Hiểu các quyền của bạn và trách nhiệm của chúng tôi ở tại một nơi
Chính sách bảo mật
Giới thiệu
Mục đích của Tài liệu
Mục đích của tài liệu này là tóm tắt các biện pháp kiểm soát kỹ thuật, tổ chức và vật lý và thực tiễn bảo mật được áp dụng trong cơ sở hạ tầng ESET, bao gồm danh mục đầu tư của ESET, tức là các sản phẩm, ứng dụng, giải pháp và dịch vụ của ESET (sau đây gọi là Sản phẩm). Các biện pháp bảo mật, điều khiển và chính sách được thiết kế để bảo vệ
•Hoạt động danh mục đầu tư ESET và xử lý dữ liệu trong môi trường tại chỗ hoặc đám mây
•tính bảo mật, toàn vẹn và khả dụng của dữ liệu khách hàng
•thông tin khách hàng từ việc phá hủy, mất mát, thay đổi, tiết lộ trái phép hoặc truy cập trái phép
ESET có thể cập nhật tài liệu này và các biện pháp, kiểm soát và chính sách cụ thể điều chỉnh chúng để đáp ứng các mối đe dọa đang phát triển và thích nghi với công nghệ bảo mật và tiêu chuẩn ngành đang phát triển.
Khán giả
Tài liệu này nên được đọc bởi bất kỳ ai cần đảm bảo trong lĩnh vực Bảo mật danh mục đầu tư ESET hoặc Khách hàng có ý định sử dụng các giải pháp hoặc dịch vụ của ESET thông qua tích hợp vào môi trường của họ.
Bản ngữ, khái niệm và phạm vi
ESET, spol s r.o. là công ty ISO 27001:2022 được chứng nhận với hệ thống quản lý tích hợp.
Do đó, khái niệm quản lý bảo mật thông tin sử dụng khung ISO 27001 để thực hiện chiến lược bảo mật theo lớp phòng thủ khi áp dụng kiểm soát bảo mật cho mọi lớp kiến trúc hệ thống thông tin, ví dụ như mạng, hệ điều hành, cơ sở dữ liệu, ứng dụng, nhân sự và quy trình vận hành. Thực tiễn bảo mật và kiểm soát bảo mật đã áp dụng được thiết kế để củng cố và bổ sung cho nhau.
Mục đích của tài liệu này là tóm tắt các biện pháp kỹ thuật và tổ chức được thực hiện cho danh mục đầu tư ESET; tổ chức, nhân sự và quy trình vận hành.
Thực tiễn và kiểm soát bảo mật bao gồm các biện pháp quản trị và kỹ thuật, bao gồm nhưng không giới hạn ở:
•Chính sách bảo mật thông tin
•Tổ chức bảo mật thông tin
•Bảo mật nguồn nhân lực
•Kiểm soát truy cập
•Mã hóa
•Bảo mật vật lý và môi trường
•Bảo vệ dữ liệu, Bảo mật mạng, Bảo mật ứng dụng
•Bảo mật hoạt động
•Bảo mật liên lạc
•Mua lại, phát triển và duy trì hệ thống
•Mối quan hệ nhà cung cấp
•Quản lý sự cố bảo mật thông tin
•Các khía cạnh bảo mật thông tin của việc quản lý liên tục kinh doanh
•Tuân thủ
Chữ viết tắt
Thuật ngữ viết tắt |
Thuật ngữ đầy đủ |
|---|---|
Công ty |
ESET, spol. s r.o. |
CSP |
Nhà cung cấp dịch vụ đám mây |
DR |
Khôi phục thảm họa |
ESET |
ESET, spol. s r.o. |
GDPR |
Quy định bảo vệ dữ liệu chung |
ICT |
Công nghệ thông tin và truyền thông |
IR |
Phản hồi sự cố |
IS |
Bảo mật Thông tin |
ISMS |
Hệ thống quản lý bảo mật thông tin |
CNTT |
Công nghệ Thông tin |
NIS |
Đạo luật bảo mật mạng thực hiện Chỉ thị bảo mật mạng và thông tin |
PKI |
Cơ sở hạ tầng khóa công cộng |
Sản phẩm |
Danh mục sản phẩm ESET - tức là các sản phẩm, ứng dụng, nền tảng đám mây, giải pháp và dịch vụ ESET ngoài đó |
SIEM |
Thông tin bảo mật và quản lý sự kiện |
SSDLC |
Bảo mật vòng đời phát triển phần mềm |
QMS |
Hệ thống quản lý chất lượng |
Lưu ý: Bài viết tiếng Ý - được sử dụng cho tên của các tài liệu nội bộ của Công ty được tham khảo, không có sẵn cho đối tượng công cộng, ví dụ: Chính sách quy định nội bộ
Quản trị bảo mật
Chương trình quản lý bảo mật thông tin
Công ty ESET đã thiết lập và duy trì một chương trình quản lý bảo mật thông tin như một chức năng liên tổ chức hướng dẫn bảo vệ tài sản thông tin. Tài liệu bảo mật thông tin được hướng dẫn bởi các chính sách bảo mật, quy trình và tài liệu thông qua Chính sách về Quy định nội bộ. ESET đã áp dụng Chính sách hệ thống quản lý tích hợp phục vụ như là cấp cao nhất
•Chính sách ISMS,
•Chính sách QMS và
•Chính sách bảo mật thông tin.
