Haklarınızı ve sorumluluklarımızı tek bir yerden okuyup anlayın

Bu sayfanın içeriği makine tarafından çevrilmiş ve bir insan tarafından yalnızca kısmen düzenlenmiş olabilir.

Güvenlik İlkesi

Giriş

Belgenin Amacı

Bu belgenin amacı, ESET portföyü, yani ürünler, uygulamalar, çözümler ve ESET hizmetleri (bundan sonra Ürün olarak anılacaktır) içeren ESET altyapısında uygulanan teknik, organizasyonel ve fiziksel denetimleri ve güvenlik uygulamalarını özetlemektir. Güvenlik önlemleri, denetimleri ve politikaları korumak için tasarlanmıştır

•ESET portföy çalışması ve yerel ortamlarda veya bulut ortamlarında veri işleme

•Müşteri verilerinin gizliliği, bütünlüğü ve kullanılabilirliği

•yasa dışı imha, kayıp, değişiklik, yetkisiz ifşa veya erişimden kaynaklanan müşteri bilgileri

ESET, bu belgeyi ve gelişen tehditlere karşılık vermek ve gelişen güvenlik teknolojisine ve endüstri standartlarına adapte olmak için bunları yöneten belirli önlemleri, denetimleri ve politikaları güncelleyebilir.

Kitle

Bu belge, ESET portföyünün Güvenliği alanında güvence gerektiren herhangi bir kişi veya çevresine entegrasyon yoluyla ESET çözümlerini veya hizmetlerini kullanmayı planlayan Müşteri tarafından okunmalıdır.

Bağlam, kavram ve kapsam

ESET, spol s r.o. şirketi, entegre bir yönetim sistemi ile ISO 27001:2022 sertifikalıdır.

Bu nedenle bilgi güvenliği yönetimi kavramı, bilgi sistemi mimarisi yığınının her katmanında (örneğin ağ, işletim sistemleri, veri tabanları, uygulamalar, personel ve operasyonel süreçler) güvenlik kontrolleri uygulanırken katmanlı savunma güvenlik stratejisinin hayata geçirilmesi için ISO 27001 çerçevesini kullanır. Uygulanan güvenlik pratikleri ve güvenlik denetimleri birbiriyle örtüşecek ve tamamlayıcı olacak şekilde tasarlanmıştır.

Bu belgenin kapsamı; ESET portföyü için uygulanan teknik ve organizasyonel önlemleri; kuruluş, personel ve operasyonel işlemleri özetlemektir.

Güvenlik uygulamaları ve denetimleri, aşağıdakileri içeren ancak bunlarla sınırlı olmamak üzere yönetim ve teknik önlemler içerir:

•Bilgi güvenliği politikaları

•Bilgi güvenliği organizasyonu

•İnsan kaynakları güvenliği

•Erişim Denetimi

•Şifreleme

•Fiziksel güvenlik ve çevre güvenliği

•Veri koruması, Ağ güvenliği, Uygulama güvenliği

•Operasyonel güvenlik

•İletişim güvenliği

•Sistem edinimi, geliştirilmesi ve bakımı

•Sağlayıcı ilişkisi

•Bilgi güvenliği olay yönetimi

•İş devamlılığı yönetiminin bilgi güvenliğiyle ilgili yönleri

•Uyumluluk

Kısaltmalar

Kısaltılmış Terim	Terimin tamamı
Şirket	ESET, spol. s r.o.
CSP	Bulut Hizmet Sağlayıcısı
DR	Felaket kurtarma
ESET	ESET, spol. s r.o.
GDPR	Genel Veri Koruma Yönetmeliği
ICT	Bilgi ve İletişim Teknolojileri
IR	Olay Yanıtları
şudur	Bilgi Güvenliği
ISMS	Bilgi Güvenliği Yönetim Sistemi
BT	Bilgi Teknolojisi
NIS	Ağ ve Bilgi Güvenliği Direktifi'ni aktaran Siber Güvenlik Yasası
PKI	Kamu Anahtarı Altyapısı
Ürün	ESET portföyü - ürünler, uygulamalar, bulut platformları, çözümler ve bunların üzerinde ESET hizmetleri
SIEM	Güvenlik Bilgileri ve Olay Yönetimi
SSDLC	Güvenli Yazılım Geliştirme Yaşam Döngüsü
QMS	Kalite Yönetim Sistemi

Not: İtalik metin - Örneğin İç Yönetmelik Politikası gibi halka açık olmayan, referanslı dahili Şirket belgelerinin adları için kullanılır

Güvenlik Yönetimi

Bilgi güvenliği yönetim programı

Şirket ESET, bilgi varlıklarının korunmasını yönlendiren organizasyonlar arası bir işlevi olarak bir bilgi güvenliği yönetimi programı çerçevesi oluşturdu ve sürdürüyor. Bilgi güvenliği belgeleri, dahili Yönetmelikler Politikası üzerinden güvenlik politikaları, işlemleri ve belgeleri tarafından yönlendirilir. ESET, üst düzey olarak hizmet eden Entegre Yönetim Sistemi Politikası'nı kabul etti

•ISMS politikası,

•QMS politikası ve

•Bilgi Güvenliği Politikası.

