Zrozum swoje prawa i nasze obowiązki w jednym miejscu
Polityka bezpieczeństwa
Wprowadzenie
Cel Dokumentu
Celem niniejszego dokumentu jest podsumowanie kontroli technicznych, organizacyjnych i fizycznych oraz praktyk bezpieczeństwa stosowanych w ramach infrastruktury firmy ESET, która obejmuje portfel firmy ESET, tj. produkty, aplikacje, rozwiązania i usługi firmy ESET (zwane dalej „Produktem”). Środki bezpieczeństwa, środki kontroli i zasady mają chronić
•działanie portfela ESET i przetwarzanie danych w środowiskach lokalnych lub w chmurze
•poufność, integralność i dostępność danych klientów
•informacje o klientach po nielegalnym zniszczeniu, utracie, zmianie, nieautoryzowanym ujawnieniu lub dostępie
Firma ESET może zaktualizować niniejszy dokument oraz określone środki, środki kontroli i polityki, które je regulują, aby sprostać zmieniającym się zagrożeniom i dostosować się do rozwijających się technologii bezpieczeństwa i standardów branżowych.
Odbiorcy
Dokument ten powinna przeczytać każda osoba, która potrzebuje pewności w dziedzinie bezpieczeństwa portfela ESET, lub Klient, który zamierza korzystać z rozwiązań lub usług firmy ESET poprzez integrację z jego środowiskiem.
Kontekst, koncepcja i zakres
Firma ESET, spol s r.o. posiada certyfikat ISO 27001:2022 ze zintegrowanym systemem zarządzania.
W związku z tym, koncepcja zarządzania bezpieczeństwem informacji wdraża warstwową ochronną strategię bezpieczeństwa zgodną z normą ISO 27001 podczas stosowania kontroli bezpieczeństwa w każdej warstwie stosu architektury systemu informacji, np. w sieci, systemach operacyjnych, bazach danych, aplikacjach, personelu i procesach operacyjnych. Stosowane praktyki bezpieczeństwa i środki kontroli w zakresie ochrony mają się na siebie nakładać i uzupełniać.
Zakres niniejszego dokumentu ma na celu podsumowanie środków technicznych i organizacyjnych wdrożonych w portfelu firmy ESET; organizacji, personelu i procesów operacyjnych.
Praktyki i kontrole bezpieczeństwa obejmują zarządzanie i środki techniczne, w tym między innymi:
•Polityki bezpieczeństwa informacji
•Organizacja bezpieczeństwa informacji
•Bezpieczeństwo zasobów ludzkich
•Kontrola dostępu
•Kryptografia
•Bezpieczeństwo fizyczne i środowiskowe
•Ochrona danych, bezpieczeństwo sieciowe, bezpieczeństwo aplikacji
•Bezpieczeństwo operacyjne
•Bezpieczeństwo komunikacji
•Pozyskiwanie, rozwój i konserwacja systemów
•Relacje z dostawcą
•Zarządzanie incydentami związanymi z bezpieczeństwem informacji
•Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania
•Zgodność z przepisami
Skróty
Skrót |
Pełny termin |
|---|---|
Firma |
ESET, spol. s r. o. |
CSP |
Dostawca usług w chmurze |
DR |
Odzyskiwanie po katastrofie |
ESET |
ESET, spol. s r. o. |
RODO |
Ogólne rozporządzenie o ochronie danych |
ICT |
Technologia informacji i komunikacji |
IR |
Reakcja na incydenty |
IS |
Bezpieczeństwo informacji |
ISMS |
System zarządzania bezpieczeństwem informacji |
Informatyka |
Informatyka |
NIS |
Ustawa o cyberbezpieczeństwie transponująca dyrektywę o bezpieczeństwie sieci i informacji |
PKI |
Infrastruktura klucza publicznego |
Produkt |
Portfel firmy ESET – tj. produkty, aplikacje, platformy w chmurze, rozwiązania i dodatkowo usługi firmy ESET |
SIEM |
Informacje o zabezpieczeniach i zarządzanie wydarzeniami |
SSDLC |
Bezpieczny cykl życia rozwoju oprogramowania |
QMS |
System zarządzania jakością |
Uwaga: Skrypt pisany kursywą – używany w przypadku nazw przytaczanych wewnętrznych dokumentów Firmy, które nie są dostępne dla ogółu, na przykład Polityki w zakresie przepisów wewnętrznych
Zarządzanie bezpieczeństwem
Program zarządzania bezpieczeństwem informacji
Firma ESET ustanowiła i utrzymuje ramy programu zarządzania bezpieczeństwem informacji jako funkcję międzyorganizacyjną kierującą ochroną aktywów informacyjnych. Dokumentację dotyczącą bezpieczeństwa informacji prowadzi się zgodnie z politykami bezpieczeństwa, procesami i dokumentacją za pośrednictwem Polityki w zakresie przepisów wewnętrznych. Firma ESET przyjęła Politykę dotyczącą zintegrowanego systemu zarządzania, która stanowi najwyższy poziom poniższych dokumentów
•Polityka ISMS,
•Polityka QMS oraz
•Polityka bezpieczeństwa informacji.
