Înțelegeți-vă drepturile și responsabilitățile într-un singur loc
Politică de securitate
Introducere
Scopul Documentului
Scopul acestui document este de a rezuma controalele tehnice, organizatorice și fizice și practicile de securitate aplicate în infrastructura ESET, care include portofoliul ESET, adică produsele, aplicațiile, soluțiile și serviciile ESET (denumite în continuare Produs). Măsurile de securitate, controalele și politicile sunt concepute pentru
•Operarea portofoliului ESET și prelucrarea datelor în medii locale sau cloud
•confidențialitatea, integritatea și disponibilitatea datelor clientului
•informații despre client din cauza distrugerii, pierderii, modificării, divulgării sau accesului neautorizat
ESET poate actualiza acest document și măsurile, controalele și politicile specifice care le guvernează, pentru a răspunde amenințărilor în evoluție și pentru a se adapta la dezvoltarea tehnologiei de securitate și a standardelor din industrie.
Audiență
Acest document ar trebui citit de oricine are nevoie de asigurare în domeniul Securității portofoliului ESET sau de Clientul care intenționează să utilizeze soluțiile sau serviciile ESET prin integrare în mediul lor.
Context, concept și domeniu de aplicare
Compania ESET, spol s r.o. este ISO 27001:2022 certificată, cu un sistem de management integrat.
Prin urmare, conceptul de management al securității informațiilor folosește cadrul ISO 27001 pentru a implementa o strategie de securitate stratificată atunci când aplică controale de securitate la fiecare nivel din stiva arhitecturii de sistem informațional, adică rețea, sisteme de operare, baze de date, aplicații, personal și procese operaționale. Practicile de securitate și controalele de securitate aplicate sunt menite să se suprapună și să se completeze reciproc.
Scopul acestui document este de a rezuma măsurile tehnice și organizatorice implementate pentru portofoliul ESET; organizația, personalul și procesele operaționale.
Practicile și controalele de securitate includ măsuri de guvernanță și tehnice, inclusiv, dar fără a se limita la:
•Politici de securitate a informațiilor
•Organizarea securității informațiilor
•Securitatea resurselor umane
•Controlul accesului
•Criptografie
•Securitatea fizică și a mediului
•Protecție date, securitate rețea, securitate aplicație
•Securitatea operațională
•Securitatea comunicațiilor
•Achiziționarea, dezvoltarea și întreținerea sistemelor
•Relația cu furnizorii
•Gestionarea incidentelor de securitate a informațiilor
•Aspecte privind securitatea informațiilor legate de managementul continuității afacerii
•Conformitate
Abrevieri
Termen de scurtare |
Termen complet |
|---|---|
Companie |
ESET, spol. s r. o. |
CSP |
Furnizor de servicii cloud |
DR |
Recuperare din dezastre |
ESET |
ESET, spol. s r. o. |
GDPR |
Regulament general privind protecția datelor |
TIC |
Tehnologii de informații și comunicare |
IR |
Răspuns incident |
IS |
Securitatea informațiilor |
ISMS |
Sistem de management al securității informațiilor |
IT |
Tehnologia informațiilor |
NIS |
Legea privind securitatea cibernetică care transpune Directiva privind securitatea rețelelor și a informațiilor |
PKI |
Infrastructură de cheie publică |
Produs |
Portofoliu ESET – adică produse, aplicații, platforme cloud, soluții și servicii ESET pe lângă acestea |
SIEM |
Informații de securitate și gestionarea evenimentelor |
SSDLC |
Ciclu de viață de dezvoltare software securizat |
QMS |
Sistem de management al calității |
Notă: Script italian – folosit pentru numele documentelor interne ale companiei la care se face referire, care nu sunt disponibile publicului, de exemplu, Politica privind reglementarea internă
Gestionarea securității
Program de management al securității informațiilor
Compania ESET a stabilit și menține un cadru de programe de management al securității informațiilor, ca funcție interorganizațională care ghidează protecția activelor de informații. Documentația privind securitatea informațiilor este ghidată de politici, procese și documentație de securitate prin Politica privind reglementările interne. ESET a adoptat Politica privind sistemul de management integrat, care servește drept nivel superior
•politica ISMS,
•Politica QMS și
•Politică de securitate a informațiilor
ESET respectă Politica sa privind Sistemul de Management Integrat, care definește cadrul pentru managementul calității și securității informațiilor. Această politică este deținută de Chief Information Security Officer (CISO) pentru ESET și reprezintă angajamentul managementului de nivel superior față de securitate și calitate. Ea definește responsabilitățile pentru gestionarea și asigurarea acestor domenii și prezintă angajamentul ESET de a evalua și îmbunătăți continuu eficiența sistemului său de management, în conformitate cu standardele ISO 9001 și ISO 27001.