ESET, kalite ve bilgi güvenliği yönetimi için çerçeveyi tanımlayan Entegre Yönetim Sistemi Politikasına uymaktadır. Bu politika, ESET için Ana Bilgi Güvenliği Örgütü'ne (CISO) aittir ve güvenlik ve kalite konusunda üst düzey yönetimin taahhütünü temsil eder. Bu alanların yönetimi ve güvenliği için sorumlulukları tanımlar ve ESET'in ISO 9001 ve ISO 27001 standartlarına uygun olarak yönetim sisteminin etkinliğini sürekli olarak değerlendirme ve iyileştirme taahhütünü tanımlar.

Kurumsal politikalar sürekli olarak uygunluğu, yeterliliği ve etkililiğini sağlamak amacıyla yıllık olarak belgelenir, saklanır ve gözden geçirilir ve önemli değişikliklerin ardından güncellenir. Güncellemeler, politikaların tüm çalışanlara sunulduğu dahili personele iletilir. Politikalar resmi olarak kabul edilir, CEO tarafından imzalanır, yayınlanır ve tüm çalışanlara ve ilgili taraflara iletilir. Politikalar, işe başlama üzerine ESET çalışanları tarafından resmî olarak kabul edilir.

Politikaların yanı sıra ESET'in Bilgi Güvenliği ve Teknik Güvenlik ekipleri, endüstri ve satıcı güvenliği en iyi uygulamalarına (örneğin, CIS referansları, OWASP, NIST) dayalı işlemler, prosedürler, standartlar ve yapılandırma temel çizgilerini tasarladı. Bunlar, ESET bilgi sistemlerinin ve ürünlerinin güvenli geliştirilmesini, yapılandırılmasını ve çalışmasını sağlamak için BT ve Teknoloji ekiplerine sağlanır.

ESET, ISO 9001 ve ISO 27001 için ESET sertifikalarına uygun olarak tüm personel için tasarlanan ve kullanılabilir hale gelen, birbiriyle bağlantılı yönetim belgelerini sürdürür. İşlem prosedürleri, her bir ekibin özel ihtiyaçlarını karşılamak üzere özelleştirilir, belirlenen çalışma alanları içinde yönetilir ve gerektikçe güncellenir.

Güvenlik politikalarına aykırı durumları ele almak ve düzeltmek için politika uyumluluğu izleme ve disiplin prosedürleri mevcuttur ve bu da ESET'in sorumluluk ve sürekli iyileştirme taahhütünü güçlendirir.

Sürekli uyumluluk ve etkinliği sağlamak için ESET, teknik ve organizasyonel denetimleri sürdüren bir risk yönetimi çerçevesi uyguladı. ESET'in risk yönetimi sürecinde, Entegre Yönetim Sistemi'nde (ISO 9001 ve ISO 27001) kapsamlı bir risk değerlendirmesi ve yönetimi vardır. Bu, varlıkların değerlendirilmesi, güvenlik gereksinimlerinin tanımlanması, risklerin hesaplanması ve uygun azaltma stratejilerinin seçilmesini içerir. Genel Bilgi Güvenliği Yöneticisi (CISO), genel risk yönetimi sürecini denetler ve güvenlik riskleri ve ilgili ölçümlerin düzenli olarak yönetime bildirilmesini sağlar. Ayrıca, üçüncü taraf risk yönetimi, ESET'in Sözleşme Güvenliği Standardına uygun olarak satıcı değerlendirmeleri aracılığıyla sıkı bir şekilde uygulanır.

Endüstri standardlarına uygunluk

Veri güvenliğini sağlamak ve düzenleyici gereksinimlere uymak için ESET'in yeteneklerine ve teknolojisine güvenen kuruluşlar için harici doğrulama ve akreditasyon çok önemlidir. Ayrıntılar için ESET sertifikaları sayfasına bakın.

Uyumluluk izleme

Entegre Yönetim Sistemi Politikası düzenli incelemeler ve denetimler de dahil olmak üzere entegre yönetim sistemi oluşturur.

