Security for ESET Cloud Office Security
Einführung
Dieses Dokument fasst die in ESET Cloud Office Security angewendeten Sicherheitspraktiken und Sicherheitskontrollen. Die Sicherheitspraktiken und -Kontrollen dienen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Kundeninformationen. Die Sicherheitspraktiken und -Kontrollen können sich im Lauf der Zeit ändern.
Umfang
Dieses Dokument enthält eine Zusammenfassung der Sicherheitspraktiken und Sicherheitskontrollen für die ESET Cloud Office Security Infrastruktur, ESET Business Account (im Folgenden „EBA“), ESET Data Framework, ESET LiveGrid Update, Spam-Schutz, ESET Dynamic Threat Defense-Infrastruktur, Organisation, Mitarbeiter- und Betriebsprozesse. Zu den Sicherheitspraktiken und -Kontrollen gehören:
- Informationssicherheits-Policies
- Organisation für Informationssicherheit
- Personalsicherheit
- Assetverwaltung
- Zugriffssteuerung
- Kryptografie
- Physische und Umgebungssicherheit
- Betriebssicherheit
- Kommunikationssicherheit
- Kauf, Entwicklung und Wartung von Systemen
- Lieferantenbeziehung
- Verwaltung von Informationssicherheitsvorfällen
- Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität
- Compliance
Sicherheitskonzept
ESET s.r.o. ist nach ISO 27001:2013 zertifiziert mit integriertem Verwaltungssystem, worin ESET Cloud Office Security, EBA und andere Dienste explizit enthalten sind.
Das Konzept für Informationssicherheit verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die angewendeten Sicherheitspraktiken und Sicherheitskontrollen überlappen einander und ergänzen sich gegenseitig.
Sicherheitspraktiken und -Kontrollen
1. Informationssicherheits-Policies
ESET verwendet Informationssicherheits-Policies für alle Aspekte des ISO 27001 Standards, inklusive Governance der Informationssicherheit, Sicherheitskontrollen und Praktiken. Die Policies werden jährlich überprüft und bei wichtigen Änderungen aktualisiert, um ihre andauernde Eignung, Angemessenheit und Wirksamkeit zu gewährleisten.
ESET überprüft diese Policy und interne Sicherheitsüberprüfungen jährlich, um die Übereinstimmung mit dieser Policy zu gewährleisten. Bei Nichteinhaltung der Informationssicherheits-Policies werden Disziplinarmaßnahmen für ESET-Mitarbeiter bzw. Vertragsstrafen bis hin zur Vertragskündigung für Lieferanten verhängt.
2. Organisation für Informationssicherheit
Die Organisation für die Informationssicherheit für ESET Cloud Office Security besteht aus mehreren Teams und Einzelpersonen in den Bereichen Informationssicherheit und IT, darunter:
- ESET Management
- Interne ESET Sicherheitsteams
- IT-Teams für Unternehmensanwendungen
- Weitere Support-Teams
Die Verantwortlichkeit für die Informationssicherheit entspricht den angewendeten Informationssicherheits-Policies. Interne Prozesse werden auf das Risiko einer unbefugten oder unbeabsichtigten Änderung oder des Missbrauchs von ESET-Assets erkannt und bewertet. Für riskante oder sensible Aktivitäten in internen Prozesse gilt das Prinzip der Pflichtenteilung, um Risiken zu minimieren.
Die ESET Rechtsabteilung ist für die Kommunikation mit Regierungsbehörden zuständig, darunter auch slowakische Behörden für Cybersicherheit und den Schutz personenbezogener Daten. Das interne ESET Sicherheitsteam ist für die Kommunikation mit speziellen Interessengruppen wie z. B. ISACA verantwortlich. Das ESET Research Lab Team ist für die Kommunikation mit anderen Sicherheitsunternehmen und die allgemeine Cybersicherheits-Community verantwortlich.
Die Informationssicherheit wird im Projektmanagement über das angewendete Projektmanagement-Framework von der Planung bis zum Abschluss der Projekte berücksichtigt.
Die Remotearbeit und die Nutzung von Daten werden durch eine auf Mobilgeräten implementierte Policy abgedeckt, die den Einsatz von sicheren Verschlüsselungsmethoden auf Mobilgeräten auf Reisen durch nicht vertrauenswürdige Netzwerke umfasst. Die Sicherheitskontrollen auf Mobilgeräten funktionieren unabhängig von internen ESET Netzwerken und internen Systemen.
3. Personalsicherheit
ESET verwendet übliche Methoden für die Personalsicherheit, inklusive Policies zum Schutz von Informationen. Diese Methoden gelten für alle Teams, die auf die ESET Cloud Office Security Umgebung zugreifen.