ESET tuân thủ Chính sách về Hệ thống quản lý tích hợp, xác định khuôn khổ quản lý chất lượng và bảo mật thông tin. Chính sách này thuộc sở hữu của Chief Information Security Officer (CISO) cho ESET và đại diện cho cam kết của quản lý cấp cao về bảo mật và chất lượng. Nó xác định trách nhiệm quản lý và đảm bảo các miền này và nêu rõ cam kết của ESET liên tục đánh giá và cải thiện hiệu quả của hệ thống quản lý theo tiêu chuẩn ISO 9001 và ISO 27001.
Chính sách của công ty được ghi lại, duy trì và xem lại hàng năm và cập nhật sau khi có những thay đổi đáng kể để đảm bảo tính phù hợp, đầy đủ và hiệu quả liên tục. Bản cập nhật được thông báo cho nhân viên nội bộ, nơi chính sách có sẵn cho tất cả nhân viên. Chính sách được chính thức thông qua, Giám đốc điều hành ký, công bố và truyền đạt cho tất cả nhân viên và các bên liên quan. Chính sách được nhân viên ESET công nhận chính thức khi đăng nhập.
Ngoài các chính sách, các nhóm Bảo mật thông tin và Bảo mật kỹ thuật của ESET đã thiết kế các quy trình, thủ tục, tiêu chuẩn và thông số cơ sở cấu hình dựa trên các thực tiễn tốt nhất về bảo mật của ngành và nhà cung cấp (ví dụ: tiêu chuẩn CIS, OWASP, NIST). Chúng được cung cấp cho các nhóm CNTT và Công nghệ để đảm bảo việc phát triển, cấu hình và vận hành an toàn các hệ thống thông tin và sản phẩm ESET.
ESET duy trì tài liệu quản trị liên kết, được thiết kế và cung cấp cho tất cả nhân viên theo chứng nhận của ESET cho ISO 9001 và ISO 27001. Thủ tục vận hành được điều chỉnh để đáp ứng các nhu cầu cụ thể của từng nhóm, được quản lý trong các không gian làm việc được chỉ định và được cập nhật khi cần thiết.
Theo dõi sự tuân thủ chính sách và các thủ tục kỷ luật được triển khai để giải quyết và khắc phục bất kỳ sự không tuân thủ nào với chính sách bảo mật, củng cố cam kết trách nhiệm pháp lý và cải thiện liên tục của ESET.
Để đảm bảo tuân thủ liên tục và hiệu quả, ESET đã triển khai một khuôn khổ quản lý rủi ro, duy trì kiểm soát kỹ thuật và tổ chức. Quá trình quản lý rủi ro của ESET liên quan đến việc đánh giá toàn diện và quản lý rủi ro trong Hệ thống quản lý tích hợp của ESET (dựa trên ISO 9001 và ISO 27001). Điều này bao gồm đánh giá tài sản, xác định các yêu cầu bảo mật, tính toán rủi ro và chọn các chiến lược giảm thiểu thích hợp. Chief Information Security Officer (CISO) giám sát quá trình quản lý rủi ro tổng thể, đảm bảo báo cáo thường xuyên về rủi ro bảo mật và số liệu tham khảo liên quan đến quản lý điều hành. Ngoài ra, quản lý rủi ro của bên thứ ba được thực thi nghiêm ngặt thông qua đánh giá của nhà cung cấp, theo Tiêu chuẩn bảo mật hợp đồng của ESET.
Tuân thủ các tiêu chuẩn ngành
Xác minh và công nhận bên ngoài rất quan trọng đối với các tổ chức dựa vào khả năng và công nghệ của ESET để bảo mật dữ liệu và tuân thủ các yêu cầu quy định. Để biết chi tiết, hãy xem trang chứng nhận của ESET.
Giám sát tuân thủ
Chính sách Hệ thống quản lý tích hợp thiết lập hệ thống quản lý tích hợp, bao gồm các đánh giá và kiểm toán thường xuyên.
Kiểm toán nội bộ thường xuyên xem xét việc tuân thủ các chính sách và quy trình của ESET như được nêu trong Chính sách kiểm toán nội bộ. Chính sách quy định nội bộ quy định trách nhiệm theo dõi thường xuyên việc áp dụng các quy định nội bộ và các điều chỉnh liên quan, nếu cần thiết.