İç denetimler, İç Denetim Politikası'nda açıklandığı şekilde ESET'in politikalarına ve işlemlerine uyumu düzenli olarak gözden geçirir. İç Yönetmelik Politikası, gerekirse dahili yönetmeliklerin uygulanmasının düzenli olarak izlenmesi ve ilgili ayarlamaların yapılması sorumluluğunu hükme bağlar.

Düzenli incelemeler ve dahili ve harici denetimler, yıllık ve üç yıllık uzun vadeli denetim planına uygun olarak gerçekleştirilir. Dahili denetimler, denetim kapsamına bağlı olarak düzenli olarak ESET politikalarına ve işlemlerine veya geçerli standartlara (örneğin ISO 9001, ISO 27001 ve SOC2) uyumu gözden geçiren bağımsız denetçiler tarafından gerçekleştirilir. İç denetimler en azından yılda bir planlanır ve gerçekleştirilir. Denetim bulguları, önceden tanımlanmış bir süre içinde uyumsuzlukları ele almak ve çözmekten sorumlu olan ilgili sahipler atanan özel bir bilet sisteminde toplanır ve kaydedilir. Yönetim denetimini gerektiren denetim bulguları ve kararları düzenli yönetim inceleme toplantılarında gözden geçirilir.

Bilgi Güvenliği Organizasyonu

Bilgi güvenliği ile ilgili sorumluluklar, yürürlükteki bilgi güvenliği politikalarına göre tahsis edilir. Dahili işlemler, ESET bilgi varlıklarının yetkisiz veya izinsiz değiştirilmesi ya da kötü amaçlı kullanımına yönelik herhangi bir risk açısından tanımlanır ve değerlendirilir. Dahili işlemlerin riskli veya hassas faaliyetleri için, riski azaltmak üzere güvenlikle ilgili en iyi uygulamalar ilkesi benimsenir.

Bilgi güvenliği, projenin başlangıcından tamamlanmasına kadar uygulanan proje yönetimi çerçevesi kullanılarak proje yönetiminde dikkate alınır.

Uzaktan çalışma ve tele çalışma, güvenilir olmayan ağlarda gezinirken güçlü kriptografik veri korumasının kullanımını içeren ve mobil cihazlarda uygulanan bir ilkenin kullanımıyla gerçekleştirilir. Mobil cihazlardaki güvenlik denetimleri, ESET dahili ağlarından ve dahili sistemlerinden bağımsız olarak çalışacak şekilde tasarlanmıştır.

İnsan Kaynakları Güvenliği

ESET, bilgi güvenliğini sürdürecek şekilde tasarlanan ilkeler dahil olmak üzere standart insan kaynakları uygulamalarını kullanır. Bu uygulamalar, çalışanların tüm yaşam döngüsünü kapsar ve tüm çalışanlara uygulanır.

ESET şirketi, ESET personelinin işe başlama sırasında geçmiş doğrulama ve tarama süreçlerinden geçirilmesini, iş sözleşmesinin bir parçası olarak, personeli kurum içi güvenlik politika ve standartlarına uymakla, ESET gizli bilgilerini ve müşteri verilerini korumakla yükümlü kılan bilgileri açıklamama veya gizlilik sözleşmesini imzalamasını; ayrıca ESET'in uyum ve farkındalık programı kapsamında, işe alım sırasında bilgi güvenliği farkındalık eğitimini tamamlamasını zorunlu kılar.

Teknik önlemler

Kimlik ve Erişim Yönetimi

ESET'in Giriş Yönetimi Politikası, ESET altyapısına her türlü erişimi yönetir. Tüm altyapı, teknoloji, uygulama veya araç düzeyleri için uygulanan sağlanan erişim haklarının verilmesi, geri çekilmesi, erişim değişikliği ve revizyonu alanında erişim kontrol süreçleri. Uygulama düzeyinde tam kullanıcı erişimi yönetimi otonom bir sistemle gerçekleştirilir. Kimlik tek giriş, kullanıcının yalnızca yetkili ortam veya uygulamaya erişebileceğini sağlayan merkezi bir kimlik sağlayıcısı tarafından yönetilir.

Kullanıcı ve erişim yönetimi, kullanıcı erişimi sağlamasını geri almak için süreçler ve teknik önlemler, kullanıcı erişimi sağlama, erişim haklarının gözden geçirilmesi, kaldırılması ve ayarlanması; ESET çalışanlarının güvenlik standartlarına uygun olarak ESET altyapısına ve ağlara erişmesini yönetmek için kullanılan yöntemlerdir ve aşağıdakileri içermekle beraber bunlarla sınırlı değildir:

•En az ayrıcalık "bilmeniz gereken" temeline dayalı erişim sağlama

•Kullanıcı erişiminin düzenli olarak gözden geçirilmesi

•Güvenlik politikasına uygun olarak kullanıcı erişiminin sonlandırılması

•Benzersiz hesabın herkese ataması

•Kullanıcı erişim girişimlerinin günlüğe kaydedilmesi, gözden geçirilmesi ve izlenmesi

