키텍처 스택(예: 네트워크, 운영 체제, 데이터베이스, 애플리케이션, 직원 및 운영 프로세스)의 모든 계층에 보안 제어를 적용할 때 계층화된 방어 보안 전략을 구현하기 위해 ISO 27001 프레임워크를 사용합니다. 적용된 보안 관행과 보안 제어는 중복되며 상호 보완하기 위한 것입니다.

본 문서의 범위는 ESET 포트폴리오, 조직, 인력 및 운영 프로세스에 대해 구현된 기술적, 조직적 조치를 요약하는 것입니다.  

보안 관행 및 제어에는 다음을 포함하지만 이에 국한되지 않는 관리 및 기술 조치가 포함됩니다.

•정보 보안 정책

•정보 보안 조직

•인적 자원 보안

•접근 제어

•암호화

•물리적/환경적 보안

•데이터 보호, 네트워크 보안, 애플리케이션 보안

•운영 보안

•통신 보안

•시스템 획득, 개발 및 유지 관리

•공급업체 관계

•정보 보안 사고 관리

•비즈니스 연속성 관리의 정보 보안 측면

•규정 준수

약어

참고: 기울임체 - 언급되었으나 일반 대중에 공개되지 않은 회사 내부 문서(예: 내부 규정 정책)의 명칭에 사용됩니다.

보안 관리

정보 보안 관리 시스템

ESET은 정보 자산 보호를 지침하는 조직 간 기능으로 정보 보안 관리 프로그램 프레임워크를 설립하고 유지합니다. 정보 보안 설명서는 내부 규정 정책을 통해 보안 정책, 프로세스 및 설명서에 따라 관리됩니다. ESET은 통합 관리 시스템 정책을 채택했으며, 이는 최고 수준의

•ISMS 정책,

•QMS 정책 및

•정보 보안 정책 역할을 합니다.

ESET은 품질 및 정보 보안 관리의 프레임워크를 정의하는 통합 관리 시스템 정책을 준수합니다. 이 정책은 ESET의 정보 보안 책임자(CISO)가 소유하며, 보안 및 품질에 대한 최고 수준의 관리 의무를 나타냅니다. 이는 해당 영역의 관리 및 보증에 대한 책임을 정의하고 ISO 9001 및 ISO 27001 표준을 준수하여 관리 시스템의 효과를 지속적으로 평가하고 개선하려는 ESET의 노력을 설명합니다.

기업 정책은 매년 문서화, 유지 관리 및 검토되며 지속적인 적합성, 적정성, 효과를 보장하기 위해 중요한 변경 사항이 있을 경우 업데이트됩니다. 업데이트는 내부 직원에게 전달되며 모든 직원이 정책을 사용할 수 있습니다. 정책은 공식적으로 채택되고, CEO에 의해 서명되고, 공개되고, 모든 직원과 관련 당사자에게 전달됩니다. ESET 직원은 온보딩 시 정책을 공식적으로 인정하게 됩니다.

정책 외에도 ESET의 정보 보안 및 기술 보안 팀은 업계 및 공급업체 보안 최선의 관행(예: CIS 기준, OWASP, NIST)을 기반으로 프로세스, 절차, 표준 및 구성 기준을 설계했습니다. 이들은 ESET 정보 시스템 및 제품의 안전한 개발, 구성 및 작동을 보장하기 위해 IT 및 기술 팀에 제공됩니다.

ESET은 ESET의 ISO 9001 및 ISO 27001 인증에 따라 설계되고 모든 직원에게 제공되는 상호 연관된 거버넌스 문서를 유지 관리합니다. 운영 절차는 각 팀의 특정 요구 사항에 맞게 조정되며, 지정된 작업 영역 내에서 관리되며, 필요에 따라 업데이트됩니다.

정책 준수 모니터링 및 징계 절차가 마련되어 있어 보안 정책 비준수를 처리하고 시정함으로써 책임성과 지속적인 개선에 대한 ESET의 의지를 강화합니다.