Firma ESET przestrzega swojej Polityki zintegrowanego systemu zarządzania, określającej ramy zarządzania jakością i bezpieczeństwem informacji. Polityka ta jest własnością kierownika ds. bezpieczeństwa informacji (CISO) firmy ESET i reprezentuje zobowiązanie kierownictwa najwyższego szczebla w zakresie bezpieczeństwa i jakości. Określa odpowiedzialność za zarządzanie tymi domenami i określa zobowiązanie firmy ESET do ciągłego oceny i poprawy skuteczności jej systemu zarządzania zgodnie z normami ISO 9001 i ISO 27001.
Polityki korporacyjne są dokumentowane, prowadzone i poddawane corocznemu przeglądowi oraz aktualizowane po istotnych zmianach, aby zapewnić ich ciągłą przydatność, adekwatność i skuteczność. Aktualizacje są przekazywane wewnętrznemu personelowi, gdzie polityki są dostępne dla wszystkich pracowników. Polityki są formalnie przyjęte, podpisane przez dyrektora generalnego, publikowane i przekazywane wszystkim pracownikom i zainteresowanym stronom. Polityki są formalnie uznawane przez pracowników firmy ESET po włączeniu do systemu.
Oprócz polityk zespoły firmy ESET ds. zabezpieczeń informacji i zabezpieczeń technicznych opracowywały procesy, procedury, normy i podstawy konfiguracyjne oparte na najlepszych praktykach bezpieczeństwa branżowego i dostawców (np. wskaźniki CIS, OWASP, NIST). Są one przekazywane zespołom IT i Technologii w celu zapewnienia bezpiecznego rozwoju, konfiguracji i działania systemów informacyjnych i produktów firmy ESET.
Firma ESET utrzymuje powiązaną dokumentację zarządzania, która jest projektowana i udostępniana wszystkim pracownikom zgodnie z certyfikatami firmy ESET dla norm ISO 9001 i ISO 27001. Procedury operacyjne są dostosowane do konkretnych potrzeb każdego zespołu, zarządzane w wyznaczonych przestrzeniach roboczych i aktualizowane zgodnie z wymaganiami.
Monitorowanie zgodności z politykami i procedury dyscyplinarne mają na celu zaradzanie wszelkim przypadkom nieprzestrzegania polityk bezpieczeństwa i naprawienie ich, wzmacniając zobowiązanie firmy ESET do odpowiedzialności i ciągłego doskonalenia.
Aby zapewnić stałą zgodność i skuteczność, firma ESET wdrożyła ramy zarządzania ryzykiem, utrzymując kontrole techniczne i organizacyjne. Proces zarządzania ryzykiem firmy ESET obejmuje kompleksową ocenę i zarządzanie ryzykiem w ramach jej zintegrowanego systemu zarządzania (na podstawie norm ISO 9001 i ISO 27001). Obejmuje to ocenę aktywów, identyfikację wymagań bezpieczeństwa, obliczanie ryzyka oraz wybór odpowiednich strategii łagodzenia ryzyka. Chief Information Security Officer (CISO) nadzoruje ogólny proces zarządzania ryzykiem, zapewniając regularne raportowanie zagrożeń związanych z bezpieczeństwem i powiązanych wskaźników do kierownictwa wykonawczego. Ponadto zarządzanie ryzykiem stron trzecich jest ściśle egzekwowane za pośrednictwem oceny dostawców zgodnie ze standardem bezpieczeństwa umów firmy ESET.
Zgodność z normami branżowymi
Walidacja i akredytacja zewnętrzna są kluczowe dla organizacji, które polegają na możliwościach i technologii firmy ESET w celu zabezpieczenia swoich danych i spełnienia wymogów regulacyjnych. Szczegółowe informacje można znaleźć na stronie Certyfikacje firmy ESET.
Monitorowanie zgodności
Polityka zintegrowanego systemu zarządzania określa zintegrowany system zarządzania, w tym regularne przeglądy i audyty.
Audyty wewnętrzne regularnie weryfikują przestrzeganie zasad i procesów firmy ESET określonych w Polityce audytu wewnętrznego. Polityka przepisów wewnętrznych określa odpowiedzialność za regularny monitoring stosowania przepisów wewnętrznych i odpowiednich dostosowań, jeśli jest to konieczne.
