Дізнайтеся про свої права й наші обов’язки в одному місці

Вміст цієї сторінки міг бути перекладений інструментами машинного перекладу й лише частково відредагованим людиною.

Політика безпеки

Вступ

Призначення документа

Мета цього документа — підсумувати технічні, організаційні й фізичні засоби контролю та методи захисту, що застосовуються в інфраструктурі ESET, а саме в портфелі ESET, який містить продукти, програми, рішення й послуги ESET (далі — "Продукт"). Заходи безпеки, засоби контролю й політики призначені для захисту таких аспектів:

•операції в портфелі ESET і опрацювання даних у локальних або хмарних середовищах

•конфіденційність, цілісність і доступність даних Користувачів

•інформація про користувача від незаконного знищення, втрати, зміни, несанкціонованого розкриття чи доступу

Компанія ESET може оновити цей документ, а також конкретні заходи, елементи керування й політики, що керують ними, щоб відповідати змінюваним загрозам і адаптуватися до розвитку технологій безпеки та галузевих стандартів.

Аудиторія

Цей документ має прочитати будь-яка особа, яка потребує підтвердження в області безпеки портфеля ESET, або Користувач, який має намір використовувати рішення або послуги ESET шляхом інтеграції в своє середовище.

Контекст, концепція й сфера застосування

Компанія ESET, spol s r.o., має сертифікацію ISO 27001:2022 з інтегрованою системою управління.

Тому в концепції управління інформаційною безпекою використовується стандарт ISO 27001, який дає змогу впроваджувати стратегію багаторівневого захисту під час застосування засобів контролю безпеки на всіх рівнях архітектурного стека інформаційної системи, таких як мережа, операційні системи й процеси, бази даних, програми та персонал. Застосовувані методи захисту й елементи керування безпекою призначені для доповнення один одного й дублювання певних функцій.

Цей документ має на меті узагальнити технічні й організаційні заходи, що вживаються для портфеля ESET, організації, персоналу й операційних процесів.

Методи захисту й елементи керування безпекою й технічні заходи, зокрема:

•Політики інформаційної безпеки

•Організація інформаційної безпеки

•Безпека, пов’язана з роботою персоналу

•Керування доступом

•Криптографія

•Фізична безпека й безпека середовища

•Захист даних, Безпека мережі, Безпека Програми

•Операційна безпека

•Безпека обміну даними

•Придбання, розробка й обслуговування системи

•Відносини з постачальниками

•Керування інцидентами, які стосуються інформаційної безпеки

•Аспекти інформаційної безпеки керування безперервністю бізнесу

•Відповідність нормативним вимогам

Абревіатури

Скорочений термін	Повний термін
Компанія	ESET, spol. s r. o.
CSP	Постачальник послуг у хмарі
DR	Аварійне відновлення
ESET	ESET, spol. s r. o.
GDPR	Загальний регламент щодо захисту даних
ІКТ	Інформаційні й комунікаційні технології
IR	реагування на інциденти
є	Інформаційна безпека
ISMS	Система управління інформаційною безпекою
IT	Інформаційні технології
NIS	Закон про кібербезпеку, що доповнює Директиву про мережеву й інформаційну безпеку
PKI	Інфраструктура відкритих ключів
Продукт	Портфель ESET: продукти, програми, хмарні платформи, рішення й послуги ESET.
SIEM	Інформація про безпеку й Керування подіями
SSDLC	Життєвий цикл захищеної розробки програмного забезпечення
QMS	Система управління якістю

Примітка: Курсивом виділено назви згаданих тут внутрішніх документів Компанії, які недоступні для широкого загалу (наприклад, Політика щодо регулювання внутрішніх процесів).

Керування безпекою

Програма управління інформаційною безпекою

Компанія ESET створила й підтримує програму управління інформаційною безпекою як міжорганізаційну функцію, яка керує захистом інформаційних активів. Документація щодо безпеки інформації керується політиками, процесами й документацією із внутрішніх правил. Компанія ESET прийняла Політику інтегрованої системи керування, яка діє на найвищому рівні.

•Політика ISMS.