•Fiziksel erişim kayıtları ve incelemesi

•Yüksek haklı ve yönetici erişimi için çok faktörlü kimlik doğrulamasının uygulanması

•İşlem yapılmayan belirli bir süre sonrasında etkileşimli oturumlar için süre aşımının devreye girmesi

Veri koruması

Veri Şifreleme

ESET, altyapısında bulunan verileri korur; dinlenme süresince (taşınabilir cihazlar da dahil) ve geçiş sırasında verileri şifrelemek için güçlü şifreleme kullanılır. Şifreleme uygulamasının, dahili Şifreleme standardı tarafından tanımlanan kurallara uyması. Müşteri verileri, örneğin GDPR, NIS2 direktifi veya endüstri ve finans düzenlemeleri ile ilgili düzenlemelere uygun olarak saklanır.

Geçerli önlemler:

•Genel web hizmetlerine yönelik sertifikaların çıkarılması için genel olarak güvenilir sertifika yetkilisi kullanılır

•ESET altyapısındaki anahtarları yönetmek için dahili ESET PKI kullanılır

•Bulut ortamında, veri işleme veya veri saklamanın ilgili bölümlerinde (veri depolama alanları, yedeklemeler) duran verilerin korunmasını sağlamak amacıyla CSP platformu yerleşik şifreleme özelliği etkinleştirilmiştir

•Aktarımdaki verileri şifrelemek için güçlü şifreleme (ör. TLS) mevcuttur

Veri Yedekleme ve Kurtarma

Yedekleme, Bilgi ve İletişim Teknolojileri İşleminde Bilgi Güvenliği Politikası tarafından yönetilir.

Tüm ESET portföy yapılandırması ve dağıtım verileri, bir çevre yapılandırmasının otomatik olarak kurtarılmasına olanak sağlamak için ESET'in korunan ve düzenli olarak yedeklenen depolarında depolanır. Şirketin beklenen zamanlar içinde yapılandırma yedekleme kurtarılabilirliğini doğrulamak için düzenli bir felaket kurtarma test süreci kullanılır.

ESET Müşterisinin verileri endüstri standartları ve düzenlemeleri, yüksek kullanılabilirlik faaliyetleri ve sözleşmeye dayalı geri yüklenebilirlik gereksinimleri uyarınca düzenli olarak yedeklenir. Yedeklemeler kurcalamaya karşı korumalıdır ve yedekleme geçerliliği, felaket kurtarma uygulama süreçleri tarafından düzenli olarak test edilir.

Ağ güvenliği

Ağ segmentasyonu, tüm ESET ağ ortamında uygulanır. Ağlar tanımlanmış kriterlere göre ayrılır ve yangın duvarlarında VLAN'lar kullanılarak uygulanır.

ESET, L7 güvenlik duvarları, sızıntı algılama sistemleri ve sızıntı önleme sistemleri de dahil olmak üzere çeşitli sınır koruma sistemlerini kullanır. Bu sistemler, harici erişim noktalarını korumak için yapılandırılır ve sürdürülür, böylece ağa erişmek için yetkisiz girişimlerin tespit edilir ve önlenir.

Dahili varlıklara uzaktan erişim, ESET dahili politikalarında belirtilen roller ve sorumluluklar, güvenlik gereksinimleri ve denetimler ile kullanıcı veya site-to-site VPN üzerinden sağlanır ve güvenlik endüstri standartlarına uygun olarak yapılandırılır. VPN kullanıcı hesapları Active Directory içinde tutulur ve çalışan hesabının sağlanması sürecinin bir parçasıdır.

ESET, bulut ortamında işlenen, alınan veya depolanan verileri korumak için ağ güvenlik denetimlerini uygular ve sürdürür. CSP hesapları ve altyapısı, sağlanan tüm kaynaklara erişimi sınırlamak için CSP'lerin Sanal Ağları içinde ağ erişim denetim listelerini ve güvenlik gruplarını kullanır. Bulut kaynaklarına erişim yalnızca şifrelenmiş kanallar üzerinden sağlanır.

