Vaše práva a naše povinnosti na jednom mieste
Bezpečnostná politika
Úvod
Účel dokumentu
Účelom tohto dokumentu je zhrnúť technické, organizačné a fyzické kontroly a bezpečnostné postupy uplatňované v rámci infraštruktúry spoločnosti ESET, ktorá zahŕňa portfólio spoločnosti ESET, t. j. produkty, aplikácie, riešenia a služby spoločnosti ESET (ďalej len „produkt“). Bezpečnostné opatrenia, kontroly a politiky majú chrániť
•prevádzku portfólia spoločnosti ESET a spracovanie údajov v lokálnom alebo cloudovom prostredí,
•dôvernosť, integritu a dostupnosť údajov zákazníka,
•informácie o zákazníkoch pred nezákonným zničením, stratou, zmenou, neoprávneným zverejnením alebo prístupom.
Spoločnosť ESET môže aktualizovať tento dokument a konkrétne opatrenia, kontroly a politiky, ktoré ich upravujú, s cieľom reagovať na vyvíjajúce sa hrozby a prispôsobiť sa vyvíjajúcim sa bezpečnostným technológiám a priemyselným štandardom.
Publikum
Tento dokument by si mal prečítať každý, kto potrebuje uistenie v oblasti bezpečnosti portfólia spoločnosti ESET, alebo zákazník, ktorý plánuje využívať riešenia alebo služby spoločnosti ESET prostredníctvom integrácie do svojho prostredia.
Kontext, koncepcia a rozsah
Spoločnosť ESET, spol s r.o. je držiteľom certifikátu ISO 27001:2022 s integrovaným systémom riadenia.
Koncepcia riadenia informačnej bezpečnosti preto využíva rámec normy ISO 27001 na implementáciu bezpečnostnej stratégie viacvrstvovej ochrany pri aplikovaní bezpečnostných kontrol na každej vrstve architektúry informačného systému, ako sú siete, operačné systémy, databázy, aplikácie, personál a operačné procesy. Použité bezpečnostné postupy a bezpečnostné kontroly sa majú navzájom prekrývať a dopĺňať.
Rozsahom tohto dokumentu je zhrnúť technické a organizačné opatrenia implementované pre portfólio spoločnosti ESET; organizačné, personálne a prevádzkové procesy.
Bezpečnostné postupy a kontroly zahŕňajú riadenie a technické opatrenia, okrem iného:
•Politiky informačnej bezpečnosti
•Organizácia informačnej bezpečnosti
•Ľudské zdroje a bezpečnosť
•Kontrola prístupu
•Kryptografia
•Fyzické zabezpečenie a ochrana prostredia
•Ochrana údajov, Bezpečnosť siete, Bezpečnosť aplikácií
•Prevádzková bezpečnosť
•Bezpečnosť sieťovej komunikácie
•Akvizícia, vývoj a údržba systému
•Dodávateľský vzťah
•Správa incidentov v oblasti informačnej bezpečnosti
•Aspekty informačnej bezpečnosti v rámci správy kontinuity prevádzky
•Súlad s požiadavkami
Skratky
Skrátený pojem |
Celý pojem |
|---|---|
Spoločnosť |
ESET, spol. s r. o. |
CSP |
Poskytovateľ cloudových služieb |
DR |
Obnova po havárii |
ESET |
ESET, spol. s r. o. |
GDPR |
Všeobecné nariadenie o ochrane údajov |
IKT |
Informačné a komunikačné technológie |
IR |
Reakcia na incident |
IS |
Informačná bezpečnosť |
ISMS |
Systém riadenia informačnej bezpečnosti |
IT |
Informačné technológie |
NIS |
Zákon o kybernetickej bezpečnosti, ktorým sa transponuje smernica o bezpečnosti sietí a informácií |
PKI |
Infraštruktúra verejného kľúča |
Produkt |
Portfólio spoločnosti ESET – t. j. produkty, aplikácie, cloudové platformy, riešenia a zastrešujúce služby spoločnosti ESET |
SIEM |
Riadenie informácií a udalostí v oblasti bezpečnosti |
SSDLC |
Životný cyklus bezpečného vývoja softvéru |
QMS |
Systém riadenia kvality |
Poznámka: Kurzíva – používa sa pre názvy interných dokumentov spoločnosti, na ktoré sa odkazuje a ktoré nie sú dostupné verejnosti, napríklad Politika interných predpisov
Riadenie bezpečnosti
Program riadenia informačnej bezpečnosti
Spoločnosť ESET vytvorila a udržiava rámec programu riadenia informačnej bezpečnosti ako medziorganizačnej funkcie riadiacej ochranu informačných prostriedkov. Dokumentácia informačnej bezpečnosti sa riadi bezpečnostnými politikami, procesmi a dokumentáciou prostredníctvom Politiky interných predpisov. Spoločnosť ESET prijala politiku integrovaného systému riadenia, ktorá slúži ako najvyššia úroveň pre tieto politiky:
•Politika ISMS,
•Politika QMS a
•Politika informačnej bezpečnosti
Spoločnosť ESET dodržiava svoju Politiku integrovaného systému riadenia, ktorá definuje rámec pre riadenie kvality a informačnej bezpečnosti. Túto politiku vlastní riaditeľ pre informačnú bezpečnosť (CISO) spoločnosti ESET a predstavuje záväzok najvyššieho manažmentu k bezpečnosti a kvalite. Definuje zodpovednosti za riadenie a zabezpečenie týchto oblastí a načrtáva záväzok spoločnosti ESET neustále vyhodnocovať a zlepšovať efektívnosť svojho systému riadenia v súlade s normami ISO 9001 a ISO 27001.