•Політика QMS та

•Політика інформаційної безпеки

Компанія ESET дотримується своєї Політики інтегрованої системи управління, яка визначає рамки для управління якістю й безпекою інформації. Ця політика належить директору з інформаційної безпеки (CISO) компанії ESET і відображає зобов’язання вищого керівництва щодо безпеки і якості. У ній визначено обов’язки щодо управління й забезпечення надійності цих сфер і окреслено зобов’язання компанії ESET постійно оцінювати й підвищувати ефективність своєї системи управління відповідно до стандартів ISO 9001 і ISO 27001.

Корпоративні політики щорічно документуються, підтримуються й переглядаються, а також оновлюються після суттєвих змін із метою забезпечення їх постійної придатності, достатності й ефективності. Оновлення повідомляються внутрішньому персоналу, де політика доступна для всіх співробітників. Політики формально приймаються, підписуються генеральним директором, публікуються й повідомляються всім співробітникам і відповідним сторонам. Працівники ESET повинні ознайомитися з політиками й офіційно засвідчити це під час прийому на роботу.

Крім політик, команди ESET з інформаційної і технічної безпеки розробили процеси, процедури, стандарти й базові конфігурації на основі найкращих галузевих практик і рекомендацій постачальників рішень із безпеки (наприклад, CIS Benchmarks, OWASP, NIST). Вони надаються технологічним і ІТ-командам із метою забезпечення захищеної розробки, налаштування й експлуатації інформаційних систем і продуктів ESET.

Компанія ESET підтримує взаємопов’язану документацію з управління, яка розроблена й доступна всім співробітникам відповідно до сертифікацій ESET для ISO 9001 і ISO 27001. Операційні процедури адаптуються відповідно до специфічних потреб кожної команди, управляються у визначених робочих середовищах і оновлюються за потреби.

Моніторинг дотримання політик і дисциплінарні процедури допомагають виявляти й усувати будь-які порушення політик безпеки, що підкреслює зобов’язання ESET щодо відповідальності й постійного вдосконалення.

Щоб забезпечувати постійну відповідність вимогам і підвищувати ефективність процесів, компанія ESET упровадила систему управління ризиками, що підтримує технічні й організаційні засоби контролю. Процес управління ризиками ESET включає всеосяжну оцінку й управління ризиками в рамках Інтегрованої системи управління (на основі ISO 9001 і ISO 27001). Зокрема, сюди входить оцінка інформаційних ресурсів, визначення вимог безпеки, розрахунок ризиків і вибір відповідних стратегій їх зменшення. Директор з інформаційної безпеки (CISO) здійснює нагляд за загальним процесом управління ризиками, щоб регулярно звітувати перед виконавчим керівництвом про ризики безпеки й пов’язані з ними показники. Крім того, управління ризиками, пов’язаними зі сторонніми постачальниками, суворо контролюється шляхом оцінки постачальників відповідно до Стандарту безпеки договірних відносин ESET.

Відповідність галузевим стандартам

Зовнішня валідація й акредитація мають важливе значення для організацій, які покладаються на можливості й технології ESET для захисту своїх даних і дотримання нормативних вимог. Детальніше див. на сторінці сертифікації ESET.

Моніторинг дотримання вимог

Політика інтегрованої системи керування встановлює інтегровану систему керування, включаючи регулярні огляди й аудити.

Внутрішні аудитори регулярно перевіряють дотримання політик і процесів ESET, як описано в Політиці внутрішнього аудиту. Політика внутрішніх правил передбачає відповідальність за регулярний моніторинг застосування внутрішніх правил і відповідних коригувань, якщо необхідно.

Регулярні перевірки, а також внутрішні й зовнішні аудити проводяться відповідно до щорічного та трирічного плану довгострокового аудиту. Внутрішні аудити проводяться незалежними аудиторами, які регулярно перевіряють дотримання політик і процесів ESET або застосовних стандартів (наприклад, ISO 9001, ISO 27001 і SOC2), залежно від обсягу аудиту. Внутрішні аудити плануються й проводяться щонайменше раз на рік. Результати аудитів збираються й фіксуються в спеціальній системі обліку завдань, для яких призначаються особи, відповідальні за усунення невідповідностей у встановлений термін. Висновки аудитів, що потребують уваги й прийняття рішень із боку керівництва, розглядаються на регулярних нарадах.

Організація інформаційної безпеки

Обов’язки щодо безпеки інформації розподіляються відповідно до чинних політик інформаційної безпеки. Внутрішні процеси визначаються й оцінюються на наявність ризиків несанкціонованої чи ненавмисної модифікації або неналежного використання інформаційних ресурсів ESET. Для тих операцій внутрішніх процесів, які пов’язані з ризиком або конфіденційними даними, діє принцип найкращих практик безпеки. Це дає змогу знизити ризик.