Güvenlik Sıkılaştırma

ESET, saldırılara karşı olası güvenlik açığını azaltmak için sistemlerin güvenliği sürecini kullanır. Bu, aşağıdaki teknikleri ve en iyi uygulamaları içerir:

•Host veya konteynerin yüklenmesi veya dağıtılması için kullanılan imzalı bir altın görüntüye sahip olmak

•Gereksiz hizmetleri devre dışı bırakmak

•yüksek risk durumunda kritik bileşenlerin otomatik planlanmış bağlanması ve ihtiyaca yönelik yama uygulaması

•Kullanım Ömrü Sonuna ulaşmadan önce işletim sistemi güncellemeleri

•güvenlik ayarlarını yapılandırmak

•Altyapının ve uygulama yönetimini tekrarlayıcı ve tutarlı bir şekilde otomatikleştirmek

•gereksiz yazılımları kaldırmak

•Yerel kaynaklara erişimini kısıtlama

•antivirüs, son nokta algısı ve yanıt gibi ev sahipliği tabanlı denetimler ve ağ politikaları

ESET, saldırganların kullanabilecekleri tüm potansiyel giriş noktalarının toplamını oluşturan saldırı yüzeyini en aza indirmek amacıyla BT ortamlarının bileşenlerine sertleştirme uygulamak ve doğrulamak için merkezi bir yaklaşım kullanır. Ayrıntılar için, bu belgenin aşağıdaki bölümüne bakın.

Uygulama Güvenliği

Güvenli Geliştirme Uygulamaları

ESET, tüm geliştirme aşamalarında güvenlik denetimlerini ve risk yönetimini entegre eden Yazılım Geliştirme Ömrünün Güvenliği Politikası (SSDLC) aracılığıyla güvenli yazılım geliştirme uygulamalarını uygular.

SSDLC politikası şunlara yönelik gereksinimleri tanımlar:

•Kod güvenli kodlama yönergeleri uyarınca yazılır ve birleşmeden önce gözden geçirilir

•Yeni özellikler ve önemli değişiklikler için tehdit modelleme ve tasarım incelemeleri yapılır

•CI/CD akışlarının bir parçası olarak yürütülen otomatik güvenlik denetimleri (statik analiz, bağımlılık taraması ve seçilen dinamik testler)

•Üçüncü taraf ve açık kaynaklı bileşenler izlenir ve güncel tutulur; tüm yayınlanan ürünler için bir SBOM sağlanır

•Olaylardan elde edilen bulgular, penetrasyon testleri ve hata ödülleri raporları gözden geçirilir ve geliştirme sürecine geri aktarılır

SSDLC politikasının amacı, tüm ESET yazılım Ürünlerinin güvenli, güvenilir ve geçerli standartlara ve düzenlemelere uygun olduğundan emin olmaktir.

Ürün Zayıflık Yönetimi

ESET, kullanım ömrü boyunca uygulamalardaki ve Ürünlerdeki güvenlik açığını tanımlamak, değerlendirmek ve ele almak için belirlenmiş bir süreç sürdürür.

İşlem, hem dahili olarak keşfedilen sorunları hem de harici kaynaklardan gelen raporları kapsar.

ESET, Ürün güvenlik açığı yönetiminin bir parçası olarak:

•Kaynak kodu, bağımlılıkları taramak ve bilinen güvenlik açığı için eserler oluşturmak için otomatik tarama araçlarını kullanır

•İyileştirmeyi atamadan önce etkiyi ve önemini onaylamak için bulguları manuel olarak gözden geçirir

•Ağırlık, kullanışlılık ve ürün maruziyetine dayalı olarak düzeltmeleri izler ve öncelik verir

•İyileştirmeyi doğrulamak için hedefli güvenlik testlerini ve yeniden testlerini gerçekleştirir

•Güvenlik açığı verilerini geliştirme ve yayın planlamasına entegre eder, böylece kritik sorunlar gönderilmeden önce ele alınır

•Koordineli ifşa ve halka açık bir hata ödülleri programı aracılığıyla harici raporları kabul eder ve ele alır

•CVE Numara Yetkilisi (CNA) olarak rolünün bir parçası olarak onaylanmış ürün güvenlik açığı için CVE kimliklerini atar

•Yapısal bir gruplandırma işlemi uyarınca, güvenlik açığı ciddiyetine ve iş etkisine dayalı olarak düzeltmeler ve düzeltmeler uygulanır

oSınıflandırma işlemi ISO/IEC 30111 (güvenlik açığı yönetimi) ve ISO/IEC 29147 (güvenlik açığı ifşası) ile uyumludur

oÖnceliklendirme sürecini yönlendirmek için CVSS puanlama ve CISA'nın Bilinen Kötüye Kullanılan Güvenlik Açıkları (KEV) kataloğu gibi harici istihbarat kaynakları kullanılır

oSon düzeltme kararları, sorumlu Ürün ve güvenlik ekipleri tarafından işbirliği içinde alınır

Bu işlemler, tüm ESET Ürünleri boyunca güvenlik açığı sorunlarının tutarlı, şeffaf ve izlenebilir bir şekilde yönetilmesini sağlar.