ESET은 지속적인 규정 준수 및 효과 확보를 위해 기술적 및 조직적 제어를 유지하는 위험 관리 프레임워크를 구현했습니다. ESET의 위험 관리 프로세스는 통합 관리 시스템(ISO 9001 및 ISO 27001) 내에서 포괄적 인 위험 평가 및 관리를 포함합니다. 여기에는 자산 평가, 보안 요구 사항 확인, 위험 계산 및 적절한 완화 전략 선택이 포함됩니다. 최고 정보 보안 책임자(CISO)는 전반적인 위험 관리 프로세스를 감독하고, 보안 위험 및 관련 지표에 대해 경영진에 정기적으로 보고합니다. 또한 ESET의 계약 보안 표준에 따라 제3자 위험 관리가 공급업체 평가를 통해 엄격하게 시행됩니다.

산업 표준 준수

외부 검증 및 인증은 ESET의 역량과 기술을 활용하여 데이터를 보호하고 규제 요건을 준수하는 조직에 있어 매우 중요합니다. 자세한 내용은 ESET의 인증 페이지를 참조하십시오.

규정 준수 모니터링

통합 관리 시스템 정책은 정기적인 검토와 감사를 포함한 통합 관리 시스템을 설정합니다.

내부 감사는 내부 감사 정책에 명시된 ESET 정책 및 프로세스 준수를 정기적으로 검토합니다. 내부 규정 정책에는 내부 규정의 적용 및 필요한 경우 관련 조정에 대한 정기적 모니터링 책임이 명시되어 있습니다.

정기 검토 및 내부 및 외부 감사는 연간 및 3년간의 장기 감사 계획에 따라 수행됩니다. 내부 감사는 독립적 인 감사자가 수행하며, 이는 감사 범위에 따라 ESET 정책 및 프로세스 또는 관련 표준(예: ISO 9001, ISO 27001 및 SOC2)의 준수를 정기적으로 검토합니다. 내부 감사는 최소한 매년 계획되고 수행됩니다. 감사 결과는 전용 티켓팅 시스템에 수집 및 기록되며, 여기에는 각 담당자가 지정되어 정해진 기간 내에 비준수 사항을 처리하고 해결해야 합니다. 관리 감독을 필요로 하는 감사 결과와 결정은 정기적인 관리 검토 회의에서 검토됩니다.

정보 보안 조직

정보 보안 책임은 마련된 정보 보안 정책에 따라 할당됩니다. ESET 정보 자산의 무단 또는 의도치 않은 수정이나 오용 위험을 파악하기 위해 내부 프로세스가 식별 및 평가됩니다. 위험하거나 민감한 내부 프로세스 활동의 경우, 위험을 완화하기 위해 보안 최선의 관행 원칙을 채택합니다.

정보 보안에서는 구상부터 프로젝트 완료까지 적용된 프로젝트 관리 프레임워크를 사용하여 프로젝트 관리를 설명합니다.

원격 업무 및 재택근무는 신뢰할 수 없는 네트워크를 통해 이동하는 동안 강력한 암호화 데이터 보호 기능을 사용하는 것을 포함하여, 모바일 장치에 구현된 정책을 사용하여 보호됩니다. 모바일 장치의 보안 제어는 ESET 내부 네트워크 및 내부 시스템과 독립적으로 작동하도록 설계되었습니다.

인적 자원 보안

ESET에서는 정보 보안을 유지하기 위해 설계된 정책을 포함해 표준 인적 자원 관행을 사용합니다. 이러한 관행은 직원 전체 수명 주기를 커버하며 모든 직원에게 적용됩니다.

ESET 회사는 온보딩 시 모든 ESET 직원에게 신원 확인 및 심사 절차를 요구하며, 고용 계약의 일부로 내부 보안 정책 및 표준을 준수하고 ESET의 기밀 정보 및 고객 데이터를 보호할 의무를 부과하는 기밀 유지 협약에 서명하도록 합니다. 또한 ESET의 규정 준수 및 인식 제고 프로그램의 일환으로 온보딩 과정에서 정보 보안 인식 교육을 완료하도록 요구합니다.

