Sicherheit für ESET LiveGuard Advanced
Einführung
Dieses Dokument fasst die in ESET LiveGuard Advanced angewendeten Sicherheitspraktiken und Sicherheitskontrollen. Die Sicherheitspraktiken und -Kontrollen dienen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Kundeninformationen. Die Sicherheitspraktiken und -Kontrollen können sich im Lauf der Zeit ändern.
Umfang
Dieses Dokument enthält eine Zusammenfassung der Sicherheitspraktiken und Sicherheitskontrollen für Infrastruktur, Organisation, Mitarbeiter- und Betriebsprozesse im Zusammenhang mit ESET LiveGuard Advanced. Zu den Sicherheitspraktiken und -Kontrollen gehören:
- Informationssicherheits-Policies
- Organisation für Informationssicherheit
- Personalsicherheit
- Assetverwaltung
- Zugriffssteuerung
- Kryptografie
- Physische und Umgebungssicherheit
- Betriebssicherheit
- Kommunikationssicherheit
- Kauf, Entwicklung und Wartung von Systemen
- Lieferantenbeziehung
- Verwaltung von Informationssicherheitsvorfällen
- Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität
- Compliance
Sicherheitskonzept
ESET, spol. s r.o. ist nach ISO 27001:2013 zertifiziert mit integriertem Verwaltungssystem, worin die ESET LiveGuard Advanced Dienste explizit enthalten sind.
Das Konzept für Informationssicherheit verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die angewendeten Sicherheitspraktiken und Sicherheitskontrollen überlappen einander und ergänzen sich gegenseitig.
Sicherheitspraktiken und -Kontrollen
1. Informationssicherheits-Policies
ESET verwendet Informationssicherheits-Policies für alle Aspekte des ISO 27001 Standards, inklusive Governance der Informationssicherheit, Sicherheitskontrollen und Praktiken. Die Policies werden jährlich überprüft und bei wichtigen Änderungen aktualisiert, um ihre andauernde Eignung, Angemessenheit und Wirksamkeit zu gewährleisten.
ESET überprüft diese Policy und interne Sicherheitsüberprüfungen jährlich, um die Übereinstimmung mit dieser Policy zu gewährleisten. Bei Nichteinhaltung der Informationssicherheits-Policies werden Disziplinarmaßnahmen für ESET-Mitarbeiter bzw. Vertragsstrafen bis hin zur Vertragskündigung für Lieferanten verhängt.
2. Organisation für Informationssicherheit
Die Organisation für die Informationssicherheit für ESET LiveGuard Advanced besteht aus mehreren Teams und Einzelpersonen in den Bereichen Informationssicherheit und IT, darunter:
- ESET Management
- Interne ESET Sicherheitsteams
- IT-Teams für Unternehmensanwendungen
- Weitere Support-Teams
Die Verantwortlichkeit für die Informationssicherheit entspricht den angewendeten Informationssicherheits-Policies. Interne Prozesse werden auf das Risiko einer unbefugten oder unbeabsichtigten Änderung oder des Missbrauchs von ESET-Assets erkannt und bewertet. Für riskante oder sensible Aktivitäten in internen Prozesse gilt das Prinzip der Pflichtenteilung, um Risiken zu minimieren.
Die ESET Rechtsabteilung ist für die Kommunikation mit Regierungsbehörden zuständig, darunter auch slowakische Behörden für Cybersicherheit und den Schutz personenbezogener Daten. Das interne ESET Sicherheitsteam ist für die Kommunikation mit speziellen Interessengruppen wie z. B. ISACA verantwortlich. Das ESET Research Lab Team ist für die Kommunikation mit anderen Sicherheitsunternehmen und die allgemeine Cybersicherheits-Community verantwortlich.
Die Informationssicherheit wird im Projektmanagement über das angewendete Projektmanagement-Framework von der Planung bis zum Abschluss der Projekte berücksichtigt.
Die Remotearbeit und die Nutzung von Daten werden durch eine auf Mobilgeräten implementierte Policy abgedeckt, die den Einsatz von sicheren Verschlüsselungsmethoden auf Mobilgeräten auf Reisen durch nicht vertrauenswürdige Netzwerke umfasst. Die Sicherheitskontrollen auf Mobilgeräten funktionieren unabhängig von internen ESET Netzwerken und internen Systemen.
3. Personalsicherheit
ESET verwendet übliche Methoden für die Personalsicherheit, inklusive Policies zum Schutz von Informationen. Diese Methoden gelten für alle Teams, die auf die ESET LiveGuard Advanced Umgebung zugreifen.
