+41 52 511 3200 (SUI) + 1 713 955 7305 (SAD)
Politika kibernetičke sigurnosti

 

1. Uvod i svrha

1.1 Rheonics je predan zaštiti svoje informacijske imovine, uključujući vlasničke podatke, informacije o korisnicima, intelektualno vlasništvo i IT infrastrukturu, od neovlaštenog pristupa, korištenja, otkrivanja, izmjene, prekida ili uništenja.

1.2 Ova politika uspostavlja okvir za održavanje sigurnog okruženja za Rheonics' digitalne operacije, usklađene s:

  • Propisi: švicarski FADP, GDPR (gdje je primjenjivo), američki državni/savezni zakoni i drugi primjenjivi nacionalni zakoni gdje Rheonics djeluje.
  • Standardi: Načela nultog povjerenja, CIS mjerila, NIST smjernice (npr. SP 800-88, SP 800-171 gdje je primjenjivo) i OWASP smjernice.

1.3 Ciljevi:

  • Zaštitite povjerljivost, integritet i dostupnost (CIA) podataka i sustava.
  • Minimizirajte rizike kibersigurnosnih incidenata i osigurajte kontinuitet poslovanja.
  • Njegujte kulturu svjesnu sigurnosti među svim osobljem.
  • Osigurajte usklađenost sa zakonskim, regulatornim i ugovornim obvezama.

 

2. djelokrug

Odnosi se na sve Rheonics zaposlenici, izvođači, konzultanti, pripravnici, volonteri i treće strane („Korisnici”) koji pristupaju Rheonics sustave, podatke ili objekte. Pokriva:

2.1 Sredstva

  • Hardver
  • Softver (uključujući SaaS/IaaS/PaaS)
  • Podaci (elektronički i fizički)
  • mreže
  • Fizički objekti

2.2 Aktivnosti

  • Rad na licu mjesta
  • Daljinski rad
  • Korištenje uređaja u vlasništvu tvrtke
  • Upotreba osobnih uređaja (BYOD)
  • Razvojne aktivnosti
  • Interakcije dobavljača treće strane

 

3. Uloge i odgovornosti


UlogaKljučne dužnosti
UpravljanjePolitika prvaka; dodijeliti resurse; osigurati cjelokupnu usklađenost i upravljanje rizikom.
IT/sigurnosni timImplementirati/upravljati kontrolama; voditi odgovor na incident; provoditi revizije i procjene.
Svi korisniciPridržavajte se pravila; koristiti jake lozinke + MFA; odmah prijaviti incidente; kompletna obuka.

 

4. Izjave o politici

4.1 Sigurnost podataka

  • Klasifikacija i rukovanje: Podaci se moraju klasificirati i njima se mora rukovati prema osjetljivosti (vidi Dodatak A). Zahtjevi rastu s osjetljivošću.
  • Šifriranje: Ograničeni i povjerljivi podaci moraju biti šifrirani u mirovanju iu prijenosu pomoću jakih algoritama industrijskih standarda.
  • Raspolaganje: Moraju se koristiti sigurne metode: brisanje u skladu s NIST SP 800-88 za elektroničke medije; cross-cut shredding (P-4 ili viši) za fizičke dokumente koji sadrže povjerljive ili ograničene podatke. Moraju se slijediti rasporedi čuvanja podataka.

4.2 Kontrola pristupa

  • Najmanja privilegija & RBAC: Pristup se odobrava na temelju potrebe za radnom funkcijom (najmanja privilegija) pomoću kontrole pristupa temeljene na ulogama (RBAC).
  • Ovjera: Potrebni su jedinstveni ID-ovi korisnika. Snažne lozinke (pogledajte Dodatak B) i MFA obvezni su za usluge u oblaku, daljinski pristup, administrativne račune i sustave koji rukuju povjerljivim/ograničenim podacima.
  • Mišljenje: Prava pristupa kvartalno pregledavaju upravitelji/vlasnici sustava; opozvan odmah nakon prekida ili promjene uloge. Potreban je formalni postupak odobrenja za odobrenja/promjene pristupa.