Regularne przeglądy oraz audyty wewnętrzne i zewnętrzne są przeprowadzane zgodnie z rocznym i trzyletnim długoterminowym planem audytu. Audyty wewnętrzne są przeprowadzane przez niezależnych audytorów, którzy regularnie weryfikują przestrzeganie zasad i procesów firmy ESET lub obowiązujących norm (na przykład ISO 9001, ISO 27001 i SOC2), w zależności od zakresu audytu. Audyty wewnętrzne są planowane i przeprowadzane co najmniej raz w roku. Wyniki audytów są gromadzone i rejestrowane w dedykowanym systemie zgłoszeń, z przydzielonymi odpowiednimi właścicielami, którzy są odpowiedzialni za rozwiązywanie niezgodności w ustalonym wcześniej terminie. Wyniki audytów, które wymagają nadzoru nad zarządzaniem i decyzji, są przeglądane na regularnych spotkaniach związanych z przeglądem zarządzania.
Organizacja bezpieczeństwa informacji
Obowiązki w zakresie zabezpieczenia informacji są przydzielane zgodnie z obowiązującymi politykami zabezpieczenia informacji. Procesy wewnętrzne identyfikuje się i ocenia pod kątem ryzyka nieautoryzowanej lub niezamierzonej modyfikacji lub niewłaściwego użycia zasobów informacyjnych firmy ESET. Ryzykowne lub wrażliwe działania procesów wewnętrznych przyjmują zasadę najlepszych praktyk w zakresie bezpieczeństwa w celu ograniczenia ryzyka.
Bezpieczeństwo informacji jest uwzględniane w zarządzaniu projektami przy użyciu stosowanych ram zarządzania projektami obejmujących etapy od koncepcji do zakończenia projektu.
Praca zdalna i telepraca są objęte polityką wdrożoną na urządzeniach mobilnych, która obejmuje stosowanie silnej kryptograficznej ochrony danych podczas podróży przez niezaufane sieci. Mechanizmy kontroli bezpieczeństwa na urządzeniach przenośnych są zaprojektowane do działania niezależnie od wewnętrznych sieci i systemów ESET.
Bezpieczeństwo zasobów ludzkich
Firma ESET stosuje standardowe praktyki w zakresie zasobów ludzkich, w tym polityki mające na celu utrzymanie bezpieczeństwa informacji. Praktyki te obejmują cały cykl życia pracownika i mają zastosowanie do wszystkich pracowników.
Firma ESET wymaga, aby pracownicy firmy ESET przeszli weryfikację wstępną i kontrolę przesiewową podczas wdrażania do pracy; podpisując umowę o nieujawnianiu lub poufności w ramach umowy o pracę, która zobowiązuje ich do przestrzegania wewnętrznych polityk i standardów bezpieczeństwa, ochrony poufnych informacji firmy ESET i danych klientów; przeszli szkolenie w zakresie świadomości na temat bezpieczeństwa informacji podczas wdrażania do pracy w ramach programu zgodności i świadomości firmy ESET.
Środki techniczne
Zarządzanie tożsamością i dostępem
Polityka zarządzania dostępem firmy ESET reguluje każdy dostęp do infrastruktury firmy ESET. Procesy kontroli dostępu w dziedzinie udzielania, cofania, zmiany dostępu, a także rewizji udzielonych praw dostępu stosowane na wszystkich poziomach infrastruktury, technologii, aplikacji lub narzędzi. Pełne zarządzanie dostępem użytkowników na poziomie aplikacji jest autonomiczne. Jednorazowe zalogowanie tożsamości jest regulowane przez centralnego dostawcę tożsamości, który zapewnia, że użytkownik może uzyskać dostęp tylko do autoryzowanego środowiska lub aplikacji.
Zarządzanie użytkownikami i dostępem, procesy i środki techniczne w zakresie odbierania dostępu użytkowników, przydzielania dostępu użytkowników, przeglądu, usuwania i dostosowywania praw dostępu służą zarządzaniu dostępem pracowników firmy ESET do infrastruktury i sieci firmy ESET zgodnie ze standardami bezpieczeństwa, które obejmują m.in.:
•Przydzielanie dostępu na podstawie minimalnego przywileju „potrzeby poznania”
•Regularny przegląd dostępu użytkowników
•Zakończenie dostępu użytkownika zgodnie z polityką bezpieczeństwa
•Przypisanie unikatowego konta każdemu
•Rejestracja prób uzyskania dostępu użytkowników, przeglądy i monitorowanie
•Rejestracja i przegląd dostępu fizycznego
•Wdrażanie uwierzytelniania wielopoziomowego w celu uzyskania dostępu wysoko uprzywilejowanego i administracyjnego
•Egzekwowanie czasu zakończenia sesji interaktywnych po określonym okresie nieaktywności
Ochrona danych
Szyfrowanie danych
Firma ESET chroni dane w swojej infrastrukturze; do szyfrowania danych w spoczynku (w tym urządzeń przenośnych) i podczas przesyłania wykorzystuje się silną kryptografię. Wdrażanie kryptografii odbywa się zgodnie z zasadami określonymi wewnętrznym standardem kryptografii. Dane klientów są przechowywane zgodnie z odpowiednimi przepisami, takimi jak RODO, dyrektywa NIS2 lub przepisy branżowe i finansowe.
