Sicherheitsrichtlinie

Einführung

Zweck des Dokuments

Ziel dieses Dokuments ist die Zusammenfassung der technischen, organisatorischen und physischen Kontrollen und Sicherheitspraktiken, die in der ESET Infrastruktur angewendet werden, die das ESET-Portfolio umfasst, d. h. Produkte, Anwendungen, Lösungen und ESET-Dienstleistungen (im Folgenden als Produkt bezeichnet). Sicherheitsmaßnahmen, Kontrollen und Richtlinien schützen:

•Betrieb des ESET Portfolios und Datenverarbeitung in lokalen oder Cloud-Umgebungen

•Vertraulichkeit, Integrität und Verfügbarkeit der Kundendaten

•Kundeninformationen vor unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder Zugriff

ESET kann dieses Dokument und die spezifischen Maßnahmen, Kontrollen und Richtlinien, die sie regeln, aktualisieren, um sich entwickelnden Bedrohungen gerecht zu werden und sich an die sich entwickelnden Sicherheitstechnologien und Branchenstandards anzupassen.

Publikum

Dieses Dokument ist relevant für alle Personen, die Gewissheit hinsichtlich der Sicherheit des ESET Portfolios benötigen, sowie für Kunden, die die Lösungen oder Dienste von ESET ihrer Umgebung integrieren und nutzen möchten.

Kontext, Konzept und Umfang

ESET, spol s r.o. ist ISO 27001:2022 zertifiziert mit einem integrierten Verwaltungssystem.

Das Konzept für Informationssicherheitsverwaltung verwendet das ISO 27001-Rahmenwerk zur Umsetzung einer mehrstufigen Sicherheitsstrategie bei der Durchführung von Sicherheitskontrollen in allen Architekturebenen des Informationssystems, darunter die Bereiche Netzwerk, Betriebssysteme, Datenbanken, Anwendungen, Personal- und Betriebsprozesse. Die angewendeten Sicherheitspraktiken und Sicherheitskontrollen überlappen einander und ergänzen sich gegenseitig.

Der Umfang dieses Dokuments umfasst eine Zusammenfassung der technischen und organisatorischen Maßnahmen für das ESET-Portfolio, Organisation, Personal und Betriebsprozesse.  

Zu den Sicherheitspraktiken und -Kontrollen gehören Governance- und technische Maßnahmen, einschließlich, aber nicht beschränkt auf:

•Informationssicherheits-Policies

•Organisation für Informationssicherheit

•Personalsicherheit

•Zugriffssteuerung

•Kryptografie

•Physische und Umgebungssicherheit

•Datenschutz, Netzwerksicherheit, Anwendungssicherheit

•Betriebssicherheit

•Kommunikationssicherheit

•Kauf, Entwicklung und Wartung von Systemen

•Lieferantenbeziehung

•Verwaltung von Informationssicherheitsincidents

•Informationssicherheitsaspekte für die Verwaltung der Geschäftskontinuität

•Compliance

Abkürzungen

Hinweis: Kursiv geschriebener Text – verwendet für Namen interner Firmendokumente, die nicht öffentlich verfügbar sind, z. B. Bestimmungen zur internen Regulierung

Sicherheits-Governance

Programm zur Informationssicherheitsverwaltung

ESET hat ein Rahmenprogramm für das Management der Informationssicherheit als interorganisatorische Funktion für den Schutz von Informationsressourcen erstellt und aufrechterhalten. Die Dokumentation der Informationssicherheit wird durch Sicherheitsrichtlinien, Prozesse und Dokumentation über die Bestimmungen zur internen Regulierung geführt. ESET implementiert die Richtlinie zum integrierten Managementsystem als oberste Ebene für

•ISMS-Richtlinie,

•QMS-Richtlinie und

•Informationssicherheits-Policy

ESET hält sich an die Integrated Management System-Richtlinie, die den Rahmen für das Qualitätsmanagement und das Management der Informationssicherheit definiert. Diese Richtlinie gehört dem Chief Information Security Officer (CISO) von ESET und repräsentiert das Management-Engagement auf höchster Ebene für Sicherheit und Qualität. Er definiert die Verantwortung für die Verwaltung und Gewährleistung dieser Bereiche und beschreibt das Engagement von ESET, die Wirksamkeit seines Managementsystems nach ISO 9001 und ISO 27001 fortlaufend zu bewerten und zu verbessern.