기술 조치

신원 및 접근 관리

ESET의 접근 관리 정책은 ESET 인프라에 대한 모든 접근을 규정합니다. 접근 권한 부여, 취소, 변경 및 부여된 접근 권한 수정과 관련된 접근 제어 프로세스는 모든 인프라, 기술, 애플리케이션 또는 도구 수준에 적용됩니다. 애플리케이션 수준의 전체 사용자 접근 관리는 자율적입니다. 신원 단일 로그온은 중앙 신원 공급업체에 의해 관리되며, 이는 사용자가 승인된 환경 또는 애플리케이션에만 접근할 수 있는지 확인합니다.

사용자 및 접근 관리, 사용자 접근 권한 해제, 사용자 접근 권한 부여, 접근 권한 검토, 제거 및 조정에 대한 프로세스 및 기술적 조치는 보안 표준에 따라 ESET 직원의 ESET 인프라 및 네트워크 접근을 관리하는 데 사용되며, 여기에는 다음이 포함되나 이에 국한되지는 않습니다.

•최소 권한의 "알 필요가 있는 정보만 제공"에 기반한 접근 권한 부여

•사용자 접근의 정기적 검토

•보안 정책에 따라 사용자 접근 종료

•모든 사람에게 고유 계정을 할당

•사용자 접근 시도 기록, 검토 및 모니터링

•물리적 접근 로깅 및 검토

•높은 특권 및 관리자 접근을 위한 다중 요소 인증 구현

•지정된 비활성 기간 후 상호 작용 세션의 타임아웃 집행

데이터 보호

데이터 암호화

ESET은 자사 인프라의 데이터를 보호하며, 강력한 암호화를 사용하여 보관 중인 데이터(휴대용 장치 포함)와 전송 중인 데이터를 암호화합니다. 암호화 구현은 내부 암호화 표준에 의해 정의된 규칙을 따릅니다. 고객 데이터는 관련 규정(예: GDPR, NIS2 지침 또는 산업 및 금융 규정)에 따라 보존됩니다.

시행 중인 조치

•일반적으로 신뢰할 수 있는 인증서 권한은 공공 웹 서비스용 인증서를 발급하는 데 사용됩니다.

•내부 ESET PKI는 ESET 인프라 내의 키를 관리하는 데 사용됩니다.

•CSP 플랫폼의 기본 암호화는 클라우드 환경(데이터 저장소, 백업)에서 데이터 처리 또는 데이터 영속성의 관련 부분에 대한 보관 중인 데이터 보호를 보장합니다.

•전송 중인 데이터를 암호화하기 위해 강력한 암호화(예: TLS)가 설치되어 있습니다.

데이터 백업 및 복구

백업은 정보 및 통신 기술 작동의 정보 보안에 관한 정책에 따라 규정됩니다.

모든 ESET 포트폴리오 구성 및 배포 데이터는 환경 구성의 자동 복구를 허용하기 위해 ESET이 보호하고 정기적으로 백업하는 저장소에 저장됩니다. 규칙적인 재해 복구 테스트 프로세스는 비즈니스 예상 시간 내에 구성 백업 복구 가능성을 확인하는 데 사용됩니다.

ESET 고객 데이터는 업계 표준 및 규정, 높은 가용성 작동 및 계약 복구 요구 사항에 따라 정기적으로 백업됩니다. 백업은 조작으로부터 보호되며, 백업의 유효성은 재해 복구 연습 프로세스를 통해 정기적으로 테스트됩니다.

네트워크 보안

네트워크 분산은 ESET 네트워크 환경 전체에 적용됩니다. 네트워크는 정의된 기준에 따라 분리되며 방화벽에 있는 VLAN을 사용하여 집행됩니다.

ESET은 L7 방화벽, 침입 탐지 시스템 및 침입 방지 시스템을 포함한 다양한 경계 보호 시스템을 활용합니다. 이러한 시스템은 외부 접근 지점을 보호하기 위해 구성되고 유지하며, 허가되지 않은 네트워크 접근 시도가 탐지되고 방지되도록 합니다.  

내부 자산에 대한 원격 접근은 사용자 또는 사이트 간 VPN을 통해 제공되며 역할 및 책임, 보안 요구 사항 및 제어는 ESET 내부 정책에 명시되어 있고 보안 산업 표준을 준수하여 구성됩니다. VPN 사용자 계정은 Active Directory 내에서 유지되며 직원 계정을 제공하는 프로세스의 일부입니다.