Wdrożone środki:
•Korzystanie z usług urzędu certyfikacji cieszących się powszechnym uznaniem w zakresie wystawiania certyfikatów dla publicznych usług sieciowych.
•Wewnętrzny ESET PKI służy do zarządzania kluczami w infrastrukturze ESET
•Natywne szyfrowanie platformy CSP jest włączone w celu zapewniania ochrony danych w spoczynku dla odpowiednich części przetwarzania danych lub trwałości danych w środowisku chmurowym (przechowywanie danych, kopie zapasowe)
•Silna kryptografia (np. TLS) jest wykorzystywana do szyfrowania danych podczas przesyłania
Kopia zapasowa danych i odzyskiwanie danych
Kopie zapasowe podlegają Polityce bezpieczeństwa informacji w eksploatacji technologii informacyjnych i komunikacyjnych.
Wszystkie dane dotyczące konfiguracji i wdrożenia portfela firmy ESET są przechowywane w chronionych repozytoriach firmy ESET z regularnym tworzeniem ich kopii zapasowych w celu umożliwiania automatycznego odzyskiwania konfiguracji środowiska. Regularny proces testowania przywracania sprawności służy do weryfikacji możliwości przywracania kopii zapasowych konfiguracji w oczekiwanych porach biznesowych.
Kopie zapasowe danych Klienta firmy ESET są tworzone regularnie, zgodnie z normami i przepisami branżowymi oraz wysoką dostępnością operacyjną i wymogami umownymi dotyczącymi możliwości odzyskiwania danych. Kopie zapasowe są chronione przed manipulacją, a ważność kopii zapasowych jest regularnie testowana przez procesy, w ramach których wykorzystuje się przywracanie sprawności.
Zabezpieczenie sieci
Segmentacja sieci jest stosowana w całym środowisku sieciowym ESET. Sieci są segregowane na podstawie zdefiniowanych kryteriów i egzekwowane za pomocą sieci VLAN na zaporach.
Firma ESET korzysta z różnych systemów ochrony granic, w tym zapór L7, systemów wykrywania naruszeń i systemów zapobiegania naruszeniom. Systemy te są konfigurowane i utrzymywane w celu ochrony zewnętrznych punktów dostępu, zapewniając wykrywanie i zapobieganie wszelkim nieautoryzowanym próbom uzyskania dostępu do sieci.
Zdalny dostęp do zasobów wewnętrznych jest zapewniany za pośrednictwem sieci VPN użytkownika lub łączącej lokacje, z rolami i obowiązkami, wymaganiami dotyczącymi bezpieczeństwa i środkami kontroli określonymi w wewnętrznych politykach firmy ESET i skonfigurowanymi zgodnie z branżowymi normami bezpieczeństwa. Konta użytkowników VPN są utrzymywane w Active Directory i są częścią procesu aprowizacji kont pracowników.
Firma ESET wdraża i utrzymuje kontrolę zabezpieczeń sieci w celu ochrony danych przetwarzanych, otrzymywanych lub przechowywanych w środowisku chmurowym. Konta CSP i ich infrastruktura wykorzystują listy kontroli dostępu do sieci i grupy zabezpieczeń w sieci wirtualnej dostawców usług CSP w celu ograniczenia dostępu do wszystkich udostępnionych zasobów. Dostęp do zasobów w chmurze odbywa się wyłącznie za pośrednictwem zaszyfrowanych kanałów.
Zabezpieczenia
Firma ESET korzysta z procesu zabezpieczania systemów w celu zmniejszenia potencjalnych zagrożeń wobec ataków. Obejmuje to następujące techniki i najlepsze praktyki:
•posiadanie podpisanego złotego obrazu używanego do instalacji lub wdrażania hosta albo kontenera
•wyłączenie niepotrzebnych usług
•automatyczne planowane dołączanie i doraźne stosowanie poprawek krytycznych komponentów w przypadku wysokiego ryzyka
•aktualizacje systemu operacyjnego przed osiągnięciem końca okresu użytkowania
•konfigurowanie ustawień zabezpieczeń
•automatyzacja zarządzania infrastrukturą i aplikacjami w sposób powtarzalny i spójny
•usunięcie niepotrzebnego oprogramowania
•ograniczanie dostępu do lokalnych zasobów
•środki kontroli oparte na hoście, takie jak program antywirusowy, wykrywanie i reagowanie na punkty końcowe oraz polityki dotyczące sieci
Firma ESET wykorzystuje scentralizowane podejście do stosowania i weryfikacji zabezpieczeń do komponentów środowisk informatycznych mających na celu zminimalizowanie powierzchni ataku, która jest sumą wszystkich potencjalnych punktów wejścia, które atakujący mogliby wykorzystać. Szczegółowe informacje można znaleźć w następującej części niniejszego dokumentu.