Politicile de corporație sunt revizuite anual și sunt actualizate după modificări semnificative, pentru a asigura relevanța, adecvarea și eficacitatea lor permanente. Actualizările sunt comunicate personalului intern, unde politicile sunt disponibile tuturor angajaților. Politicile sunt adoptate oficial, semnate de CEO, publicate și comunicate tuturor angajaților și părților relevante. Politicile sunt recunoscute în mod oficial de angajații ESET la intrare.
În plus față de politici, echipele ESET de Securitate și Securitate tehnică a informațiilor au proiectat procese, proceduri, standarde și linii de bază de configurare bazate pe cele mai bune practici de securitate din industrie și furnizori (de exemplu, etape de referință CIS, OWASP, NIST). Acestea sunt furnizate echipelor IT și Tehnologie pentru a asigura dezvoltarea, configurarea și funcționarea în condiții de siguranță a sistemelor și produselor de informații ESET.
ESET păstrează o documentație de guvernanță interconectată, care este proiectată și pusă la dispoziția tuturor personalului, în conformitate cu certificările ESET pentru ISO 9001 și ISO 27001. Procedurile de operare sunt adaptate pentru a răspunde nevoilor specifice ale fiecărei echipe, sunt gestionate în spații de lucru desemnate și sunt actualizate după cum este necesar.
Monitorizarea conformității cu politicile și procedurile disciplinare sunt în vigoare pentru a aborda și remedia orice neconformitate cu politicile de securitate, consolidând angajamentul ESET față de răspundere și îmbunătățirea continuă.
Pentru a asigura conformitatea și eficacitatea continuă, ESET a implementat un cadru de gestionare a riscurilor, menținând controale tehnice și organizatorice. Procesul de gestionare a riscurilor al ESET implică o evaluare și gestionare cuprinzătoare a riscurilor în cadrul Sistemului său de Management Integrat (pe baza ISO 9001 și ISO 27001). Aceasta include evaluarea activelor, identificarea cerințelor de securitate, calcularea riscurilor și selectarea strategiilor adecvate de atenuare. Chief Information Security Officer (CISO) supraveghează procesul general de gestionare a riscurilor, asigurând raportarea regulată a riscurilor de securitate și a metricilor conexe către conducerea executivă. În plus, gestionarea riscurilor de către terți este aplicată cu strictețe prin evaluări ale furnizorilor, în conformitate cu Standardul de securitate a contractelor ESET.
Conformitate cu standardele din industrie
Validarea și acreditarea externă sunt esențiale pentru organizațiile care se bazează pe capacitățile și tehnologia ESET pentru a-și proteja datele și pentru a respecta cerințele de reglementare. Pentru detalii, consultați pagina de certificare ESET.
Monitorizarea conformității
Politica privind sistemul de management integrat stabilește sistemul de management integrat, inclusiv revizuiri și audituri periodice.
Auditele interne examinează în mod regulat respectarea politicilor și proceselor ESET, așa cum este descris în Politica privind Auditul intern. Politica privind reglementările interne stipulează responsabilitatea de a monitoriza în mod regulat aplicarea reglementărilor interne și ajustările relevante, dacă este necesar.
