+41 52 511 3200 (SUI)     + 1 713 955 7305 (USA)     
Kiberbiztonsági politika

 

1. Bevezetés és cél

1.1 Rheonics elkötelezett amellett, hogy megvédje információs eszközeit, beleértve a védett adatokat, az ügyféladatokat, a szellemi tulajdont és az informatikai infrastruktúrát, a jogosulatlan hozzáférés, használat, nyilvánosságra hozatal, megváltoztatás, megszakítás vagy megsemmisítés ellen.

1.2 Ez a politika megteremti a keretet a biztonságos környezet fenntartásához Rheonicsdigitális műveletek, összhangban:

  • Szabályok: svájci FADP, GDPR (ahol alkalmazható), egyesült államokbeli állami/szövetségi törvények és egyéb vonatkozó nemzeti törvények, ahol Rheonics működik.
  • Szabványok: Zero Trust elvek, CIS-benchmarkok, NIST-irányelvek (pl. SP 800-88, SP 800-171, ahol alkalmazható) és OWASP-irányelvek.

1.3 Célok:

  • Biztosítsa az adatok és rendszerek titkosságát, integritását és rendelkezésre állását (CIA).
  • Minimalizálja a kiberbiztonsági incidensek kockázatát és biztosítsa az üzletmenet folytonosságát.
  • Támogatja a biztonságtudatos kultúrát az összes személyzet körében.
  • Biztosítani kell a jogi, szabályozási és szerződéses kötelezettségek betartását.

 

2. terület

Mindenre vonatkozik Rheonics alkalmazottak, vállalkozók, tanácsadók, gyakornokok, önkéntesek és harmadik felek („Felhasználók”) hozzáférése Rheonics rendszerek, adatok vagy létesítmények. Borítók:

2.1 Eszközök

  • hardver
  • Szoftver (beleértve a SaaS/IaaS/PaaS-t)
  • Adatok (elektronikus és fizikai)
  • Hálózatok
  • Fizikai létesítmények

2.2 Tevékenységek

  • Helyszíni munka
  • Távoli munka
  • Céges tulajdonú eszközök használata
  • Személyes eszközök használata (BYOD)
  • Fejlesztési tevékenységek
  • Harmadik fél szállítói interakciói

 

3. Szerepkörök és felelősségek


SzerepKulcskötelezettségek
Menedzsmentbajnoki politika; források elosztása; biztosítja az általános megfelelést és a kockázatkezelést.
IT/biztonsági csapatVezérlések végrehajtása/kezelése; vezető eseményreakció; auditokat és értékeléseket végezni.
Minden felhasználóTartsa be a szabályzatot; használj erős jelszavakat + MFA; azonnal jelentse az eseményeket; teljes képzést.

 

4. Szabályzatok

4.1 Adatbiztonság

  • Osztályozás és kezelés: Az adatokat az érzékenység szerint kell osztályozni és kezelni (lásd A melléklet). A követelmények az érzékenységgel nőnek.
  • Titkosítás: A korlátozott és bizalmas adatokat nyugalmi állapotban és továbbítás közben erős, iparági szabványos algoritmusok segítségével titkosítani kell.
  • Ártalmatlanítás: Biztonságos módszereket kell alkalmazni: NIST SP 800-88 kompatibilis törlés elektronikus adathordozókhoz; keresztirányú aprítás (P-4 vagy magasabb) bizalmas vagy korlátozott adatokat tartalmazó fizikai dokumentumokhoz. Az adatmegőrzési ütemterveket be kell tartani.

4.2 Belépés-ellenőrzés

  • Legkisebb privilégium és RBAC: A hozzáférés megadása a feladatfunkció szükségessége (legkisebb jogosultság) alapján történik a szerepkör alapú hozzáférés-vezérlés (RBAC) használatával.
  • Hitelesítés: Egyedi felhasználói azonosítók szükségesek. Az erős jelszavak (lásd a B. függeléket) és az MFA kötelező a felhőszolgáltatásokhoz, a távoli hozzáféréshez, a rendszergazdai fiókokhoz és a bizalmas/korlátozott adatokat kezelő rendszerekhez.
  • Vélemények: A hozzáférési jogokat negyedévente felülvizsgálják a vezetők/rendszertulajdonosok; megszűnése vagy szerepváltoztatás után azonnal visszavonják. Formális jóváhagyási folyamat szükséges a hozzáférési engedélyekhez/módosításokhoz.