4.3 Pravila prihvatljivog korištenja (AUP)

  • Poslovni prijedlog: Rheonics resursi su prvenstveno za poslovnu upotrebu. Ograničena usputna osobna upotreba dopuštena je ako ne ometa dužnosti, ne troši prekomjerne resurse, stvara troškove ili ne krši pravila/zakone.
  • Zabranjene aktivnosti: Uključujući, ali ne ograničavajući se na: ilegalne aktivnosti, uznemiravanje, pristup/distribuciju uvredljivog materijala, kršenje autorskih prava, neovlaštenu modifikaciju sustava, zaobilaženje sigurnosnih kontrola, instaliranje neovlaštenog softvera, uvođenje zlonamjernog softvera, neovlašteno dijeljenje podataka/ekfiltraciju, pretjeranu osobnu upotrebu.
  • Oprez korisnika: Korisnici moraju biti oprezni s e-poštom (phishing), web pregledavanjem (zlonamjerne stranice) i rukovanjem privicima/linkovima.

4.4 Sigurnost mreže

  • Perimetar i segmentacija: Vatrozidi, IDS/IPS održavani. Segmentacija mreže izolira kritične sustave (npr. istraživanje i razvoj, proizvodnja) i pohranu podataka.
  • Wi-Fi: Osigurajte WPA3-Enterprise (ili minimalno WPA2-Enterprise) za interne mreže. Wi-Fi za goste mora biti logički odvojen i ne mora pružati pristup internim resursima.
  • Udaljeni pristup: Samo putem VPN-a koji je odobrila tvrtka s MFA-om. Split-tuneliranje može biti ograničeno.
  • Nulto povjerenje: Implementacija načela arhitekture nultog povjerenja (npr. mikrosegmentacija, kontinuirana verifikacija, provjere ispravnosti uređaja) je u tijeku, s ciljem završetka do prvog kvartala 1. za kritične mreže.

4.5 Sigurnost krajnje točke u vlasništvu tvrtke

  • Zaštita: Sve krajnje točke u vlasništvu tvrtke (stolna računala, prijenosna računala, mobilni uređaji) moraju imati sustav otkrivanja i odgovora krajnjih točaka (EDR) kojim upravlja tvrtka ili odobreni antivirusni softver, pokrenut i ažuriran.
  • Krpanje: Operativni sustavi i aplikacije moraju se stalno ažurirati putem procesa upravljanja zakrpama tvrtke. Kritične zakrpe primijenjene unutar definiranih rokova [Rheonics za definiranje vremenskih okvira, npr. 72 sata za kritične OS].
  • Šifriranje: Enkripcija cijelog diska (npr. BitLocker, FileVault) obavezna je na prijenosnim računalima i prijenosnim uređajima.

4.6 Ponesite vlastiti uređaj (BYOD)

  • Odobrenje i standardi: Upotreba osobnih uređaja (BYOD) za pristup koji nisu javni Rheonics Podaci zahtijevaju izričito odobrenje i poštivanje minimalnih standarda (vidi Dodatak D).
  • Sigurnosni zahtjevi: Uključuje MDM prijavu, podržane verzije OS-a, sigurnosni softver, enkripciju, šifre, mogućnost daljinskog brisanja i odvajanje/kontejnerizaciju podataka.
  • Disclaimer: Rheonics zadržava pravo upravljanja/brisanja podataka tvrtke s BYOD uređaja; Rheonics nije odgovoran za gubitak osobnih podataka tijekom sigurnosnih akcija.

4.7 Sigurnost i upravljanje softverom

  • Ovlašteni softver: Smije se instalirati samo licencirani softver odobren od strane IT-a. Korisnicima je zabranjeno instaliranje neovlaštenih aplikacija.
  • Upravljanje zakrpama: Primjenjuje se na sav softver (OS, aplikacije, firmware) na svim sustavima (poslužiteljima, krajnjim točkama, mrežnim uređajima).
  • Upravljanje ranjivostima: Provedeno je redovito skeniranje ranjivosti. Kritične ranjivosti moraju se sanirati unutar definiranih rokova [Rheonics definirati]. Testiranje prodora koje se provodi periodično na kritičnim sustavima.
  • Siguran razvoj: (Ako je primjenjivo) Razvojni timovi moraju slijediti sigurnosne prakse kodiranja (npr. OWASP Top 10), provoditi pregled koda i koristiti alate za sigurnosno testiranje (SAST/DAST).
  • Analiza sastava softvera (SCA): Komponente otvorenog koda moraju biti popisane i skenirane u potrazi za ranjivostima. Upotreba softvera/komponenti na kraju životnog vijeka (EOL) zabranjena je osim ako Uprava/IT Sigurnost izričito ne prihvaća rizik.