Revizuirile periodice și auditurile interne și externe sunt efectuate în conformitate cu un plan anual și de audit pe termen lung de trei ani. Auditurile interne sunt efectuate de auditori independenți care revizuiește în mod regulat respectarea politicilor și proceselor ESET sau a standardelor aplicabile (de exemplu, ISO 9001, ISO 27001 și SOC2), în funcție de domeniul de aplicare al auditului. Auditurile interne sunt planificate și efectuate cel puțin anual. Concluziile auditului sunt colectate și înregistrate într-un sistem dedicat de bilete, cu proprietari respectivi atribuiți, care sunt responsabili pentru abordarea și rezolvarea neconformităților într-un interval de timp predefinit. Concluziile auditului care necesită supraveghere managerială și decizii sunt revizuite la întâlnirile regulate de revizuire a managementului.
Organizarea securității informațiilor
Responsabilitățile în materie de securitate a informațiilor sunt alocate în conformitate cu politicile de securitate a informațiilor în vigoare. Procesele interne sunt identificate și evaluate pentru orice risc de modificare neautorizată sau neintenționată sau utilizare neintenționată a activelor informaționale ESET. Activitățile riscante sau sensibile din procesele interne adoptă principiul celor mai bune practici de securitate, pentru a reduce riscurile.
Securitatea informațiilor este luată îân calcul în managementul de proiect, folosind cadrul aplicat de management de proiect de la concepție până la finalizarea proiectului.
Munca și lucrul la distanță sunt acoperite prin utilizarea unei politici implementate pe dispozitive mobile, care include utilizarea unei protecții criptografice puternice a datelor în călătorii prin rețele care nu sunt de încredere. Controalele de securitate pe dispozitive mobile sunt proiectate să funcționeze independent de rețelele interne și sistemele interne ESET.
Securitatea resurselor umane
ESET utilizează practici standard privind resursele umane, inclusiv politici concepute pentru a susține securitatea informațiilor. Aceste practici acoperă întregul ciclu de viață al angajaților și se aplică tuturor angajaților.
Compania ESET necesită ca personalul ESET să se supună verificării și screeningului de fond în timpul înregistrării la bord; semnării acordului de confidențialitate ca parte a contractului de angajare care îi obligă să respecte politicile și standardele interne de securitate, să protejeze informațiile confidențiale și datele clienților ESET; să completeze instruirea privind conștientizarea securității informațiilor în timpul înregistrării, ca parte a programului ESET de conformitate și conștientizare.
Măsuri tehnice
Gestionarea identității și a accesului
Politica ESET privind gestionarea accesului guvernează fiecare acces la infrastructura ESET. Procesele de control al accesului în domeniul acordării, revocării, modificării accesului și revizuirii drepturilor de acces acordate se aplică pentru toate nivelurile de infrastructură, tehnologie, aplicație sau instrumente. Gestionarea completă a accesului utilizatorilor la nivel de aplicație este autonomă. Înregistrarea unică pentru identitate este reglementată de un furnizor central de identitate, care se asigură că un utilizator poate accesa numai mediul sau aplicația autorizată.
Pentru a gestiona accesul angajaților ESET la infrastructura și rețelele ESET, se utilizează procese și măsuri tehnice pentru deprovizarea accesului utilizatorilor, furnizarea accesului utilizatorilor, revizuirea, eliminarea și ajustarea drepturilor de acces, în conformitate cu standardele de securitate, care includ, dar nu sunt limitate la:
•Provizionarea accesului pe baza celui mai mic privilegiu „trebuie să știi”
•Revizuirea periodică a accesului utilizatorului
•Rezilierea accesului utilizatorului în conformitate cu politica de securitate
•Atribuirea contului unic tuturor
•Înregistrarea în jurnal a încercărilor de acces ale utilizatorilor, revizuirea și monitorizarea
•Înregistrarea în jurnal și revizuirea accesului fizic
•Implementarea autentificării multi-factor pentru accesul cu privilegii ridicate și pentru administratori
•Executarea termenelor limită pentru sesiunile interactive după o perioadă specificată de inactivitate
Protecție date
Criptare disc
ESET protejează datele din infrastructura sa; se utilizează criptografie puternică pentru a cripta date în repaus (inclusiv dispozitive portabile) și în tranzit. Implementarea criptografiei urmează reguli definite de standardul intern Criptografie. Datele clienților sunt păstrate în conformitate cu reglementările relevante, de exemplu, GDPR, Directiva NIS2 sau reglementările industriale și financiare.