4. Assetverwaltung
Die ESET LiveGuard Advanced Infrastruktur ist im ESET Assetbestand enthalten, und es gelten strenge Besitzverhältnisse und Regeln je nach Art und Vertraulichkeit der Assets. ESET hat ein internes Klassifizierungsschema definiert. Alle ESET LiveGuard Advanced Daten und Konfigurationen sind als vertraulich eingestuft.
5. Zugriffssteuerung
Die ESET-Policy für die Zugriffssteuerung regelt alle Zugriffe in ESET LiveGuard Advanced. Die Zugriffssteuerung wird auf Infrastruktur-, Netzwerkdienste-, Betriebssystem-, Datenbank- und Anwendungsebene festgelegt. Die vollständige Benutzerzugriffsverwaltung auf Anwendungsebene ist autonom.
Der ESET Backend-Zugriff ist ausschließlich auf autorisierte Personen und Rollen beschränkt. Für die Registrierung und die Bereitstellung von Benutzern sowie für die Aufhebung dieser Prozesse, für die Berechtigungsverwaltung und die Überprüfung von Benutzerzugriffsrechten werden standardmäßige ESET-Prozesse verwendet, um den Zugriff der ESET-Mitarbeiter auf die ESET LiveGuard Advanced Infrastruktur und die -Netzwerke zu verwalten.
Eine starke Authentifizierung schützt den Zugriff auf alle ESET LiveGuard Advanced Daten.
6. Kryptografie
Bei der Datenübertragung werden die ESET LiveGuard Advanced Daten mit einer sicheren Verschlüsselung (SSL) geschützt.
7. Physische und Umgebungssicherheit
ESET LiveGuard Advanced ist cloudbasiert. ESET verlässt sich auf eine private Cloud und die Microsoft Azure Cloud. Der physische Standort des privaten Cloud-Rechenzentrums befindet sich ausschließlich in der Europäischen Union (EU). Microsoft Azure ist nicht auf das EU-Territorium beschränkt, wird jedoch nur zur Speicherung von Einweg-Hashes verwendet, die aus übermittelten Dateien erstellt wurden und keine personenbezogenen Daten enthalten. Die Kundendaten werden bei der Übertragung mit einer sicheren Verschlüsselung geschützt.
8. Betriebssicherheit
Der ESET LiveGuard Advanced Dienst wird automatisiert auf Grundlage strikter Betriebs- und Konfigurations-Templates betrieben. Alle Änderungen, einschließlich Konfigurationsänderungen und Bereitstellungen neuer Pakete, werden genehmigt und vor der Bereitstellung in einer dedizierten Testumgebung getestet. Entwicklungs-, Test- und Produktionsumgebungen sind voneinander getrennt. Die ESET LiveGuard Advanced Daten befinden sich nur in der Produktionsumgebung.
Die ESET LiveGuard Advanced Umgebung unterliegt strengen Überwachungsmaßnahmen, um Probleme schnell zu identifizieren und ausreichende Kapazität für alle Dienste auf Netzwerk- und Hostebene bereitzustellen.
Alle Konfigurationsdaten werden in unseren regelmäßig gesicherten Repositorys gespeichert, um die Umgebungskonfiguration automatisch wiederherstellen zu können. Die ESET LiveGuard Advanced Datensicherungen werden sowohl vor Ort als auch Off-Site gespeichert.
Alle Sicherungen werden verschlüsselt und regelmäßig bei den Tests der Geschäftskontinuität auf ihre Wiederherstellbarkeit geprüft.
Für Systemaudits werden interne Standards und Richtlinien verwendet. Logs und Ereignisse aus Infrastruktur, Betriebssystem, Datenbank, Anwendungsservern und Sicherheitskontrollen werden fortlaufend erfasst. Die Logs werden von der IT-Abteilung und internen Sicherheitsteams weiterverarbeitet, um Betriebs- und Sicherheitsanomalien und IT-Sicherheitsvorfälle zu identifizieren.
ESET verwendet einen standardisierten technischen Verwaltungsprozess für die Behebung von Schwachstellen in der ESET Infrastruktur, inklusive ESET LiveGuard Advanced und andere ESET Produkte. Dieser Prozess umfasst proaktive Schwachstellen-Scans und wiederholte Penetrationtests für Infrastruktur, Produkte und Anwendungen.
ESET hat interne Richtlinien zur Sicherheit der internen Infrastruktur, Netzwerke, Betriebssysteme, Datenbanken, Anwendungsserver und Anwendungen definiert. Diese Richtlinien werden über im Rahmen der technischen Compliance und über unser internes Auditprogramm für Informationssicherheit überprüft.
