ESET-Onlinehilfe

Suche Deutsch
Wählen Sie eine Kategorie aus
Wählen Sie ein Thema aus

Sicherheit für ESET PROTECT Hub

Einführung

Dieses Dokument fasst die in ESET PROTECT Hub angewendeten Sicherheitspraktiken und Sicherheitskontrollen. Die Sicherheitspraktiken und -Kontrollen dienen zum Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Kundeninformationen. Die Sicherheitspraktiken und -Kontrollen können sich im Lauf der Zeit ändern.

Umfang

Dieses Dokument enthält eine Zusammenfassung der Sicherheitspraktiken und Sicherheitskontrollen für Infrastruktur, Organisation, Mitarbeiter- und Betriebsprozesse im Zusammenhang mit ESET PROTECT Hub. Zu den Sicherheitspraktiken und -Kontrollen gehören:

  1. Informationssicherheits-Policies
  2. Organisation für Informationssicherheit
  3. Personalsicherheit
  4. Assetverwaltung
  5. Zugriffssteuerung
  6. Kryptografie
  7. Physische und Umgebungssicherheit
  8. Betriebssicherheit
  9. Kommunikationssicherheit
  10. Kauf, Entwicklung und Wartung von Systemen
  11. Lieferantenbeziehung
  12. Verwaltung von Informationssicherheitsvorfällen
  13. Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität
  14. Compliance

Sicherheitskonzept

ESET s.r.o. ist nach ISO 27001:2013 zertifiziert mit integriertem Verwaltungssystem, das ESET PROTECT Hub explizit enthält.

Das Konzept für Informationssicherheit verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in den Bereichen Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die angewendeten Sicherheitspraktiken und Sicherheitskontrollen überlappen einander und ergänzen sich gegenseitig.

Sicherheitspraktiken und -Kontrollen

1. Informationssicherheits-Policies

ESET verwendet Informationssicherheits-Policies für alle Aspekte des ISO 27001 Standards, inklusive Governance der Informationssicherheit, Sicherheitskontrollen und Praktiken. Die Policies werden jährlich überprüft und bei wichtigen Änderungen aktualisiert, um ihre andauernde Eignung, Angemessenheit und Wirksamkeit zu gewährleisten.

ESET überprüft diese Policy und interne Sicherheitsüberprüfungen jährlich, um die Übereinstimmung mit dieser Policy zu gewährleisten. Bei Nichteinhaltung der Informationssicherheits-Policies werden Disziplinarmaßnahmen für ESET-Mitarbeiter bzw. Vertragsstrafen bis hin zur Vertragskündigung für Lieferanten verhängt.

2. Organisation für Informationssicherheit

Die Organisation für die Informationssicherheit für ESET PROTECT Hub besteht aus mehreren Teams und Einzelpersonen in den Bereichen Informationssicherheit und IT, darunter:

  • ESET Management
  • Interne ESET Sicherheitsteams
  • IT-Teams für Unternehmensanwendungen
  • Weitere Support-Teams

Die Verantwortlichkeit für die Informationssicherheit entspricht den angewendeten Informationssicherheits-Policies. Interne Prozesse werden auf das Risiko einer unbefugten oder unbeabsichtigten Änderung oder des Missbrauchs von ESET-Assets erkannt und bewertet. Für riskante oder sensible Aktivitäten in internen Prozesse gilt das Prinzip der Pflichtenteilung, um Risiken zu minimieren.

Die ESET Rechtsabteilung ist für die Kommunikation mit Regierungsbehörden zuständig, darunter auch slowakische Behörden für Cybersicherheit und den Schutz personenbezogener Daten. Das interne ESET Sicherheitsteam ist für die Kommunikation mit speziellen Interessengruppen wie z. B. ISACA verantwortlich. Das ESET Research Lab Team ist für die Kommunikation mit anderen Sicherheitsunternehmen und die allgemeine Cybersicherheits-Community verantwortlich.

Die Informationssicherheit wird im Projektmanagement über das angewendete Projektmanagement-Framework von der Planung bis zum Abschluss der Projekte berücksichtigt.

Die Remotearbeit und die Nutzung von Daten werden durch eine auf Mobilgeräten implementierte Policy abgedeckt, die den Einsatz von sicheren Verschlüsselungsmethoden auf Mobilgeräten auf Reisen durch nicht vertrauenswürdige Netzwerke umfasst. Die Sicherheitskontrollen auf Mobilgeräten funktionieren unabhängig von internen ESET Netzwerken und internen Systemen.