Bezpieczeństwo aplikacji
Bezpieczne praktyki rozwoju
Firma ESET wdraża bezpieczne praktyki rozwoju oprogramowania za pośrednictwem Polityki bezpieczeństwa w cyklu życia rozwoju oprogramowania (SSDLC), która integruje kontrole bezpieczeństwa i zarządzanie ryzykiem na wszystkich etapach rozwoju.
Polityka SSDLC określa wymagania dotyczące:
•Kodu pisanego zgodnie z wytycznymi dotyczącymi bezpiecznego kodowania i jego przeglądu przed scaleniem
•Modelowania zagrożeń i przeglądów projektów w odniesieniu do nowych funkcji i dużych zmian
•Automatycznych kontroli zabezpieczeń (analiza statyczna, skanowanie zależności i wybrane testy dynamiczne) prowadzonych w ramach potoków CI/CD
•Śledzenia i aktualizowania komponentów innych firm i open source; dla wszystkich wydanych produktów utrzymywany jest SBOM
•Przeglądania wyników incydentów, testów penetracji i raportów dotyczących rekompensaty za błędy oraz wprowadzania ich do procesu rozwoju
Celem polityki SSDLC jest zagwarantowanie, że wszystkie Produkty w postaci oprogramowania firmy ESET będą bezpieczne, niezawodne i zgodne z obowiązującymi normami i przepisami.
Zarządzanie lukami w zabezpieczeniach produktów
Firma ESET utrzymuje zdefiniowany proces identyfikacji, oceny i rozwiązywania luk w zabezpieczeniach w swoich aplikacjach i produktach w całym ich cyklu życia.
Proces obejmuje zarówno problemy wykryte wewnętrznie, jak i raporty pochodzące ze źródeł zewnętrznych.
W ramach zarządzania lukami w zabezpieczeniach w produktach firma ESET:
•Używa automatycznych narzędzi do skanowania do skanowania kodu źródłowego, zależności i tworzenia artefaktów w poszukiwaniu znanych luk w zabezpieczeniach
•Przeglądy wyników ręcznie w celu potwierdzenia wpływu i istotności przed przydzieleniem środków zaradczych
•Śledzi i określa priorytety poprawek na podstawie ciężkości, możliwości wykorzystania i ekspozycji produktów
•Przeprowadza ukierunkowane testy zabezpieczeń i ponowne testy w celu weryfikacji naprawy
•Integruje dane dotyczące luk w zabezpieczeniach w planowaniu rozwoju i wydania, aby przed wysyłką rozwiązywać krytyczne problemy
•Akceptuje i obsługuje zewnętrzne raporty za pośrednictwem skoordynowanego ujawniania informacji i publicznego programu rekompensaty za błędy
•Przypisuje identyfikatory CVE w odniesieniu do potwierdzonych luk w zabezpieczeniach produktu w ramach swojej roli jako organ numeracji CVE (CNA)
•Stosuje poprawki na podstawie ciężkości luk w zabezpieczeniach i wpływu na działalność biznesową zgodnie z ustrukturyzowanym procesem klasyfikacji
oProces klasyfikacji jest zgodny z normą ISO/IEC 30111 (postępowanie w przypadku luk w zabezpieczeniach) i normą ISO/IEC 29147 (ujawnianie luk w zabezpieczeniach)
oOceny CVSS i zewnętrzne źródła wywiadowcze, takie jak katalog CISA znanych i wykorzystywanych luk w zabezpieczeniach (KEV), wykorzystuje się do ustalania priorytetów
oOstateczne decyzje w sprawie naprawy są podejmowane we współpracy z odpowiedzialnymi zespołami ds. Produktu i bezpieczeństwa
Procesy te zapewniają zarządzanie lukami w zabezpieczeniach w sposób spójny, przejrzysty i możliwy do śledzenia we wszystkich Produktach firmy ESET.
Testowanie penetracji
Firma ESET przeprowadza regularne testy penetracji swoich Produktów w ramach ogólnego procesu zapewniania bezpieczeństwa produktów – w ramach naszego własnego Programu testów penetracji. Testowanie odbywa się przed wydaniem głównych wersji i w zaplanowanych odstępach czasu w przypadku utrzymywanych Produktów.