Măsuri în aplicare:
•Pentru a emite certificate pentru servicii web publice, folosim o autoritatea de certificare care este considerată ca fiind general de încredere
•PKI intern ESET este utilizat pentru a gestiona cheile din infrastructura ESET
•Este activată criptarea nativă a platformei CSP pentru a asigura protecția în repaus a datelor pentru părțile relevante ale prelucrării datelor sau pentru persistența datelor în mediul cloud (stocare de date, copii de rezervă)
•Există o criptografie puternică (de exemplu, TLS) pentru criptarea datelor în tranzit
Copiere de rezervă și recuperare date
Copiile de rezervă sunt reglementate de Politica privind securitatea informațiilor în funcționarea tehnologiilor informaționale și de comunicare.
Toate datele privind configurarea și implementarea portofoliului ESET sunt stocate în depozitele ESET protejate și înregistrate în mod regulat, pentru a permite recuperarea automată a unei configurații de mediu. Procesul regulat de testare a recuperării în caz de dezastre este utilizat pentru a verifica restaurabilitatea copiei de rezervă de configurare în timpul așteptat pentru afaceri.
Datele clienților ESET sunt backupate în mod regulat, în conformitate cu standardele și reglementările din industrie, cu cerințele privind disponibilitatea ridicată și recuperabilitatea contractuală. Copiile de rezervă sunt protejate împotriva manipulării, iar validitatea copiei de rezervă este testată în mod regulat de procesele de recuperare în caz de dezastre.
Securitatea rețelei
Segmentarea rețelei este aplicată în întregul mediu de rețea ESET. Rețelele sunt segregate în funcție de criterii definite și sunt aplicate folosind VLAN-uri pe firewall-uri.
ESET utilizează o varietate de sisteme de protecție a frontierelor, inclusiv firewall-uri L7, sisteme de detectare a intruziunilor și sisteme de prevenire a intruziunilor. Aceste sisteme sunt configurate și întreținute pentru a proteja punctele de acces externe, asigurându-se că sunt detectate și împiedicate încercările neautorizate de a accesa rețeaua.
Accesul la distanță la activele interne este furnizat prin intermediul unui utilizator sau al unui VPN de la locație la locație, cu roluri și responsabilități, cerințe de securitate și controale stipulate în politicile interne ESET și configurate în conformitate cu standardele din industria de securitate. Conturile de utilizator VPN sunt menținute în Active Directory și fac parte din procesul de furnizare a contului pentru angajați.
ESET implementează și menține controale de securitate a rețelei pentru a proteja datele care sunt prelucrate, primite sau stocate în mediul cloud. Conturile CSP și infrastructura subiacentă utilizează liste de control al accesului la rețea și grupuri de securitate din Rețeaua virtuală a CSP-ilor, pentru a limita accesul la toate resursele furnizate. Accesul la resursele cloud este posibil numai prin canale criptate.
Hardening
ESET utilizează procesul de securizare a sistemelor pentru a reduce posibilele vulnerabilități la atacuri. Aceasta implică următoarele tehnici și cele mai bune practici:
•să aibă o imagine de aur semnată care este folosită pentru a instala sau a implementa un gazdă sau un container
•dezactivarea serviciilor inutile
•atașarea planificată automată și corecția ad hoc a componentelor critice în cazul unui risc ridicat
•actualizări ale sistemului de operare înainte de a ajunge la sfârșitul perioadei de viață
•configurarea setărilor de securitate
•automatizarea gestionării Infrastructurii și a aplicațiilor într-un mod repetabil și consecvent
•eliminarea software-ului inutil
•restricționarea accesului la resurse locale
•controale bazate pe gazdă, cum ar fi antivirus, detectare și răspuns la punctele finale și politici de rețea
ESET utilizează o abordare centralizată pentru aplicarea și verificarea întăririi componentelor mediilor IT care vizează minimizarea suprafeței de atac, care este suma tuturor punctelor potențiale de intrare pe care atacatorii le-ar putea exploata. Pentru detalii, consultați partea următoare a acestui document.
