Описание ваших прав и наших обязанностей в одном расположении
Политика безопасности
Введение
Назначение Документа
Настоящий документ предназначен для обобщения технических, организационных, физических средств управления и методов обеспечения безопасности, применяемых в рамках инфраструктуры ESET, которая включает в себя портфель ESET, то есть продукты, приложения, решения и службы ESET (далее — Продукт). Меры безопасности, средства управления и политики предназначены для защиты
•Операция портфеля ESET и обработка данных в локальных или облачных средах
•конфиденциальность, целостность и доступность данных клиентов
•информацию о клиенте от незаконного уничтожения, потери, изменения, несанкционированного раскрытия или доступа
Компания ESET может обновлять настоящий документ и конкретные меры, средства управления и политики, которые регулируют их, чтобы реагировать на развивающиеся угрозы и адаптироваться к развивающимся технологиям безопасности и отраслевым стандартам.
Аудитория
Этот документ должен прочесть любой, кто нуждается в уверении в области безопасности портфеля ESET, или Клиент, который намерен использовать решения или службы ESET путем интеграции в свою среду.
Контекст, концепция и область действия
Компания ESET, spol s r.o. сертифицирована согласно стандарту ISO 27001:2022 и имеет интегрированную систему управления.
Поэтому в рамках управления информационной безопасностью используется инфраструктура ISO 27001 для реализации многоуровневой стратегии защиты при применении средств управления безопасностью на всех уровнях стека архитектуры информационной системы, таких как сеть, операционные системы, базы данных, приложения, персонал и операционные процессы. Применяемые методы обеспечения безопасности и средства управления безопасностью намеренно частично дублируются и дополняют друг друга.
Настоящий документ содержит резюме технических и организационных мер, реализованных для портфеля ESET, организации, персонала и операционных процессов.
Методы обеспечения безопасности и средства управления безопасностью включают в себя управление и технические меры, в том числе, помимо прочего:
•Политики информационной безопасности
•Организация информационной безопасности
•Безопасность персонала
•Управление доступом
•Шифрование
•Физическая безопасность и безопасность среды
•Защита данных, сетевая безопасность, безопасность приложений
•Операционная безопасность
•Безопасность обмена данными
•Получение, разработка и обслуживание системы
•Отношения с поставщиком
•Управление инцидентами информационной безопасности
•Аспекты информационной безопасности в сфере управления непрерывностью бизнес-процессов
•Нормативно-правовое соответствие
Сокращения
Срок сокращения |
Полный срок |
|---|---|
Компания |
ESET, spol. s r. o. |
CSP |
Поставщик облачных услуг |
DR |
Восстановление после катастроф |
ESET |
ESET, spol. s r. o. |
GDPR |
Общий регламент о защите данных |
ИКТ |
Информационные и коммуникационные технологии |
IR |
Ответ на инциденты |
IS |
Информационная безопасность |
ISMS |
Система управления информационной безопасностью |
ИТ |
Информационные технологии |
NIS |
Закон о кибербезопасности, транспонирующий Директиву о сетевой и информационной безопасности |
PKI |
Инфраструктура публичного ключа |
Продукт |
Портфолио ESET, то есть продукты, приложения, облачные платформы, решения и дополнительные службы ESET |
SIEM |
Информация о безопасности и управление событиями |
SSDLC |
Жизненный цикл разработки безопасного программного обеспечения |
QMS |
Система управления качеством |
Примечание Итальянский сценарий — используется для названий ссылающихся внутренних документов Компании, недоступных для общественности, например Политика внутреннего регулирования
Управление безопасностью
Программа управления информационной безопасностью
Компания ESET создала и поддерживает программу управления информационной безопасностью как межорганизационную функцию защиты информационных активов. Документация об информационной безопасности руководствуется политиками, процессами и документацией в области безопасности с помощью Политики внутренних правил. Компания ESET приняла политику Интегрированной системы управления, которая служит высшим стандартом
•политика ISMS,
•политика QMS и
•Политика информационной безопасности
Компания ESET придерживается своей Политики в отношении интегрированной системы управления, которая определяет рамки для управления качеством и информационной безопасностью. Настоящая политика принадлежит главному ответственному за информационную безопасность (CISO) компании ESET и представляет собой обязательство руководства высшего уровня в отношении безопасности и качества. В нем определяются обязанности по управлению и обеспечению этих областей и излагается обязательство ESET постоянно оценивать и улучшать эффективность своей системы управления в соответствии со стандартами ISO 9001 и ISO 27001.