Penetrasyon Testleri

ESET, kendi Penetration Testing Programımız kapsamındaki genel ürün güvenliği garanti sürecinin bir parçası olarak Ürünlerini düzenli olarak penetrasyon testlerini gerçekleştirir. Testler, önemli yayınlardan önce ve sürdürülen Ürünler için planlanan aralıklarla gerçekleştirilir.

ESET'teki penetrasyon testleri şunlara odaklanır:

•Uygulanan güvenlik denetimlerinin ve azaltımların etkili olup olmadığını doğrulamak

•Otomatik araçların tespit edemeyeceği potansiyel güvenlik açığını tanımlamak

•Önceki düzeltme çabalarının sonuçlarını doğrulamak

•Yayınlanan Ürünlerin genel saldırı yüzeyinin ve riski maruziyetinin değerlendirilmesi

Testler, tanınmış endüstri yöntemi kullanan nitelikli dahili uzmanlar veya güvenilir harici iş ortakları tarafından yalıtılmış ortamlarda gerçekleştirilir (OWASP WSTG / MTG, NIST SP 800-115, PTES).

Bulgular, dahili ve harici olarak bildirilen sorunlar için kullanılan aynı güvenlik açığı yönetimi süreci aracılığıyla belgelendirilir, değerlendirilir ve izlenir.

Penetrasyon test sonuçları doğrudan Ürün iyileştirme planlarına ve SSDLC'ye aktarılır ve öğrenilen derslerin yakalanmasını ve tekrarlanan zayıflıkların zamanla azaltılmasını sağlar.

Operasyonel Güvenlik

ICT İşlemlerinde Bilgi Güvenliği Politikası

Şirket içinde ICT İşleminde Bilgi Güvenliği Politikası ISO 27001 standardına uygun olarak ICT işleyişiyle ilgili temel güvenlik kurallarını oluşturur.

ICT İşleminde Bilgi Güvenliği Politikası; operasyonel prosedürler, değişim yönetimi, rollerin ve sorumlulukların ayrılması, üretimin ayrılması, test ve geliştirme ortamları, üçüncü taraf BT hizmetleri, performans planlaması, BT projeleri, zararlı yazılım korumaları, yedekleme, ağ güvenliği, medya güvenliği, e-ticaret gereksinimleri ve izleme dahil olmak üzere BT operasyonel işlemleri ve bunların dokümantasyonu için güvenlik gereksinimlerini tanımlar.

Kayıt ve Denetim

Bir sistemde kayıt ve denetim, dahili standartlara ve yönergelere göre gerçekleştirilir (Güvenlik Denetim ve Güvenlik Olayları Yönetimi Politikası).

Altyapıdan, işletim sisteminden, veri tabanından, uygulama sunucularından ve güvenlik denetimlerinden alınan günlükler ve olaylar sürekli olarak toplanır. ESET, ilgili günlükleri yetkisiz değişikliklerden veya imha edilmeden korumak için merkezi bir günlük yönetimi platformunu (SIEM) kullanır. Günlükler, operasyonel anomalileri ve güvenlik anomalilerinin yanı sıra bilgi güvenliği ile ilgili olayları tespit etmek için BT ve dahili güvenlik tarafından daha fazla işlenir. SIEM'deki veriler, düzenlemeler tarafından gerektirilen süre ve geri dönüm tehdit avı için saklanır.

Güvenlik Denetimleri ve Olay Yanıtları

Güvenlik olaylarının izlenmesi ve yönetimi, Güvenlik İzleme ve Güvenlik Olayları Yönetimi Politikası tarafından tanımlanır.

Politikalar

•Güvenlik günlüğünün ve denetiminin geliştirilmesi, uygun şekilde yapılandırılması, korunması, depolaması, analizi, değerlendirilmesi ve saklanması için yükümlülükler ve kurallar

•güvenlik olay yönetimi için işlemler, roller ve sorumluluklar

•güvenlik olaylarını önlemek

•Güvenlik olaylarının etkisini en aza indirmek

•Güvenlik olaylarından öğrenme

•Çalışanları izleme faaliyetleri, kapsamları ve izleme ve olay yanıtında çalışanların rolü hakkında eğitmek

24x7'de faaliyet gösteren kurulan bir Güvenlik İşlem Merkezi (SOC), BT altyapısının ve uygulamaların güvenlik durumunu sürekli olarak izlemeye ve güvenlik olaylarına yanıt verme yetkisine sahiptir.