Các đánh giá thường xuyên và kiểm toán nội bộ và bên ngoài được tiến hành theo kế hoạch kiểm toán dài hạn hàng năm và ba năm. Kiểm toán nội bộ được thực hiện bởi các kiểm toán viên độc lập thường xuyên xem xét việc tuân thủ các chính sách và quy trình của ESET hoặc các tiêu chuẩn hiện hành (ví dụ: ISO 9001, ISO 27001 và SOC2), tùy thuộc vào phạm vi kiểm toán. Kiểm toán nội bộ được lên kế hoạch và thực hiện ít nhất hàng năm. Các phát hiện kiểm tra được thu thập và ghi lại trong một hệ thống quản lý yêu cầu chuyên dụng, với các chủ sở hữu tương ứng được chỉ định mà chịu trách nhiệm xử lý và giải quyết những điều không phù hợp trong một khung thời gian được xác định trước. Các phát hiện kiểm toán đòi hỏi phải giám sát quản lý và đưa ra quyết định được xem xét tại các cuộc họp đánh giá quản lý thường xuyên.
Tổ chức bảo mật thông tin
Trách nhiệm bảo mật thông tin được phân bổ theo chính sách bảo mật thông tin hiện có. Xác định và đánh giá các quy trình nội bộ đối với bất kỳ rủi ro nào về việc sửa đổi hoặc sử dụng sai tài sản thông tin ESET không được ủy quyền hoặc không có ý định. Các hoạt động rủi ro hoặc nhạy cảm của quy trình nội bộ áp dụng nguyên tắc thực hành tốt nhất về bảo mật để giảm thiểu rủi ro.
Bảo mật thông tin được tính đến trong quản lý dự án bằng cách sử dụng khung quản lý dự án được áp dụng từ khi thiết kế đến khi hoàn thành dự án.
Làm việc từ xa và làm việc tại nhà từ xa được hỗ trợ thông qua việc sử dụng chính sách được triển khai trên thiết bị di động, bao gồm việc sử dụng bảo vệ dữ liệu mã hóa mạnh mẽ khi truyền tải dữ liệu qua các mạng không đáng tin cậy. Các điều khiển bảo mật trên thiết bị di động được thiết kế để hoạt động độc lập với các mạng nội bộ và hệ thống nội bộ của ESET.
Bảo mật nguồn nhân lực
ESET sử dụng các thực tiễn nguồn nhân lực tiêu chuẩn, bao gồm các chính sách được thiết kế để duy trì bảo mật thông tin. Những thực tiễn này bao gồm toàn bộ vòng đời của nhân viên và áp dụng cho tất cả nhân viên.
Công ty ESET yêu cầu nhân viên ESET phải trải qua việc xác minh và sàng lọc lý lịch trong quá trình hòa nhập; ký thỏa thuận không tiết lộ hoặc bảo mật như một phần của hợp đồng lao động bắt buộc họ phải tuân thủ các chính sách và tiêu chuẩn bảo mật nội bộ, bảo vệ thông tin bảo mật và dữ liệu khách hàng của ESET; hoàn thành khóa đào tạo nhận thức về bảo mật thông tin trong quá trình hòa nhập như một phần của chương trình tuân thủ và nâng cao nhận thức của ESET.
Các biện pháp kỹ thuật
Quản lý danh tính và truy cập
Chính sách quản lý truy cập của ESET điều chỉnh mọi quyền truy cập vào cơ sở hạ tầng ESET. Quy trình kiểm soát truy cập trong lĩnh vực cấp, thu hồi, thay đổi quyền truy cập cũng như sửa đổi quyền truy cập được cấp được áp dụng cho tất cả các cơ sở hạ tầng, công nghệ, ứng dụng hoặc cấp công cụ. Quản lý truy cập toàn quyền của người dùng ở cấp độ ứng dụng là tự động. Đăng nhập duy nhất danh tính được điều chỉnh bởi nhà cung cấp danh tính trung tâm, đảm bảo rằng người dùng chỉ có thể truy cập môi trường hoặc ứng dụng được ủy quyền.