Politiky spoločnosti sa dokumentujú, udržujú a každoročne prehodnocujú a po výrazných zmenách aj aktualizujú, aby sa zaistila ich neustála vhodnosť, primeranosť a účinnosť. Aktualizácie sa oznamujú interným zamestnancom, pričom politiky sú k dispozícii všetkým zamestnancom. Politiky sú formálne prijaté, podpísané generálnym riaditeľom, zverejnené a oznámené všetkým zamestnancom a príslušným stranám. Zamestnanci spoločnosti ESET politiky formálne prijímajú pri nástupe do zamestnania.
Okrem politík tímy informačnej a technickej bezpečnosti spoločnosti ESET navrhli procesy, postupy, štandardy a základné konfigurácie založené na najlepších bezpečnostných postupoch v odvetví a u dodávateľov (napr. benchmarky CIS, OWASP, NIST). Sú poskytované tímom pre IT a technológie s cieľom zaistiť bezpečný vývoj, konfiguráciu a prevádzku informačných systémov a produktov spoločnosti ESET.
Spoločnosť ESET vedie prepojenú riadiacu dokumentáciu, ktorá je navrhnutá a sprístupnená všetkým zamestnancom v súlade s certifikátmi spoločnosti ESET pre normy ISO 9001 a ISO 27001. Prevádzkové postupy sú prispôsobené špecifickým potrebám každého tímu, riadia sa v rámci určených pracovných priestorov a podľa potreby sa aktualizujú.
Monitorovanie dodržiavania politík a disciplinárne postupy sú zavedené na riešenie a nápravu akéhokoľvek nedodržiavania bezpečnostných politík, čo posilňuje záväzok spoločnosti ESET k zodpovednosti a neustálemu zlepšovaniu.
Na zabezpečenie trvalého súladu a účinnosti spoločnosť ESET zaviedla rámec riadenia rizík, ktorý udržiava technické a organizačné kontroly. Proces riadenia rizík v spoločnosti ESET zahŕňa komplexné hodnotenie a riadenie rizík v rámci integrovaného systému riadenia (na základe noriem ISO 9001 a ISO 27001). To zahŕňa hodnotenie aktív, identifikáciu bezpečnostných požiadaviek, výpočet rizík a výber vhodných stratégií na ich zmiernenie. Riaditeľ pre informačnú bezpečnosť (CISO) dohliada na celkový proces riadenia rizík a zabezpečuje pravidelné podávanie správ o bezpečnostných rizikách a súvisiacich ukazovateľoch výkonnému manažmentu. Okrem toho je riadenie rizík tretích strán prísne presadzované prostredníctvom hodnotenia dodávateľov podľa bezpečnostného štandardu spoločnosti ESET pre zmluvy (Contract Security Standard).
Súlad s normami v odvetví
Externá validácia a akreditácia sú kriticky dôležité pre organizácie, ktoré sa spoliehajú na schopnosti a technológie spoločnosti ESET pri zabezpečovaní svojich dát a plnení regulačných požiadaviek. Podrobné informácie nájdete na stránke o certifikáciách spoločnosti ESET.
Monitorovanie súladu
Politika integrovaného systému riadenia stanovuje integrovaný systém riadenia vrátane pravidelných preskúmaní a auditov.
