ESET-Onlinehilfe

Suche Deutsch
Wählen Sie ein Thema aus

Sicherheit für ESET PROTECT

Einführung

Dieses Dokument fasst die in ESET PROTECT angewendeten Sicherheitspraktiken und Sicherheitskontrollen. Die Sicherheitspraktiken und -Kontrollen dienen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Kundeninformationen. Die Sicherheitspraktiken und -Kontrollen können sich im Lauf der Zeit ändern.

Umfang

Dieses Dokument enthält eine Zusammenfassung der Sicherheitspraktiken und Sicherheitskontrollen für die ESET PROTECT Infrastruktur, ESET Business Account (im Folgenden „EBA“) und ESET MSP Administrator (im Folgenden „EMA“), Infrastruktur, Organisation, Mitarbeiter- und Betriebsprozesse. Zu den Sicherheitspraktiken und -Kontrollen gehören:

  1. Informationssicherheits-Policies
  2. Organisation für Informationssicherheit
  3. Personalsicherheit
  4. Assetverwaltung
  5. Zugriffssteuerung
  6. Kryptografie
  7. Physische und Umgebungssicherheit
  8. Betriebssicherheit
  9. Kommunikationssicherheit
  10. Kauf, Entwicklung und Wartung von Systemen
  11. Lieferantenbeziehung
  12. Verwaltung von Informationssicherheitsvorfällen
  13. Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität
  14. Compliance

Sicherheitskonzept

ESET s.r.o. ist nach ISO 27001:2013 zertifiziert mit integriertem Verwaltungssystem, worin ESET PROTECT, EBA und EMA Dienste explizit enthalten sind.

Das Konzept für Informationssicherheit verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die angewendeten Sicherheitspraktiken und Sicherheitskontrollen überlappen einander und ergänzen sich gegenseitig.

Sicherheitspraktiken und -Kontrollen

1. Informationssicherheits-Policies

ESET verwendet Informationssicherheits-Policies für alle Aspekte des ISO 27001 Standards, inklusive Governance der Informationssicherheit, Sicherheitskontrollen und Praktiken. Die Policies werden jährlich überprüft und bei wichtigen Änderungen aktualisiert, um ihre andauernde Eignung, Angemessenheit und Wirksamkeit zu gewährleisten.

ESET überprüft diese Policy und interne Sicherheitsüberprüfungen jährlich, um die Übereinstimmung mit dieser Policy zu gewährleisten. Bei Nichteinhaltung der Informationssicherheits-Policies werden Disziplinarmaßnahmen für ESET-Mitarbeiter bzw. Vertragsstrafen bis hin zur Vertragskündigung für Lieferanten verhängt.

2. Organisation für Informationssicherheit

Die Organisation für die Informationssicherheit für ESET PROTECT besteht aus mehreren Teams und Einzelpersonen in den Bereichen Informationssicherheit und IT, darunter:

  • ESET Management
  • Interne ESET Sicherheitsteams
  • IT-Teams für Unternehmensanwendungen
  • Weitere Support-Teams

Die Verantwortlichkeit für die Informationssicherheit entspricht den angewendeten Informationssicherheits-Policies. Interne Prozesse werden auf das Risiko einer unbefugten oder unbeabsichtigten Änderung oder des Missbrauchs von ESET-Assets erkannt und bewertet. Für riskante oder sensible Aktivitäten in internen Prozesse gilt das Prinzip der Pflichtenteilung, um Risiken zu minimieren.

Die ESET Rechtsabteilung ist für die Kommunikation mit Regierungsbehörden zuständig, darunter auch slowakische Behörden für Cybersicherheit und den Schutz personenbezogener Daten. Das interne ESET Sicherheitsteam ist für die Kommunikation mit speziellen Interessengruppen wie z. B. ISACA verantwortlich. Das ESET Research Lab Team ist für die Kommunikation mit anderen Sicherheitsunternehmen und die allgemeine Cybersicherheits-Community verantwortlich.

Die Informationssicherheit wird im Projektmanagement über das angewendete Projektmanagement-Framework von der Planung bis zum Abschluss der Projekte berücksichtigt.

Die Remotearbeit und die Nutzung von Daten werden durch eine auf Mobilgeräten implementierte Policy abgedeckt, die den Einsatz von sicheren Verschlüsselungsmethoden auf Mobilgeräten auf Reisen durch nicht vertrauenswürdige Netzwerke umfasst. Die Sicherheitskontrollen auf Mobilgeräten funktionieren unabhängig von internen ESET Netzwerken und internen Systemen.

3. Personalsicherheit

ESET verwendet übliche Methoden für die Personalsicherheit, inklusive Policies zum Schutz von Informationen. Diese Methoden gelten für alle Teams, die auf die ESET PROTECT Umgebung zugreifen.