Securitatea aplicației
Practici de dezvoltare securizate
ESET implementează practici de dezvoltare software sigure prin Politica privind securitatea în ciclul de viață al dezvoltării software-ului (SSDLC), care integrează controalele de securitate și gestionarea riscurilor în toate etapele dezvoltării.
Politica SSDLC definește cerințe pentru:
•Codul este scris în conformitate cu orientările de codificare sigură și este revizuit înainte de fuziune
•Se efectuează modelarea amenințărilor și revizuirile de proiectare pentru caracteristici noi și modificări majore
•Verificări de securitate automatizate (analiză statică, scanare a dependențelor și teste dinamice selectate) care se desfășoară în cadrul conductelor CI/CD
•Componentele terțe și open-source sunt urmărite și ținute la zi; se păstrează un SBOM pentru toate produsele lansate
•Constatările din incidente, testele de penetrare și rapoartele de recompensă pentru erori sunt revizuite și alimentate înapoi în procesul de dezvoltare
Scopul politicii SSDLC este de a se asigura că toate Produsele software ESET sunt sigure, fiabile și în conformitate cu standardele și reglementările aplicabile.
Gestionarea vulnerabilităților de produs
ESET menține un proces definit pentru a identifica, a evalua și a aborda vulnerabilitățile din aplicațiile și Produsele sale pe tot parcursul ciclului de viață.
Procesul acoperă atât problemele descoperite intern, cât și rapoartele din surse externe.
Ca parte a gestionării vulnerabilităților de produs, ESET:
•Folosește instrumente de scanare automată pentru a scana codul sursă, dependențele și construirea de artefacte pentru vulnerabilități cunoscute
•Revizuiește rezultatele manual pentru a confirma impactul și relevanța înainte de a atribui remedierea
•Urmează și prioritizează corecțiile în funcție de severitate, exploatabilitate și expunere la produse
•Efectuează teste țintite de securitate și re-testare pentru a verifica remedierea
•Integrează date privind vulnerabilitățile în planificarea dezvoltării și lansării, astfel încât problemele critice să fie abordate înainte de expediere
•Acceptează și gestionează rapoarte externe prin divulgare coordonată și printr-un program public de recompensare pentru bug-uri
•Atribuie identificatori CVE pentru vulnerabilitățile de produs confirmate, ca parte a rolului său de Autoritate pentru numerotarea CVE (CNA)
•Aplică corecții și corecții în funcție de gravitatea vulnerabilității și de impactul asupra afacerii, urmând un proces structurat de sortare
oProcesul de sortare se aliniază la ISO/IEC 30111 (managementul vulnerabilităților) și ISO/IEC 29147 (divulgarea vulnerabilităților)
oScorurile CVSS și sursele externe de informații, cum ar fi catalogul CISA pentru vulnerabilități exploatate cunoscute (KEV) sunt folosite pentru a ghida prioritizarea
oDeciziile finale privind remedierea sunt luate în colaborare de către echipele responsabile de Produs și securitate
Aceste procese se asigură că vulnerabilitățile sunt gestionate într-un mod consecvent, transparent și trasabil în toate Produsele ESET.
Testare pentru penetrare
ESET efectuează teste regulate de penetrare a Produselor sale, ca parte a procesului general de asigurare a securității produselor, în cadrul propriului nostru Program de testare a penetrării. Testarea se efectuează înainte de lansările majore și la intervale planificate pentru Produsele întreținute.