ESET은 클라우드 환경에서 처리, 수신 또는 저장되는 데이터를 보호하기 위해 네트워크 보안 제어를 구현하고 유지합니다. CSP 계정과 기본 인프라는 CSP 가상 네트워크 내의 네트워크 접근 제어 목록과 보안 그룹을 사용하여 제공되는 모든 자원에 대한 접근을 제한합니다. 클라우드 자원에 대한 접근은 암호화된 채널을 통해만 가능합니다.  

보안 강화

ESET은 가능한 공격 취약성을 줄이기 위해 시스템 보안 프로세스를 활용합니다. 여기에는 다음 기술과 최선의 관행이 포함됩니다.

•호스트 또는 컨테이너를 설치하거나 배포하는 데 사용되는 서명된 골드 이미지

•불필요한 서비스 해제

•위험도가 높은 경우 중요한 구성 요소에 대한 자동 계획 연결 및 임시 패치

•수명 종료에 도달하기 전에 운영 체제 업그레이드

•보안 설정 구성

•반복적이고 일관된 방식으로 인프라 및 애플리케이션 관리 자동화

•불필요한 소프트웨어 제거

•로컬 자원에 대한 접근 제한

•바이러스 백신, 엔드포인트 탐지 및 응답 및 네트워크 정책과 같은 호스트 기반 제어

ESET은 IT 환경 구성 요소에 대한 보안 강화 조치를 적용하고 검증하는 데 있어 중앙 집중식 접근 방식을 사용합니다. 이는 공격자가 악용할 수 있는 모든 잠재적 진입점인 공격 표면을 최소화하기 위함입니다. 자세한 내용은 이 문서의 다음 부분을 참조하십시오.

애플리케이션 보안

안전한 개발 관행

ESET은 모든 개발 단계에서 보안 제어 및 위험 관리를 통합하는 소프트웨어 개발 생애주기 보안 정책(SSDLC)을 통해 안전한 소프트웨어 개발 관행을 구현합니다.

SSDLC 정책은 다음에 대한 요구 사항을 정의합니다.

•코드는 안전 코딩 지침에 따라 작성되며 합병하기 전에 검토됩니다.

•새로운 기능과 주요 변경 사항에 대해 위협 모델링 및 디자인 검토가 수행됩니다.

•CI/CD 파이프라인의 일부로 실행되는 자동 보안 검사(정적 분석, 의존성 스캔 및 선택된 동적 테스트

•타사 및 오픈 소스 구성 요소는 추적되고 최신 상태로 유지되며, 릴리스된 모든 제품에 대한 SBOM이 유지 관리됩니다.

•사고, 침입 테스트 및 버그 보상 보고서의 결과는 검토되고 개발 프로세스로 다시 전달됩니다.

SSDLC 정책의 목적은 모든 ESET 소프트웨어 제품이 안전하고 신뢰할 수 있으며 해당 표준과 규정을 준수하도록 보장하는 것입니다.

제품 취약성 관리

ESET은 애플리케이션 및 제품의 취약성을 수명 주기 내내 식별, 평가 및 해결하기 위한 정의된 프로세스를 유지합니다.

이 프로세스에는 내부적으로 발견된 문제와 외부 소스의 보고서 모두 포함됩니다.

제품 취약성 관리의 일환으로 ESET은 다음을 수행합니다.

•자동화된 검사 도구를 사용하여 소스 코드, 종속성 및 빌드 아티팩트에서 알려진 취약성을 검사합니다.

•해결책을 할당하기 전에 결과를 수동으로 검토하여 영향과 관련성을 확인합니다.

•심각도, 악용 가능성 및 제품 노출을 기준으로 수정 사항을 추적하고 우선 순위를 지정합니다.

•해결 사항을 확인하기 위해 타겟팅된 보안 테스트 및 재 테스트를 수행합니다.

•취약성 데이터를 개발 및 릴리스 계획에 통합하여 출시 전에 심각한 문제를 해결할 수 있도록 합니다.

•조정된 공개 및 공개 버그 보상 프로그램을 통해 외부 보고서를 수락하고 처리합니다.