Quản lý người dùng và quyền truy cập, quy trình và các biện pháp kỹ thuật cho việc giảm cấp quyền truy cập của người dùng, cung cấp quyền truy cập của người dùng, xem lại, loại bỏ và điều chỉnh quyền truy cập được sử dụng để quản lý quyền truy cập của nhân viên ESET vào cơ sở hạ tầng và mạng của ESET theo các tiêu chuẩn bảo mật, bao gồm nhưng không giới hạn ở:
•Cung cấp quyền truy cập dựa trên cơ sở đặc quyền tối thiểu "cần biết"
•Đánh giá thường xuyên quyền truy cập của người dùng
•Chấm dứt quyền truy cập của người dùng theo chính sách bảo mật
•Gán tài khoản duy nhất cho mọi người
•Đăng ký các nỗ lực truy cập, xem lại và theo dõi người dùng
•Đăng ký truy cập vật lý và xem lại
•Thực hiện xác thực đa yếu tố cho quyền truy cập có đặc quyền cao và quyền truy cập quản trị
•Thực thi thời hạn cho các phiên tương tác sau thời gian không hoạt động được chỉ định
Bảo vệ dữ liệu
Mã hóa dữ liệu
ESET bảo vệ dữ liệu trong cơ sở hạ tầng của mình; mã hóa mạnh mẽ được sử dụng để mã hóa dữ liệu trong thời gian nghỉ ngơi (bao gồm cả thiết bị di động) và trong quá trình vận chuyển. Việc thực hiện mã hóa tuân theo các quy tắc được xác định bởi tiêu chuẩn mã hóa nội bộ. Dữ liệu khách hàng được lưu giữ theo các quy định liên quan như GDPR, chỉ thị NIS2 hoặc các quy định về ngành và tài chính.
Các biện pháp hiện hành:
•Cơ quan chứng nhận được tin cậy nói chung được sử dụng để cấp chứng chỉ cho các dịch vụ web công cộng
•ESET PKI nội bộ được sử dụng để quản lý các khóa trong cơ sở hạ tầng ESET
•Chức năng mã hóa bản địa của nền tảng CSP được bật để đảm bảo bảo vệ dữ liệu trong thời gian nghỉ cho các phần liên quan của quá trình xử lý dữ liệu hoặc sự tồn tại dữ liệu trong môi trường đám mây (cung cấp dữ liệu, sao lưu)
•Có mã hóa mạnh mẽ (ví dụ: TLS) để mã hóa dữ liệu trong quá trình chuyển
Sao lưu và khôi phục dữ liệu
Việc sao lưu được điều chỉnh bởi Chính sách bảo mật thông tin trong hoạt động của Công nghệ thông tin và truyền thông.
Tất cả dữ liệu cấu hình và triển khai danh mục đầu tư ESET đều được lưu trữ trong các kho lưu trữ được bảo vệ và được sao lưu thường xuyên của ESET để cho phép khôi phục tự động cấu hình môi trường. Quá trình kiểm tra khôi phục thảm họa thường xuyên được sử dụng để xác minh khả năng khôi phục bản sao lưu cấu hình trong thời gian dự kiến của doanh nghiệp.
Dữ liệu của khách hàng ESET thường xuyên được sao lưu theo các tiêu chuẩn và quy định của ngành, hoạt động có sẵn cao và các yêu cầu về khả năng phục hồi theo hợp đồng. Bản sao lưu được bảo vệ chống lại việc xâm phạm và tính hợp lệ của bản sao lưu được kiểm tra thường xuyên thông qua các quy trình thực hiện khôi phục thảm họa.
An ninh mạng
Phân đoạn mạng được áp dụng trong toàn bộ môi trường mạng ESET. Mạng được phân tách dựa trên các tiêu chí được xác định và được thực thi bằng cách sử dụng VLAN trên tường lửa.
ESET sử dụng nhiều hệ thống bảo vệ biên giới khác nhau, bao gồm tường lửa L7, hệ thống phát hiện xâm nhập và hệ thống phòng ngừa xâm nhập. Những hệ thống này được cấu hình và duy trì để bảo vệ các điểm truy cập bên ngoài, đảm bảo rằng bất kỳ nỗ lực truy cập trái phép nào vào mạng được phát hiện và ngăn chặn.
Truy cập từ xa vào tài sản nội bộ được cung cấp thông qua VPN người dùng hoặc trang web đến trang web với vai trò và trách nhiệm, yêu cầu bảo mật và điều khiển được quy định trong chính sách nội bộ của ESET và được cấu hình theo tiêu chuẩn ngành bảo mật. Tài khoản người dùng VPN được duy trì trong Active Directory và là một phần của quá trình cung cấp tài khoản nhân viên.
ESET triển khai và duy trì các điều khiển bảo mật mạng để bảo vệ dữ liệu được xử lý, nhận hoặc lưu trữ trong môi trường đám mây. Tài khoản CSP và cơ sở hạ tầng cơ bản sử dụng danh sách kiểm soát truy cập mạng và nhóm bảo mật trong Mạng ảo của CSP để hạn chế quyền truy cập vào tất cả các tài nguyên được cung cấp. Truy cập tài nguyên đám mây chỉ thông qua các kênh mã hóa.