Interné audity pravidelne kontrolujú dodržiavanie zásad a procesov spoločnosti ESET, ako je uvedené v Politike interného auditu. Politika interných predpisov stanovuje zodpovednosť za pravidelné monitorovanie uplatňovania interných predpisov a príslušné úpravy podľa potreby.
Pravidelné kontroly a interné a externé audity sa vykonávajú v súlade s ročným a trojročným dlhodobým plánom auditu. Interné audity vykonávajú nezávislí audítori, ktorí pravidelne kontrolujú dodržiavanie zásad a procesov spoločnosti ESET alebo platných noriem (napríklad ISO 9001, ISO 27001 a SOC2) v závislosti od rozsahu auditu. Interné audity sa plánujú a vykonávajú minimálne raz ročne. Zistenia auditu sa zhromažďujú a zaznamenávajú v špeciálnom systéme ticketov s príslušnými vlastníkmi, ktorí sú zodpovední za riešenie a vyriešenie nezhôd vo vopred stanovenom časovom rámci. Zistenia auditu, ktoré si vyžadujú dohľad a rozhodnutia vedenia, sa prehodnocujú na pravidelných stretnutiach vedenia.
Organizácia informačnej bezpečnosti
Záväzky a úlohy v oblasti informačnej bezpečnosti sa prideľujú v súlade so zavedenými politikami informačnej bezpečnosti. Interné procesy sú identifikované a posudzované z hľadiska rizík vyplývajúcich z neoprávnenej alebo neúmyselnej modifikácie či zneužitia informačných prostriedkov spoločnosti ESET. Pri rizikových alebo citlivých činnostiach v spojení s internými procesmi sa na zmiernenie rizika uplatňuje zásada osvedčených bezpečnostných postupov.
Informačná bezpečnosť sa pri riadení projektov zohľadňuje pomocou aplikovaného rámca riadenia projektov od koncepcie až po dokončenie projektu.
Práca na diaľku a práca z domu sú kryté politikou implementovanou na mobilných zariadeniach, ktorá zahŕňa používanie silnej kryptografickej ochrany údajov počas prenosu cez nedôveryhodné siete. Bezpečnostné kontroly na mobilných zariadeniach sú navrhnuté tak, aby fungovali nezávisle od interných sietí a interných systémov spoločnosti ESET.
Ľudské zdroje a bezpečnosť
Spoločnosť ESET používa štandardné postupy v oblasti ľudských zdrojov vrátane politík určených na dodržiavanie informačnej bezpečnosti. Tieto postupy sa vzťahujú na celý životný cyklus zamestnanca a platia pre všetkých zamestnancov.
Spoločnosť ESET vyžaduje, aby zamestnanci spoločnosti ESET boli pri nástupe do zamestnania podrobení bezpečnostnej previerke; podpísali dohodu o mlčanlivosti alebo dôvernosti ako súčasť pracovnej zmluvy, ktorá ich zaväzuje dodržiavať interné bezpečnostné politiky a štandardy, chrániť dôverné informácie spoločnosti ESET a údaje zákazníkov; absolvovali školenie o informačnej bezpečnosti v rámci nástupu do zamestnania ako súčasť programu spoločnosti ESET na dodržiavanie predpisov a zvyšovanie povedomia.
Technické opatrenia
Správa identít a prístupu
Politika správy prístupu spoločnosti ESET riadi každý prístup do infraštruktúry spoločnosti ESET. Procesy riadenia prístupu v oblasti udeľovania, zrušenia, zmeny prístupu a tiež revízie udelených prístupových práv sa uplatňujú na všetkých úrovniach infraštruktúry, technológií, aplikácií alebo nástrojov. Správa úplného prístupu používateľov na úrovni aplikácie je autonómna. Jednorazové prihlásenie k identite riadi centrálny poskytovateľ identity, ktorý zabezpečuje, že používateľ má prístup len k autorizovanému prostrediu alebo aplikácii.
Správa používateľov a prístupov, procesy a technické opatrenia na odoberanie prístupov používateľom, poskytovanie prístupov používateľom, kontrolu, odstraňovanie a úpravu prístupových práv sa používajú na riadenie prístupu zamestnancov spoločnosti ESET k infraštruktúre a sieťam spoločnosti ESET v súlade s bezpečnostnými štandardmi, ktoré zahŕňajú okrem iného:
•Poskytovanie prístupu na základe najmenšieho privilégia „potreba vedieť“.
•Pravidelné prehodnocovanie prístupu používateľov.
•Ukončenie prístupu používateľa v súlade s bezpečnostnou politikou.
•Priradenie jedinečného účtu každej osobe.