•CVE 번호 기관(CNA) 역할의 일환으로 확인된 제품 취약성에 대한 CVE 식별자를 할당합니다.

•구조화된 분류 프로세스를 따라 취약성 심각도 및 비즈니스 영향에 따라 패치 및 수정 사항을 적용합니다.

o분류 프로세스는 ISO/IEC 30111( 취약성 처리) 및 ISO/IEC 29147( 취약성 공개)에 따라 조정됩니다.

oCVSS 점수와 CISA의 알려진 취약성(KEV) 카탈로그와 같은 외부 정보 소스를 활용하여 우선 순위를 정합니다.

o최종 해결책 결정은 책임있는 제품 및 보안 팀이 공동으로 수행합니다.

이러한 프로세스는 모든 ESET 제품에서 취약성이 일관되고 투명하며 추적 가능한 방식으로 관리되도록 합니다.

침입 테스트

ESET은 전반적인 제품 보안 보증 프로세스의 일환으로 자체 침투 테스트 프로그램 내에서 자사 제품에 대한 정기적인 침투 테스트를 진행합니다. 테스트는 주 버전 출시 전에 그리고 유지 관리되는 제품의 경우 계획된 간격으로 진행됩니다.

ESET의 침입 테스트는 다음에 중점을 두고 있습니다.

•구현된 보안 제어 및 완화 조치가 효과가 있는지 확인

•자동 도구가 탐지하지 못할 잠재적 취약성을 식별합니다.

•이전 복구 노력의 결과 인증

•릴리스된 제품의 전체 공격 표면 및 위험 노출 평가

테스트는 고립된 환경에서 인정된 업계 방법론(OWASP WSTG/MTG, NIST SP 800-115, PTES)을 사용하여 자격을 갖춘 내부 전문가 또는 신뢰할 수 있는 외부 파트너가 수행합니다.

결과는 내부 및 외부 보고 문제에 사용되는 동일한 취약성 관리 프로세스를 통해 문서화, 평가 및 추적됩니다.

침입 테스트 결과는 제품 개선 계획 및 SSDLC에 직접 전달되며 배운 교훈이 캡처되고 반복적인 약점이 시간이 지남에 따라 줄어들도록 도와줍니다.

운영 보안

ICT 운영에 대한 정보 보안 정책

회사 내 ICT 작동의 정보 보안 정책은 ISO 27001 표준에 따라 ICT 작동과 관련된 기본 보안 규칙을 설정합니다.

ICT 운영의 정보 보안 정책은 운영 절차, 변경 관리, 역할과 책임의 분리, 생산, 테스트 및 개발 환경의 분리, 제3자 IT 서비스, 성능 계획, IT 프로젝트, 악성코드 보호, 백업, 네트워크 보안, 미디어 보안, 전자 상거래 요구 사항 및 모니터링을 포함한 IT 운영 프로세스 및 해당 문서에 대한 보안 요구 사항을 정의합니다.

로깅 및 감사

시스템의 로깅 및 감사는 내부 표준 및 지침에 따라 수행됩니다(보안 모니터링 및 보안 사고 관리 정책).  

인프라, 운영 체제, 데이터베이스, 애플리케이션 서버 및 보안 제어의 로그와 이벤트가 지속적으로 수집됩니다. ESET은 중앙 로그 관리 플랫폼(SIEM)을 사용하여 관련 로그를 허가되지 않은 수정 또는 파괴로부터 보호합니다. IT/내부 보안 팀에서 로그를 추가 처리하여 작업 및 보안 이상과 정보 보안 사고를 식별합니다. SIEM의 데이터는 사후 위협 헌팅을 위해 규정에서 요구하는 기간 동안 보관됩니다.

보안 모니터링 및 사고 대응

보안 모니터링 및 보안 사고 관리는 보안 모니터링 및 보안 사고 관리 정책에 의해 정의됩니다.

정책 개요

•보안 로깅 및 감사의 개발, 적절한 구성, 보호, 저장, 분석, 평가 및 보존에 대한 책임과 규칙

•보안 사고 관리의 프로세스, 역할 및 책임

•보안 사고 방지

•보안 사고의 영향을 최소화

•보안 사고로부터 배우기

•모니터링 활동, 해당 범위 및 모니터링 및 사고 대응에 대한 직원의 역할에 대한 직원 교육

구축된 보안 운영 센터(SOC)는 24시간 연중무휴로 운영되며, IT 인프라 및 애플리케이션의 보안 상태를 지속적으로 모니터링하고 보안 인시던트에 대응합니다.