ESET'teki bilgi güvenliği olay yönetimi, tanımlanan Olay Müdahale Prosedürü'ne dayanır. Olay yanıtı içindeki roller; BT, güvenlik, hukuk, insan kaynakları, kamu ilişkileri ve yürütme yönetimi dahil olmak üzere birden çok ekip arasında tanımlanır ve tahsis edilir. Standart olaylar SOC ekibi tarafından ele alınır. Daha önemli güvenlik olayları için Komut Merkezi bilgilendirilir. Komut Merkezi, SOC ekibiyle iş birliği içinde, olay yanıtını koordine eder ve olayla başa çıkmak için diğer ekipleri davet eder. Ayrıca iç güvenlik ekibinin sorumlu üyeleri tarafından desteklenen SOC ekibi de kanıt koleksiyonundan ve öğrenilen bilgilerden sorumludur. Olay oluşumu ve çözümlemesi müşteriler ve ortaklar da dahil olmak üzere etkilenen taraflara iletilir. ESET yasal ekibi, Genel Veri Koruma Yönetmeliği (GDPR) ve Ağ ve Bilgi Güvenliği Yönetmeliği'ni (NIS2) aktaran Siber Güvenlik Yasası'na uygun olarak gerektiğinde düzenleyici kurumlara bildirimde bulunmaktan sorumludur.

Yama yönetimi

Yama Yönetimi, güvenlik açıklarını düzeltmek için bazı hafifletme faaliyetinden biri olarak kullanılır.

Güvenlik yamaları belirlenen güvenlik açıklarındaki önem derecesi ve riskine bağlı olarak uygulanır.

Belirlenen bir gruplandırma ve önceliklendirme süreci, düzeltme dağıtımı sırasını ve zaman çizgilerini belirler. Bu işlem, ISO/IEC 30111 ile uyumlu olan ESET'in dahili yönergelerini takip eder. CVSS puanlama ve CISA'nın Bilinir Kullanılabilir Zayıflıklar (KEV) katalogu gibi harici tehdit istihbaratı kaynakları, risk tabanlı kararlar ve öncelikler desteği.

Tüm düzeltmeler, sistem istikrarını veya uyumluluğunu olumsuz bir şekilde etkilemeden hedef sorunu çözmelerini sağlamak için üretime dağıtmadan önce kontrol edilen ortamlarda doğrulanır.

Dağıtım, gerekli olduğunda izlenebilirliği, sorumluluğu ve geri dönüş yeteneğini sağlayan kurulan değişiklik yönetimi prosedürlerine uyar.

Yama etkinlikleri; etkililiği onaylamak, güncel olmayan sistemleri tespit etmek ve devam eden işlem iyileştirmelerini teşvik etmek için sürekli olarak izlenir ve gözden geçirilir.

İşletme Günlüğü Yönetmeliği, ESET tarafından geliştirilen tüm uygulamalar için günlüklemeyi yöneten teknik önlemleri ve gereksinimleri belirtir.

Malware ve Tehdit Koruması

Zararlı yazılıma karşı koruma (antivirus yazılımı ve EDR tarafından) Bilgi ve İletişim Teknolojilerinin İşleyişinde Bilgi Güvenliği ile ilgili Politikada şartlara bağlanmıştır. Çalışanların, ESET çalışanları için bilgi güvenliği politikasında açıklandığı şekilde kötü amaçlı yazılım enfeksiyonunun şüphesini derhal SOC'e bildirmeleri gerekmektedir.

Çalışan son noktaları için gereksinimler, İş İstasyonları için Güvenlik Standardında belirtilmiştir.

ESET, son noktaları ve bulut iş yüklerini korumak için doğrulanmış üçüncü taraf çözümlerle zenginleştirilen kendi anti-malware araçlarını kullanır.

SOC ekibi Güvenlik İzleme ve Güvenlik Olayları Yönetimi Politikasına dayalı olarak tehdit avı faaliyetlerini gerçekleştirir. Tehdit verileri (feed'ler) SIEM sistemine toplanır ve bu sistem güvenlik izlemesinde olaylara uygulanan tehdit istihbaratını üretmek için bu verileri otomatik olarak içine alır.

Teknik uyumluluk

İç Güvenlik ekibi altyapı, bulut, web ile ilgili bileşenler ve geliştiricilerin ve BT yöneticilerinin izlemesi için en iyi uygulamalar için çeşitli teknik güvenlik standartlarını sağlar ve sürdürür. Teknik standartlara dayalı olarak, dahili Güvenlik ekibi, güvenli yapılandırmaların dağıtımının ve yürütülmesinin otomatikleştirilmesi için BT ekipleri tarafından kullanılan yapılandırma temel çizgi dosyalarını hazırlar.