Корпоративные политики документируются, актуализируются и пересматриваются ежегодно, а также обновляются после значительных изменений, чтобы обеспечить их непрерывную пригодность, достаточность и эффективность. Обновления сообщаются внутреннему персоналу, где политики доступны всем сотрудникам. Политики формально принимаются, подписываются генеральным директором, публикуются и сообщаются всем сотрудникам и заинтересованным сторонам. Политики официально признаются сотрудниками ESET при вводе на борт.
В дополнение к политикам команды информационной безопасности и технической безопасности ESET разработали процессы, процедуры, стандарты и базовые правила конфигурации на основе передовой практики в области безопасности отрасли и поставщиков (например, стандарты CIS, OWASP, NIST). Эти данные предоставляются командам IT и Технологий для обеспечения безопасности разработки, конфигурации и работы информационных систем и продуктов ESET.
Компания ESET поддерживает взаимосвязанную документацию о управлении, которая разработана и доступна всем сотрудникам в соответствии с сертификатами ESET для ISO 9001 и ISO 27001. Операционные процедуры адаптированы к конкретным потребностям каждой команды, управляются в указанных рабочих местах и обновляются по мере необходимости.
Для устранения любых несоблюдений политик безопасности существуют мониторинг соответствия политикам и дисциплинарные процедуры, которые подтверждают приверженность ESET ответственности и постоянному совершенствованию.
Чтобы обеспечить постоянное соответствие требованиям и эффективность, компания ESET внедрила систему управления рисками, поддерживающую технический и организационный контроль. Процесс управления рисками ESET включает в себя всестороннюю оценку и управление рисками в рамках своей Интегрированной системы управления (на основе ISO 9001 и ISO 27001). Это включает в себя оценку активов, определение требований к безопасности, расчет рисков и выбор подходящих стратегий смягчения рисков. Главный ответственный за информационную безопасность (CISO) осуществляет надзор за общим процессом управления рисками, обеспечивая регулярное отчитывание руководства об рисках безопасности и связанных показателях. Кроме того, управление рисками со стороны третьих лиц строго соблюдается с помощью оценок поставщиков в соответствии со стандартом ESET по контрактной безопасности.
Соответствие отраслевым стандартам
Внешняя валидация и аккредитация имеют решающее значение для организаций, которые полагаются на возможности и технологии ESET для обеспечения безопасности своих данных и соблюдения нормативных требований. Сведения о сертификации ESET можно найти на странице ***.
Мониторинг соответствия
Политика интегрированной системы управления устанавливает интегрированную систему управления, включая регулярные обзоры и аудиты.
Внутренние аудиты регулярно проверяют соответствие политикам и процессам ESET, как описано в Политике внутреннего аудита. В Политике в отношении внутренних правил предусмотрена ответственность за регулярный мониторинг применения внутренних правил и соответствующих корректировок, если это необходимо.
Регулярные обзоры и внутренние и внешние аудиты проводятся в соответствии с годовым и трехлетним долгосрочным планом аудитов. Внутренние аудиты выполняются независимыми аудиторами, которые регулярно проверяют соответствие политикам и процессам ESET или применимым стандартам (например, ISO 9001, ISO 27001 и SOC2), в зависимости от объема аудита. Внутренние аудиты планируются и проводятся как минимум один раз в год. Выводы аудита собираются и записываются в специальной системе оформления билетов с назначением соответствующих владельцев, которые отвечают за устранение несовместимости и устранение несовместимости в заранее определенный срок. Выводы аудитов, требующие руководящего надзора, и решения пересматриваются на регулярных совещаниях руководящих экспертов.
Организация информационной безопасности
Обязанности в сфере информационной безопасности распределяются в соответствии с действующими политиками информационной безопасности. Внутренние процессы идентифицируются и оцениваются на предмет опасности несанкционированного или непреднамеренного изменения или ненадлежащего использования информационных ресурсов ESET. С целью снижения риска в отношении рискованных или конфиденциальных действий в рамках внутренних процессов применяется принцип внедрения передовых практик обеспечения безопасности.