4.3 Elfogadható felhasználási szabályzat (AUP)

  • Üzleti cél: Rheonics az erőforrások elsősorban üzleti felhasználásra szolgálnak. Korlátozott véletlenszerű személyes használat megengedett, ha nem zavarja a feladatokat, nem fogyaszt túlzott erőforrásokat, nem jár költségekkel, vagy nem sérti az irányelveket/törvényeket.
  • Tiltott tevékenységek: Ideértve, de nem kizárólagosan: illegális tevékenységek, zaklatás, sértő anyagok elérése/terjesztése, szerzői jogok megsértése, jogosulatlan rendszermódosítás, biztonsági ellenőrzések megkerülése, jogosulatlan szoftverek telepítése, rosszindulatú programok bevezetése, jogosulatlan adatmegosztás/szivárgás, túlzott személyes használat.
  • Felhasználói éberség: A felhasználóknak óvatosan kell eljárniuk az e-mailekkel (adathalászat), a webböngészéssel (rosszindulatú webhelyek), valamint a mellékletek/linkek kezelésével.

4.4 Hálózatbiztonság

  • Kerület és szegmentáció: Tűzfalak, IDS/IPS karbantartva. A hálózati szegmentáció elkülöníti a kritikus rendszereket (pl. K+F, termelés) és adattárakat.
  • Wi-Fi: Biztonságos WPA3-Enterprise (vagy WPA2-Enterprise minimum) a belső hálózatokhoz. A vendég Wi-Fi-t logikailag el kell különíteni, és nem szabad hozzáférést biztosítani a belső erőforrásokhoz.
  • Távoli hozzáférés: Csak a vállalat által jóváhagyott VPN-en keresztül MFA-val. Az osztott alagút korlátozható.
  • Nulla bizalom: A Zero Trust architektúra elveinek megvalósítása (pl. mikroszegmentáció, folyamatos ellenőrzés, eszközállapot-ellenőrzés) folyamatban van, és a kritikus hálózatok esetében 1 első negyedévére céloz.

4.5 Vállalati tulajdonú végpontbiztonság

  • Védelem: Minden vállalati tulajdonú végponton (asztali számítógépek, laptopok, mobilok) rendelkeznie kell a vállalat által felügyelt végpontészlelés és válaszadás (EDR) vagy jóváhagyott víruskereső szoftverrel, amely futni és frissítve van.
  • Foltozás: Az operációs rendszereket és alkalmazásokat a vállalat javításkezelési folyamatán keresztül folyamatosan frissíteni kell. Meghatározott határidőn belül alkalmazott kritikus javítások [Rheonics idővonalak meghatározásához, pl. 72 óra kritikus operációs rendszer esetén].
  • Titkosítás: A teljes lemezes titkosítás (pl. BitLocker, FileVault) kötelező laptopokon és hordozható eszközökön.

4.6 Hozd magaddal a saját eszközödet (BYOD)

  • Jóváhagyás és szabványok: Személyes eszközök (BYOD) használata a nem nyilvános hozzáféréshez Rheonics az adatok kifejezett jóváhagyását és a minimális szabványok betartását igénylik (lásd a D. függeléket).
  • Biztonsági követelmények: Tartalmazza az MDM-regisztrációt, a támogatott operációsrendszer-verziókat, a biztonsági szoftvert, a titkosítást, a jelkódokat, a távoli törlési képességet és az adatok elkülönítését/tárolóba helyezését.
  • Jogi nyilatkozat: Rheonics fenntartja a jogot, hogy kezelje/törölje a céges adatokat a BYOD eszközökről; Rheonics nem vállal felelősséget a biztonsági intézkedések során bekövetkező személyes adatok elvesztéséért.

4.7 Szoftverbiztonság és -kezelés

  • Engedélyezett szoftver: Csak az IT által jóváhagyott licencelt szoftver telepíthető. A felhasználóknak tilos jogosulatlan alkalmazásokat telepíteni.
  • Patch-kezelés: Minden szoftverre (OS, alkalmazások, firmware) vonatkozik minden rendszeren (szerverek, végpontok, hálózati eszközök).
  • Sebezhetőség kezelése: Rendszeres sebezhetőségi vizsgálatot végeztek. A kritikus sebezhetőségeket meghatározott időn belül orvosolni kell [Rheonics meghatározni]. A kritikus rendszereken időszakonként végrehajtott penetrációs tesztelés.
  • Biztonságos fejlesztés: (Ha alkalmazható) A fejlesztőcsapatoknak biztonságos kódolási gyakorlatot kell követniük (pl. OWASP Top 10), kódellenőrzést kell végezniük, és biztonsági tesztelőeszközöket (SAST/DAST) kell használniuk.
  • Szoftverösszetétel-elemzés (SCA): A nyílt forráskódú összetevőket leltárba kell venni, és ellenőrizni kell a sebezhetőségeket. Az élettartam végére (EOL) szóló szoftverek/összetevők használata tilos, kivéve, ha a menedzsment/IT Security kifejezetten elfogadja a kockázatot.