•Zaznamenávanie pokusov o prístup používateľov, kontrola a monitorovanie.
•Zaznamenávanie a kontrola fyzického prístupu.
•Implementácia viacfaktorového overovania pre vysokoprivilegovaný a správcovský prístup.
•Vynucovanie ukončenia pre interaktívne relácie po uplynutí určenej doby nečinnosti.
Ochrana dát
Šifrovanie dát
ESET chráni údaje vo svojej infraštruktúre; na šifrovanie uložených (vrátane prenosných zariadení) a prenášaných údajov sa používa silná kryptografia. Implementácia kryptografie sa riadi pravidlami definovanými v internej kryptografickej norme. Údaje zákazníkov sa uchovávajú v súlade s príslušnými predpismi, napr. nariadením GDPR, smernicou NIS2 alebo odvetvovými a finančnými predpismi.
Zavedené opatrenia:
•Certifikáty pre verejné služby vydáva všeobecne dôveryhodná certifikačná autorita.
•Interná infraštruktúra PKI spoločnosti ESET sa používa na správu kľúčov v rámci infraštruktúry spoločnosti ESET.
•Na zabezpečenie ochrany uložených údajov pre príslušné časti spracovania údajov alebo uchovávania údajov v cloudovom prostredí (úložiská údajov, zálohy) je aktívne natívne šifrovanie platformy poskytovateľa cloudových služieb.
•Je zavedená silná kryptografia (napr. TLS) na šifrovanie prenášaných údajov.
Zálohovanie a obnova údajov
Zálohovanie sa riadi politikou informačnej bezpečnosti pri prevádzke informačných a komunikačných technológií.
Všetky údaje o konfigurácii a nasadení portfólia spoločnosti ESET sú uložené v chránených a pravidelne zálohovaných úložiskách spoločnosti ESET, čo umožňuje automatizovanú obnovu konfigurácie prostredia. Pravidelný proces testovania obnovy po havárii sa používa na overenie obnoviteľnosti záloh konfigurácie v rámci očakávaných časov.
Údaje o zákazníkoch spoločnosti ESET sa pravidelne zálohujú v súlade s normami a predpismi pre odvetvie, požiadavkami na prevádzku vysokej dostupnosti a zmluvnými požiadavkami na obnoviteľnosť. Zálohy sú chránené proti neoprávnenej manipulácii a ich platnosť sa pravidelne testuje v rámci procesov kontroly obnovy po havárii.
Zabezpečenie siete
Segmentácia siete je aplikovaná v celom sieťovom prostredí spoločnosti ESET. Siete sú oddelené na základe definovaných kritérií a vynútené pomocou VLAN na firewalloch.
Spoločnosť ESET využíva rôzne systémy hraničnej ochrany vrátane firewallov L7, systémov detekcie narušenia a systémov prevencie narušenia. Tieto systémy sú nakonfigurované a udržiavané tak, aby chránili externé prístupové body a zabezpečili, že akékoľvek neoprávnené pokusy o prístup do siete sa odhalia a zabráni sa im.
Vzdialený prístup k interným prostriedkom je poskytovaný prostredníctvom používateľskej alebo site-to-site siete VPN s rolami a zodpovednosťami, bezpečnostnými požiadavkami a kontrolnými mechanizmami stanovenými v interných politikách spoločnosti ESET a nakonfigurovanými v súlade s bezpečnostnými štandardmi v odvetví. Používateľské účty pre VPN sa spravujú v rámci služby Active Directory a sú súčasťou procesu poskytovania účtov zamestnancov.
Spoločnosť ESET implementuje a udržiava kontrolné mechanizmy zabezpečenia siete na ochranu údajov, ktoré sa spracúvajú, prijímajú alebo ukladajú v cloudovom prostredí. Účty u CSP a príslušná infraštruktúra využívajú zoznamy riadenia prístupu k sieti a bezpečnostné skupiny v rámci virtuálnej siete CSP na obmedzenie prístupu ku všetkým poskytovaným prostriedkom. Prístup ku cloudovým zdrojom je možný len prostredníctvom šifrovaných kanálov.