Информационная безопасность учитывается при управлении проектами с помощью применяемой платформы управления проектами от идеи до завершения проекта.
Удаленная работа защищена за счет применения политики, реализованной на мобильных устройствах, которая предусматривает использование мощной защиты данных посредством шифрования при работе в недоверенных сетях. Средства управления безопасностью на мобильных устройствах работают независимо от внутренних сетей и внутренних систем ESET.
Безопасность персонала
Компания ESET использует стандартные методы работы с персоналом, в том числе политики, разработанные для обеспечения информационной безопасности. Эти правила распространяются на весь жизненный цикл сотрудников и распространяются на всех сотрудников.
Компания ESET требует, чтобы сотрудники ESET проходили проверку и скрининг во время входа на борт; подписали соглашение о неразглашении или конфиденциальности в рамках трудового договора, которое обязывает их соблюдать политики и стандарты внутренней безопасности, защищать конфиденциальную информацию ESET и данные клиентов; завершили обучение в области информационной безопасности во время входа на борт в рамках программы ESET в области соответствия и информированности.
Технические меры
Управление идентификацией и доступом
Политика ESET О управлении доступом регулирует весь доступ к инфраструктуре ESET. Процессы управления доступом в области предоставления, отзыва, изменения доступа, а также пересмотра предоставленных прав доступа, применяемые для всех уровней инфраструктуры, технологий, приложений или инструментов. Полное управление доступом пользователей на уровне приложений является автономным. Единым входом в систему идентификации управляет центральный поставщик идентификационных данных, который гарантирует, что пользователь может получить доступ только к авторизованной среде или приложению.
Для управления доступом сотрудников ESET к инфраструктуре и сетям ESET используются процессы и технические меры по обезвреживанию доступа пользователей, предоставлению доступа пользователей, пересмотру, удалению и адаптации прав доступа, в соответствии со стандартами безопасности, которые включают в себя, но не ограничиваются следующее:
•Предоставление доступа на основе минимальных привилегий «необходимости знать»
•Регулярный обзор доступа пользователей
•Прекращение доступа пользователя в соответствии с политикой безопасности
•Присвоение уникальной учетной записи всем
•Ведение журнала попыток доступа пользователей, их обзор и мониторинг
•Логирование и пересмотр физического доступа
•Имплементация многофакторной аутентификации для высокопривилегированного и административного доступа
•Применение временных ограничений для интерактивных сеансов после определенного периода бездействия
Защита данных
Шифрование данных
Компания ESET защищает данные в своей инфраструктуре; для шифрования данных в режиме отдыха (включая портативные устройства) и в процессе транзита использует надежную шифровку. Внедрение шифрования осуществляется согласно правилам, определенным внутренним стандартом Криптография. Данные клиентов хранятся в соответствии с соответствующими нормами, например GDPR, Директивой NIS2 или отраслевыми и финансовыми нормами.
Действующие меры:
•В целом, для выпуска сертификатов для общедоступных веб-служб используется доверенный центр сертификации.
•Для управления ключами в инфраструктуре ESET используется внутренний PKI ESET
•Платформа CSP поддерживает врожденное шифрование для обеспечения защиты данных в режиме реального времени для соответствующих частей обработки данных или постоянства данных в облачной среде (хранилища данных, резервные копии).
•Для шифрования транзитных данных применяется надежная система шифрования (например TLS).
Резервное копирование и восстановление данных
Резервные копии регулируются Политикой информационной безопасности в работе информационных и коммуникационных технологий.
Все данные о конфигурации и развертывании портфеля ESET хранятся в защищенных и регулярно резервируемых репозиториях ESET, что позволяет автоматически восстанавливать конфигурацию среды. Для проверки восстанавливаемости резервного копирования конфигурации в ожидаемые сроки используется регулярный процесс тестирования восстановления от катастроф.