4.8 Fizička sigurnost

  • Kontrola pristupa: Pristup Rheonics objekti, sobe s poslužiteljima i laboratoriji za istraživanje i razvoj ograničeni putem fizičkih kontrola (bedževi, ključevi, biometrija). Dnevnici pristupa održavaju se za osjetljiva područja.
  • Upravljanje posjetiteljima: Posjetitelji se moraju prijaviti, dobiti privremenu identifikacijsku ispravu i biti praćeni na mjestima koja nisu javna.
  • Sigurnost radne stanice: Korisnici moraju zaključati radne stanice kada su bez nadzora (Windows+L / Ctrl+Cmd+Q).
  • Očisti radnu površinu/zaslon: Osjetljive informacije (fizičke dokumente, zaslone) treba zaštititi od neovlaštenog gledanja, osobito na otvorenim prostorima ili kada se stolovi ostavljaju bez nadzora. Korištene sigurne kante za otpad.

4.9 Sigurnost u oblaku

  • Odobrene usluge: Korištenje usluga u oblaku (SaaS, IaaS, PaaS) za Rheonics podatke mora odobriti IT/Sigurnost.
  • Konfiguracija i praćenje: Usluge moraju biti sigurno konfigurirane, usklađene s CIS referentnim vrijednostima gdje je primjenjivo (AWS/GCP/Azure). Pravila uvjetnog pristupa (npr. geo-lokacija, usklađenost uređaja) moraju se provoditi. API i bilježenje aktivnosti korisnika omogućeno je i nadzirano.
  • Zaštita podataka: Osigurajte susret pružatelja usluga oblaka RheonicsZahtjevi za sigurnost podataka, šifriranje, sigurnosno kopiranje i prebivalište putem ugovora i procjena.

4.10 Upravljanje treće strane / dobavljača

  • Procjena rizika: Sigurnosne procjene provedene prije angažiranja dobavljača koji pristupaju, obrađuju, pohranjuju Rheonics prijenos podataka ili povezivanje s mrežama. Razina rizika određuje dubinu procjene.
  • Ugovorni zahtjevi: Ugovori moraju sadržavati klauzule koje pokrivaju povjerljivost, zaštitu podataka (uključujući DPA ako se obrađuju osobni podaci prema GDPR/FADP), sigurnosne kontrole, obavijest o incidentima i prava revizije.
  • Stalno praćenje: Periodični pregled kritičnog sigurnosnog stanja dobavljača.

4.11 Odgovor na incident

  • Izvješćivanje: Sumnjivi incidenti moraju se odmah prijaviti (ciljati unutar 1 sata od otkrivanja) putem () ili (24/7 kanal internih timova tvrtke).
  • Plan odgovora: Rheonics održava Plan odgovora na incident (IRP). Pogledajte Dodatak C za osnovni tijek.
  • Kritični incidenti: (npr. ransomware, potvrđena povreda podataka) Pokrenuti eskalaciju i radnje obuzdavanja (cilj unutar 4 sata). Pravna/izvršna obavijest slijedi rokove diktirane propisima (npr. GDPR/FADP 72-satna obavijest o kršenju ako je primjenjivo).
  • Suradnja: Svi korisnici moraju u potpunosti surađivati ​​u istragama odgovora na incidente.

 

5. Ovrha

Kršenja će se rješavati na temelju težine i namjere, podložno lokalnom zakonu o zapošljavanju.

povredaPrimjerPosljedica (primjeri)
MaloljetnikSlučajno odstupanje od politike; propustio nekritičan treningPisano upozorenje; obavezna prekvalifikacija
GlavniZajedničke vjerodajnice; ponovljena manja kršenja; instaliranje neovlaštenog P2P softveraSuspenzija; formalni disciplinski postupak
Kritično/namjernoNamjerna povreda podataka; zlonamjerna aktivnost; sabotažaRaskid; potencijalni pravni postupak

 

6. Održavanje police

  • Pregledaj kadencu: Pregledava se najmanje jednom godišnje od strane vlasnika politike (voditelj IT-a) i dionika.
  • Okidači pregleda: Ad-hoc pregledi potaknuti: velikim sigurnosnim incidentima, značajnim regulatornim promjenama (npr. novi zakoni o privatnosti podataka), velikim promjenama tehnologije/infrastrukture (npr. velika migracija u oblak), nalazima revizije.
  • Ažuriranja: Odobrene promjene priopćene svim korisnicima.