3. Personalsicherheit

ESET verwendet übliche Methoden für die Personalsicherheit, inklusive Policies zum Schutz von Informationen. Diese Methoden gelten für alle Teams, die auf die ESET PROTECT Hub Umgebung zugreifen.

4. Assetverwaltung

Die ESET PROTECT Hub Infrastruktur ist im ESET Assetbestand enthalten, und es gelten strenge Besitzverhältnisse und Regeln je nach Art und Vertraulichkeit der Assets. ESET hat ein internes Klassifizierungsschema definiert. Alle ESET PROTECT Hub Daten und Konfigurationen sind als vertraulich eingestuft.

5. Zugriffssteuerung

Die ESET-Policy für die Zugriffssteuerung regelt alle Zugriffe in ESET PROTECT Hub. Die Zugriffssteuerung wird auf Infrastruktur-, Netzwerkdienste-, Betriebssystem-, Datenbank- und Anwendungsebene festgelegt. Die vollständige Benutzerzugriffsverwaltung auf Anwendungsebene ist autonom und verwendet die rollenbasierte Zugriffssteuerung von Microsoft Azure.

Der ESET Backend-Zugriff ist ausschließlich auf autorisierte Personen und Rollen beschränkt. Für die Registrierung und die Bereitstellung von Benutzern sowie für die Aufhebung dieser Prozesse, für die Berechtigungsverwaltung und die Überprüfung von Benutzerzugriffsrechten werden standardmäßige ESET-Prozesse verwendet, um den Zugriff der ESET-Mitarbeiter auf die ESET PROTECT Hub Infrastruktur und die -Netzwerke zu verwalten.

Eine starke Authentifizierung schützt den Zugriff auf alle ESET PROTECT Hub Daten.

6. Kryptografie

Die ESET PROTECT Hub Datenbanken verschlüsseln Daten während der Übertragung mit TLS, um sie zu schützen. Außerdem werden ruhende Daten verschlüsselt und der Verschlüsselungsschlüssel der Datenbank wird mit einem integrierten Serverzertifikat geschützt.

Zertifikate für öffentlich verfügbare Dienste werden von einer als vertrauenswürdig anerkannten Zertifizierungsstelle ausgestellt.

7. Physische und Umgebungssicherheit

ESET PROTECT Hub ist cloudbasiert und nutzt Microsoft Azure für die physische und Umgebungssicherheit. Der physische Standort des Rechenzentrums befindet sich ausschließlich in der Europäischen Union (EU). Die Kundendaten werden bei der Übertragung mit einer sicheren Verschlüsselung geschützt.

8. Betriebssicherheit

ESET PROTECT Hub wird automatisiert auf Grundlage strikter Betriebs- und Konfigurations-Templates betrieben. Alle Änderungen, einschließlich Konfigurationsänderungen und Bereitstellungen neuer Pakete, werden genehmigt und vor der Bereitstellung in einer dedizierten Testumgebung getestet. Entwicklungs-, Test- und Produktionsumgebungen sind voneinander getrennt. Die ESET PROTECT Hub Daten befinden sich nur in der Produktionsumgebung.

Die ESET PROTECT Hub Umgebung unterliegt strengen Überwachungsmaßnahmen, um Probleme schnell zu identifizieren und ausreichende Kapazität für alle Dienste auf Netzwerk- und Hostebene bereitzustellen.

Alle Konfigurationsdaten werden regelmäßig gesichert und verfügen über Redundanzfunktionen.

Alle Sicherungen werden verschlüsselt und regelmäßig bei den Tests der Geschäftskontinuität auf ihre Wiederherstellbarkeit geprüft.

Für Systemaudits werden interne Standards und Richtlinien verwendet. Logs und Ereignisse aus Infrastruktur, Betriebssystem, Datenbank, Anwendungsservern und Sicherheitskontrollen werden fortlaufend erfasst. Die Logs werden von der IT-Abteilung und internen Sicherheitsteams weiterverarbeitet, um Betriebs- und Sicherheitsanomalien und IT-Sicherheitsvorfälle zu identifizieren.

ESET verwendet einen standardisierten technischen Verwaltungsprozess für die Behebung von Schwachstellen in der ESET Infrastruktur, inklusive ESET PROTECT Hub und andere ESET Produkte. Dieser Prozess umfasst proaktive Schwachstellen-Scans und wiederholte Penetrationtests für Infrastruktur, Produkte und Anwendungen.