4. Assetverwaltung
Die ESET Cloud Office Security Infrastruktur ist im ESET Assetbestand enthalten, und es gelten strenge Besitzverhältnisse und Regeln je nach Art und Vertraulichkeit der Assets. ESET hat ein internes Klassifizierungsschema definiert. Alle ESET Cloud Office Security Daten und Konfigurationen sind als vertraulich eingestuft.
5. Zugriffssteuerung
Die ESET-Policy für die Zugriffssteuerung regelt alle Zugriffe in ESET Cloud Office Security. Die Zugriffssteuerung wird auf Infrastruktur-, Netzwerkdienste-, Betriebssystem-, Datenbank- und Anwendungsebene festgelegt. Die vollständige Benutzerzugriffsverwaltung auf Anwendungsebene ist autonom. Die einmalige Anmeldung bei ESET Cloud Office Security und ESET Business Account erfolgt bei einem zentralen Identitätsanbieter, um sicherzustellen, dass Benutzer nur auf autorisierte Mandanten zugreifen können. Die Anwendung verwendet standardmäßige ESET Cloud Office Security Berechtigungen, um die rollenbasierte Zugriffskontrolle für den Mandanten durchzusetzen.
Der ESET Backend-Zugriff ist ausschließlich auf autorisierte Personen und Rollen beschränkt. Für die Registrierung und die Bereitstellung von Benutzern sowie für die Aufhebung dieser Prozesse, für die Berechtigungsverwaltung und die Überprüfung von Benutzerzugriffsrechten werden standardmäßige ESET-Prozesse verwendet, um den Zugriff der ESET-Mitarbeiter auf die ESET Cloud Office Security Infrastruktur und die -Netzwerke zu verwalten.
Eine starke Authentifizierung schützt den Zugriff auf alle ESET Cloud Office Security Daten.
6. Kryptografie
Zum Schutz der Daten in ESET Cloud Office Security werden sichere Verschlüsselungsmechanismen bei der Speicherung und der Übertragung von Daten verwendet. Zertifikate für öffentlich verfügbare Dienste werden von einer als vertrauenswürdig anerkannten Zertifizierungsstelle ausgestellt. Die interne ESET Infrastruktur für öffentliche Schlüssel wird verwendet, um Schlüssel in der ESET Cloud Office Security Infrastruktur zu verwalten. Die Daten in der Datenbank werden mit cloudgenerierten Verschlüsselungsschlüsseln geschützt. Alle Sicherungsdaten werden mit von ESET verwalteten Schlüsseln geschützt.
7. Physische und Umgebungssicherheit
ESET Cloud Office Security und ESET Business Account sind cloudbasiert, und unsere physische und Umgebungssicherheit basiert auf Microsoft Azure. Microsoft Azure verwendet zertifizierte Rechenzentren mit robusten physischen Sicherheitsvorkehrungen. Der physische Standort des Rechenzentrums hängt von der Regionsauswahl des Kunden ab.
8. Betriebssicherheit
Der ESET Cloud Office Security Dienst wird automatisiert auf Grundlage strikter Betriebs- und Konfigurations-Templates betrieben. Alle Änderungen, einschließlich Konfigurationsänderungen und Bereitstellungen neuer Pakete, werden genehmigt und vor der Bereitstellung in einer dedizierten Testumgebung getestet. Entwicklungs-, Test- und Produktionsumgebungen sind voneinander getrennt. Die ESET Cloud Office Security Daten befinden sich nur in der Produktionsumgebung.
Die ESET Cloud Office Security Umgebung unterliegt strengen Überwachungsmaßnahmen, um Probleme schnell zu identifizieren und ausreichende Kapazität für alle Dienste auf Netzwerk- und Hostebene bereitzustellen.
Alle Konfigurationsdaten werden in unseren regelmäßig gesicherten Repositorys gespeichert, um die Umgebungskonfiguration automatisch wiederherstellen zu können. Die ESET Cloud Office Security Datensicherungen werden sowohl vor Ort als auch Off-Site gespeichert.
Alle Sicherungen werden verschlüsselt und regelmäßig bei den Tests der Geschäftskontinuität auf ihre Wiederherstellbarkeit geprüft.
Für Systemaudits werden interne Standards und Richtlinien verwendet. Logs und Ereignisse aus Infrastruktur, Betriebssystem, Datenbank, Anwendungsservern und Sicherheitskontrollen werden fortlaufend erfasst. Die Logs werden von der IT-Abteilung und internen Sicherheitsteams weiterverarbeitet, um Betriebs- und Sicherheitsanomalien und IT-Sicherheitsvorfälle zu identifizieren.
ESET verwendet einen standardisierten technischen Verwaltungsprozess für die Behebung von Schwachstellen in der ESET Infrastruktur, inklusive ESET Cloud Office Security und andere ESET Produkte. Dieser Prozess umfasst proaktive Schwachstellen-Scans und wiederholte Penetrationtests für Infrastruktur, Produkte und Anwendungen.