Testarea penetrării la ESET se concentrează pe:
•Verificarea faptului că controalele și atenuările de securitate implementate sunt eficiente
•Identificarea potențialelor vulnerabilități pe care instrumentele automate nu le pot detecta
•Validarea rezultatelor eforturilor anterioare de remediere
•Evaluarea suprafeței generale de atac și a expunerii la riscuri a Produselor lansate
Testele sunt efectuate în medii izolate de specialiști interni calificați sau de parteneri externi de încredere, folosind metodologii recunoscute din industrie (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Constatările sunt documentate, evaluate și urmărite prin același proces de gestionare a vulnerabilităților utilizat pentru problemele raportate intern și extern.
Rezultatele testelor de penetrare se alimentează direct în planurile de îmbunătățire a Produsului și în SSDLC, ajutând la asigurarea că lecțiile învățate sunt capturate și slăbiciunile recurente sunt reduse în timp.
Securitatea operațională
Politica de securitate a informațiilor în operațiunile TIC
Politica privind securitatea informațiilor în operațiunile TIC din cadrul Companiei stabilește reguli fundamentale de securitate legate de funcționarea TIC, în conformitate cu standardul ISO 27001.
Politica de securitate a informațiilor în funcționarea TIC definește cerințele de securitate pentru procesele operaționale IT și documentația acestora, inclusiv procedurile operaționale, gestionarea modificărilor, separarea rolurilor și responsabilităților, separarea producției, mediile de testare și dezvoltare, serviciile IT terțe, planificarea performanței, proiectele IT, protecția malware-ului, backup-ul, securitatea rețelei, securitatea media, cerințele și monitorizarea
Înregistrare în jurnal și audit
Înregistrarea și auditarea într-un sistem se efectuează în conformitate cu standardele și orientările interne (Politica privind monitorizarea securității și gestionarea incidentelor de securitate).
Jurnalele și evenimentele din infrastructură, sistemul de operare, baza de date, serverele de aplicații și controalele de securitate sunt colectate continuu. ESET utilizează o platformă centrală de gestionare a jurnalelor (SIEM) pentru a proteja jurnalele relevante împotriva modificării sau distrugerii neautorizate. Jurnalele sunt prelucrate suplimentar de către echipe IT și de securitate internă, pentru a identifica anomalii operaționale și de securitate și incidente de securitate a informațiilor. Datele din SIEM sunt păstrate pentru timpul necesar de reglementări și pentru vânătoarea retrospectivă a amenințărilor.
Monitorizarea securității și răspunsul la incidente
Monitorizarea securității și gestionarea incidentelor de securitate este definită de Politica privind monitorizarea securității și gestionarea incidentelor de securitate.
Contextele de politică
•responsabilități și reguli pentru dezvoltarea, configurarea corectă, protecția, stocarea, analiza, evaluarea și păstrarea jurnalelor de securitate și a auditurilor
•proces, roluri și responsabilități pentru gestionarea incidentelor de securitate
•prevenirea incidentelor de securitate
•minimizarea impactului incidentelor de securitate
•învățare din incidente de securitate
•educarea angajaților cu privire la activitățile de monitorizare, domeniul lor de aplicare și rolul angajaților în monitorizarea și răspunsul la incidente
Un centr de operațiuni de securitate stabilit (SOC), care funcționează 24x7, este împuternicit să monitorizeze în mod continuu starea de securitate a infrastructurii IT și a aplicațiilor IT și să răspundă la incidente de securitate.
Gestionarea incidentelor de securitate a informațiilor în ESET se bazează pe Procedura de răspuns la incidente definită. Rolurile din cadrul răspunsului la incidente sunt definite și alocate între mai multe echipe, inclusiv IT, securitate, juridic, resurse umane, relații publice și management executiv. Incidentele standard sunt gestionate de echipa SOC. Pentru incidente de securitate mai semnificative, centrul de comandă este informat. Centrul de comandă, în cooperare cu echipa SOC, coordonează răspunsul la incidente și angajează alte echipe pentru a gestiona incidentul. Echipa SOC, susținută de membrii echipei de securitate internă, este responsabilă în același timp pentru colectarea probelor și pentru lecțiile învățate. Apariția și rezolvarea incidentelor sunt comunicate părților afectate, inclusiv clienți și parteneri. Echipa juridică ESET este responsabilă pentru notificarea organismelor de reglementare, dacă este necesar, în conformitate cu Regulamentul general privind protecția datelor (GDPR) și Legea privind securitatea cibernetică care transpune Directiva privind securitatea rețelelor și a informațiilor (NIS2).