Данные Клиента ESET регулярно архивируются в соответствии с отраслевыми стандартами и нормами, требованиями к высокой доступности работы и договорным требованиям к восстановимости. Резервные копии защищены от мошенничества, а действительность резервного копирования регулярно проверяется процессами восстановления в случае катастрофы.
Безопасность сети
Сегментация сети применяется во всей сетевой среде ESET. Сети разделены на основе определенных критериев и выполняются с помощью VLAN на защитных стенах.
Компания ESET использует различные системы защиты границ, в том числе защитные стены L7, системы обнаружения вторжений и системы предотвращения вторжений. Эти системы настроены и поддерживаются для защиты внешних точек доступа, обеспечивая обнаружение и предотвращение любых несанкционированных попыток доступа к сети.
Удалённый доступ к внутренним ресурсам предоставляется с помощью пользовательской или локальной VPN с функциями и обязанностями, требованиями к безопасности и средствами управления, предусмотренными внутренними политиками ESET и настроенными в соответствии со стандартами отрасли безопасности. Учетные записи пользователей VPN поддерживаются в Active Directory и являются частью процесса предоставления учетной записи сотрудника.
Компания ESET внедряет и поддерживает средства управления безопасностью сети для защиты данных, которые обрабатываются, получаются или хранятся в облачной среде. Учетные записи CSP и основная инфраструктура используют списки управления доступом к сети и группы безопасности в виртуальной сети CSP, чтобы ограничить доступ ко всем предоставляемым ресурсам. Доступ к облачным ресурсам осуществляется только по зашифрованным каналам.
Усиление защиты
Компания ESET использует процесс обеспечения безопасности систем, чтобы уменьшить возможную уязвимость для атак. Это включает в себя следующие методы и лучшие практики:
•иметь подписанное золотое изображение, используемое для установки или развертывания хоста или контейнера
•отключение ненужных услуг
•автоматическое плановое прикрепление и специальное исправление критически важных компонентов в случае высокого риска
•обновление операционной системы до достижения конечного срока службы
•конфигурирование настроек безопасности
•автоматизация управления инфраструктурой и приложениями повторным и последовательным способом
•удаление ненужного программного обеспечения
•ограничение доступа к локальным ресурсам
•хостинг-контроли, такие как антивирусные программы, обнаружение и реагирование на конечные точки и сетевые политики
Компания ESET использует централизованный подход к применению и проверке закаливания на компоненты ИТ-среды, направленный на минимизацию площади атаки, которая является суммой всех потенциальных точек входа, которые могли бы использовать нападающие. Для подробности см. следующую часть этого документа.
Безопасность приложений
Практики безопасного развития
Компания ESET реализует практику разработки безопасного программного обеспечения с помощью своей Политики безопасности в жизненном цикле разработки программного обеспечения (SSDLC), которая интегрирует средства управления безопасностью и управление рисками на всех этапах разработки.
Политика SSDLC определяет требования к следующему:
•Код написан в соответствии с руководящими принципами безопасного кодирования и пересматривается до слияния
•Проводятся моделирование угроз и обзор дизайна для новых функций и основных изменений
•Автоматизированные проверки безопасности (статический анализ, сканирование зависимости и выбранные динамические тесты), выполняемые в рамках трубопроводов CI/CD
•Сторонние и компоненты с открытым исходным кодом отслеживаются и обновляются; для всех выпущенных продуктов поддерживается СБУ
•Результаты инцидентов, тестов на проникновение и отчетов о бонусах от ошибок пересматриваются и возвращаются в процесс разработки
Целью политики SSDLC является обеспечение того, чтобы все Продукты программного обеспечения ESET были безопасными, надежными и соответствовали применимым стандартам и нормам.
Управление уязвимостями продуктов
Компания ESET поддерживает определенный процесс для выявления, оценки и устранения уязвимостей в своих приложениях и Продуктах на протяжении всего их жизненного цикла.
Процесс охватывает как внутренне обнаруженные проблемы, так и отчеты из внешних источников.