ESET hat interne Richtlinien zur Sicherheit der internen Infrastruktur, Netzwerke, Betriebssysteme, Datenbanken, Anwendungsserver und Anwendungen definiert. Diese Richtlinien werden über im Rahmen der technischen Compliance und über unser internes Auditprogramm für Informationssicherheit überprüft.
9. Kommunikationssicherheit
Die ESET Cloud Office Security Umgebung ist über eine native Cloudsegmentierung isoliert. Der Netzwerkzugriff ist auf die erforderlichen Dienste in den Netzwerksegmenten beschränkt. Die Verfügbarkeit von Netzwerkdiensten wird über native Cloud-Kontrollen wie Verfügbarkeitszonen, Lastenausgleich und Redundanz sichergestellt. Dedizierte Lastenausgleichsmodule werden eingesetzt, um bestimmte Endpunkte für das Routing von ESET Cloud Office Security Instanzen bereitzustellen, inklusive Autorisierung für Datenverkehr und Lastenausgleich. Der Netzwerkverkehr wird fortlaufend auf Betriebs- und Sicherheitsanomalien überwacht. Potenzielle Angriffe können mit nativen Cloudkontrollen oder bereitgestellten Sicherheitslösungen abgewehrt werden. Die gesamte Netzwerkkommunikation wird mit allgemein verfügbaren Techniken wie IPsec und TLS verschlüsselt.
10. Kauf, Entwicklung und Wartung von Systemen
Die Entwicklung von ESET Cloud Office Security Systemen erfolgt gemäß der ESET Policy für sichere Softwareentwicklung. Interne Sicherheitsteams werden von Anfang an in den Entwicklungsprozess von ESET Cloud Office Security einbezogen und begleiten sämtliche Entwicklungs- und Wartungsaktivitäten. Das interne Sicherheitsteam definiert und überprüft Sicherheitsanforderungen in verschiedenen Phasen der Softwareentwicklung. Die Sicherheit aller Dienste, wird nach der Veröffentlichung fortlaufend getestet. Dies gilt auch für neu entwickelte Dienste.
11. Lieferantenbeziehung
Die Beziehungen zu Lieferanten werden durch die ESET-Richtlinien geregelt. Diese Richtlinien umfassen die gesamte Verwaltung der Beziehungen und die vertraglichen Anforderungen im Hinblick auf Informationssicherheit und Datenschutz. Die Qualität und Sicherheit bereitgestellter kritischer Dienste wird regelmäßig bewertet.
12. Informationssicherheitsverwaltung
Die Verwaltung von Informationssicherheitsvorfällen in ESET Cloud Office Security funktioniert ähnlich wie in anderen ESET Infrastrukturen und basiert auf definierten Prozeduren für die Verarbeitung von Vorfällen. Die Rollen bei der Vorfallbearbeitung sind auf mehrere Teams verteilt, inklusive IT, Sicherheit, Rechts- und Personalabteilung, Public Relations und Management. Das Reaktionsteam für einen Vorfall wird auf Basis der Vorfall-Triage durch das interne Sicherheitsteam zusammengestellt. Dieses Team bietet zusätzliche Unterstützung für andere Teams, die den Vorfall bearbeiten. Das interne Sicherheitsteam ist auch für die Sammlung von Beweisen und die Nachbearbeitung von Vorfällen verantwortlich. Aufgetretene Vorfälle und deren Behebung werden den betroffenen Parteien gemeldet. Die ESET Rechtsabteilung ist verantwortlich für die Benachrichtigung von Aufsichtsbehörden, falls dies laut Datenschutz-Grundverordnung (DSGVO) und der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) erforderlich ist.
13. Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität
Die Geschäftskontinuität des ESET Cloud Office Security Diensts wird durch die robuste Architektur sichergestellt, mit der die Verfügbarkeit der bereitgestellten Dienste optimiert wird. Bei einem katastrophalen Defekt sämtlicher redundanter Knoten für ESET Cloud Office Security Komponenten oder den ESET Cloud Office Security Dienst ist eine vollständige Wiederherstellung aus einer Off-Site-Sicherung inklusive Konfigurationsdaten möglich. Der Wiederherstellungsprozess wird regelmäßig getestet.
14. Compliance
Die Einhaltung der regulatorischen und vertraglichen Anforderungen an ESET Cloud Office Security wird, ebenso wie andere Infrastrukturen und Abläufe von ESET, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die kontinuierliche Einhaltung der Vorschriften sicherzustellen. ESET ist als digitaler Dienstanbieter für digitale Cloud Computing-Dienste registriert. Diese Registrierung deckt mehrere ESET Dienste ab, inklusive ESET Cloud Office Security. Die ESET Compliance-Aktivitäten garantieren nicht unbedingt, dass die allgemeinen Compliance-Anforderungen von Kunden als solche erfüllt sind.