ESET의 정보 보안 사고 관리는 정의된 사례 대응 절차에 의존합니다. 사고 대응 내 역할은 IT, 보안, 법률, 인적 자원, 홍보 및 경영진을 포함한 여러 팀에 걸쳐 정의되고 할당됩니다. 표준 사고는 SOC 팀이 처리합니다. 더 중요한 보안 사건이 발생하면 명령 센터에 통지됩니다. Command Center는 SOC 팀과 협력하여 사고 대응을 조정하고 다른 팀을 참여하여 사고를 처리합니다. SOC 팀은 내부 보안 팀의 책임 있는 구성원의 지원을 받아 증거 수집과 교훈 도출 또한 담당합니다. 인시던트 발생 및 해결은 고객과 파트너를 포함한 관련 당사자에게 전달됩니다. ESET 법률 팀은 일반 데이터 보호 규정(GDPR)과 네트워크 및 정보 보안 지침(NIS2)을 전송하는 사이버 보안법에 따라 필요한 경우 규제 기관에 통보할 책임이 있습니다.

패치 관리

패치 관리는 취약성을 해결하기 위한 여러 완화 활동 중 하나로 사용됩니다.

보안 패치는 식별된 취약성의 심각성과 위험에 따라 평가되고 적용됩니다.

정의된 분류 및 우선 순위 설정 프로세스는 패치 배포 순서와 타임라인을 결정합니다. 이 프로세스는 ISO/IEC 30111과 일치하는 ESET 내부 지침을 따릅니다. CVSS 점수 및 CISA의 알려진 악용 가능 취약성(KEV) 카탈로그와 같은 외부 위협 인텔리전스 소스는 위험 기반 의사 결정 및 우선 순위 지정을 지원합니다.

모든 패치는 시스템 안정성이나 호환성에 부정적인 영향을 미치지 않고 목표 문제를 해결하기 위해 생산에 배포하기 전에 제어된 환경에서 확인됩니다.

배포는 추적성, 책임성 및 필요 시 롤백 가능성을 보장하는 확립된 변경 관리 절차를 따릅니다.

패치 활동은 효과를 확인하고, 오래된 시스템을 식별하며, 지속적인 프로세스 개선을 추진하기 위해 지속적으로 모니터링 및 검토됩니다.

애플리케이션 로깅 지침은 ESET에서 개발한 모든 애플리케이션에 대해 로깅을 규정하는 기술적 조치와 요구 사항을 명시합니다.

악성 코드 및 위협 보호

정보 통신 기술 운영의 정보 보안 정책에는 (안티바이러스 소프트웨어 및 EDR을 통한) 악성코드 방지에 대해 명시되어 있습니다. 직원들은 ESET 직원 정보 보안 정책에 명시된 대로 악성코드 감염의 의심이 있는 경우 즉시 SOC에 신고해야 합니다.  

직원 엔드포인트에 대한 요구 사항은 워크스테이션 보안 표준에 설명되어 있습니다.

ESET은 검증된 타사 솔루션으로 강화된 자체 안티 맬웨어 도구를 활용하여 엔드포인트와 클라우드 워크로드를 보호합니다.

SOC팀은보안 모니터링 및 보안 사고 관리 정책에 따라 위협 사냥 활동을 수행합니다. 위협 데이터(피드)는 SIEM 시스템으로 수집되며, SIEM 시스템은 이를 자동으로 유입시켜 처리함으로써 보안 모니터링 이벤트에 적용되는 위협 인텔리전스를 생성합니다.

기술 규정 준수

내부 보안 팀은 인프라, 클라우드, 웹 관련 구성 요소에 대한 다양한 기술 보안 표준을 제공하고 유지 관리하며 개발자와 IT 관리자가 따라야 할 최선의 관행을 제공합니다. 기술 표준을 기반으로 내부 보안 팀은 IT 팀이 안전한 구성의 배포 및 집행을 자동화하기 위해 사용하는 구성 기본 파일을 준비합니다.