Die Unternehmensrichtlinien werden dokumentiert, gepflegt und jährlich überprüft und bei wichtigen Änderungen aktualisiert, um ihre andauernde Eignung, Angemessenheit und Wirksamkeit zu gewährleisten. Aktualisierungen werden internen Mitarbeitern übermittelt, wobei die Richtlinien für alle Mitarbeiter verfügbar sind. Die Richtlinien werden formell angenommen, vom CEO unterzeichnet, veröffentlicht und allen Mitarbeitern und relevanten Parteien mitgeteilt. Die Richtlinien werden von ESET-Mitarbeitern beim Einsteigen offiziell anerkannt.

Zusätzlich zu den Richtlinien haben die Teams für Informationssicherheit und technische Sicherheit von ESET Prozesse, Verfahren, Normen und Konfigurationsstandards auf der Grundlage der branchen- und Anbietersicherheitsbewegungen entwickelt (z. B. CIS-Benchmarks, OWASP, NIST). Diese werden IT- und Technologie-Teams zur Verfügung gestellt, um die Entwicklung, Konfiguration und den Betrieb von Informationssystemen und Produkten von ESET zu gewährleisten.

ESET pflegt eine interconnected Governance-Dokumentation, die gemäß den Zertifizierungen von ESET für ISO 9001 und ISO 27001 für alle Mitarbeiter entwickelt und verfügbar gemacht wird. Die Betriebsverfahren werden auf die spezifischen Bedürfnisse jedes Teams zugeschnitten, innerhalb bestimmter Arbeitsbereiche verwaltet und nach Bedarf aktualisiert.

Überwachung der Einhaltung der Richtlinien und Disziplinarverfahren zur Behebung und Behebung von Nichteinhaltung der Sicherheitsrichtlinien werden eingeführt, was ESETs Engagement für Rechenschaftspflicht und kontinuierliche Verbesserung stärkt.

Um kontinuierliche Einhaltung und Effizienz zu gewährleisten, hat ESET ein Risikomanagement-Rahmenwerk implementiert, bei dem technische und organisatorische Kontrollen aufrechterhalten werden. Der Risikomanagementprozess von ESET beinhaltet eine umfassende Beurteilung und Risikomanagement im Rahmen seines integrierten Managementsystems (basierend auf ISO 9001 und ISO 27001). Dazu gehören die Beurteilung von Vermögenswerten, die Identifizierung von Sicherheitsanforderungen, die Berechnung von Risiken und die Auswahl geeigneter Abschwächungsstrategien. Der Chief Information Security Officer (CISO) überwacht den gesamten Risikomanagementprozess und stellt sicher, dass Sicherheitsrisiken und damit verbundene Metriken regelmäßig der Geschäftsleitung gemeldet werden. Darüber hinaus wird das Risikomanagement von Drittanbietern durch Anbieterbeurteilungen nach dem ESET-Standard für Vertragssicherheit streng durchgesetzt.

Einhaltung von Branchenstandards

Externe Validierung und Akkreditierung sind für Organisationen von entscheidender Bedeutung, die sich auf die Möglichkeiten und Technologie von ESET verlassen, um ihre Daten zu schützen und regulatorische Anforderungen einzuhalten. Details finden Sie auf der Zertifizierungsseite von ESET.

Überwachung der Einhaltung der Vorschriften

Die Integrated Management System-Richtlinie erstellt das integrierte Management-System, einschließlich regelmäßiger Überprüfungen und Prüfungen.

Interne Audits überprüfen regelmäßig die Einhaltung der Richtlinien und Prozesse von ESET, wie in der Policy on Internal Audit beschrieben. Die Richtlinie über interne Bestimmungen legt die Verantwortung für die regelmäßige Überwachung der Anwendung interner Bestimmungen und entsprechender Anpassungen fest.

Regelmäßige Überprüfungen sowie interne und externe Prüfungen werden gemäß einem jährlichen und dreijährigen langfristigen Prüfungsplan durchgeführt. Interne Audits werden von unabhängigen Prüfern durchgeführt, die je nach Auditbereich regelmäßig die Einhaltung der Richtlinien und Prozesse von ESET oder geltender Normen (z. B. ISO 9001, ISO 27001 und SOC2) überprüfen. Interne Audits werden mindestens jährlich geplant und durchgeführt. Die Prüfungsergebnisse werden in einem speziellen Ticketing-System gesammelt und aufgezeichnet, wobei die jeweiligen Eigentümer zugewiesen werden, die für die Behebung und Behebung der Nichteinhaltung innerhalb eines vorab festgelegten Zeitraums verantwortlich sind. Auditergebnisse, die Managementüberwachung erfordern, und Entscheidungen werden bei regelmäßigen Managementüberprüfungen überprüft.