Для керування проектами враховуються складові інформаційної безпеки з використанням структури керування проектами (від початку до завершення).

Віддалену роботу й телекомунікації регулює політика, упроваджена на мобільних пристроях, що передбачає використання потужного криптографічного захисту даних під час роботи в ненадійних мережах. Елементи керування безпекою на мобільних пристроях працюють незалежно від внутрішніх мереж ESET і внутрішніх систем.

Безпека, пов’язана з роботою персоналу

ESET використовує стандартні практики щодо персоналу, зокрема політики, призначені для забезпечення інформаційної безпеки. Ці практики охоплюють весь життєвий цикл працівника й застосовуються до всіх працівників.

Згідно з вимогами компанії ESET, під час прийому на роботу кандидати повинні проходити скринінги й перевірки біографічних даних; підписувати угоди про нерозголошення або конфіденційність як частини трудового договору, що зобов’язує їх дотримуватися внутрішніх політик і стандартів безпеки, захищати конфіденційну корпоративну інформацію і дані клієнтів ESET; а також під час введення на посаду проходити навчання з підвищення обізнаності в питаннях інформаційної безпеки в межах програми ESET із дотримання вимог і підвищення обізнаності.

Технічні заходи

Керування ідентифікаціями й доступом

Політика ESET щодо керування доступом регулює кожен доступ до інфраструктури ESET. Процеси контролю доступу, зокрема його надання, відкликання, змінення, а також перегляд наданих прав доступу, що застосовуються на всіх рівнях інфраструктури, технологій, програм або інструментів. Керування повним доступом користувача на рівні програми є автономним. Єдиний вхід у систему регулює центральний постачальник особистих даних, що гарантує доступ користувачів лише до дозволених середовищ або програм.

Керування користувачами й доступом, процеси й технічні заходи для припинення надання доступу користувачам, надання доступу користувачам, перегляду, видалення й налаштування прав доступу використовуються для керування доступом співробітників ESET до інфраструктури й мереж ESET відповідно до стандартів безпеки, які включають, але не обмежуються:

•Надання доступу на основі принципу мінімальних привілеїв ("потрібно знати")

•Регулярний перегляд прав доступу користувачів

•Припинення доступу Користувача відповідно до політики безпеки

•Призначення унікального облікового запису кожному.

•Ведення журналів про спроби доступу користувачів, перевірку й моніторинг.

•Ведення журналів і перевірка фізичного доступу

•Імплементація багатофакторної автентифікації для високопривілейованого та адміністративного доступу

•Застосування терміну дії для інтерактивних сеансів після визначеного періоду бездіяльності

Захист даних

Шифрування даних

ESET захищає дані в своїй інфраструктурі; для шифрування даних під час спокою (зокрема, на портативних пристроях) і в транзиті використовується потужна криптографія. Імплементація криптографії здійснюється за правилами, визначеними внутрішнім стандартом криптографії. Дані клієнтів зберігаються відповідно до відповідних регламентів, наприклад, GDPR, директиви NIS2 або галузевих та фінансових регламентів.

Вжиті заходи:

•Довірені центри сертифікації випускають сертифікати для загальнодоступних вебслужб.

•Для керування ключами в інфраструктурі ESET використовується внутрішня PKI ESET

•Увімкнено нативне шифрування CSP-платформи для забезпечення захисту даних у стані спокою на відповідних етапах опрацювання або зберігання даних у хмарному середовищі (у сховищах або архівах із резервними копіями).

•Для шифрування даних у транзиті використовується надійна криптографія (наприклад, TLS).

Резервне копіювання й відновлення даних

Резервне копіювання здійснюється відповідно до Політики інформаційної безпеки під час експлуатації інформаційно-комунікаційних технологій.

Усі дані про конфігурації і розгортання портфеля ESET зберігаються в захищених репозиторіях ESET із регулярним резервним копіюванням, що дає змогу автоматично відновлювати налаштування середовищ. Для перевірки можливості відновлення резервних копій конфігурацій у межах очікуваного бізнесом часу використовується регулярна процедура тестування аварійного відновлення.