W ramach testów penetracji firma ESET koncentruje się na następujących kwestiach:
•Weryfikacja skuteczności wdrożonych kontroli bezpieczeństwa i środków łagodzących
•Identyfikacja potencjalnych luk w zabezpieczeniach, których automatyczne narzędzia mogą nie wykrywać
•Walidacja wyników poprzednich działań naprawczych
•Ocena ogólnej powierzchni ataku i ekspozycji wydanych Produktów na ryzyko
Testy są przeprowadzane w odizolowanych środowiskach przez wykwalifikowanych specjalistów wewnętrznych lub zaufanych partnerów zewnętrznych przy użyciu uznanych metodologii branżowych (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Wyniki są dokumentowane, oceniane i śledzone za pomocą tego samego procesu zarządzania lukami w zabezpieczeniach, który jest stosowany w przypadku problemów zgłoszonych wewnętrznie i zewnętrznie.
Wyniki testów penetracji są przekazywane bezpośrednio do planów ulepszania Produktów i SSDLC, pomagając zagwarantować, że wyciągnięte wnioski są rejestrowane, a powtarzające się słabości są zmniejszane w miarę upływu czasu.
Bezpieczeństwo operacyjne
Polityka bezpieczeństwa informacji w operacjach ICT
Polityka bezpieczeństwa informacji w działaniu ICT w ramach Spółki określa podstawowe zasady bezpieczeństwa związane z działaniem ICT zgodnie z normą ISO 27001.
Polityka bezpieczeństwa informacji w działaniu ICT określa wymagania dotyczące bezpieczeństwa dla procesów operacyjnych IT i ich dokumentacji, w tym procedury operacyjne, zarządzanie zmianami, rozdzielanie ról i obowiązków, rozdzielanie środowisk produkcyjnych, testowych i programistycznych, usługi IT stron trzecich, planowanie wydajności, projekty IT, ochronę przed złośliwym oprogramowaniem, kopię zapasową, bezpieczeństwo sieci, bezpieczeństwo multimediów, wymagania dotyczące handlu elektronicznego i monitorowanie.
Dzienniki i audyty
Prowadzenie dzienników i audytów w systemie odbywa się zgodnie z wewnętrznymi standardami i wytycznymi (Polityka dotycząca monitorowania bezpieczeństwa i zarządzania incydentami związanymi z bezpieczeństwem).
Dzienniki i zdarzenia dotyczące infrastruktury, systemu operacyjnego, bazy danych, serwerów aplikacji i mechanizmów kontroli bezpieczeństwa są zbierane w sposób ciągły. Firma ESET korzysta z centralnej platformy zarządzania dziennikami (SIEM) w celu ochrony odpowiednich dzienników przed nieautoryzowaną modyfikacją lub zniszczeniem. Dzienniki są następnie przetwarzane przez zespoły IT i zespoły ds. bezpieczeństwa wewnętrznego w celu identyfikacji anomalii operacyjnych i bezpieczeństwa oraz incydentów związanych z bezpieczeństwem informacji. Dane w systemie SIEM są przechowywane przez czas wymagany przez przepisy i do celów retrospektywnego poszukiwania zagrożeń.
Monitorowanie bezpieczeństwa i reagowanie na incydenty
Monitorowanie bezpieczeństwa i zarządzanie incydentami zabezpieczającymi są zdefiniowane w Polityce monitorowania bezpieczeństwa i zarządzania incydentami zabezpieczającymi.
W polityce określone są
•obowiązki i zasady dotyczące rozwoju, właściwej konfiguracji, ochrony, przechowywania, analizy, oceny i zachowywania dzienników i audytów zabezpieczeń
•proces, role i obowiązki w zakresie zarządzania incydentami związanymi z bezpieczeństwem
•zapobieganie incydentom dotyczącym bezpieczeństwa
•minimalizowanie wpływu incydentów związanych z bezpieczeństwem
•uczenie się z incydentów związanych z zabezpieczeniami
•kształcenie pracowników na temat działań monitorujących, ich zakresu i roli pracowników w monitorowaniu i reagowaniu na incydenty
Ustanowione Centrum operacyjnych zabezpieczeń (SOC), działające 24 godziny na dobę, jest upoważnione do ciągłego monitorowania stanu zabezpieczeń infrastruktury informatycznej i aplikacji oraz reagowania na incydenty związane z bezpieczeństwem.