9. Kommunikationssicherheit
Die ESET LiveGuard Advanced Umgebung ist über eine native Cloudsegmentierung isoliert. Der Netzwerkzugriff ist auf die erforderlichen Dienste in den Netzwerksegmenten beschränkt. Die Verfügbarkeit von Netzwerkdiensten wird über native Cloud-Kontrollen wie Verfügbarkeitszonen, Lastenausgleich und Redundanz sichergestellt. Dedizierte Lastenausgleichsmodule werden eingesetzt, um bestimmte Endpunkte für das Routing von ESET LiveGuard Advanced Instanzen bereitzustellen, inklusive Autorisierung für Datenverkehr und Lastenausgleich. Der Netzwerkverkehr wird fortlaufend auf Betriebs- und Sicherheitsanomalien überwacht. Potenzielle Angriffe können mit nativen Cloudkontrollen oder bereitgestellten Sicherheitslösungen abgewehrt werden. Die gesamte Netzwerkkommunikation wird mit allgemein verfügbaren Techniken wie IPsec und TLS verschlüsselt.
10. Kauf, Entwicklung und Wartung von Systemen
Die Entwicklung von ESET LiveGuard Advanced Systemen erfolgt gemäß der ESET Policy für sichere Softwareentwicklung. Interne Sicherheitsteams werden von Anfang an in den Entwicklungsprozess von ESET LiveGuard Advanced einbezogen und begleiten sämtliche Entwicklungs- und Wartungsaktivitäten. Das interne Sicherheitsteam definiert und überprüft Sicherheitsanforderungen in verschiedenen Phasen der Softwareentwicklung. Die Sicherheit aller Dienste, wird nach der Veröffentlichung fortlaufend getestet. Dies gilt auch für neu entwickelte Dienste.
11. Lieferantenbeziehung
Die Beziehungen zu Lieferanten werden durch die ESET-Richtlinien geregelt. Diese Richtlinien umfassen die gesamte Verwaltung der Beziehungen und die vertraglichen Anforderungen im Hinblick auf Informationssicherheit und Datenschutz. Die Qualität und Sicherheit bereitgestellter kritischer Dienste wird regelmäßig bewertet.
Außerdem verwendet ESET das Übertragbarkeitsprinzip für ESET LiveGuard Advanced, um eine zu starke Anbieterbindung zu vermeiden.
12. Informationssicherheitsverwaltung
Die Verwaltung von Informationssicherheitsvorfällen in ESET LiveGuard Advanced funktioniert ähnlich wie in anderen ESET Infrastrukturen und basiert auf definierten Prozeduren für die Verarbeitung von Vorfällen. Die Rollen bei der Vorfallbearbeitung sind auf mehrere Teams verteilt, inklusive IT, Sicherheit, Rechts- und Personalabteilung, Public Relations und Management. Das Reaktionsteam für einen Vorfall wird auf Basis der Vorfall-Triage durch das interne Sicherheitsteam zusammengestellt. Dieses Team bietet zusätzliche Unterstützung für andere Teams, die den Vorfall bearbeiten. Das interne Sicherheitsteam ist auch für die Sammlung von Beweisen und die Nachbearbeitung von Vorfällen verantwortlich. Aufgetretene Vorfälle und deren Behebung werden den betroffenen Parteien gemeldet. Die ESET Rechtsabteilung ist verantwortlich für die Benachrichtigung von Aufsichtsbehörden, falls dies laut Datenschutz-Grundverordnung (DSGVO) und der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) erforderlich ist.
13. Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität
Die Geschäftskontinuität des ESET LiveGuard Advanced Diensts wird durch die robuste Architektur sichergestellt, mit der die Verfügbarkeit der bereitgestellten Dienste optimiert wird. Bei einem katastrophalen Defekt sämtlicher redundanter Knoten für ESET LiveGuard Advanced Komponenten oder den ESET LiveGuard Advanced Dienst ist eine vollständige Wiederherstellung aus einer Off-Site-Sicherung inklusive Konfigurationsdaten möglich. Der Wiederherstellungsprozess wird regelmäßig getestet.
14. Compliance
Die Einhaltung der regulatorischen und vertraglichen Anforderungen an ESET LiveGuard Advanced wird, ebenso wie andere Infrastrukturen und Abläufe von ESET, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die kontinuierliche Einhaltung der Vorschriften sicherzustellen. ESET ist als digitaler Dienstanbieter für digitale Cloud Computing-Dienste registriert. Diese Registrierung deckt mehrere ESET Dienste ab, inklusive ESET LiveGuard Advanced. Die ESET Compliance-Aktivitäten garantieren nicht unbedingt, dass die allgemeinen Compliance-Anforderungen von Kunden als solche erfüllt sind.