4. Assetverwaltung

Die ESET PROTECT Infrastruktur ist im ESET Assetbestand enthalten, und es gelten strenge Besitzverhältnisse und Regeln je nach Art und Vertraulichkeit der Assets. ESET hat ein internes Klassifizierungsschema definiert. Alle ESET PROTECT Daten und Konfigurationen sind als vertraulich eingestuft.

5. Zugriffssteuerung

Die ESET-Policy für die Zugriffssteuerung regelt alle Zugriffe in ESET PROTECT. Die Zugriffssteuerung wird auf Infrastruktur-, Netzwerkdienste-, Betriebssystem-, Datenbank- und Anwendungsebene festgelegt. Die vollständige Benutzerzugriffsverwaltung auf Anwendungsebene ist autonom. Die einmalige Anmeldung bei ESET PROTECT und ESET Business Account erfolgt bei einem zentralen Identitätsanbieter, um sicherzustellen, dass Benutzer nur auf autorisierte Mandanten zugreifen können. Die Anwendung verwendet standardmäßige ESET PROTECT Berechtigungen, um die rollenbasierte Zugriffskontrolle für den Mandanten durchzusetzen.

Der ESET Backend-Zugriff ist ausschließlich auf autorisierte Personen und Rollen beschränkt. Für die Registrierung und die Bereitstellung von Benutzern sowie für die Aufhebung dieser Prozesse, für die Berechtigungsverwaltung und die Überprüfung von Benutzerzugriffsrechten werden standardmäßige ESET-Prozesse verwendet, um den Zugriff der ESET-Mitarbeiter auf die ESET PROTECT Infrastruktur und die -Netzwerke zu verwalten.

Eine starke Authentifizierung schützt den Zugriff auf alle ESET PROTECT Daten.

6. Kryptografie

Zum Schutz der Daten in ESET PROTECT werden sichere Verschlüsselungsmechanismen bei der Speicherung und der Übertragung von Daten verwendet. Zertifikate für öffentlich verfügbare Dienste werden von einer als vertrauenswürdig anerkannten Zertifizierungsstelle ausgestellt. Die interne ESET Infrastruktur für öffentliche Schlüssel wird verwendet, um Schlüssel in der ESET PROTECT Infrastruktur zu verwalten. Die Daten in der Datenbank werden mit cloudgenerierten Verschlüsselungsschlüsseln geschützt. Alle Sicherungsdaten werden mit von ESET verwalteten Schlüsseln geschützt.

7. Physische und Umgebungssicherheit

ESET PROTECT und ESET Business Account sind cloudbasiert, und unsere physische und Umgebungssicherheit basiert auf Microsoft Azure. Microsoft Azure verwendet zertifizierte Rechenzentren mit robusten physischen Sicherheitsvorkehrungen. Der physische Standort des Rechenzentrums hängt von der Regionsauswahl des Kunden ab. Die Kundendaten werden bei der Übertragung aus der Cloudumgebung (z. B. zu einem physischen Sicherungsdatenspeicher) mit einer sicheren Verschlüsselung geschützt.

8. Betriebssicherheit

Der ESET PROTECT Dienst wird automatisiert auf Grundlage strikter Betriebs- und Konfigurations-Templates betrieben. Alle Änderungen, einschließlich Konfigurationsänderungen und Bereitstellungen neuer Pakete, werden genehmigt und vor der Bereitstellung in einer dedizierten Testumgebung getestet. Entwicklungs-, Test- und Produktionsumgebungen sind voneinander getrennt. Die ESET PROTECT Daten befinden sich nur in der Produktionsumgebung.

Die ESET PROTECT Umgebung unterliegt strengen Überwachungsmaßnahmen, um Probleme schnell zu identifizieren und ausreichende Kapazität für alle Dienste auf Netzwerk- und Hostebene bereitzustellen.

Alle Konfigurationsdaten werden in unseren regelmäßig gesicherten Repositorys gespeichert, um die Umgebungskonfiguration automatisch wiederherstellen zu können. Die ESET PROTECT Datensicherungen werden sowohl vor Ort als auch Off-Site gespeichert.

Alle Sicherungen werden verschlüsselt und regelmäßig bei den Tests der Geschäftskontinuität auf ihre Wiederherstellbarkeit geprüft.

Für Systemaudits werden interne Standards und Richtlinien verwendet. Logs und Ereignisse aus Infrastruktur, Betriebssystem, Datenbank, Anwendungsservern und Sicherheitskontrollen werden fortlaufend erfasst. Die Logs werden von der IT-Abteilung und internen Sicherheitsteams weiterverarbeitet, um Betriebs- und Sicherheitsanomalien und IT-Sicherheitsvorfälle zu identifizieren.

ESET verwendet einen standardisierten technischen Verwaltungsprozess für die Behebung von Schwachstellen in der ESET Infrastruktur, inklusive ESET PROTECT und andere ESET Produkte. Dieser Prozess umfasst proaktive Schwachstellen-Scans und wiederholte Penetrationtests für Infrastruktur, Produkte und Anwendungen.