Organisation für Informationssicherheit

Die Verantwortlichkeit für die Informationssicherheit entspricht den angewendeten Informationssicherheits-Policies. Interne Prozesse werden auf das Risiko einer unbefugten oder unbeabsichtigten Änderung oder des Missbrauchs von ESET Informations-Assets erkannt und bewertet. Für riskante oder sensible Aktivitäten in internen Prozesse werden Best Practices aus dem Sicherheitsbereich angewendet, um Risiken zu minimieren.

Die Informationssicherheit wird im Projektmanagement über das angewendete Projektmanagement-Framework von der Planung bis zum Abschluss der Projekte berücksichtigt.

Die Remotearbeit und die Nutzung von Daten werden durch eine auf Mobilgeräten implementierte Richtlinie abgedeckt, die den Einsatz von sicheren Verschlüsselungsmethoden in nicht vertrauenswürdigen Netzwerken umfasst. Die Sicherheitskontrollen auf Mobilgeräten funktionieren unabhängig von internen ESET Netzwerken und internen Systemen.

Personalsicherheit

ESET verwendet übliche Methoden für die Personalsicherheit, inklusive Policies zum Schutz von Informationen. Diese Praktiken decken den gesamten Mitarbeiterlebenszyklus ab und gelten für alle Mitarbeiter.

ESET verlangt von den ESET Mitarbeitern, dass sie sich beim Onboarding einer Hintergrundüberprüfung und einem Screening unterziehen, eine Geheimhaltungs- oder Vertraulichkeitsvereinbarung als Teil des Arbeitsvertrags unterzeichnen, die sie zur Einhaltung interner Sicherheitsrichtlinien und -standards sowie zum Schutz vertraulicher Informationen und Kundendaten von ESET verpflichtet. Außerdem müssen sie im Rahmen des ESET Compliance- und Sensibilisierungsprogramms eine Schulung zum Thema Informationssicherheit absolvieren.

Technische Maßnahmen

Identitäts- und Zugriffsverwaltung

Die Richtlinie von ESET für die Zugriffsverwaltung regelt jeden Zugriff auf die ESET-Infrastruktur. Zugriffssteuerungsprozesse im Bereich der Gewährung, Widerrufung, Änderung des Zugangs sowie der Überarbeitung der gewährten Zugriffsrechte für alle Infrastruktur-, Technologie-, Anwendungs- oder Toolsebenen. Die vollständige Benutzerzugriffsverwaltung auf Anwendungsebene ist autonom. Die Einmalige Anmeldung für Identität wird von einem zentralen Identitätsanbieter geregelt, der dafür sorgt, dass ein Benutzer nur auf die autorisierte Umgebung oder Anwendung zugreifen kann.

Verwaltung von Benutzern und Zugriffsverfahren, Prozesse und technische Maßnahmen für die Absicherung des Benutzerzugriffs, die Bereitstellung des Benutzerzugriffs, die Überprüfung, Entfernung und Anpassung der Zugriffsrechte werden verwendet, um den Zugang von ESET Mitarbeitern zur ESET Infrastruktur und Netzwerke gemäß den Sicherheitsstandards zu verwalten, einschließlich, aber nicht beschränkt auf:

•Zugriffserteilung auf Basis des Prinzips der geringsten Privilegien und der Notwendigkeit der Kenntnis.

•Regelmäßige Überprüfung des Benutzerzugangs

•Beendigung des Benutzerzugriffs gemäß der Sicherheitsrichtlinie

•Zuweisung des einzigartigen Kontos an alle

•Aufzeichnung von Benutzerzugriffsversuchen, Überprüfung und Überwachung

•Logging und Überprüfung physischer Zugriffe

•Implementierung von mehrstufiger Authentifizierung für besonders privilegierte und Administratorzugriffe

•Timeout-Durchsetzung für interaktive Sitzungen nach bestimmter Inaktivitätsdauer

Datenschutz

Datenverschlüsselung

ESET schützt Daten in seiner Infrastruktur; zur Verschlüsselung von Daten in Ruhe (einschließlich tragbaren Geräten) und im Transit wird eine starke Verschlüsselung verwendet. Die Implementierung der Verschlüsselung erfolgt nach den Regeln des internen Kryptografie-Standards. Die Daten der Kunden werden gemäß den einschlägigen Vorschriften wie der DSGVO, der NIS2-Richtlinie oder der Branchen- und Finanzvorschriften gespeichert.