Для даних Клієнтів ESET регулярно створюються резервні копії відповідно до галузевих стандартів і нормативних вимог, а також вимог щодо високої доступності й відновлення за договором. Резервні копії захищено від втручання, а їх придатність регулярно перевіряється в процесі тестування аварійного відновлення.

Безпека мережі

Сегментація мережі застосовується у всьому мережевому середовищі ESET. Мережі розподіляються на основі визначених критеріїв і реалізуються в брандмауерах за допомогою VLAN.

В ESET використовуються різні системи захисту на межі мережі, зокрема брандмауери L7, системи виявлення вторгнень і запобігання їм. Ці системи конфігуруються й підтримуються для захисту зовнішніх точок доступу, забезпечуючи виявлення й запобігання будь-яким несанкціонованим спробам доступу до мережі.

Віддалений доступ до внутрішніх ресурсів надається через VPN для користувачів або між сайтами, причому ролі й обов’язки, вимоги безпеки та заходи контролю визначаються внутрішніми політиками ESET і налаштовуються відповідно до галузевих стандартів безпеки. Облікові записи користувачів VPN зберігаються в Active Directory і є частиною процесу надання облікових записів співробітникам.

Компанія ESET впроваджує й підтримує елементи керування безпекою мережі для захисту даних, які обробляються, отримуються або зберігаються в хмарному середовищі. Облікові записи CSP і основна інфраструктура використовують списки керування доступом до мережі й групи безпеки у Віртуальній мережі CSP для обмеження доступу до всіх наданих ресурсів. Доступ до хмарних ресурсів надається виключно через зашифровані канали.

Посилення захисту

ESET використовує процес захисту систем, щоб зменшити можливу вразливість до атак. Це включає такі методи й кращі практики:

•Використання підписаного золотого образу, який застосовується для інсталяції або розгортання хоста чи контейнера

•Вимикання непотрібних послуг

•Автоматичне планове оновлення й позапланове виправлення критичних компонентів у разі високого ризику

•Оновлення операційної системи до завершення підтримки

•Конфігурування налаштувань безпеки

•автоматизація Інфраструктури й управління програмами у повторюваний і послідовний спосіб.

•видалення непотрібного програмного забезпечення

•Обмеження доступу до локальних ресурсів

•Упровадження заходів контролю на основі хоста, таких як антивірус, засоби виявлення й реагування в кінцевих точках, а також мережеві політики.

В ESET використовується централізований підхід для застосування й перевірки заходів із посилення захисту до компонентів ІТ-середовищ, мета якого — зменшити вектори атаки, тобто суму всіх потенційних точок входу, якими можуть скористатися зловмисники. Детальніше див. в наступній частині цього документа.

Безпека програм

Практики безпечної розробки програм

ESET впроваджує безпечні практики розробки програмного забезпечення за допомогою Політики безпеки у життєвому циклі розробки програмного забезпечення (SSDLC), яка інтегрує елементи керування безпекою та управління ризиками на всіх етапах розробки.

Політика SSDLC визначає наведені нижче вимоги.

•Код пишеться відповідно до правил безпечного кодування й переглядається перед злиттям.

•Під час розробки нових функцій і впровадження суттєвих змін проводиться моделювання загроз і перевірка архітектури.

•У межах процесів CI/CD виконуються автоматичні перевірки безпеки (статичний аналіз, сканування залежностей і певні динамічні тести).

•Сторонні компоненти й компоненти з відкритим вихідним кодом відстежуються й оновлюються, а для всіх випущених продуктів ведеться SBOM.

•Висновки розслідувань інцидентів, результати тестів на проникнення й підсумки звітів про винагороди за знайдені помилки аналізуються й враховуються в подальших процедурах розробки.

Метою політики SSDLC є забезпечення того, щоб всі програмні Продукти ESET були безпечними, надійними й відповідали чинним стандартам і нормам.

Керування уразливостями продуктів

Компанія ESET підтримує визначений процес виявлення, оцінки й усунення уразливостей у своїх програмах і Продуктах протягом усього їхнього життєвого циклу.

Процес охоплює як внутрішньо виявлені проблеми, так і звіти з зовнішніх джерел.

У рамках управління уразливостями продуктів ESET:

•Використовує автоматизовані інструменти сканування для сканування вихідного коду, залежностей і створення артефактів для відомих уразливостей.

•Переглядає висновки вручну, щоб підтвердити вплив і актуальність, перш ніж призначити виправлення.