Củng cố
ESET sử dụng quá trình bảo vệ hệ thống để giảm khả năng dễ bị tấn công. Điều này liên quan đến các kỹ thuật và thực hành tốt nhất sau:
•có hình ảnh vàng đã ký đang được sử dụng để cài đặt hoặc triển khai máy chủ hoặc bộ chứa
•tắt các dịch vụ không cần thiết
•tự động gắn theo kế hoạch và vá lỗi đột xuất các thành phần quan trọng trong trường hợp rủi ro cao
•nâng cấp hệ điều hành trước khi đến thời hạn sử dụng
•cấu hình cài đặt bảo mật
•tự động hóa quản lý cơ sở hạ tầng và ứng dụng theo cách lặp đi lặp lại và nhất quán
•loại bỏ phần mềm không cần thiết
•hạn chế quyền truy cập vào tài nguyên cục bộ
•kiểm soát dựa trên máy chủ như chống vi rút, phát hiện và đáp ứng điểm cuối và chính sách mạng
ESET sử dụng phương pháp tập trung để áp dụng và xác minh việc củng cố cho các thành phần của môi trường CNTT nhằm giảm thiểu bề mặt tấn công mà là tổng số tất cả các điểm xâm nhập tiềm ẩn mà kẻ tấn công có thể khai thác. Để biết chi tiết, hãy tham khảo phần sau của tài liệu này.
Bảo mật ứng dụng
Bảo mật các phương pháp phát triển
ESET thực hiện các thực tiễn phát triển phần mềm bảo mật thông qua Chính sách bảo mật trong vòng đời phát triển phần mềm (SSDLC), tích hợp kiểm soát bảo mật và quản lý rủi ro trong tất cả các giai đoạn phát triển.
Chính sách SSDLC xác định các yêu cầu cho:
•Mã được viết theo các hướng dẫn mã hóa an toàn và được xem xét trước khi sáp nhập
•Mô hình mối đe dọa và đánh giá thiết kế được thực hiện cho các tính năng mới và các thay đổi chính
•Kiểm tra bảo mật tự động (phân tích tĩnh, quét phụ thuộc và thử nghiệm động được chọn) được thực hiện như một phần của đường ống dẫn CI/CD
•Các thành phần của bên thứ ba và nguồn mở được theo dõi và cập nhật; một SBOM được duy trì cho tất cả các sản phẩm được phát hành
•Kết quả từ các sự cố, kiểm tra thâm nhập và báo cáo lỗi để nhận thưởng được xem xét và đưa trở lại quá trình phát triển
Mục đích của chính sách SSDLC là đảm bảo rằng tất cả Sản phẩm phần mềm ESET đều an toàn, đáng tin cậy và tuân thủ các tiêu chuẩn và quy định hiện hành.
Quản lý lỗ hổng sản phẩm
ESET duy trì quy trình được xác định để xác định, đánh giá và giải quyết các lỗ hổng trong các ứng dụng và Sản phẩm trong suốt vòng đời.
Quá trình này bao gồm cả các vấn đề được phát hiện nội bộ và báo cáo từ các nguồn bên ngoài.
Là một phần của việc quản lý lỗ hổng sản phẩm, ESET:
•Sử dụng công cụ quét tự động để quét mã nguồn, phụ thuộc và xây dựng các tác phẩm tạo tác cho các lỗ hổng đã biết
•Đánh giá kết quả theo cách thủ công để xác nhận tác động và tính liên quan trước khi chỉ định sửa chữa
•Theo dõi và ưu tiên các sửa lỗi dựa trên mức độ nghiêm trọng, khả năng khai thác và độ phơi nhiễm của sản phẩm
•Thực hiện kiểm tra bảo mật nhắm mục tiêu và kiểm tra lại để xác minh việc khắc phục
•Kết hợp dữ liệu lỗ hổng vào kế hoạch phát triển và phát hành để các vấn đề quan trọng được giải quyết trước khi vận chuyển
•Chấp nhận và xử lý các báo cáo bên ngoài thông qua việc tiết lộ phối hợp và chương trình thưởng lỗi công khai
•Gán định danh CVE cho các lỗ hổng sản phẩm đã xác nhận như một phần trong vai trò của mình với tư cách là Cơ quan lập số CVE (CNA)
•Áp dụng các bản vá và sửa lỗi dựa trên mức độ nghiêm trọng của lỗ hổng và tác động kinh doanh, theo quy trình phân loại có cấu trúc
oQuá trình phân loại phù hợp với ISO/IEC 30111 (xử lý lỗ hổng) và ISO/IEC 29147 (tạo ra lỗ hổng)
oĐiểm điểm CVSS và các nguồn thông tin tình báo bên ngoài như danh mục các lỗ hổng được khai thác được biết đến (KEV) của CISA được sử dụng để hướng dẫn việc ưu tiên
oCác quyết định khắc phục cuối cùng được các nhóm sản phẩm và bảo mật có trách nhiệm cộng tác đưa ra
Những quy trình này đảm bảo các lỗ hổng được quản lý theo cách nhất quán, minh bạch và có thể theo dõi trên tất cả Sản phẩm ESET.
Kiểm tra thâm nhập
ESET thực hiện kiểm tra thâm nhập thường xuyên của Sản phẩm như một phần của quá trình đảm bảo an toàn sản phẩm tổng thể – trong Chương trình kiểm tra thâm nhập của riêng chúng tôi. Việc thử nghiệm được thực hiện trước khi phát hành lớn và trong các khoảng thời gian theo kế hoạch cho Sản phẩm được duy trì.
