Vor kurzem hat T\u00dcV AUSTRIA best\u00e4tigt, dass das Informationssicherheitsmanagementsystem (ISMS), das wir im Rahmen unserer Kaspersky Security Network (KSN) Infrastruktur anwenden, dem ISO \/ IEC 27001: 2013-Standard f\u00fcr die Zustellung sch\u00e4dlicher und verd\u00e4chtiger Dateien entspricht. T\u00dcV best\u00e4tigte auch die sichere Speicherung und den sicheren Zugriff auf diese Dateien im Kaspersky Lab Distributed File System (KLDFS). Wir erkl\u00e4ren Ihnen, was es mit der Zertifizierung nach ISO \/ IEC 27001: 2013 auf sich hat.<\/p>\n
Die ISO 27001 ist eine internationale Norm, die Anforderungen f\u00fcr die Erstellung, Wartung und Entwicklung von Managementsystemen der Informationssicherheit umfasst. Im Wesentlichen handelt es sich um eine Sammlung von Best Practices f\u00fcr Sicherheitsmanagementma\u00dfnahmen zum Schutz von Informationen und zur Gew\u00e4hrleistung des Kundenschutzes (Ihrer Daten).<\/p>\n
F\u00fcr die Zertifizierung entsendet eine unabh\u00e4ngige Stelle, in unserem Fall T\u00dcV AUSTRIA, Gutachter, die uns auf die Gew\u00e4hrleistung der Cybersicherheit und Best Practices pr\u00fcfen. W\u00e4hrend des Audits bewerten sie Prozesse in verschiedenen Abteilungen (einschlie\u00dflich Personalwesen, IT, F & E und Sicherheit) und erstellen einen umfassenden Bericht, den andere unabh\u00e4ngige Experten analysieren, um die Unparteilichkeit der Gutachter sicherzustellen. Schlie\u00dflich stellt die unabh\u00e4ngige Organisation ein Zertifikat aus, das in unserem Fall best\u00e4tigt, dass unser ISMS den Best Practices entspricht.<\/p>\n
Unsere Kunden sind in erster Linie daran interessiert, ob wir ein H\u00f6chstma\u00df an Sicherheit f\u00fcr die Bereitstellung von b\u00f6swilligen und verd\u00e4chtigen Objekten (Dateien) f\u00fcr zus\u00e4tzliche automatische und manuelle Analysen durch unsere Experten bieten und ob wir diese Objekte folglich zuverl\u00e4ssig speichern. Dieser Bereich ist ma\u00dfgebend\u00a0 f\u00fcr jedes Antivirenunternehmen. Aus diesem Grund haben wir die Zertifizierung der Bereitstellungsmechanismen f\u00fcr sch\u00e4dliche und verd\u00e4chtige Dateien mithilfe der Infrastruktur von Kaspersky Security Network und deren sichere Speicherung im verteilten Kaspersky Lab-Dateisystem angestrebt. Die Pr\u00fcfungen waren jedoch nicht nur auf diesen Bereich beschr\u00e4nkt. Viele Dienstleistungen im Unternehmen sind \u00e4hnlich angeordnet.<\/p>\n
Viele Faktoren wirken sich auf die Sicherheit eines Prozesses aus und ISMS k\u00f6nnen dabei helfen, diese Faktoren zu definieren und einen zeitnahen Schutz zu bieten. Viele Fragen aus dem Bereich Cybersicherheitsmanagement k\u00f6nnen als grundlegend angesehen werden. Wer hat Zugang zu Informationssystemen und kritischen Daten? Wie verl\u00e4uft der Bewerbungsprozess? Wie arbeiten Mitarbeiter mit Dokumenten und Informationssystemen? Wie geht das Sicherheitsteam mit dem Widerruf von Zugriffsrechten um, wenn ein Mitarbeiter das Unternehmen verl\u00e4sst? Wie bewusst sind sich die Mitarbeiter m\u00f6glicher Cyberbedrohungen und Schutzma\u00dfnahmen? Wie arbeiten Administratoren mit Computern, auf denen kritische Vorg\u00e4nge ausgef\u00fchrt werden?<\/p>\n
Das Schutzsystem ber\u00fccksichtigt auch neue Arten von Bedrohungen und Gegenma\u00dfnahmen, beispielsweise den Schutz vor APT-Angriffen, um den m\u00f6glichen Risiken des Einsatzes neuer Technologien, einschlie\u00dflich der Verwendung von Algorithmen f\u00fcr maschinelles Lernen, entgegenzuwirken.<\/p>\n
Vor diesem Hintergrund analysierten die Pr\u00fcfer die Dokumentation, sprachen mit Mitarbeitern aus verschiedenen Abteilungen und analysierten die technischen und organisatorischen Aspekte des Datenschutzes, wie z. B. die Prozesse der Einstellung, Entlassung und Schulung. Sie untersuchten, wie der IT-Service das Unternehmensnetzwerk unterh\u00e4lt und besuchten au\u00dferdem unsere Rechenzentren. Sie beobachteten auch, wie Mitarbeiter arbeiten, \u00fcberpr\u00fcften, ob sie gedruckte Dokumente und Wechselmedien im B\u00fcro herumliegen lie\u00dfen und ob sie ihre Computer abseits ihrer Schreibtische sperrten, was auf ihren Monitoren und Dashboards angezeigt wurde und welche Arten von Programmen sie verwendeten. Mit anderen Worten, sie analysierten die Praktiken, die f\u00fcr das gesamte Unternehmen gelten, und achteten dabei besonders auf die \u00dcberpr\u00fcfung der Prozesse des ISMS: Sicherheitsanalyse durch das Management, Risikomanagement, Incident-Management, Korrekturma\u00dfnahmen, Audits, Gew\u00e4hrleistung des Cybersicherheitsbewusstseins der Mitarbeiter und Aufrechterhaltung der Gesch\u00e4ftskontinuit\u00e4t.<\/p>\n
Interessierte Kunden k\u00f6nnen sich nun mit dem Zertifikat vertraut machen, das die Meinung unabh\u00e4ngiger Experten darstellt. Fragen zur ISO 27001-Zertifizierung tauchen h\u00e4ufig auf, insbesondere wenn ein Unternehmen einen Sicherheitsanbieter ausw\u00e4hlt, da die meisten unserer L\u00f6sungen zertifizierte Services beinhalten.<\/p>\n
Doch die Arbeit h\u00f6rt hier nicht auf. Wir zertifizieren alle drei Jahre neu und das bedeutet mehr Audits. Dar\u00fcber hinaus werden j\u00e4hrlich Stichproben von den Pr\u00fcfern durchgef\u00fchrt.<\/p>\n