ESET hat interne Richtlinien zur Sicherheit der internen Infrastruktur, Netzwerke, Betriebssysteme, Datenbanken, Anwendungsserver und Anwendungen definiert. Diese Richtlinien werden über im Rahmen der technischen Compliance und über unser internes Auditprogramm für Informationssicherheit überprüft.

9. Kommunikationssicherheit

Der Netzwerkzugang von ESET PROTECT Hub ist auf notwendige Dienste beschränkt.

Der Netzwerkverkehr wird fortlaufend auf Betriebs- und Sicherheitsanomalien überwacht. Potenzielle Angriffe können mit nativen Cloudkontrollen oder bereitgestellten Sicherheitslösungen abgewehrt werden. Die gesamte Netzwerkkommunikation wird mit allgemein verfügbaren Techniken wie IPsec und TLS verschlüsselt.

10. Kauf, Entwicklung und Wartung von Systemen

Die Entwicklung von ESET PROTECT Hub Systemen erfolgt gemäß der ESET Policy für sichere Softwareentwicklung. Interne Sicherheitsteams werden von Anfang an in den Entwicklungsprozess von ESET PROTECT Hub einbezogen und begleiten sämtliche Entwicklungs- und Wartungsaktivitäten. Das interne Sicherheitsteam definiert und überprüft Sicherheitsanforderungen in verschiedenen Phasen der Softwareentwicklung. Die Sicherheit aller Dienste, wird nach der Veröffentlichung fortlaufend getestet. Dies gilt auch für neu entwickelte Dienste.

11. Lieferantenbeziehung

Die Beziehungen zu Lieferanten werden durch die ESET-Richtlinien geregelt. Diese Richtlinien umfassen die gesamte Verwaltung der Beziehungen und die vertraglichen Anforderungen im Hinblick auf Informationssicherheit und Datenschutz. Die Qualität und Sicherheit bereitgestellter kritischer Dienste wird regelmäßig bewertet.

Außerdem verwendet ESET das Übertragbarkeitsprinzip für ESET PROTECT Hub, um eine zu starke Anbieterbindung zu vermeiden.

12. Informationssicherheitsverwaltung

Die Verwaltung von Informationssicherheitsvorfällen in ESET PROTECT Hub funktioniert ähnlich wie in anderen ESET Infrastrukturen und basiert auf definierten Prozeduren für die Verarbeitung von Vorfällen. Die Rollen bei der Vorfallbearbeitung sind auf mehrere Teams verteilt, inklusive IT, Sicherheit, Rechts- und Personalabteilung, Public Relations und Management. Das Reaktionsteam für einen Vorfall wird auf Basis der Vorfall-Triage durch das interne Sicherheitsteam zusammengestellt. Dieses Team bietet zusätzliche Unterstützung für andere Teams, die den Vorfall bearbeiten. Das interne Sicherheitsteam ist auch für die Sammlung von Beweisen und die Nachbearbeitung von Vorfällen verantwortlich. Aufgetretene Vorfälle und deren Behebung werden den betroffenen Parteien gemeldet. Die ESET Rechtsabteilung ist verantwortlich für die Benachrichtigung von Aufsichtsbehörden, falls dies laut Datenschutz-Grundverordnung (DSGVO) und der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) erforderlich ist.

13. Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität

Die Geschäftskontinuität des ESET PROTECT Hub Diensts wird durch die robuste Architektur sichergestellt, mit der die Verfügbarkeit der bereitgestellten Dienste optimiert wird. Bei einem katastrophalen Defekt sämtlicher redundanter Knoten für ESET PROTECT Hub Komponenten oder den ESET PROTECT Hub Dienst ist eine vollständige Wiederherstellung aus einer Off-Site-Sicherung inklusive Konfigurationsdaten möglich. Der Wiederherstellungsprozess wird regelmäßig getestet.

14. Compliance

Die Einhaltung der regulatorischen und vertraglichen Anforderungen an ESET PROTECT Hub wird, ebenso wie andere Infrastrukturen und Abläufe von ESET, regelmäßig bewertet und überprüft, und es werden die notwendigen Schritte eingeleitet, um die kontinuierliche Einhaltung der Vorschriften sicherzustellen. ESET ist als digitaler Dienstanbieter für digitale Cloud Computing-Dienste registriert. Diese Registrierung deckt mehrere ESET Dienste ab, inklusive ESET PROTECT Hub. Die ESET Compliance-Aktivitäten garantieren nicht unbedingt, dass die allgemeinen Compliance-Anforderungen von Kunden als solche erfüllt sind.