Hardening
Spoločnosť ESET využíva proces zabezpečenia systémov na zníženie možnej zraniteľnosti voči útokom. To zahŕňa dodržiavanie techník a osvedčených postupov:
•existencia podpísaného zlatého obrazu, ktorý sa používa na inštaláciu alebo nasadenie hostiteľa alebo kontajnera,
•vypnutie nepotrebných služieb,
•automatické plánované pripájanie a ad hoc opravy kritických komponentov v prípade vysokého rizika,
•aktualizácie operačného systému pred ukončením jeho životného cyklu,
•konfigurácia nastavení zabezpečenia,
•automatizácia správy infraštruktúry a aplikácií opakovateľným a konzistentným spôsobom,
•odstraňovanie nepotrebného softvéru,
•obmedzenie prístupu k miestnym zdrojom,
•kontrolné mechanizmy na báze hostiteľa, ako je antivírus, detekcia a reakcia na hrozby na koncových zariadeniach a sieťové politiky.
Spoločnosť ESET využíva centralizovaný prístup na aplikovanie a overovanie hardeningu na komponenty IT prostredia, ktorého cieľom je minimalizovať možných miest útoku, čo je súhrn všetkých potenciálnych vstupných bodov, ktoré by mohli útočníci zneužiť. Podrobnosti nájdete v nasledujúcej časti tohto dokumentu.
Zabezpečenie aplikácie
Postupy bezpečného vývoja
Spoločnosť ESET implementuje postupy bezpečného vývoja softvéru prostredníctvom svojej Politiky bezpečnosti v životnom cykle vývoja softvéru (SSDLC), ktorá integruje bezpečnostné kontroly a riadenie rizík vo všetkých fázach vývoja.
Politika SSDLC definuje tieto požiadavky:
•Kód sa píše podľa usmernení pre bezpečné kódovanie a pred zlúčením sa skontroluje.
•Pri nových funkciách a významných zmenách sa vykonáva modelovanie hrozieb a preskúmanie návrhu.
•Automatizované bezpečnostné kontroly (statická analýza, skenovanie závislostí a vybrané dynamické testy) sa spúšťajú ako súčasť postupov CI/CD.
•Komponenty tretích strán a komponenty s otvoreným zdrojovým kódom sa sledujú a udržiavajú v aktuálnom stave; pre všetky vydané produkty sa udržiava SBOM.
•Zistenia z incidentov, penetračných testov a hlásení o chybách sa preskúmavajú a vracajú do procesu vývoja.
Cieľom politiky SSDLC je zabezpečiť, aby všetky softvérové produkty spoločnosti ESET boli bezpečné, spoľahlivé a v súlade s platnými normami a predpismi.
Správa zraniteľností produktov
Spoločnosť ESET udržiava definovaný proces identifikácie, hodnotenia a riešenia zraniteľností vo svojich aplikáciách a produktoch počas celého ich životného cyklu.
Tento proces sa vzťahuje na interne zistené problémy aj na hlásenia z externých zdrojov.
V rámci správy zraniteľností produktov spoločnosť ESET:
•Používa automatizované skenovacie nástroje na kontrolu zdrojového kódu, závislostí a artefaktov zostavy na prítomnosť známych zraniteľností.
•Manuálne preskúmava zistenia s cieľom potvrdiť vplyv a relevantnosť pred pridelením nápravy.
•Sleduje a určuje priority opráv na základe závažnosti, zneužiteľnosti a vystavenia produktu.
•Vykonáva cielené testovanie a opakované testovanie bezpečnosti s cieľom overiť nápravu.
•Integruje údaje o zraniteľnostiach do plánovania vývoja a vydávania verzií, aby sa kritické problémy riešili ešte pred odoslaním.
•Prijíma a spracúva externé hlásenia prostredníctvom koordinovaného zverejňovania a verejného programu odmeňovania za chyby.
•Prideľuje identifikátory CVE pre potvrdené zraniteľnosti produktov v rámci svojej úlohy CVE číslovacej autority (CNA).
•Aplikuje záplaty a opravy na základe závažnosti zraniteľnosti a vplyvu na podnikanie podľa štruktúrovaného procesu triedenia.
oProces triedenia je v súlade s normami ISO/IEC 30111 (riešenie zraniteľností) a ISO/IEC 29147 (zverejňovanie zraniteľností).
oNa pomoc pri určovaní priorít sa používa hodnotenie CVSS a externé zdroje informácií, ako je katalóg známych zneužívaných zraniteľností (KEV) CISA.
oKonečné rozhodnutia o náprave prijímajú spoločne zodpovedné tímy pre produkt a bezpečnosť.
Tieto procesy zabezpečujú, že zraniteľnosti sa spravujú konzistentným, transparentným a sledovateľným spôsobom vo všetkých produktoch spoločnosti ESET.