Geltende Maßnahmen:

•Zertifikate für öffentlich verfügbare Webdienste werden von einer als vertrauenswürdig anerkannten Zertifizierungsstelle ausgestellt.

•Interne ESET PKI wird verwendet, um Schlüssel in der ESET Infrastruktur zu verwalten

•Die native Verschlüsselung der CSP-Plattform ist aktiviert, um den Datenspeicher für relevante Teile der Datenverarbeitung oder die Datenspeicherung in der Cloud-Umgebung (Datenspeicher, Sicherungen) zu gewährleisten.

•Starke Verschlüsselung (z. B. TLS) für die Verschlüsselung von Daten im Transit

Datensicherung und -wiederherstellung

Backups unterliegen der Richtlinie zur Informationssicherheit beim Betrieb von Informations- und Kommunikationstechnologien.

Alle ESET Portfolio-Konfigurations- und Deployment-Daten werden in geschützten und regelmäßig sichergestellten Repositorys von ESET gespeichert, um die automatische Wiederherstellung einer Umgebungskonfiguration zu ermöglichen. Die Wiederherstellbarkeit der Konfigurationssicherung innerhalb der vom Unternehmen erwarteten Zeiten wird mit regelmäßigen Notfallwiederherstellungstests überprüft.

Die Daten der ESET Kunden werden regelmäßig gemäß Branchenstandards und Vorschriften, dem Betrieb hoher Verfügbarkeit und den vertraglichen Anforderungen an die Wiederherstellbarkeit gesichert. Sicherungen sind vor Manipulationen geschützt, und ihre Gültigkeit wird regelmäßig durch Notfallwiederherstellungsübungen getestet.

Netzwerksicherheit

Die Netzwerksegmentierung wird in der gesamten ESET-Netzwerkumgebung angewendet. Netzwerke werden anhand definierter Kriterien voneinander getrennt und mithilfe von VLANs auf Firewalls durchgesetzt.

ESET nutzt eine Vielzahl von Perimeterschutzsystemen, darunter L7-Firewalls, Angriffsversuchserkennungs- und Einbruchschutzsysteme. Diese Systeme werden so konfiguriert und gepflegt, dass sie externe Zugriffspunkte schützen und sicherstellen, dass unbefugte Versuche zum Zugriff auf das Netzwerk erkannt und verhindert werden.  

Der Fernzugriff auf interne Ressourcen wird über ein Benutzer- oder Site-to-Site-VPN mit Rollen und Verantwortlichkeiten, Sicherheitsanforderungen und Kontrollen bereitgestellt, die in den internen Richtlinien von ESET festgelegt sind und gemäß den Standards der Sicherheitsbranche konfiguriert wurden. VPN-Benutzerkonten werden in Active Directory gehalten und sind Teil des Provisionierungsprozesses für das Mitarbeiterkonto.

ESET implementiert und pflegt Netzwerksicherheitskontrollen, um Daten zu schützen, die in der Cloud verarbeitet, empfangen oder gespeichert werden. Die CSP-Konten und die zugrunde liegende Infrastruktur verwenden Netzwerkzugriffskontrolllisten und Sicherheitsgruppen im virtuellen Netzwerk der CSPs, um den Zugang zu allen bereitgestellten Ressourcen einzuschränken. Der Zugriff auf Cloud-Ressourcen erfolgt nur über verschlüsselte Kanäle.  

Härtung

ESET nutzt den Prozess der Sicherung von Systemen, um mögliche Schwachstellen bei Angriffen zu reduzieren. Dazu gehören die folgenden Techniken und Best Practices:

•mit einem signierten Gold-Image für die Installation oder Bereitstellung von Hosts oder Containern

•Deaktivierung unnötiger Dienstleistungen

•automatische geplante Befestigung und Ad-hoc-Patching kritischer Komponenten im Falle eines hohen Risikos

•Upgrades des Betriebssystems vor dem Ende seiner Lebensdauer

•Konfiguration von Sicherheitseinstellungen

•Automatisierung des Infrastruktur- und Anwendungsmanagements in wiederholbarer und kohärenter Weise

•Unnötige Software entfernen

•Einschränkung des Zugangs zu lokalen Ressourcen

•hostbasierte Kontrollen wie Antivirus, Endpoint Detection und Response sowie Netzwerkrichtlinien

ESET verwendet einen zentralisierten Ansatz für die Anwendung und Überprüfung von Sicherungsmaßnahmen für Komponenten von IT-Umgebungen, um die Angriffsfläche zu minimieren, d. h. die Summe aller potenziellen Einstiegspunkte, die Angreifer ausnutzen könnten. Details finden Sie im folgenden Abschnitt dieses Dokuments.