Zarządzanie incydentami zabezpieczającymi informacje w firmie ESET opiera się na zdefiniowanej Procedurze reagowania na incydenty. Role w zakresie reagowania na incydenty są definiowane i przydzielane wielu zespołom, w tym zespołowi IT, zespołowi ds. zabezpieczeń, działowi prawnemu, HR, public relations i członkom zarządzania wykonawczego. Standardowe incydenty są obsługiwane przez zespół SOC. W przypadku bardziej istotnych incydentów związanych z bezpieczeństwem powiadamia się Centrum poleceń. Centrum poleceń we współpracy z zespołem SOC koordynuje reakcję na incydenty i angażuje inne zespoły w zarządzanie incydentem. Zespół SOC, wspierany przez członków zespołu ds. bezpieczeństwa wewnętrznego o odpowiednim zakresie odpowiedzialności, jest również odpowiedzialny za gromadzenie dowodów i wyciąganie wniosków. Informacje o wystąpieniu i rozwiązaniu incydentu są przekazywane zainteresowanym stronom, w tym klientom i partnerom. Zespół prawny firmy ESET jest odpowiedzialny za powiadamianie organów regulacyjnych w razie potrzeby zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) i ustawą o cyberbezpieczeństwie przy transpozycji dyrektywy w sprawie bezpieczeństwa sieci i informacji (NIS2).
Zarządzanie poprawkami
Zarządzanie poprawkami jest używane jako jedna z kilku działań łagodzących w celu usunięcia luk w zabezpieczeniach.
Ustawienia zabezpieczające są oceniane i stosowane w oparciu o nasilenie i ryzyko zidentyfikowanych luk w zabezpieczeniach.
Określony proces klasyfikowania i określania priorytetów pozwala ustalić kolejność i harmonogram wdrażania poprawek. Proces ten jest zgodny z wewnętrznymi wytycznymi firmy ESET zgodnymi z normą ISO/IEC 30111. Ocena CVSS i zewnętrzne źródła informacji o zagrożeniach, takie jak katalog CISA znanych i możliwych do wykorzystania luk w zabezpieczeniach (KEV), wsparcie w podejmowaniu decyzji opartych na ryzyku i ustalaniu priorytetów.
Wszystkie poprawki są weryfikowane w kontrolowanych środowiskach przed wdrożeniem do produkcji w celu zapewnienia, że rozwiązują problem docelowy bez negatywnego wpływu na stabilność lub kompatybilność systemu.
Wdrażanie następuje zgodnie z ustanowionymi procedurami zarządzania zmianami, które zapewniają możliwość śledzenia, odpowiedzialność i możliwość cofnięcia w razie potrzeby.
Działania w zakresie poprawek są stale monitorowane i przeglądane w celu potwierdzenia ich skuteczności, identyfikacji przestarzałych systemów i prowadzenia ciągłych ulepszeń procesów.
W Wytycznych dotyczących rejestrowania aplikacji określone są środki techniczne i wymagania regulujące rejestrowanie dla wszystkich aplikacji opracowanych przez firmę ESET.
Ochrona przed złośliwym oprogramowaniem i zagrożeniami
Ochrona przed złośliwym oprogramowaniem (przez oprogramowanie antywirusowe i EDR) jest określona w Polityce bezpieczeństwa informacji w działaniu technologii informacyjnych i komunikacyjnych. Pracownicy są zobowiązani do natychmiastowego zgłaszania wszelkich podejrzeń o zakażenie szkodliwym oprogramowaniem SOC zgodnie z Polityką bezpieczeństwa informacji dla pracowników firmy ESET.
Wymagania dotyczące punktów końcowych pracowników określono w Normie bezpieczeństwa dla stacji roboczych.
Firma ESET wykorzystuje własne narzędzia anty malware wzbogacone sprawdzonymi rozwiązaniami stron trzecich w celu ochrony punktów końcowych i obciążeń chmurowych.
Zespół SOC prowadzi działania w zakresie wychwytywania zagrożeń na podstawie Polityki dotyczącej monitorowania bezpieczeństwa i zarządzania incydentami związanymi z bezpieczeństwem. Dane o zagrożeniach są gromadzone w systemie SIEM, który automatycznie pobiera je w celu uzyskania informacji o zagrożeniach stosowanych do zdarzeń monitorujących bezpieczeństwo.
Zgodność techniczna
Zespół ds. zabezpieczeń wewnętrznych zapewnia i utrzymuje różne standardy zabezpieczeń technicznych dla infrastruktury, chmury, komponentów związanych z siecią internetową oraz najlepszych praktyk dla programistów i administratorów IT. Na podstawie standardów technicznych zespół ds. zabezpieczeń wewnętrznych przygotowuje pliki bazowe konfiguracji, które są wykorzystywane przez zespoły IT do automatyzacji wdrażania i egzekwowania zabezpieczonych konfiguracji.