Penetračné testovanie
Spoločnosť ESET vykonáva pravidelné penetračné testovanie svojich produktov ako súčasť celkového procesu zaistenia bezpečnosti produktov – v rámci vlastného programu penetračného testovania. Testovanie sa vykonáva pred vydaním hlavných verzií a v plánovaných intervaloch pre udržiavané produkty.
Penetračné testovanie v spoločnosti ESET sa zameriava na:
•Overenie účinnosti zavedených bezpečnostných kontrol a zmiernení.
•Identifikáciu potenciálnych zraniteľností, ktoré automatizované nástroje nemusia odhaliť.
•Overenie výsledkov predchádzajúcich nápravných opatrení.
•Posúdenie celkových možných miest útoku a vystavenia vydaných produktov rizikám.
Testy vykonávajú v izolovaných prostrediach kvalifikovaní interní špecialisti alebo dôveryhodní externí partneri s použitím metodík uznávaných v odvetví (OWASP WSTG/MTG, NIST SP 800-115, PTES).
Zistenia sa dokumentujú, hodnotia a sledujú prostredníctvom rovnakého procesu správy zraniteľností, aký sa používa pre interne a externe nahlásené problémy.
Výsledky penetračných testov sa priamo premietajú do plánov zlepšovania produktov a SSDLC, čím pomáhajú zabezpečiť, aby sa zachytili získané skúsenosti a aby sa opakujúce sa nedostatky časom obmedzili.
Prevádzková bezpečnosť
Politika informačnej bezpečnosti pri prevádzke IKT
Politika informačnej bezpečnosti pri prevádzke IKT v spoločnosti stanovuje základné bezpečnostné pravidlá týkajúce sa prevádzky IKT v súlade s normou ISO 27001.
Politika informačnej bezpečnosti pri prevádzke IKT definuje bezpečnostné požiadavky na procesy prevádzky IT a ich dokumentáciu vrátane prevádzkových postupov, riadenia zmien, rozdelenia úloh a zodpovedností, oddelenia produkčných, testovacích a vývojových prostredí, služieb IT tretích strán, plánovania výkonnosti, IT projektov, ochrany pred škodlivým softvérom, zálohovania, bezpečnosti siete, bezpečnosti médií, požiadaviek na elektronický obchod a monitorovanie.
Zaznamenávanie a auditovanie
Zaznamenávanie a auditovanie systému sa vykonáva v súlade s internými normami a usmerneniami (Politika monitorovania bezpečnosti a riadenia bezpečnostných incidentov).
Záznamy a udalosti z infraštruktúry, operačného systému, databázy, aplikačných serverov a bezpečnostných kontrol sa zhromažďujú nepretržite. Spoločnosť ESET využíva centrálnu platformu na správu záznamov (SIEM) na ochranu relevantných záznamov pred neoprávnenou modifikáciou alebo zničením. IT a interné bezpečnostné tímy následne tieto záznamy spracúvajú s cieľom identifikovať prevádzkové a bezpečnostné anomálie a incidenty týkajúce sa informačnej bezpečnosti. Údaje v systéme SIEM sa uchovávajú po dobu vyžadovanú predpismi a na spätné vyhľadávanie hrozieb.
Monitorovanie bezpečnosti a reakcia na incidenty
Monitorovanie bezpečnosti a riadenie bezpečnostných incidentov je definované v Politike monitorovania bezpečnosti a riadenia bezpečnostných incidentov.
Hlavné body politiky:
•zodpovednosti a pravidlá pre vývoj, správnu konfiguráciu, ochranu, ukladanie, analýzu, vyhodnocovanie a uchovávanie bezpečnostných záznamov a auditov,
•procesy, úlohy a zodpovednosti pri riadení bezpečnostných incidentov,
•predchádzanie bezpečnostným incidentom,
•minimalizácia vplyvu bezpečnostných incidentov,
•poučenia z bezpečnostných incidentov,
•vzdelávanie zamestnancov o monitorovacích činnostiach, ich rozsahu a úlohe zamestnancov pri monitorovaní a reakcii na incidenty.
Zriadené centrum bezpečnostných operácií (SOC), ktoré funguje 24 hodín denne, je oprávnené nepretržite monitorovať stav bezpečnosti IT infraštruktúry a aplikácií a reagovať na bezpečnostné incidenty.