Kiểm tra thâm nhập tại ESET tập trung vào:
•Kiểm tra xem các biện pháp kiểm soát và giảm thiểu bảo mật đã thực hiện có hiệu quả hay không
•Xác định các lỗ hổng tiềm ẩn mà các công cụ tự động không thể phát hiện
•Xác minh kết quả của các nỗ lực khắc phục trước đó
•Đánh giá tổng diện tích bề mặt tấn công và mức độ phơi nhiễm rủi ro của Sản phẩm được phát hành
Các thử nghiệm được thực hiện trong môi trường bị cô lập bởi các chuyên gia nội bộ có trình độ hoặc đối tác bên ngoài đáng tin cậy sử dụng các phương pháp công nghiệp được công nhận (OWASP WSTG / MTG, NIST SP 800-115, PTES).
Các phát hiện được ghi lại, xếp hạng và theo dõi thông qua cùng một quy trình quản lý lỗ hổng được sử dụng cho các vấn đề được báo cáo nội bộ và bên ngoài.
Kết quả kiểm tra thâm nhập được truyền trực tiếp vào các kế hoạch cải tiến sản phẩm và SSDLC, giúp đảm bảo rằng những bài học đã học được được ghi lại và các điểm yếu tái phát được giảm thiểu theo thời gian.
Bảo mật hoạt động
Chính sách bảo mật thông tin trong các hoạt động của ICT
Chính sách bảo mật thông tin trong hoạt động của ICT trong Công ty thiết lập các quy tắc bảo mật cơ bản liên quan đến hoạt động của ICT theo tiêu chuẩn ISO 27001.
Chính sách bảo mật thông tin trong hoạt động của ICT xác định các yêu cầu bảo mật đối với các quy trình hoạt động CNTT và tài liệu của chúng, bao gồm các thủ tục hoạt động, quản lý thay đổi, tách các vai trò và trách nhiệm, tách sản xuất, môi trường thử nghiệm và phát triển, dịch vụ CNTT của bên thứ ba, lập kế hoạch hiệu suất, dự án CNTT, bảo vệ phần mềm độc hại, sao lưu, bảo mật mạng, bảo mật phương tiện truyền thông, yêu cầu
Đăng ký và Kiểm toán
Đăng ký và kiểm toán trên hệ thống được thực hiện theo các tiêu chuẩn và hướng dẫn nội bộ (Chính sách về giám sát bảo mật và quản lý sự cố bảo mật).
Nhật ký và sự kiện từ cơ sở hạ tầng, hệ điều hành, cơ sở dữ liệu, máy chủ ứng dụng và kiểm soát bảo mật được thu thập liên tục. ESET sử dụng nền tảng quản lý nhật ký trung tâm (SIEM) để bảo vệ nhật ký liên quan khỏi việc sửa đổi hoặc phá hủy trái phép. Các nhật ký được các nhóm bảo mật IT và nội bộ xử lý thêm để xác định các bất thường về hoạt động và bảo mật và các sự cố bảo mật thông tin. Dữ liệu trong SIEM được lưu giữ trong thời gian theo quy định và để săn lùng các mối đe dọa theo chiều ngược lại.
Giám sát bảo mật và đáp ứng sự cố
Việc giám sát và quản lý sự cố bảo mật được xác định theo Chính sách giám sát và quản lý sự cố bảo mật.
Các điểm chính của chính sách
•trách nhiệm và quy tắc cho việc phát triển, cấu hình chính xác, bảo vệ, lưu trữ, phân tích, đánh giá và lưu giữ nhật ký bảo mật và kiểm toán
•quy trình, vai trò và trách nhiệm đối với việc quản lý sự cố bảo mật
•ngăn chặn các sự cố bảo mật
•giảm thiểu tác động của các sự cố bảo mật
•học hỏi từ các sự cố bảo mật
•giáo dục nhân viên về các hoạt động giám sát, phạm vi và vai trò của nhân viên trong việc giám sát và đáp ứng các sự cố
Trung tâm hoạt động bảo mật được thành lập (SOC), hoạt động 24x7, được ủy quyền theo dõi liên tục tình trạng bảo mật của cơ sở hạ tầng và ứng dụng CNTT và phản hồi các sự cố bảo mật.