Dodatkowo skanowanie zgodności odbywa się za pośrednictwem narzędzia oceny luk w zabezpieczeniach, jeśli jest to możliwe. Firma ESET ma ustanowiony Program testowania penetracji, a produkty, aplikacje i usługi opracowane przez firmę ESET podlegają regularnym testom penetracji na podstawie planu programu. Wszystkie wyniki są dokumentowane i zgłaszane zainteresowanym stronom związanym z Produktami w celu ich łagodzenia w jak najkrótszym czasie.
Ochrona mienia
Polityka dotycząca ochrony mienia i powiązane normy ochrony mienia określają zasady ochrony mienia związane z pomieszczeniami biurowymi i centrami danych. Niniejsza polityka określa zasady i procedury dotyczące:
•ochrona lokali firmy ESET
•kontroli dostępu fizycznego
•bezpieczeństwo biur, pomieszczeń i budynków
•praca w obszarach bezpiecznych
•bezpieczeństwo sprzętu, kabli i infrastruktury
Bezpieczeństwo centrum danych
Komponenty infrastruktury informatycznej znajdują się fizycznie w wielu centrach danych; w związku z tym w każdym regionie osiąga się redundancję.
Obwód ochrony mienia jest zdefiniowany w Polityce dotyczącej ochrony mienia oraz powiązanych standardach zabezpieczeń dla pomieszczeń biurowych i centrów danych – normie dotyczącej ochrony mienia dla centrów danych. Firma ESET określiła zasady ustalania obwodu ochrony i środków kontroli, które mają być stosowane w obwodzie ochrony mienia. Kluczowe środki kontroli – w tym wyznaczanie stref i segregacja ochrony mienia, zarządzanie dostępem i odwiedzającymi, zapobieganie pożarom i powodziom, a także monitorowanie CCTV i za pomocą personelu – są jasno zdefiniowane, wdrożone i stale monitorowane. Bezpieczeństwo DC jest regularnie sprawdzane przez personel i audytorów zewnętrznych o odpowiednim zakresie obowiązków.
Firma ESET opiera się na środkach ochrony mienia i kontroli CSP, i dlatego regularnie przegląda sprawdza raporty dotyczące zgodności CSP.
Fizyczne kontrole dostępu
Środki kontroli wejścia fizycznego są zdefiniowane w Polityce dotyczącej ochrony mienia oraz powiązanych standardach zabezpieczeń dla pomieszczeń biurowych i centrów danych. Pomieszczenia dzieli się na strefy chronione z określoną kontrolą dostępu.
Uwierzytelnianie jest zarządzane zgodnie z najlepszymi praktykami bezpieczeństwa za pomocą kluczy, kart identyfikacyjnych/dostępowych i kodów PIN.
Wdrażane są monitorowanie dostępu fizycznego i zapobieganie / wykrywanie nieautoryzowanego dostępu. Wszystkie wejścia są monitorowane przez CCTV za pomocą rejestrowanego rekordu. Obwód jest również monitorowany za pomocą czujników ruchu lub zbicia szyby (w tym ścian o małej wytrzymałości (tj. ze szkła lub gipsu), wyjść pożarowych i okien).
Kontynuacja działalności i przywracanie sprawności
Firma ESET utrzymuje, regularnie przegląda, ocenia i wdraża ulepszenia w swoim systemie zarządzania ciągłością działania zgodnie z Polityką zarządzania ciągłością działania zgodnie z normą ISO 22301.
Firma ESET ustanowiła Program BCM, który priorytetowo określa wszystkie działania w ramach Spółki i podlega zatwierdzeniu przez CISO zgodnie z Polityką BCM. Program BCM definiuje działania operacyjne i inne, mające na celu złagodzenie ryzyka związanego z BCM, na przykład poprzez zwolnienia lub replikację funkcji i infrastruktury informatycznej.
Przygotowywane i przeglądane są analizy skutków biznesowych (BIA) z określonymi celami w zakresie ciągłości działalności (RTO, RPO, MTD, priorytety przywracania sprawności). Plany przywracania sprawności (DRP) są przeglądane i testowane zgodnie z programem BCM. Strategia ciągłości działania określa podejście do utrzymywania krytycznych aktywów biznesowych. Wszystkie wyniki z regularnych działań związanych z ciągłością działalności służą jako wkład w ciągłe doskonalenie.
Zarządzanie ryzykiem stron trzecich
Monitorowanie i przegląd usług dostawców podlega Polityce bezpieczeństwa informacji w relacjach z dostawcami. Przeglądy są przeprowadzane co kwartał, a wyniki są przechowywane w ocenie Dostawcy.
Dokumentacja, cykl życia, aktualizacje i integracje
- Wyświetl witrynę internetową dla komputerów
- Pomoc online ESET
- Koniec żywotności
- Najnowsze wersje
- Dziennik zmian
- Interfejsy API i integracje
- Aktualizacje silnika detekcji