Správa incidentov informačnej bezpečnosti v spoločnosti ESET sa opiera o definovaný Postup reakcie na incidenty. Úlohy v rámci riešenia incidentov sú zadefinované a rozdelené medzi viaceré tímy z oblasti IT, bezpečnosti, právnych služieb, ľudských zdrojov, vzťahov s verejnosťou a výkonného manažmentu. Štandardné incidenty rieši tím SOC. V prípade závažnejších bezpečnostných incidentov je informované riadiace centrum. Riadiace centrum v spolupráci s tímom SOC koordinuje reakciu na incident a zapája do riešenia incidentu ďalšie tímy. Tím SOC, ktorému pomáhajú zodpovední členovia tímu vnútornej bezpečnosti, je zodpovedný aj za zhromažďovanie dôkazov k incidentu a získaných poznatkov. Vznik incidentu a jeho riešenie sa oznamuje dotknutým stranám vrátane zákazníkov a partnerov. Právny tím spoločnosti ESET je v prípade potreby zodpovedný za nahlásenie incidentu regulačným orgánom v súlade so všeobecným nariadením o ochrane údajov (GDPR) a aktom EÚ o kybernetickej bezpečnosti transponujúcim smernicu o bezpečnosti sietí a informačných systémov (NIS2).
Správa záplat
Správa záplat sa používa ako jedna z viacerých činností na nápravu zraniteľností.
Bezpečnostné záplaty sa vyhodnocujú a aplikujú na základe závažnosti a rizika identifikovaných zraniteľností.
Definovaný proces triedenia a určovania priorít určuje poradie a časový harmonogram nasadenia záplat. Tento proces sa riadi internými smernicami spoločnosti ESET, ktoré sú v súlade s normou ISO/IEC 30111. Hodnotenie CVSS a externé zdroje informácií o hrozbách, ako napríklad katalóg známych zneužiteľných zraniteľností (KEV) CISA, podporujú rozhodnutia založené na rizikách a určovaní priorít.
Všetky záplaty sa pred nasadením do produkcie overujú v kontrolovaných prostrediach, aby sa zabezpečilo, že vyriešia cieľový problém bez negatívneho vplyvu na stabilitu alebo kompatibilitu systému.
Nasadenie sa riadi zavedenými postupmi riadenia zmien, ktoré zabezpečujú sledovateľnosť, zodpovednosť a možnosť vrátenia v prípade potreby.
Činnosti súvisiace so záplatami sa priebežne monitorujú a prehodnocujú s cieľom potvrdiť účinnosť, identifikovať zastarané systémy a podporovať priebežné zlepšovanie procesov.
Smernica o protokolovaní aplikácií špecifikuje technické opatrenia a požiadavky, ktorými sa riadi protokolovanie pre všetky aplikácie vyvíjané spoločnosťou ESET.
Ochrana pred malvérom a hrozbami
Ochrana pred malvérom (antivírusovým softvérom a EDR) je stanovená v Politike informačnej bezpečnosti pri prevádzke informačných a komunikačných technológií. Zamestnanci sú povinní okamžite nahlásiť akékoľvek podozrenie na infekciu škodlivým softvérom na SOC, ako je uvedené v Politike informačnej bezpečnosti pre zamestnancov spoločnosti ESET.
Požiadavky na koncové zariadenia zamestnancov sú uvedené v bezpečnostnej norme pre pracovné stanice.
Spoločnosť ESET využíva na ochranu koncových zariadení a cloudových pracovných zaťažení vlastné antimalvérové nástroje obohatené o overené riešenia tretích strán.
Tím SOC vykonáva činnosti vyhľadávania hrozieb na základe Politiky monitorovania bezpečnosti a správy bezpečnostných incidentov. Údaje o hrozbách (kanály) sa zhromažďujú v systéme SIEM, ktorý ich automaticky prijíma a vytvára tak spravodajské informácie o hrozbách, ktoré sa aplikujú na udalosti v rámci monitorovania zabezpečenia.
Technický súlad
Tím internej bezpečnosti poskytuje a udržiava rôzne technické bezpečnostné štandardy pre infraštruktúru, cloud, webové komponenty a osvedčené postupy, ktoré majú vývojári a správcovia IT dodržiavať. Na základe technických noriem tím internej bezpečnosti pripravuje základné konfiguračné súbory, ktoré využívajú tímy IT na automatizáciu nasadzovania a vynucovania bezpečných konfigurácií.
Okrem toho sa kontroly zhody vykonávajú prostredníctvom nástroja na hodnotenie zraniteľnosti, ak je to možné. Spoločnosť ESET má zavedený program penetračného testovania a produkty, aplikácie a služby vyvíjané spoločnosťou ESET podliehajú pravidelnému penetračnému testovaniu na základe plánu programu. Všetky zistenia sa dokumentujú a nahlasujú zainteresovaným stranám pre produkt, aby sa čo najskôr zabezpečilo ich zmiernenie.