Gestionarea patch-urilor
Gestionarea patch-urilor este folosită ca una dintre mai multe activități de atenuare a riscurilor pentru a remedia vulnerabilitățile.
Patch-urile de securitate sunt evaluate și aplicate în funcție de gravitatea și riscul vulnerabilităților identificate.
Un proces definit de sortare și prioritizare determină ordinea și liniile de timp pentru implementarea patch-urilor. Acest proces urmează orientările interne ale ESET, aliniate la ISO/IEC 30111. Scorarea CVSS și sursele externe de informații despre amenințări, cum ar fi catalogul CISA pentru vulnerabilități exploatabile cunoscute (KEV), sprijină deciziile bazate pe risc și prioritizarea.
Toate patch-urile sunt verificate în medii controlate înainte de implementare în producție, pentru a se asigura că rezolvă problema țintă, fără a afecta negativ stabilitatea sau compatibilitatea sistemului.
Implementarea urmează proceduri stabilite de gestionare a modificărilor care asigură trasabilitatea, responsabilitatea și capacitatea de refacere atunci când este necesar.
Activitățile de corecție sunt monitorizate și revizuite în mod continuu, pentru a confirma eficacitatea, pentru a identifica sistemele învechite și pentru a stimula îmbunătățirile continue ale proceselor.
Directiva privind înregistrarea în jurnal a aplicațiilor specifică măsurile tehnice și cerințele care reglementează înregistrarea în jurnal pentru toate aplicațiile dezvoltate de ESET.
Protecție împotriva programelor malware și a amenințărilor
Protecția împotriva malware-ului (prin software-ul antivirus și EDR) este stipulată în Politica privind securitatea informațiilor în funcționarea tehnologiilor informaționale și de comunicare. Angajații sunt obligați să raporteze imediat SOC orice suspiciune de infecție cu malware, așa cum este descris în Politica privind securitatea informațiilor pentru angajații ESET.
Cerințele pentru punctele finale ale angajaților sunt prezentate în Standardul de securitate pentru stații de lucru.
ESET utilizează propriile instrumente anti-malware îmbogățite cu soluții terțe verificate pentru a proteja punctele terminale și sarcinile de lucru din cloud.
Echipa SOC efectuează activități de vânătoare a amenințărilor pe baza Politica privind monitorizarea securității și gestionarea incidentelor de securitate. Datele despre amenințări (feed-uri) sunt colectate în sistemul SIEM, care ingeră automat pentru a produce informații despre amenințări aplicate evenimentelor din monitorizarea securității.
Conformitate tehnică
Echipa de Securitate internă furnizează și menține diverse standarde tehnice de securitate pentru infrastructură, cloud, componente legate de web și cele mai bune practici pentru dezvoltatori și administratori IT. Pe baza standardelor tehnice, echipa de Securitate internă pregătește fișiere de linie de bază de configurare care sunt utilizate de echipele IT pentru automatizarea implementării și aplicării configurațiilor sigure.
În plus, scanările de conformitate sunt efectuate prin intermediul unui instrument de evaluare a vulnerabilităților, acolo unde este posibil. ESET are un program de testare a penetrării stabilit, iar produsele, aplicațiile și serviciile dezvoltate de ESET sunt supuse testelor de penetrare regulate, în funcție de planul de program. Toate constatările sunt documentate și raportate părților interesate din Produs, pentru a se asigura că acestea sunt atenuate cât mai curând posibil.