Quản lý sự cố bảo mật thông tin trong ESET dựa vào quy trình Phản hồi sự cố được xác định. Các vai trò trong việc đáp ứng sự cố được xác định và phân bổ trên nhiều nhóm, bao gồm CNTT, bảo mật, pháp lý, nguồn nhân lực, quan hệ công chúng và quản lý điều hành. Các sự cố tiêu chuẩn được nhóm SOC xử lý. Đối với các sự cố bảo mật quan trọng hơn, Trung tâm lệnh sẽ được thông báo. Trung tâm lệnh, hợp tác với nhóm SOC, phối hợp phản ứng với sự cố và tham gia các nhóm khác để xử lý sự cố. Nhóm SOC, được hỗ trợ bởi các thành viên có trách nhiệm của nhóm bảo mật nội bộ, cũng chịu trách nhiệm thu thập bằng chứng và các bài học được học. Sự xuất hiện và giải quyết sự cố được thông báo cho các bên bị ảnh hưởng, bao gồm khách hàng và đối tác. Nhóm pháp lý ESET chịu trách nhiệm thông báo cho các cơ quan quản lý nếu cần thiết, theo Quy định bảo vệ dữ liệu chung (GDPR) và Đạo luật bảo mật mạng thực hiện Chỉ thị bảo mật mạng và thông tin (NIS2).
Quản lý bản vá
Quản lý bản vá được sử dụng như một trong nhiều hoạt động giảm thiểu để khắc phục các lỗ hổng.
Các bản vá bảo mật được đánh giá và áp dụng dựa trên mức độ nghiêm trọng và rủi ro của các lỗ hổng được xác định.
Một quy trình phân loại và ưu tiên được xác định xác định thứ tự và thời gian triển khai bản vá. Quá trình này tuân theo hướng dẫn nội bộ của ESET phù hợp với ISO/IEC 30111. Đánh giá CVSS và các nguồn thông tin tình báo mối đe dọa bên ngoài, như danh mục các lỗ hổng được khai thác được biết đến (KEV) của CISA, hỗ trợ các quyết định dựa trên rủi ro và ưu tiên.
Tất cả các bản vá được xác minh trong môi trường được kiểm soát trước khi triển khai để sản xuất để đảm bảo rằng chúng giải quyết vấn đề mục tiêu mà không ảnh hưởng tiêu cực đến tính ổn định hoặc khả năng tương thích của hệ thống.
Việc triển khai theo các quy trình quản lý thay đổi đã được thiết lập để đảm bảo khả năng theo dõi, chịu trách nhiệm và khả năng rút lại khi cần thiết.
Hoạt động bản vá được giám sát và xem lại liên tục để xác nhận hiệu quả, xác định các hệ thống lỗi thời và thúc đẩy cải tiến quy trình liên tục.
Hướng dẫn ghi nhật ký ứng dụng quy định các biện pháp kỹ thuật và các yêu cầu điều chỉnh việc ghi nhật ký cho tất cả ứng dụng do ESET phát triển.
Bảo vệ chống phần mềm độc hại và mối đe dọa
Bảo vệ chống lại phần mềm độc hại (bằng phần mềm chống virus và EDR) được quy định trong Chính sách bảo mật thông tin trong hoạt động của Công nghệ thông tin và truyền thông. Nhân viên phải báo cáo ngay lập tức bất kỳ nghi ngờ nhiễm phần mềm độc hại nào cho SOC như được nêu trong Chính sách bảo mật thông tin cho nhân viên ESET.
Các yêu cầu đối với các điểm cuối của nhân viên được nêu trong Tiêu chuẩn bảo mật cho trạm làm việc.
ESET sử dụng các công cụ chống phần mềm độc hại của riêng mình được nâng cao bằng các giải pháp của bên thứ ba đã được xác minh để bảo vệ các điểm cuối và tải trọng công việc đám mây.
Nhóm SOC thực hiện các hoạt động săn lùng mối đe dọa dựa trên Chính sách giám sát bảo mật và quản lý sự cố bảo mật. Dữ liệu mối đe dọa (feed) được thu thập vào hệ thống SIEM, được tự động hấp thụ để tạo ra thông tin tình báo mối đe dọa được áp dụng cho các sự kiện trong giám sát bảo mật.
Tuân thủ kỹ thuật
Nhóm Bảo mật nội bộ cung cấp và duy trì nhiều tiêu chuẩn bảo mật kỹ thuật khác nhau cho cơ sở hạ tầng, đám mây, các thành phần liên quan đến web và các thực tiễn tốt nhất để các nhà phát triển và quản trị viên CNTT theo dõi. Dựa trên các tiêu chuẩn kỹ thuật, nhóm Bảo mật nội bộ chuẩn bị các tệp thông số cơ sở cấu hình được các nhóm CNTT sử dụng để tự động triển khai và thực thi các cấu hình bảo mật.
Ngoài ra, việc quét tuân thủ được thực hiện thông qua công cụ đánh giá lỗ hổng khi có thể. ESET có Chương trình kiểm tra thâm nhập được thiết lập và các sản phẩm, ứng dụng và dịch vụ do ESET phát triển phải trải qua kiểm tra thâm nhập thường xuyên dựa trên kế hoạch chương trình. Tất cả các phát hiện được ghi lại và báo cáo cho các bên liên quan đến Sản phẩm để đảm bảo được giảm thiểu càng sớm càng tốt.