В рамках управления уязвимостями для продуктов компания ESET:
•Использует инструменты автоматического сканирования для сканирования исходного кода, зависимостей и создания артефактов на предмет известных уязвимостей
•Ручно пересматривает выводы, чтобы подтвердить влияние и актуальность, прежде чем назначать исправление
•Отслеживает и определяет приоритеты исправлений на основе тяжести, эксплуатационности и экспозиции продукции
•Проводит целенаправленные тесты безопасности и повторные тесты для проверки исправления
•Интегрирует данные о уязвимости в планирование разработки и выпуска, чтобы критические проблемы были устранены до отправки
•Принимает и обрабатывает внешние отчеты посредством скоординированного раскрытия информации и программы бонусных бонусов для публичных ошибок
•Присваивает идентификаторы CVE для подтвержденных уязвимостей в продуктах в рамках своей роли органа по номерированию CVE (CNA).
•Применяет исправления и исправления на основе серьезности уязвимости и воздействия на бизнес в соответствии с структурированным процессом сортировки
oПроцесс сортировки соответствует стандарту ISO/IEC 30111 (управление уязвимостями) и стандарту ISO/IEC 29147 (разглашение уязвимостей)
oДля определения приоритетов используются оценки CVSS и внешние источники разведки, такие как каталог CISA «Знаменитые эксплуатируемые уязвимости» (KEV).
oОкончательные решения о исправлении делаются совместно ответственными командами Продукта и безопасности
Эти процессы обеспечивают управление уязвимостями последовательным, прозрачным и отслеживаемым способом во всех Продуктах ESET.
Тестирование на проникновение
Компания ESET проводит регулярные тесты на проникновение своих Продуктов в рамках общего процесса обеспечения безопасности продуктов — в рамках нашей собственной программы тестирования проникновения . Тестирование проводится до крупных выпусков и с запланированными интервалами для поддерживаемых Продуктов.
Тестирование проникновения в ESET фокусируется на следующем:
•Проверка эффективности внедренных средств управления безопасностью и смягчения рисков
•Выявление потенциальных уязвимостей, которые автоматизированные инструменты могут не обнаруживать
•Валидация результатов предыдущих усилий по исправлению проблем
•Оценка общей атакованной площади и рисковой экспозиции выпускаемых Продуктов
Тесты проводятся в изолированных средах квалифицированными внутренними специалистами или доверенными внешними партнерами с использованием признанных отраслевых методологий (OWASP WSTG/MTG, NIST SP 800-115, PTES).
Находки документируются, оцениваются и отслеживаются с помощью того же процесса управления уязвимостями, который используется для внутренних и внешних сообщений о проблемах.
Результаты тестирования на проникновение непосредственно входят в планы улучшения Продукта и SSDLC, что помогает гарантировать, что полученные уроки будут восприниматься и рецидивирующие недостатки будут уменьшаться с течением времени.
Операционная безопасность
Политика информационной безопасности в операциях в сфере ИКТ
Политика информационной безопасности в работе ИКТ в Компании устанавливает основные правила безопасности, связанные с работой ИКТ, в соответствии со стандартом ISO 27001.
Политика информационной безопасности в работе ИКТ определяет требования к безопасности для операционных процессов ИКТ и их документации, в том числе операционные процедуры, управление изменениями, разделение ролей и обязанностей, разделение производства, среды тестирования и разработки, сторонние ИТ-службы, планирование производительности, ИТ-проекты, защита от вредоносных программ, резервные копии, сетевая безопасность, медиабезопасность, требования к электронной коммерции и мониторинг
Логирование и аудит
Записи и аудиты в системе выполняются в соответствии с внутренними стандартами и руководящими принципами (Политика по мониторингу безопасности и управлению инцидентами безопасности).
Журналы и события из инфраструктуры, операционной системы, базы данных, серверов приложений и средств управления безопасностью собираются непрерывно. ESET использует центральную платформу управления журналами (SIEM) для защиты соответствующих журналов от несанкционированной модификации или уничтожения. Журналы затем обрабатываются отделами ИТ и внутренней безопасности для выявления операционных аномалий и аномалий безопасности, а также инцидентов информационной безопасности. Данные в SIEM хранятся в течение времени, требуемого нормами и для ретроспективного поиска угроз.
Мониторинг безопасности и реагирование на инциденты
Мониторинг безопасности и управление инцидентами безопасности определяются Политикой по мониторингу безопасности и управлению инцидентами безопасности.