Anwendungssicherheit

Sichere Entwicklungspraktiken

ESET implementiert sichere Softwareentwicklungspraktiken durch seine Richtlinie zur Sicherheit im Lebenszyklus der Softwareentwicklung (SSDLC>), die Sicherheitskontrollen und Risikomanagement in allen Entwicklungsstadien integriert.

Die SSDLC-Richtlinie definiert Anforderungen an:

•Der Code wird gemäß den Richtlinien für sichere Codierung geschrieben und vor der Fusion überprüft.

•Bedrohungsmodellierung und Design-Reviews für neue Funktionen und wichtige Änderungen durchgeführt werden

•Automatisierte Sicherheitsprüfungen (statische Analyse, Abhängigkeitsscanning und ausgewählte dynamische Tests) werden im Rahmen von CI/CD-Pipelines durchgeführt.

•Drittanbieter- und Open-Source-Komponenten werden verfolgt und auf dem neuesten Stand gehalten; für alle veröffentlichten Produkte wird ein SBOM gehalten.

•Die Ergebnisse von Vorfällen, Penetrationstests und Bug-Bonus-Berichten werden überprüft und in den Entwicklungsprozess eingeführt.

Ziel der SSDLC-Richtlinie ist es, sicherzustellen, dass alle Softwareprodukte von ESET sicher, zuverlässig und den geltenden Normen und Vorschriften entsprechen.

Verwaltung von Produkt-Schwachstellen

ESET pflegt einen definierten Prozess zur Erkennung, Beurteilung und Behebung von Schwachstellen in seinen Anwendungen und Produkten während ihres gesamten Lebenszyklus.

Dieser Prozess umfasst interne Probleme sowie Berichte aus externen Quellen.

Im Rahmen des Produkt-Schwachstellenmanagements:

•Verwendet ESET automatisierte Scan-Tools, um Quellcode, Abhängigkeiten und Build-Artefakte auf bekannte Schwachstellen zu scannen

•Überprüft die Ergebnisse manuell, um Auswirkungen und Relevanz zu bestätigen, bevor eine Behebung zugewiesen wird.

•Verfolgt und priorisiert Behebungen basierend auf Schweregrad, Ausnutzbarkeit und Produktgefährdung

•Führt gezielte Sicherheits- und Regressionstests durch, um Behebungsmaßnahmen zu überprüfen

•Integriert Daten zu Schwachstellen in die Entwicklung und Release-Planung, damit kritische Probleme vor dem Versand behoben werden.

•Er nimmt externe Berichte durch koordinierte Offenlegung und ein öffentliches Bug-Bonus-Programm an.

•Vergibt CVE-Identifikatoren für bestätigte Produktschwachstellen im Rahmen seiner Funktion als CVE-Nummering Authority (CNA)

•Wendet Patches und Korrekturen auf Grundlage des Schweregrads der Schwachstellen und der Geschäftsauswirkungen gemäß eines strukturierten Triage-Prozesses an

oDer Zertifizierungsprozess entspricht ISO/IEC 30111 (Verarbeitung von Schwachstellen) und ISO/IEC 29147 (Bereitstellung von Schwachstellen)

oZur Priorisierung werden CVSS-Scoring und externe Intelligenzquellen wie der Katalog bekannter ausgenutzter Schwachstellen (KEV) des CISA verwendet.

oDie endgültigen Lösungsentscheidungen werden gemeinsam von den verantwortlichen Produkt- und Sicherheitsteams getroffen.

Diese Prozesse sorgen dafür, dass Schwachstellen in allen ESET Produkten konsequent, transparent und nachverfolgbar bewältigt werden.

Penetrationstesting

ESET führt regelmäßige Penetrationstests seiner Produkte im Rahmen des gesamten Produktsicherheitsprozesses durch – im Rahmen unseres eigenen Penetrationstestprogramms. Tests werden vor großen Veröffentlichungen und in geplanten Abständen für gepflegte Produkte durchgeführt.