Fyzické zabezpečenie
Politika fyzického zabezpečenia a súvisiace normy fyzického zabezpečenia definujú pravidlá fyzického zabezpečenia kancelárskych priestorov a dátových centier. V tejto politike sa stanovujú pravidlá a postupy pre tieto oblasti:
•ochrana priestorov spoločnosti ESET,
•kontrola fyzického prístupu,
•zabezpečenie kancelárií, miestností a budov,
•práca v zabezpečených oblastiach,
•zabezpečenie zariadení, kabeláže a infraštruktúry.
Zabezpečenie dátových centier
Komponenty IT infraštruktúry sú fyzicky umiestnené vo viacerých dátových centrách, preto sa v každom regióne dosahuje redundancia.
Perimeter fyzického zabezpečenia je definovaný v Politike fyzického zabezpečenia a súvisiacich bezpečnostných normách pre kancelárske priestory a dátové centrá – Norma fyzického zabezpečenia pre dátové centrá. Spoločnosť ESET definovala pravidlá pre stanovenie bezpečnostného perimetra a kontrolných mechanizmov, ktoré sa majú aplikovať na perimeter fyzického zabezpečenia. Kľúčové kontrolné mechanizmy – vrátane zónovania a oddelenia fyzického zabezpečenia, riadenia prístupu a návštevníkov, protipožiarnej a protipovodňovej prevencie, ako aj kamerového systému a dohľadu s obsluhou – sú jasne definované, implementované a neustále monitorované. Zabezpečenie dátových centier pravidelne kontrolujú zodpovední pracovníci a externí audítori.
Spoločnosť ESET sa spolieha na opatrenia a kontroly fyzického zabezpečenia poskytovateľov cloudových služieb, preto pravidelne kontroluje správy o zhode príslušných poskytovateľov cloudových služieb.
Kontroly fyzického prístupu
Kontroly fyzického vstupu sú stanovené v Politike fyzického zabezpečenia a súvisiacich bezpečnostných normách pre kancelárske priestory a dátové centrá. Priestory sú rozdelené do chránených zón so špecifickými kontrolami prístupu.
Overovanie sa riadi v súlade s osvedčenými bezpečnostnými postupmi pomocou kľúčov, identifikačných/prístupových kariet a PIN kódov.
Zavedené je monitorovanie fyzického prístupu a prevencia/detekcia neoprávneného prístupu. Všetky vstupy sú monitorované kamerovým systémom so záznamom. Perimeter je monitorovaný aj snímačmi pohybu alebo rozbitia skla (vrátane stien so slabým odporom (t. j. sklenených alebo sadrokartónových stien), požiarnych východov a okien).
Kontinuita prevádzky a obnova po havárii
Spoločnosť ESET udržiava, pravidelne prehodnocuje, hodnotí a implementuje zlepšenia svojho systému riadenia kontinuity prevádzky v súlade s Politikou správy kontinuity prevádzky (BCM) v súlade s normou ISO 22301.
Spoločnosť ESET vytvorila program BCM, ktorý určuje priority všetkých aktivít v rámci spoločnosti a podlieha schváleniu CISO v súlade s Politikou pre BCM. Program BCM definuje prevádzkové činnosti a aktivity na zmiernenie rizík súvisiacich s BCM, napr. prostredníctvom redundancie alebo replikácie funkcií a IT infraštruktúry.
Vypracúvajú a prehodnocujú sa analýzy vplyvov na činnosť (BIA) s definovanými cieľmi kontinuity prevádzky (RTO, RPO, MTD, priority obnovy). Plány obnovy po havárii (DRP) sa kontrolujú a testujú podľa programu BCM. Stratégia kontinuity prevádzky určuje prístup k zachovaniu kritických podnikových prostriedkov. Všetky výstupy z pravidelných činností v oblasti kontinuity prevádzky slúžia ako vstupy pre neustále zlepšovanie.
Správa rizík tretích strán
Monitorovanie a kontrola dodávateľských služieb sa riadi Politikou informačnej bezpečnosti vo vzťahoch s dodávateľmi. Preskúmania sa vykonávajú štvrťročne a výsledky sa ukladajú do hodnotenia dodávateľa.
Dokumentácia, životný cyklus, aktualizácie a integrácie
- Zobraziť stránku ako na počítači
- ESET Online pomocník
- Životný cyklus produktov
- Najnovšie verzie
- Protokoly zmien
- Rozhrania API a integrácie
- Aktualizácie detekčného jadra