В политике изложены
•обязанности и правила для разработки, надлежащей конфигурации, защиты, хранения, анализа, оценки и хранения журналов и аудитов безопасности
•процессы, роли и обязанности по управлению инцидентами безопасности
•предотвращение инцидентов с безопасностью
•минимизация влияния инцидентов, связанных с безопасностью
•Обучение от инцидентов безопасности
•обучение сотрудников в отношении мониторинга деятельности, их объема и роли сотрудников в мониторинге и реагировании на инциденты
Установленный Центр операций по безопасности (SOC), работающий 24 часа в сутки, имеет полномочия непрерывно отслеживать состояние безопасности ИТ-инфраструктуры и приложений и реагировать на инциденты безопасности.
ESET управляет инцидентами информационной безопасности с помощью определенной Процедуры реагирования на инциденты. Роли при реагировании на инциденты определяются и распределяются для множества групп пользователей, в том числе для отделов ИТ, безопасности, юридического обеспечения, управления кадрами, связей с общественностью и для высшего руководства. Стандартные инциденты обрабатывается командой SOC. В случае более серьезных инцидентов безопасности уведомляется Командный центр. Командный центр в сотрудничестве с командой SOC координирует реагирование на инцидент и привлекает другие команды для решения инцидента. Команда SOC при поддержке ответственных сотрудников отдела внутренней безопасности отвечает за сбор фактических данных и накопление практического опыта. О возникновении и разрешении инцидентов сообщается заинтересованным сторонам, в частности клиентам и партнерам. Отдел юридического обеспечения ESET отвечает за уведомление регулятивных органов (если такое уведомление является необходимым) в соответствии с требованиями Общего регламента по защите данных (GDPR) и Закона о кибербезопасности, который преобразует Директиву о сетевой и информационной безопасности (NIS2).
Управление исправлениями
Управление исправлениями используется как одна из нескольких мероприятий по смягчению уязвимостей.
Усовершенствования безопасности оцениваются и применяются в соответствии с серьезностью и риском выявленных уязвимостей.
Определенный процесс сортировки и определения приоритетов определяет порядок и сроки развертывания исправлений. Этот процесс соответствует внутренним рекомендациям ESET, согласованным с ISO/IEC 30111. Оценка CVSS и внешние источники информации об угрозах, например каталог CISA «Знаменитые эксплуатируемые уязвимости» (KEV), поддерживают принятие решений на основе рисков и определение приоритетов.
Все исправления проверяются в контролируемых средах перед развертыванием в производство, чтобы убедиться, что они решают целевую проблему без негативного влияния на стабильность или совместимость системы.
Развертывание выполняется в соответствии с установленными процедурами управления изменениями, которые обеспечивают отслеживаемость, отчетность и возможность обратной связи при необходимости.
Действия исправлений постоянно отслеживаются и пересматриваются, чтобы подтвердить их эффективность, выявлять устаревшие системы и стимулировать постоянное улучшение процессов.
В Руководстве по ведению журнала приложений определены технические меры и требования, регулирующие ведение журнала для всех приложений, разработанных компанией ESET.
Защита от вредоносных программ и угроз
Защита от вредоносных программ (с помощью антивирусного программного обеспечения и EDR) предусмотрена Политикой информационной безопасности в работе информационных и коммуникационных технологий. Сотрудники обязаны незамедлительно сообщать SOC о любом подозрении на заражение вредоносными программами, как описано в Политике информационной безопасности для сотрудников ESET.
Требования к конечным точкам сотрудников изложены в стандарте безопасности для рабочих станций.
Для защиты конечных точек и облачных рабочих нагрузок компания ESET использует собственные средства против вредоносных программ, обогащенные проверенными сторонними решениями.
Команда SOC осуществляет действия по борьбе с угрозами на основе Политики по мониторингу безопасности и управлению инцидентами. Данные об угрозах (потоки) собираются в систему SIEM, которая автоматически поглощается, чтобы производить разведку об угрозах, применяемую к событиям в мониторинге безопасности.
Техническое соответствие
Команда внутренней безопасности предоставляет и поддерживает различные технические стандарты безопасности для инфраструктуры, облака, веб-компонентов и передовой практики для разработчиков и администраторов ИТ. На основе технических стандартов команда внутренней безопасности готовит базовые файлы конфигураций, которые используются ИТ-группами для автоматизации развертывания и обеспечения безопасности конфигураций.