•Відстежує виправлення й визначає їх пріоритетність на основі їх ступеня критичності, можливості експлуатації і рівня дефектності продукту.

•Виконує цільові тестування безпеки й повторні перевірки виправлень.

•Інтегрує дані про вразливості в процеси планування розробок і випусків, щоб вирішувати критичні проблеми, доки продукти не потрапили до цільового користувача.

•Приймає і обробляє зовнішні повідомлення в межах координованого обміну інформацією і загальнодоступної програми винагород за знайдені помилки.

•Призначає CVE-ідентифікатори підтвердженим уразливостям продуктів як центр нумерації CVE (CNA).

•Застосовує виправлення на основі ступеня критичності й впливу вразливості на бізнес у межах структурованої процедури вибірки.

oПроцес вибірки відповідає стандартам ISO/IEC 30111 (обробка уразливостей) і ISO/IEC 29147 (розкриття уразливостей).

oДля визначення пріоритетності використовуються оцінки CVSS і зовнішні джерела розвідки, такі як каталог відомих експлуатованих уразливостей (KEV) від CISA.

oОстаточні рішення щодо виправлень приймають спільно фахівці з команд безпеки й команд, відповідальних за конкретний Продукт.

Ці процеси гарантують послідовне, прозоре й відстежуване управління вразливостями в усіх Продуктах ESET.

Тестування на проникнення

Фахівці ESET здійснюють регулярні тести на проникнення для своїх Продуктів як один із етапів загальної процедури з гарантування безпеки продуктів у межах власної Програми тестувань на проникнення. Тестування проводиться до випуску основних версій підтримуваних Продуктів, а також через заплановані проміжки часу.

Тестування на проникнення в ESET проводяться з наведеними нижче цілями.

•Перевірка того, що запроваджені засоби контролю безпеки й пом’якшення ризиків ефективні.

•Виявлення потенційних уразливостей, які автоматизовані інструменти можуть не виявити

•Валідація результатів попередніх зусиль у виправленні проблем

•Оцінювання загальних векторів атак і визначення ризику дефектності випущених Продуктів.

Випробування проводяться в ізольованих середовищах кваліфікованими внутрішніми спеціалістами або надійними зовнішніми партнерами за допомогою визнаних галузевих методологій (OWASP WSTG / MTG, NIST SP 800-115, PTES).

Висновки документуються, оцінюються й відслідковуються за допомогою того самого процесу управління уразливостями, який використовується для проблем, що повідомляються як внутрішньо, так і зовні.

Результати тестувань на проникнення використовуються безпосередньо в планах удосконалення продуктів і в SSDLC, що допомагає забезпечити засвоєння отриманих висновків і поступове зменшення повторюваних уразливостей.

Операційна безпека

Політика щодо інформаційної безпеки в роботі ІКТ

Політика щодо інформаційної безпеки в роботі ІКТ в Компанії встановлює основні правила безпеки, пов’язані з роботою ІКТ, відповідно до стандарту ISO 27001.

Політика щодо інформаційної безпеки в роботі ІКТ визначає вимоги безпеки для операційних ІТ-процесів і їх документації, зокрема операційні процедури, управління змінами, розподіл ролей і обов’язків, правила розділення виробничого, тестувального й розробницького середовищ, сторонні ІТ-послуги, планування ефективності, ІТ-проєкти, засоби захисту від шкідливого програмного забезпечення, резервне копіювання, параметри мережевої безпеки, налаштування безпеки носіїв інформації, вимоги до електронної комерції і моніторинг.

Ведення журналів і аудит

Ведення журналів і системні аудити здійснюються відповідно до внутрішніх стандартів і правил (Політика щодо моніторингу безпеки й управління інцидентами безпеки).

Постійно збираються журнали й події інфраструктури, операційної системи, бази даних, серверів програм і елементів керування безпекою. ESET використовує центральну платформу управління журналами (SIEM), щоб захищати відповідні журнали від несанкціонованої модифікації або знищення. Після збору журнали обробляються IT-фахівцями й внутрішніми командами безпеки для виявлення нетипових операцій та аномалій безпеки, а також інцидентів інформаційної безпеки. Дані в SIEM-системі зберігаються протягом часу, передбаченого нормативними вимогами, а також для ретроспективного відстеження загроз.