Ayrıca, uygulanabilir olduğunda uyumluluk taramaları, güvenlik açığı değerlendirme aracı üzerinden gerçekleştirilir. ESET'in kurulan bir Penetrasyon Test Programı vardır ve ESET tarafından geliştirilen ürünler, uygulamalar ve hizmetler program planına dayalı olarak düzenli penetrasyon testlerine tabi tutulur. Tüm bulgular, mümkün olan en kısa zamanda hafifletilmelerini sağlamak için belgelendirilir ve Ürün paydaşlarına bildirilir.

Fiziksel Güvenlik

Fiziksel Güvenlik Politikası ve ilgili fiziksel güvenlik standartları, ofis alanları ve veri merkezleri çevresindeki fiziksel güvenlik için kurallar tanımlar. Bu politikada şunlar için kurallar ve prosedürler belirlenir:

•ESET tesislerinin korunması

•fiziksel erişim kontrolü

•ofisler, odalar ve binalar güvenliği

•güvenli alanlarda çalışmak

•Cihaz güvenliği, kablolar ve altyapı

Veri Merkezi Güvenliği

BT altyapısının bileşenleri fiziksel olarak birden fazla veri merkezinde bulunur; bu nedenle her bir bölgede redundans sağlanır.

Fiziksel güvenlik kapsamı, Fiziksel Güvenlik Politikası'nda ve ofis alanları ve veri merkezleri için ilgili güvenlik standartlarında (veri merkezleri için fiziksel güvenlik standardı) tanımlanır. ESET, bir güvenlik çevresinin oluşturulmasına ve fiziksel güvenlik çevresinde uygulanacak kontrollere ilişkin kuralları tanımlamıştır. Fiziksel güvenlik bölünmesi ve ayırımı, erişim ve ziyaretçi yönetimi, yangın ve sel önleme, CCTV ve kişisel gözetim dahil olmak üzere anahtar denetimler açıkça tanımlanır, uygulanır ve sürekli olarak izlenir. DC güvenliği, sorumlu personel ve harici denetçiler tarafından düzenli olarak incelenir.

ESET, CSP'lerin fiziksel güvenlik önlemlerine ve denetimlerine güvenir; bu nedenle, ilgili CSP'lerin uyumluluk raporlarını düzenli olarak gözden geçirir.

Fiziksel Erişim Denetimleri

Fiziksel giriş denetimleri, ofis alanları ve veri merkezleri için Fiziksel Güvenlik Politikasında ve ilgili güvenlik standartlarında belirtilmiştir. Şubeler, belirli erişim denetimleri olan korunan bölgelere ayrılır.

Kimlik doğrulama, anahtarlar, kimlik kartları/bilgi kartları ve PIN'ler kullanılarak güvenlik en iyi uygulamalarına uygun olarak yönetilir.

Fiziksel erişim izleme ve yetkisiz erişim önleme/gizleme uygulanır. Tüm girişler, kayıtlı bir kayıt ile CCTV tarafından izlenir. Çevre ayrıca hareket veya cam kırma sensörleri tarafından da izlenir (zayıf dirençli duvarlar, örneğin cam veya kuru duvar gibi, yangın çıkışları ve pencereler dahil olmak üzere).

İş Sürekliliği ve Kaza Kurtarma

ESET, ISO 22301'e uygun olarak İş Sürekliliği Yönetimi Politikası'na uygun olarak iş devamlılığı yönetimi sistemindeki iyileştirmeleri sürdürür, düzenli olarak gözden geçirir, değerlendirir ve uygulamaktadır.

ESET, Şirket içinde tüm faaliyetleri önceliklendiren ve BCM Politikası uyarınca CISO onayına tabi olan BCM Programını kurdu. BCM Programı, örneğin yedeklilik veya fonksiyonların ve BT altyapısının çoğaltılması yoluyla, operasyonel faaliyetleri ve BCM ile ilişkili riskleri azaltmaya yönelik faaliyetleri tanımlar.

Belirlenen iş devamlılığı hedefleri (RTO, RPO, MTD, kurtarma öncelikleri) olan İş Etkisi Analizleri (BIA) hazırlanır ve incelenir. Tehlike kurtarma planları (DRP), BCM Programı uyarınca gözden geçirilir ve test edilir. İş Sürekliliği stratejisi, kritik iş varlıklarını koruma yaklaşımını belirler. Düzenli iş devamlılığı faaliyetlerinden elde edilen tüm çıkışlar sürekli iyileştirmeler için bir giriş olarak hizmet eder.

Üçüncü Taraf Risk Yönetimi

Sağlayıcı hizmetlerinin izlenmesi ve gözden geçirilmesi, Sağlayıcı İlişkilerinde Bilgi Güvenliği Politikası tarafından yönetilir. Değerlendirmeler çeyrek ayda bir gerçekleştirilir ve sonuçlar Sağlayıcı değerlendirmesi'nda depolanır.