4.8 Fizikai biztonság

  • Hozzáférés-szabályozás: Hozzáférés Rheonics létesítmények, szervertermek és K+F laborok, amelyeket fizikai vezérlők (jelvények, kulcsok, biometrikus adatok) korlátoznak. Az érzékeny területekhez vezetett hozzáférési naplók.
  • Látogatókezelés: A látogatóknak be kell jelentkezniük, ideiglenes igazolványt kell kiállítaniuk, és a nem nyilvános területeken kísérniük kell őket.
  • Munkaállomás biztonság: A felhasználóknak zárolniuk kell a munkaállomásokat, amikor felügyelet nélkül vannak (Windows+L / Ctrl+Cmd+Q).
  • Tiszta asztal/képernyő: Az érzékeny információkat (fizikai dokumentumok, képernyők) óvni kell az illetéktelen megtekintéstől, különösen nyílt helyen vagy az asztalok felügyelet nélkül hagyásakor. Biztonságos hulladékgyűjtőket használtak.

4.9 Felhőbiztonság

  • Jóváhagyott szolgáltatások: Felhőszolgáltatások (SaaS, IaaS, PaaS) használata ehhez Rheonics az adatokat az IT/Biztonsági részlegnek jóvá kell hagynia.
  • Konfiguráció és monitorozásoring: A szolgáltatásokat biztonságosan kell konfigurálni, igazodva a CIS-benchmarkokhoz, ahol alkalmazható (AWS/GCP/Azure). A feltételes hozzáférési szabályzatokat (pl. földrajzi hely, eszközmegfelelőség) érvényesíteni kell. Az API és a felhasználói tevékenység naplózása engedélyezve és figyelve.
  • Adat védelem: Győződjön meg arról, hogy a felhőszolgáltatók találkoznak RheonicsAz adatbiztonsági, titkosítási, biztonsági mentési és tartózkodási követelmények szerződések és értékelések révén.

4.10 Harmadik felek/szállítók kezelése

  • Kockázatértékelés: Biztonsági felmérések, amelyeket a hozzáférést, feldolgozást és tárolást végző szállítók bevonása előtt végeznek Rheonics adatokat, vagy csatlakozhat hálózatokhoz. A kockázati szint határozza meg az értékelés mélységét.
  • Szerződéses követelmények: A szerződéseknek kikötéseket kell tartalmazniuk a titoktartásra, az adatvédelemre (beleértve az adatvédelmi hatóságokat is, ha személyes adatokat dolgoznak fel a GDPR/FADP szerint), a biztonsági ellenőrzéseket, az események bejelentését és az ellenőrzési jogokat.
  • Folyamatban lévő Monitoring: A kritikus szállítói biztonsági helyzet időszakos felülvizsgálata.

4.11 Reagálás az eseményekre

  • Jelentés: A gyanús incidenseket azonnal jelenteni kell (a felfedezéstől számított 1 órán belül célba kell venni) a következő címen:) vagy (24 órás belső vállalati csapatok csatorna).
  • Reagálási terv: Rheonics Incident Response Plant (IRP) tart fenn. Az alapáramlást lásd a C. függelékben.
  • Kritikus események: (pl. zsarolóprogram, megerősített adatszivárgás) Eszkalációs és elszigetelési műveletek elindítása (4 órán belüli cél). A jogi/végrehajtási értesítés a szabályozások által meghatározott határidőket követi (pl. GDPR/FADP 72 órás értesítés a jogsértésről, ha van ilyen).
  • Együttműködés: Minden Felhasználónak teljes mértékben együtt kell működnie az incidensre adott válaszok kivizsgálásában.

 

5. Végrehajtás

A jogsértéseket súlyosságuk és szándékosságuk alapján kezeljük, a helyi munkaügyi törvények függvényében.

megsértésePéldaKövetkezmény (példák)
JelentéktelenVéletlen eltérés a szabályzattól; hiányzott a nem kritikus képzésírásos figyelmeztetés; kötelező átképzés
FontosMegosztott hitelesítő adatok; ismételt kisebb jogsértések; jogosulatlan P2P szoftver telepítéseFelfüggesztés; formális fegyelmi eljárás
Kritikus / szándékosSzándékos adatszivárgás; rosszindulatú tevékenység; szabotázsFelmondás; lehetséges jogi lépések

 

6. Szabályzat karbantartása

  • Cadence áttekintése: A szabályzat tulajdonosa (informatikai részleg vezetője) és az érintettek legalább évente felülvizsgálják.
  • Indítók áttekintése: Ad-hoc felülvizsgálatok, amelyeket a következők váltanak ki: Jelentős biztonsági incidensek, jelentős szabályozási változások (pl. új adatvédelmi törvények), jelentős technológiai/infrastruktúra-változások (pl. nagy felhő migráció), ellenőrzési megállapítások.
  • Frissítés: A jóváhagyott változtatások minden felhasználóval közölve.