Die Penetrationstests bei ESET konzentrieren sich auf Folgendes:

•Überprüfung der Wirksamkeit der durchgeführten Sicherheitskontrollen und Minderungsmaßnahmen

•Identifizierung potenzieller Schwachstellen, die mit automatisierten Tools möglicherweise nicht erkannt werden können

•Validierung der Ergebnisse früherer Abhilfemaßnahmen

•Beurteilung der Gesamtangriffsfläche und der Risikoexposition der freigegebenen Produkte

Die Tests werden in isolierten Umgebungen von qualifizierten internen Spezialisten oder vertrauenswürdigen externen Partnern mit anerkannten Branchenmethoden durchgeführt (OWASP WSTG/MTG, NIST SP 800-115, PTES).

Die Ergebnisse werden dokumentiert, bewertet und über den gleichen Schwachstellenmanagementprozess verfolgt, der für interne und externe gemeldete Probleme verwendet wird.

Die Ergebnisse der Penetrationstests werden direkt in die Produktverbesserungspläne und die SSDLC gespeichert, um sicherzustellen, dass die gelernten Lektionen erfasst und wiederkehrende Schwachstellen im Laufe der Zeit reduziert werden.

Betriebssicherheit

Informationssicherheitspolitik im Betrieb von IKT

Die Politik zur Informationssicherheit beim Betrieb von IKT im Unternehmen legt grundlegende Sicherheitsregeln für den Betrieb von IKT gemäß ISO 27001 fest.

Die Informationssicherheitsrichtlinie für den Betrieb von IKT definiert Sicherheitsanforderungen für IT-Betriebsprozesse und deren Dokumentation, einschließlich Betriebsverfahren, Änderungsmanagement, Trennung von Rollen und Verantwortlichkeiten, Trennung von Produktions-, Test- und Entwicklungsumgebungen, IT-Dienstleistungen von Drittanbietern, Leistungsplanung, IT-Projekten, Malware-Schutz, Datensicherung, Netzwerksicherheit, Mediensicherheit, E-Commerce-Anforderungen und Überwachung.

Logging und Auditing

Logging und Auditing eines Systems wird gemäß internen Standards und Richtlinien durchgeführt (Policy on Security Monitoring and Security Incident Management).  

Logs und Ereignisse aus Infrastruktur, Betriebssystem, Datenbank, Anwendungsservern und Sicherheitskontrollen werden fortlaufend erfasst. ESET verwendet eine zentrale Log Management-Plattform (SIEM), um relevante Logs vor unbefugter Änderung oder Zerstörung zu schützen. Die Logs werden von der IT-Abteilung und internen Sicherheitsteams weiterverarbeitet, um Betriebs- und Sicherheitsanomalien und IT-Sicherheitsincidents zu identifizieren. Die Daten in SIEM werden für die gesetzlich vorgeschriebene Dauer und für die retrospektive Verfolgung von Bedrohungen gespeichert.

Überwachung der Sicherheit und Reaktion auf Vorfälle

Die Überwachung und Verwaltung von Sicherheitsvorfällen ist in der Richtlinie zur Sicherheitsüberwachung und Verwaltung von Sicherheitsvorfällen definiert.

Die Richtlinie beschreibt

•Verantwortlichkeiten und Regeln für die Entwicklung, ordnungsgemäße Konfiguration, Schutz, Speicherung, Analyse, Bewertung und Aufbewahrung von Sicherheits-Logging und -Audits

•Prozess, Rollen und Verantwortlichkeiten für das Management von Sicherheitsvorfällen

•Verhinderung von Sicherheitsvorfällen

•Minimierung der Auswirkungen von Sicherheitsvorfällen

•Lernen aus Sicherheitsvorfällen

•Bildung der Mitarbeiter in Bezug auf Überwachungsmaßnahmen, deren Umfang und die Rolle der Mitarbeiter bei der Überwachung und der Reaktion auf Vorfälle

Ein etabliertes Security Operations Center (SOC), das 24/7 betrieben wird, ist befugt, den Sicherheitsstatus der IT-Infrastruktur und der Anwendungen fortlaufend zu überwachen und auf Sicherheitsvorfälle zu reagieren.