An toàn Vật lý
Chính sách bảo mật vật lý và các tiêu chuẩn bảo mật vật lý liên quan xác định các quy tắc bảo mật vật lý xung quanh các cơ sở văn phòng và trung tâm dữ liệu. Chính sách này quy định các quy tắc và thủ tục cho:
•bảo vệ cơ sở của ESET
•kiểm soát truy cập vật lý
•bảo mật văn phòng, phòng và tòa nhà
•làm việc trong các khu vực an toàn
•bảo mật thiết bị, cáp và cơ sở hạ tầng
Bảo mật trung tâm dữ liệu
Các thành phần cơ sở hạ tầng CNTT được đặt vật lý trong nhiều trung tâm dữ liệu; do đó, việc sa thải được đạt được trong mỗi khu vực.
Phạm vi bảo mật vật lý được xác định trong Chính sách bảo mật vật lý và các tiêu chuẩn bảo mật liên quan cho các cơ sở văn phòng và trung tâm dữ liệu - Tiêu chuẩn bảo mật vật lý cho trung tâm dữ liệu. ESET đã xác định các quy tắc để thiết lập phạm vi bảo mật và các kiểm soát được áp dụng cho phạm vi bảo mật vật lý. Các điều khiển chính - bao gồm khu vực bảo mật vật lý và phân tách, quản lý truy cập và khách truy cập, phòng ngừa hỏa hoạn và lũ lụt, cũng như CCTV và giám sát bằng tay - được xác định rõ ràng, thực hiện và liên tục theo dõi. Bảo mật của DC thường xuyên được kiểm tra bởi nhân viên có trách nhiệm và kiểm toán viên bên ngoài.
ESET dựa vào các biện pháp bảo mật vật lý và kiểm soát của CSP; do đó, ESET thường xuyên xem xét các báo cáo tuân thủ tương ứng của CSP.
Kiểm soát truy cập vật lý
Các kiểm soát ra vào vật lý được nêu trong Chính sách về bảo mật vật lý và các tiêu chuẩn bảo mật liên quan cho các cơ sở văn phòng và trung tâm dữ liệu. Các cơ sở được chia thành các khu được bảo vệ có kiểm soát truy cập cụ thể.
Xác thực được quản lý phù hợp với các thực tiễn tốt nhất về bảo mật bằng cách sử dụng khóa, thẻ nhận dạng/đăng nhập và mã PIN.
Việc giám sát truy cập vật lý và ngăn chặn/ phát hiện truy cập trái phép được triển khai. Tất cả trường hợp ra vào đều được CCTV theo dõi với bản ghi được ghi nhật ký. Phạm vi cũng được giám sát bằng các cảm biến chuyển động hoặc phá kính (bao gồm các bức tường kháng cự yếu (ví dụ: kính hoặc tường khô), đầu ra lửa và cửa sổ).
Tiếp tục kinh doanh và phục hồi thảm họa
ESET duy trì, xem xét thường xuyên, đánh giá và triển khai các cải tiến đối với hệ thống quản lý liên tục kinh doanh của mình theo Chính sách quản lý liên tục kinh doanh theo tiêu chuẩn ISO 22301.
ESET đã thiết lập Chương trình BCM, ưu tiên tất cả các hoạt động trong Công ty và được phê duyệt bởi CISO theo Chính sách BCM. Chương trình BCM xác định các hoạt động vận hành và các hoạt động nhằm giảm thiểu các rủi ro liên quan đến BCM, ví dụ: thông qua việc dự phòng hoặc sao chép các chức năng và cơ sở hạ tầng CNTT.
Phân tích tác động kinh doanh (BIA) với các mục tiêu liên tục kinh doanh được xác định (RTO, RPO, MTD, ưu tiên phục hồi) đang được chuẩn bị và xem xét. Kế hoạch khôi phục thảm họa (DRP) được xem xét và thử nghiệm theo Chương trình BCM. Chiến lược tiếp tục kinh doanh xác định cách tiếp cận để duy trì tài sản kinh doanh quan trọng. Tất cả sản lượng từ các hoạt động liên tục kinh doanh thường xuyên đều đóng vai trò là đầu vào để cải thiện liên tục.
Quản lý rủi ro của bên thứ ba
Việc giám sát và xem lại dịch vụ của nhà cung cấp được điều chỉnh bởi Chính sách về bảo mật thông tin trong quan hệ với nhà cung cấp. Đánh giá được thực hiện hàng quý và kết quả được lưu trữ trong Đánh giá nhà cung cấp.
Tài liệu, vòng đời, cập nhật và tích hợp
- Xem trang web trên máy tính để bàn
- Trợ giúp trực tuyến của ESET
- Hết hạn sử dụng
- Phiên bản mới nhất
- Nhật ký thay đổi
- API và tích hợp
- Bản cập nhật bộ máy phát hiện