 

7. Mellékletek

7.1 A. függelék: Adatok osztályozása

OsztályozásPéldaKezelési követelmények
KorlátozottÜgyfél személyazonosító adatai, K+F forráskód, titkosítási kulcsok• Titkosítás (nyugalmi/továbbítási állapotban)
• Szigorú hozzáférésű naplók
• Szükséges tudnivaló + kifejezett jóváhagyás
• Éves hozzáférési felülvizsgálat
BizalmasMunkavállalói nyilvántartások, pénzügyi adatok, belső stratégiák• MFA ajánlott/kötelező
• Szükséges tudás alapja
• Korlátozott belső megosztás
belsőTalálkozói feljegyzések, belső szabályzatok, általános kommunikáció• Nincs külső megosztás jóváhagyás nélkül.
• Vállalati rendszerek használata
nyilvánosMarketing anyagok, weboldal nyilvános tartalmak• Nincs korlátozás a kezelésre/megosztásra vonatkozóan

 

7.2 B. függelék: Jelszókövetelmények

  • Minimális hossz:
    • Felhasználói fiókok: 12 karakter
    • Admin/Szolgáltatás fiókok: 16 karakter
  • Bonyolultság
    • 3-ből legalább 4: nagybetűk, kisbetűk, számok, szimbólumok (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Nem tartalmazhat felhasználónevet vagy gyakori szótári szavakat.
  • Forgás
    • Legfeljebb 90 nap (kivéve, ha jóváhagyott folyamatos hitelesítési módszereket használnak).
  • Történelem
    • Az előző 5 jelszót nem lehet újra felhasználni.
  • Tárolás:
    • Nem szabad biztosíték nélkül leírni. Használja a vállalat által jóváhagyott jelszókezelőt (pl. Bitwarden, 1Password) a storing összetett egyedi jelszavak. A jelszavak megosztása tilos. MFA bypass tilos.

 

7.3 C. függelék: Az eseményekre adott válaszfolyamat

  • Észlelés és elemzés: Azonosítsa a lehetséges eseményeket.
  • Jelentés: AZONNAL (1 órán belül) jelentse az IT/Biztonsági részlegnek meghatározott csatornákon keresztül.
  • Besorolás és értékelés: Az IT/Security értékeli a súlyosságot és a hatást.
  • Elzárás: Az érintett rendszerek/fiókok elkülönítése (kritikus incidensek esetén 4 órán belül).
  • Felszámolás: Távolítsa el a fenyegetést/sebezhetőséget.
  • felépülés: Rendszerek/adatok biztonságos visszaállítása.
  • Incidens utáni áttekintés: Tanulságok, folyamatfejlesztés.
    • Bejelentés: Jogi/Szabályozási/Ügyfélértesítések elvégzése az értékelés alapján (pl. GDPR/FADP személyes adatok megsértése esetén 72 órán belül).

 

7.4. D. függelék: BYOD Minimum szabványok

  • jóváhagyás: A nem nyilvános adatokhoz való hozzáférés előtt szükséges.
  • Készülékkövetelmények:
    • OS verziók: A gyártó által jelenleg támogatott verziókat kell futtatni (pl. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Biztonság: Képernyőzár/biometrikus adatok engedélyezve; eszköztitkosítás engedélyezve; jóváhagyott biztonsági szoftverre (AV/malware-elhárító) lehet szükség; az eszköz nem jailbreakelt/rootolt.
    • MDM: Jelentkezés Rheonics' Mobileszköz-kezelő (MDM) megoldás kötelező.
    • Távoli törlés: A képességet engedélyezni kell a vállalati adatokhoz/profilokhoz.
  • Adatok elkülönítése: A kezelt profilon vagy tárolón belül jóváhagyott alkalmazásokon keresztül elért/tárolt vállalati adatok (pl. Microsoft Intune MAM, Android Work Profile). Tilos a vállalati adatok másolása személyes alkalmazásokba/tárhelyre.
  • Hálózat: Csatlakozás biztonságos Wi-Fi-n keresztül; kerülje a nem megbízható nyilvános Wi-Fi-t a munkahelyén.

 

8. Kapcsolatfelvétel és nyugtázás

  • Biztonsági kérdések/aggályok: Kapcsolatba lépni () vagy az IT/Biztonsági csapattal belső csatornákon keresztül.
  • Jelentés az eseményekről: Használjon sürgős módszereket: () és (a napi 24 órában elérhető belső vállalati csapatok csatornája).
  • Elismerés: Minden felhasználónak kötelező elolvasnia, megértenie és elektronikus úton (HR Portál, Képzési Rendszer) tudomásul vennie ezt a szabályzatot a csatlakozáskor és a jelentős frissítések után. A tudomásulvétel elmulasztása nem zárja ki a szabályzat alkalmazhatóságát.
Kiberbiztonsági szabályzat letöltése
Rheonics Kiberbiztonsági politika
Keresés