Кроме того, сканирование соответствия выполняется с помощью инструмента оценки уязвимости, если это возможно. Компания ESET имеет установленную программу тестирования проникновения, а разработанные компанией ESET продукты, приложения и службы подвергаются регулярным тестам проникновения на основе плана программы. Все выводы документируются и сообщаются заинтересованным сторонам Продукта, чтобы как можно скорее их устранить.
Телохранители
Политика физической безопасности и соответствующие стандарты физической безопасности определяют правила физической безопасности вокруг офисных помещений и центров обработки данных. Настоящая политика устанавливает правила и процедуры для:
•защита помещений ESET
•физического управления доступом
•безопасность офисов, помещений и зданий
•работа в безопасных зонах
•безопасность оборудования, кабелей и инфраструктуры
Безопасность центра обработки данных
Компоненты ИТ-инфраструктуры физически расположены в нескольких центрах обработки данных, поэтому избыточность достигается в каждом регионе.
Область физической безопасности определена Политикой физической безопасности и соответствующими стандартами безопасности для офисных помещений и центров обработки данных — стандартом физической безопасности для центров обработки данных. Компания ESET определила правила для установления периметра безопасности и средств управления, которые будут применяться к периметру физической безопасности. Ключевые средства управления, в том числе зонирование физической безопасности и сегрегация, управление доступом и посетителями, предотвращение пожаров и наводнений, а также CCTV и пилотируемый надзор, четко определены, внедрены и постоянно контролируются. Безопасность DC регулярно проверяется ответственным персоналом и внешними аудиторами.
Компания ESET полагается на меры физической безопасности и средства контроля CSP, поэтому регулярно пересматривает соответствующие отчеты о соответствии CSP.
Физические средства управления доступом
Физические средства управления въездом изложены в Политике физической безопасности и соответствующих стандартах безопасности для офисных помещений и центров обработки данных. Пространства подразделяются на защищенные зоны с определенными средствами управления доступом.
Управление аутентификацией осуществляется в соответствии с лучшими методами безопасности с помощью ключей, идентификационных/доступных карт и PIN-кодов.
Используется мониторинг физического доступа и предотвращение/открытие несанкционированного доступа. Все записи отслеживаются службой CCTV с записью в журнале. Периметр также контролируется с помощью датчиков движения или разрыва стекла (в том числе слабых стенок сопротивления (т.е. стеклянные или сухие стены), пожаровыходов и окон).
Непрерывность бизнеса и восстановление от катастроф
Компания ESET поддерживает, регулярно пересматривает, оценивает и внедряет улучшения в свою систему управления непрерывностью бизнеса в соответствии с Политикой по управлению непрерывностью бизнеса в соответствии с ISO 22301.
Компания ESET создала программу BCM, которая определяет приоритеты для всех видов деятельности в рамках Компании и подвергается одобрению CISO в соответствии с Политикой BCM. Программа BCM определяет оперативные действия и действия для смягчения рисков, связанных с BCM, например посредством увольнения или воспроизведения функций и ИТ-инфраструктуры.
Подготовлены и пересмотрены анализы воздействия на бизнес с определенными целями непрерывности бизнеса (RTO, RPO, MTD, приоритеты восстановления). Планы восстановления от стихийных бедствий (DRP) пересматриваются и тестируются в соответствии с программой BCM. Стратегия непрерывности бизнеса определяет подход к сохранению критически важных бизнес-активов. Все результаты регулярной деятельности по обеспечению непрерывности бизнеса служат вкладом для непрерывного совершенствования.
Управление рисками третьих лиц
Мониторинг и пересмотр услуг поставщиков регулируются Политикой информационной безопасности в отношениях с поставщиками. Оценки проводятся ежеквартально, а результаты хранятся в Оценке поставщиков.
Документация, жизненный цикл, обновления и интеграции
- Использовать сайт для ПК
- Интернет-справка ESET
- Окончание срока службы
- Последние версии
- Журналы изменений
- API и интеграции
- Обновления модуля обнаружения