Securitate fizică
Politica privind securitatea fizică și standardele conexe de securitate fizică definesc regulile pentru securitatea fizică în jurul sediilor de birouri și centrelor de date. Această politică stipulează reguli și proceduri pentru:
•protecție a sediilor ESET
•controlul accesului fizic
•birouri, camere și clădiri de securitate
•lucrul în zone sigure
•securitatea echipamentelor, cablării și infrastructurii
Securitatea centrului de date
Componentele infrastructurii IT sunt localizate fizic în mai multe centre de date; prin urmare, redundanța este atinsă în fiecare regiune.
Perimetrul de securitate fizică este definit în Politica privind securitatea fizică și standardele de securitate conexe pentru spațiile de birou și centrele de date - Standard de securitate fizică pentru centrele de date. ESET a definit reguli pentru stabilirea unui perimetr de securitate și a controalelor care trebuie aplicate pe perimetrul de securitate fizică. Controlurile cheie, inclusiv zonarea și separarea fizică de securitate, gestionarea accesului și a vizitatorilor, prevenirea incendiilor și a inundațiilor, precum și CCTV și supravegherea cu echipaj cu pilot, sunt definite, implementate și monitorizate în mod continuu. Securitatea DC este revizuită în mod regulat de personalul responsabil și de auditorii externi.
ESET se bazează pe măsurile și controalele fizice de securitate ale CSP-ilor; prin urmare, revizuiește periodic rapoartele de conformitate corespunzătoare ale CSP-ilor.
Control fizic de acces
Controlele fizice de intrare sunt stabilite în Politica privind securitatea fizică și standardele de securitate conexe pentru spațiile de birou și centrele de date. Locuințele sunt împărțite în zone protejate, cu controale specifice de acces.
Autentificarea este gestionată în conformitate cu cele mai bune practici de securitate, folosind chei, carduri de identitate/acces și PIN-uri.
Se implementează monitorizarea accesului fizic și prevenirea/detectarea accesului neautorizat. Toate intrările sunt monitorizate de CCTV cu o înregistrare înregistrată. Perimetrul este, de asemenea, monitorizat de senzori de mișcare sau de rupere a sticlei (inclusiv pereți cu rezistență slabă (de exemplu, sticlă sau perete uscat), ieșiri de incendiu și ferestre).
Continuitate în afaceri și recuperare în caz de dezastre
ESET menține, revizuiește, evaluează și implementează în mod regulat îmbunătățiri ale sistemului său de management al continuității afacerii, în conformitate cu Politica privind managementul continuității afacerii, în conformitate cu ISO 22301.
ESET a stabilit Programul BCM, care prioritizează toate activitățile din cadrul Companiei și se supune aprobării CISO, în conformitate cu Politica BCM. Programul BCM definește activitățile și activitățile operaționale pentru a atenua riscurile legate de BCM, de exemplu, prin concedieri sau prin replicarea funcțiilor și a infrastructurii IT.
Analizele de impact asupra afacerii (BIA) cu obiective definite privind continuitatea afacerii (RTO, RPO, MTD, priorități de redresare) sunt pregătite și revizuite. Planurile de recuperare în caz de dezastre (DRP) sunt revizuite și testate în conformitate cu Programul BCM. Strategia de continuitate a afacerii determină abordarea pentru menținerea activelor critice de afaceri. Toate rezultatele obținute din activitățile obișnuite de continuitate a afacerii servesc drept input pentru îmbunătățiri continue.
Gestionarea riscurilor de către terți
Monitorizarea și revizuirea serviciilor furnizorilor este reglementată de Politica privind securitatea informațiilor în relațiile cu furnizorii. Revizuirile se efectuează trimestrial, iar rezultatele sunt stocate în Evaluarea furnizorilor.
Documentație, ciclu de viață, actualizări și integrări
- Vizualizare site pentru desktop
- Ajutor online ESET
- Sfârșitul perioadei de viață
- Cele mai recente versiuni
- Jurnale de schimbări
- API-uri și integrări
- Actualizări pentru motorul de detecție