또한 가능한 경우 취약성 평가 도구를 통해 규정 준수 검사를 수행합니다. ESET에는 확립된 침입 테스트 프로그램이 있으며 ESET이 개발한 제품, 애플리케이션 및 서비스는 프로그램 계획에 따라 정기적으로 침입 테스트를 받습니다. 모든 발견은 문서화되어 가능한 빨리 완화되도록 제품 관계자에게 보고됩니다.

물리적 보안

물리적 보안 정책 및 관련 물리적 보안 표준은 사무실 시설과 데이터 센터 주변의 물리적 보안에 대한 규칙을 정의합니다. 이 정책은 다음에 대한 규칙과 절차를 규정합니다.

•ESET 시설 보호

•물리적 접근 제어

•사무실, 방 및 건물 보안

•안전한 지역에서 작업

•장비, 케이블링 및 인프라 보안

데이터 센터 보안

IT 인프라 구성 요소는 여러 데이터 센터에 물리적으로 위치하므로 각 지역 내에서 이중화가 구현됩니다.

물리적 보안 범위는 물리적 보안 정책 및 사무실 공간 및 데이터 센터에 대한 관련 보안 표준(데이터 센터의 물리적 보안 표준)에 정의되어 있습니다. ESET은 물리적 보안 범위에 적용되는 보안 범위 및 제어를 설정하는 규칙을 정의했습니다. 물리적 보안 구역 설정 및 분리, 접근 및 방문객 관리, 화재 및 홍수 예방, CCTV 및 인적 감시를 포함한 주요 제어 조치는 명확하게 정의되고, 구현되며, 지속적으로 모니터링됩니다. DC의 보안은 책임있는 직원과 외부 검사에 의해 정기적으로 검토됩니다.

ESET은 CSP의 물리적 보안 조치 및 제어에 의존하므로 해당 CSP의 규정 준수 보고서를 정기적으로 검토합니다.

물리적 접근 제어

물리적 입구 제어는 사무실 시설 및 데이터 센터에 대한 물리적 보안 정책 및 관련 보안 표준에 명시되어 있습니다. 시설은 세부적인 접근 제어가 이루어지는 보호 구역으로 나뉘어져 있습니다.

인증은 키, ID/접근 카드 및 PIN을 사용하여 보안 최선의 관행에 따라 관리됩니다.

물리적 접근 모니터링 및 허가되지 않은 접근 방지/탐지가 구현됩니다. 모든 출입은 기록이 남는 CCTV로 모니터링됩니다. 경계는 동작 감지 센서 또는 유리 파손 감지 센서(유리나 석고보드와 같은 약한 벽, 비상구 및 창문 포함)를 통해 감시됩니다.

비즈니스 연속성 및 재해 회복

ESET은 ISO 22301에 따라 비즈니스 연속성 관리 정책에 따라 비즈니스 연속성 관리 시스템의 개선 사항을 유지, 정기적으로 검토, 평가 및 구현합니다.

ESET은 BCM 프로그램을 설립했으며, 이는 회사 내의 모든 활동을 우선시하고 BCM 정책에 따라 CISO 승인을 받습니다. BCM 프로그램은 운영 활동과 BCM 관련 위험을 완화하기 위한 활동(예: 기능 및 IT 인프라의 중복 또는 복제)을 정의합니다.

정의된 비즈니스 연속성 목표(RTO, RPO, MTD, 회복 우선 순위)와 함께 비즈니스 영향 분석(BIA)이 준비되고 검토되고 있습니다. 재해 회복 계획(DRP)은 BCM 프로그램에 따라 검토 및 테스트됩니다. 비즈니스 연속성 전략은 중요한 비즈니스 자산을 유지하는 접근 방식을 결정합니다. 정기적 비즈니스 연속성 활동의 모든 출력은 지속적인 개선을 위한 입력으로 사용됩니다.

제3자 위험 관리

공급업체 서비스의 모니터링 및 검토는 공급업체 관계에서의 정보 보안 정책에 따라 규정됩니다. 검토는 분기별로 수행되며 결과는 공급업체 평가에 저장됩니다.