Die Verwaltung von Informationssicherheitsvorfällen bei ESET basiert auf der definierten Prozedur für die Verarbeitung von Incidents. Die Rollen bei der Incidentbearbeitung sind auf mehrere Teams verteilt, inklusive IT, Sicherheit, Rechts- und Personalabteilung, Public Relations und Management. Standardvorfälle werden vom SOC-Team bearbeitet. Bei größeren Sicherheitsvorfällen wird das Kommandozentrum informiert. Das Kommandozentrum koordiniert in Zusammenarbeit mit dem SOC-Team die Reaktion auf Vorfälle und engagiert andere Teams zur Bewältigung des Vorfalls. Das SOC-Team ist mit Unterstützung der zuständigen Mitglieder des internen Sicherheitsteams auch für die Sammlung von Beweisen und die Nachbearbeitung von Incidents verantwortlich. Aufgetretene Incidents und deren Behebung werden den betroffenen Parteien gemeldet, inklusive Kunden und Partner. Die ESET Rechtsabteilung ist verantwortlich für die Benachrichtigung von Aufsichtsbehörden, falls dies laut Datenschutz-Grundverordnung (DSGVO) und der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS2) erforderlich ist.

Patch-Management

Das Patch Management wird als eine von mehreren Beseitigungsmaßnahmen zur Behebung von Schwachstellen verwendet.

Sicherheits-Patches werden anhand des Schweregrads und des Risikos der identifizierten Schwachstellen bewertet und angewendet.

Ein definierter Sortierungs- und Priorisierungsprozess bestimmt die Reihenfolge und Zeitlinien für die Bereitstellung von Patches. Dieser Prozess folgt den internen Richtlinien von ESET im Einklang mit ISO/IEC 30111. CVSS-Scoring und externe Quellen für Bedrohungsinformationen, wie z. B. der Katalog bekannter nutzbare Schwachstellen (KEV) von CISA, unterstützen risikobasierte Entscheidungen und Priorisierung.

Alle Patches werden vor der Bereitstellung in kontrollierten Umgebungen überprüft, um sicherzustellen, dass sie das Zielproblem lösen, ohne die Stabilität oder Kompatibilität des Systems zu beeinträchtigen.

Die Bereitstellung folgt etablierten Verfahren für das Änderungsmanagement, die ggf. Rückverfolgbarkeit, Rechenschaftspflicht und Rollback-Fähigkeit gewährleisten.

Die Patch-Aktivitäten werden kontinuierlich überwacht und überprüft, um die Wirksamkeit zu bestätigen, veraltete Systeme zu identifizieren und fortlaufende Prozessverbesserungen vorzunehmen.

Die Anwendungs-Logging-Richtlinie legt die technischen Maßnahmen und Anforderungen für das Logging für alle von ESET entwickelten Anwendungen fest.

Malware- und Bedrohungsschutz

Der Schutz vor Malware (durch Antivirus-Software und EDR) ist in der Richtlinie zur Informationssicherheit beim Betrieb von Informations- und Kommunikationstechnologien festgelegt. Die Mitarbeiter sind verpflichtet, jeden Verdacht auf eine Malware-Infektion gemäß der Politik zur Informationssicherheit für ESET Mitarbeiter unverzüglich an SOC zu melden.  

Die Anforderungen an die Endpoints der Mitarbeiter sind in der Sicherheitsstandard für Arbeitsplätze festgelegt.

ESET verwendet eigene Anti-Malware-Tools, die mit bewährten Lösungen von Drittanbietern ausgestattet sind, um Endpoints und Cloud-Workloads zu schützen.

Das SOC-Team führt Threat-Hunting-Tätigkeiten auf der Grundlage der Richtlinie zur Sicherheitsüberwachung und zur Verwaltung von Informationssicherheitsincidents durch. Die Bedrohungsdaten (Feeds) werden im SIEM-System gesammelt und automatisch aufgenommen, um Bedrohungsinformationen zu generieren und auf Sicherheitsüberwachungsereignisse anzuwenden.

Technische Compliance

Das interne Sicherheitsteam stellt verschiedene technische Sicherheitsstandards für Infrastruktur, Cloud, webbezogene Komponenten sowie bewährte Praktiken für Entwickler und IT-Administratoren bereit. Basierend auf technischen Standards erstellt das interne Sicherheitsteam Konfigurations-Basisdateien, die von IT-Teams für die Automatisierung der Bereitstellung und Durchsetzung sicherer Konfigurationen verwendet werden.

Außerdem werden Compliance-Scans über ein Schwachstellenbeurteilungs-Tool durchgeführt, falls möglich. ESET verfügt über ein etabliertes Penetration Testing Programm, und die von ESET entwickelten Produkte, Anwendungen und Dienstleistungen unterliegen regelmäßigen Penetrationstests auf Basis des Programmplans. Alle Ergebnisse werden dokumentiert und den Produktbeteiligten gemeldet, um sicherzustellen, dass sie so schnell wie möglich eingeschränkt werden.