ESET hat interne Richtlinien zur Sicherheit der internen Infrastruktur, Netzwerke, Betriebssysteme, Datenbanken, Anwendungsserver und Anwendungen definiert. Diese Richtlinien werden über im Rahmen der technischen Compliance und über unser internes Auditprogramm für Informationssicherheit überprüft.

9. Kommunikationssicherheit

Die ESET PROTECT Umgebung ist über eine native Cloudsegmentierung isoliert. Der Netzwerkzugriff ist auf die erforderlichen Dienste in den Netzwerksegmenten beschränkt. Die Verfügbarkeit von Netzwerkdiensten wird über native Cloud-Kontrollen wie Verfügbarkeitszonen, Lastenausgleich und Redundanz sichergestellt. Dedizierte Lastenausgleichsmodule werden eingesetzt, um bestimmte Endpunkte für das Routing von ESET PROTECT Instanzen bereitzustellen, inklusive Autorisierung für Datenverkehr und Lastenausgleich. Der Netzwerkverkehr wird fortlaufend auf Betriebs- und Sicherheitsanomalien überwacht. Potenzielle Angriffe können mit nativen Cloudkontrollen oder bereitgestellten Sicherheitslösungen abgewehrt werden. Die gesamte Netzwerkkommunikation wird mit allgemein verfügbaren Techniken wie IPsec und TLS verschlüsselt.

10. Kauf, Entwicklung und Wartung von Systemen

Die Entwicklung von ESET PROTECT Systemen erfolgt gemäß der ESET Policy für sichere Softwareentwicklung. Interne Sicherheitsteams werden von Anfang an in den Entwicklungsprozess von ESET PROTECT einbezogen und begleiten sämtliche Entwicklungs- und Wartungsaktivitäten. Das interne Sicherheitsteam definiert und überprüft Sicherheitsanforderungen in verschiedenen Phasen der Softwareentwicklung. Die Sicherheit aller Dienste, wird nach der Veröffentlichung fortlaufend getestet. Dies gilt auch für neu entwickelte Dienste.

11. Lieferantenbeziehung

Die Beziehungen zu Lieferanten werden durch die ESET-Richtlinien geregelt. Diese Richtlinien umfassen die gesamte Verwaltung der Beziehungen und die vertraglichen Anforderungen im Hinblick auf Informationssicherheit und Datenschutz. Die Qualität und Sicherheit bereitgestellter kritischer Dienste wird regelmäßig bewertet.

Außerdem verwendet ESET das Übertragbarkeitsprinzip für ESET PROTECT, um eine zu starke Anbieterbindung zu vermeiden.

12. Informationssicherheitsverwaltung

Die Verwaltung von Informationssicherheitsvorfällen in ESET PROTECT funktioniert ähnlich wie in anderen ESET Infrastrukturen und basiert auf definierten Prozeduren für die Verarbeitung von Vorfällen. Die Rollen bei der Vorfallbearbeitung sind auf mehrere Teams verteilt, inklusive IT, Sicherheit, Rechts- und Personalabteilung, Public Relations und Management. Das Reaktionsteam für einen Vorfall wird auf Basis der Vorfall-Triage durch das interne Sicherheitsteam zusammengestellt. Dieses Team bietet zusätzliche Unterstützung für andere Teams, die den Vorfall bearbeiten. Das interne Sicherheitsteam ist auch für die Sammlung von Beweisen und die Nachbearbeitung von Vorfällen verantwortlich. Aufgetretene Vorfälle und deren Behebung werden den betroffenen Parteien gemeldet. Die ESET Rechtsabteilung ist verantwortlich für die Benachrichtigung von Aufsichtsbehörden, falls dies laut Datenschutz-Grundverordnung (DSGVO) und der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) erforderlich ist.

13. Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität

Die Geschäftskontinuität des ESET PROTECT Diensts wird durch die robuste Architektur sichergestellt, mit der die Verfügbarkeit der bereitgestellten Dienste optimiert wird. Bei einem katastrophalen Defekt sämtlicher redundanter Knoten für ESET PROTECT Komponenten oder den ESET PROTECT Dienst ist eine vollständige Wiederherstellung aus einer Off-Site-Sicherung inklusive Konfigurationsdaten möglich. Der Wiederherstellungsprozess wird regelmäßig getestet.

14. Compliance

Die Einhaltung der regulatorischen und vertraglichen Anforderungen an ESET PROTECT wird, ebenso wie andere Infrastrukturen und Abläufe von ESET, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die kontinuierliche Einhaltung der Vorschriften sicherzustellen. ESET ist als digitaler Dienstanbieter für digitale Cloud Computing-Dienste registriert. Diese Registrierung deckt mehrere ESET Dienste ab, inklusive ESET PROTECT. Die ESET Compliance-Aktivitäten garantieren nicht unbedingt, dass die allgemeinen Compliance-Anforderungen von Kunden als solche erfüllt sind.