Моніторинг безпеки й реагування на інциденти

Моніторинг безпеки й керування інцидентами безпеки визначено в Політиці моніторингу безпеки й керування інцидентами безпеки.

У політиці визначено таке:

•обов’язки й правила щодо розробки, належного налаштування, захисту, зберігання, аналізу й оцінювання журналів безпеки, а також проведення аудитів;

•процедура управління інцидентами безпеки й відповідні ролі та обов’язки;

•процедура запобігання інцидентам безпеки;

•способи зменшення впливу інцидентів безпеки;

•Навчання від інцидентів із безпеки

•навчання працівників щодо заходів із моніторингу, їх обсягу, а також ролі персоналу в процесах моніторингу й реагування на інциденти.

Створений Центр моніторингу інформаційної безпеки (SOC), що працює в цілодобовому режимі, уповноважений безперервно відстежувати стан захищеності ІТ-інфраструктури й програм, а також реагувати на інциденти безпеки.

Управління інцидентами інформаційної безпеки в ESET здійснюється відповідно до визначеної процедури реагування на інциденти. Ролі реагування на інциденти визначаються й виділяються для кількох команд (IT, безпека, юридичний відділ, відділ кадрів, PR і керівництво). Стандартні інциденти обробляються командою SOC. Про серйозніші інциденти безпеки слід повідомляти в Командний центр. Командний центр у співпраці з командою SOC координує реагування на інциденти й залучає інші команди для усунення інциденту. Команда SOC за підтримки відповідальних учасників команди внутрішньої безпеки також відповідає за збір доказів і робить висновки. Дані про всі інциденти й застосовані заходи надсилаються всім сторонам, яких вони стосуються, зокрема клієнтам і партнерам. Юридична команда ESET несе відповідальність за повідомлення про інциденти в регуляторні органи (за потреби) відповідно до вимог документів General Data Protection Regulation (GDPR) і Cybersecurity Act transposing Network and Information Security Directive (NIS2).

Керування виправленнями

Управління виправленнями використовується як один із кількох заходів для пом’якшення наслідків уразливостей.

Виправлення інцидентів безпеки оцінюються й застосовуються на основі рівня критичності й ризику виявлених уразливостей.

Визначена процедура вибірки й пріоритизації обумовлює порядок і терміни розгортання виправлень. Ця процедура здійснюється відповідно до внутрішніх правил ESET, узгоджених зі стандартом ISO/IEC 30111. Оцінки CVSS і зовнішні джерела розвідки загроз, як-от каталог відомих експлуатованих уразливостей (KEV) від CISA, допомагають приймати рішення на основі ризиків і визначати пріоритети.

Усі виправлення перевіряються в контрольованих середовищах перед розгортанням у виробничому середовищі. Це дає змогу вирішити цільову проблему без негативного впливу на стабільність і сумісність системи.

Розгортання здійснюється згідно з встановленими процедурами управління змінами, які забезпечують відстеження, відповідальність і можливість відкликання змін, якщо це необхідно.

Заходи щодо виправлень постійно відстежуються й перевіряються, щоб гарантувати їх ефективність, визначати застарілі системи й сприяти безперервному вдосконаленню процесів.

У Правилах щодо ведення програмних журналів визначено технічні заходи й вимоги, що регулюють ведення журналів для всіх програм, розроблених ESET.

Захист від шкідливого програмного забезпечення й загроз

Захист від шкідливого програмного забезпечення (за допомогою антивірусного програмного забезпечення та EDR) визначено в Політиці інформаційної безпеки в роботі інформаційно-комунікаційних технологій. Співробітники зобов’язані негайно повідомляти про підозру на зараження шкідливим програмним забезпеченням в SOC, як описано в Політиці інформаційної безпеки для співробітників ESET.

Вимоги до робочих станцій працівників наведено у відповідному Стандарті безпеки.

ESET використовує власні інструменти для захисту від шкідливого програмного забезпечення, доповнені перевіреними сторонніми рішеннями, щоб захищати робочі станції і навантаження в хмарі.

Команда SOC виконує заходи із нейтралізації загроз на основі Політики моніторингу безпеки та керування інцидентами безпеки. Дані про загрози (фіди) передаються в SIEM-систему, що автоматично їх обробляє і генерує аналітику, яка згодом застосовується до подій у моніторингу безпеки.