Sicherheitsdienstleistungen

Die Richtlinie zur physischen Sicherheit und die entsprechenden physischen Sicherheitsstandards definieren die Regeln für die physische Sicherheit im Bürogebäude und den Rechenzentren. Diese Richtlinie enthält Regeln und Verfahren für:

•Schutz der Räumlichkeiten von ESET

•Physische Zugangskontrolle

•Sicherheit von Büros, Räumen und Gebäuden

•Arbeit in sicheren Bereichen

•Sicherheit von Ausrüstung, Kabeln und Infrastrukturen

Datencenter-Sicherheit

Die IT-Infrastrukturkomponenten befinden sich physisch in mehreren Rechenzentren, weshalb die Redundanz in jeder Region erreicht wird.

Der physische Sicherheitsumfang ist in der Richtlinie für physische Sicherheit und den entsprechenden Sicherheitsstandards für Bürogebäude und Datenzentren definiert. ESET definierte Regeln für die Festlegung eines Sicherheitsumfangs und der Kontrollen für den physischen Sicherheitsumfang. Wichtige Kontrollmaßnahmen – darunter physische Sicherheitszonen und -trennung, Zugangs- und Besuchsverwaltung, Brand- und Hochwasserschutz sowie Videoüberwachung und personelle Überwachung – sind klar definiert, werden umgesetzt und kontinuierlich überwacht. Die Sicherheit von DC wird regelmäßig von verantwortlichen Mitarbeitern und externen Prüfern überprüft.

ESET stützt sich auf die physischen Sicherheitsmaßnahmen und Kontrollen der CSPs und überprüft daher regelmäßig die entsprechenden Compliance-Berichte der CSPs.

physische Zugriffskontrollen

Die physischen Eingangskontrollen sind in der Richtlinie für physische Sicherheit und den entsprechenden Sicherheitsstandards für Bürogebäude und Rechenzentren festgelegt. Die Räumlichkeiten sind in geschützte Gebiete mit spezifischen Zugangskontrollen unterteilt.

Die Authentifizierung wird gemäß den bestmöglichen Sicherheitspraktiken mithilfe von Schlüsseln, ID/Zugangskarten und PINs verwaltet.

Überwachung des physischen Zugriffs und Verhinderung/Erkennung unbefugter Zugriffe werden implementiert. Alle Zutritte werden mit CCTV überwacht und protokolliert. Der Perimeter wird auch mit Bewegungs- oder Glasbruchsensoren überwacht (einschließlich Wänden mit geringer Widerstandsfähigkeit, wie etwa Glas- oder Trockenwand, Brandausgänge und Fenster).

Geschäftskontinuität und Katastrophenregenerierung

ESET pflegt, überprüft regelmäßig, bewertet und implementiert Verbesserungen an seinem System für das Management der Geschäftskontinuität gemäß der Richtlinie für das Management der Geschäftskontinuität gemäß ISO 22301.

ESET hat das BCM-Programm erstellt, das alle Aktivitäten innerhalb des Unternehmens priorisiert und gemäß der BCM-Richtlinie von CISO genehmigt wird. Das BCM-Programm definiert operative Aktivitäten und Maßnahmen zur Minderung BCM-bezogener Risiken, z. B. durch Redundanz oder die Replikation von Funktionen und IT-Infrastruktur.

Die Business Impact Analysis (BIA) mit definierten Zielen für die Geschäftskontinuität (RTO, RPO, MTD, Recovery Priorities) werden erstellt und überprüft. Die Disaster Recovery Plans (DRP) werden gemäß dem BCM-Programm überprüft und getestet. Die Strategie für die Geschäftskontinuität bestimmt den Ansatz zur Aufrechterhaltung kritischer Geschäftsvermögenswerte. Alle Ausgaben aus regelmäßigen Geschäftskontinuitätsaktivitäten dienen als Eingabe für kontinuierliche Verbesserungen.

Risikomanagement durch Dritte

Überwachung und Überprüfung der Lieferantendienstleistungen unterliegt der Richtlinie zur Informationssicherheit in den Lieferantenbeziehungen. Beurteilungen werden vierteljährlich durchgeführt, und die Ergebnisse werden in der Anbieterbeurteilung gespeichert.