Відповідність технічним вимогам

Команда внутрішньої безпеки надає й підтримує різні технічні стандарти безпеки для інфраструктури, хмари, веб-компонентів та передових практик для розробників і адміністраторів ІТ. Фахівці команди внутрішньої безпеки на основі технічних стандартів готують файли базової конфігурації, які ІТ-команди використовують для автоматизації розгортання й застосування захищених налаштувань.

Крім того, сканування відповідності виконуються за допомогою інструменту оцінки уразливостей. Компанія ESET має створену Програму тестування проникнення, і продукти, програми й послуги ESET підлягають регулярним тестуванням проникнення на основі плану програми. Усі отримані дані документуються й передаються сторонам, зацікавленим у Продукті, щоб якнайшвидше усунути повідомлені проблеми.

Фізичний захист

Політика фізичної безпеки і відповідні стандарти фізичної безпеки визначають правила фізичної безпеки навколо офісних приміщень і центрів обробки даних. Ця політика визначає правила й процедури для:

•Захист приміщень ESET

•Контролю фізичного доступу

•Безпека офісів, кімнат і будівель

•Роботи в захищених зонах

•Безпека обладнання, кабелів і інфраструктури

Безпека центру обробки даних

Компоненти ІТ-інфраструктури фізично розташовані в кількох центрах збирання й опрацювання даних. Таким чином забезпечується резервування в межах кожного регіону.

Фізичний периметр безпеки визначено в Політиці фізичної безпеки і відповідних стандартах безпеки для офісних приміщень і центрів обробки даних. Компанія ESET визначила правила для визначення периметру безпеки й елементів керування, які застосовуватимуться до периметру фізичної безпеки. Ключові заходи контролю, зокрема зонування й розмежування фізичної безпеки, управління доступом і відвідувачами, запобігання пожежам та повеням, а також системи відеоспостереження (CCTV) і охорона з фізичною присутністю персоналу, чітко визначені, упроваджені й постійно відстежуються. Стан захищеності центрів збирання й опрацювання даних регулярно перевіряють відповідальний персонал і зовнішні аудитори.

Компанія ESET покладається на фізичні заходи безпеки й елементи керування CSP, тому регулярно переглядає відповідні звіти про відповідність вимогам.

Засоби контролю фізичного доступу

Фізичні засоби контролю входу визначено в Політиці фізичної безпеки та відповідних стандартах безпеки для офісних приміщень і центрів обробки даних. Приміщення поділено на захищені зони, для яких визначено окремі засоби контролю доступу.

Автентифікація здійснюється відповідно до найкращих практик безпеки й передбачає використання ключів, ідентифікаційних карток або карток доступу й PIN-кодів.

Застосовується моніторинг фізичного доступу й виявлення несанкціонованого доступу та запобігання йому. Усі входи відстежуються в системі CCTV й записуються в журнали. Територія по периметру також відстежується датчиками руху або розбиття скла (включно зі стінами з низькою стійкістю, такими як скло або гіпсокартон, пожежними виходами й вікнами).

Безперервність бізнес-процесів і аварійне відновлення

Компанія ESET підтримує, регулярно переглядає, оцінює й впроваджує вдосконалення своєї системи управління безперервністю бізнесу відповідно до Політики управління безперервністю бізнесу відповідно до ISO 22301.

Фахівці ESET розробили програму BCM, яка визначає пріоритетність діяльності в межах Компанії і яку, відповідно до Політики BCM, має затвердити CISO. Програма BCM визначає операційні дії і заходи для зменшення ризиків, пов’язаних із безперервною роботою бізнесу (наприклад, резервування або дублювання функцій і компонентів ІТ-інфраструктури).

Готуються й переглядаються Аналізи впливу на бізнес (BIA) з визначеними цілями щодо безперервної роботи бізнесу, такими як RTO, RPO, MTD й пріоритети відновлення. Плани аварійного відновлення (DRP) переглядаються й тестуються відповідно до правил Програми BCM. Стратегія безперервності бізнесу визначає підхід до підтримки критичних бізнес-активів. Усі результати регулярних заходів із забезпечення безперервної роботи бізнесу використовуються як вхідні дані для постійного вдосконалення.

Управління ризиками, пов’язаними з третіми сторонами

Моніторинг і перевірка послуг постачальників регулюються Політикою інформаційної безпеки в співпраці з постачальниками. Перевірки проводяться щоквартально, а результати зберігаються у звіті про оцінювання постачальників.