 

7. Dodaci

7.1 Dodatak A: Klasifikacija podataka

KlasifikacijaPrimjerZahtjevi za rukovanje
OgraničenPII korisnika, izvorni kod za istraživanje i razvoj, kripto ključevi• Enkripcija (u mirovanju/tranzitu)
• Dnevnici strogog pristupa
• Obavezno znati + izričito odobrenje
• Godišnji pregled pristupa
PovjerljivEvidencija zaposlenika, financijski podaci, interne strategije• MFA preporučeno/potrebno
• Osnova potrebnog znanja
• Ograničeno interno dijeljenje
interniBilješke sa sastanka, interna pravila, opće komunikacije• Nema vanjskog dijeljenja bez odobrenja.
• Koristite sustave tvrtke
javnostMarketinški materijali, javni sadržaj web stranice• Nema ograničenja u rukovanju/dijeljenju

 

7.2 Dodatak B: Zahtjevi za lozinku

  • Minimalna duljina:
    • Korisnički računi: 12 znakova
    • Administratorski/uslužni računi: 16 znakova
  • Složenost
    • Najmanje 3 od 4: velika, mala slova, brojevi, simboli (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Ne može sadržavati korisničko ime ili uobičajene riječi iz rječnika.
  • Rotacija
    • Najviše 90 dana (osim ako se ne koriste odobrene metode kontinuirane provjere autentičnosti).
  • Povijest
    • Prethodnih 5 lozinki nije moguće ponovno upotrijebiti.
  • Skladištenje:
    • Ne smije se zapisivati nezaštićeno. Za pohranu složenih jedinstvenih lozinki koristite upravitelj lozinki odobren od strane tvrtke (npr. Bitwarden, 1Password). Dijeljenje lozinki zabranjeno. Zaobilaženje MFA zabranjeno.

 

7.3 Dodatak C: Tijek odgovora na incident

  • Otkrivanje i analiza: Identificirajte potencijalne incidente.
  • Izvješćivanje: Prijavite ODMAH (ciljano unutar 1 sata) IT/Sigurnosti putem definiranih kanala.
  • Trijaža i procjena: IT/Sigurnost procjenjuje ozbiljnost i utjecaj.
  • Zadržavanje: Izolirajte pogođene sustave/račune (unutar 4 sata cilj za kritične incidente).
  • Iskorjenjivanje: Uklonite prijetnju/ranjivost.
  • Oporavak: Vratite sustave/podatke na siguran način.
  • Pregled nakon incidenta: Naučene lekcije, poboljšanje procesa.
    • Obavijest: Pravne/regulatorne/korisničke obavijesti izvršene prema potrebi na temelju procjene (npr. unutar 72 sata za povrede osobnih podataka GDPR/FADP).

 

7.4. Dodatak D: Minimalni standardi BYOD

  • Odobrenje: Obavezno prije pristupa podacima koji nisu javni.
  • Zahtjevi uređaja:
    • Verzije OS-a: Mora pokretati verzije koje trenutno podržava dobavljač (npr. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Sigurnost: Omogućeno zaključavanje zaslona/biometrija; uključena enkripcija uređaja; može biti potreban odobreni sigurnosni softver (AV/anti-malware); uređaj nije jailbreakiran/rootovan.
    • MDM: Upis u RheonicsRješenje za upravljanje mobilnim uređajima (MDM) je obavezno.
    • Daljinsko brisanje: Mogućnost mora biti omogućena za podatke/profil tvrtke.
  • Segregacija podataka: Podaci tvrtke kojima se pristupa/pohranjuju putem odobrenih aplikacija unutar upravljanog profila ili spremnika (npr. Microsoft Intune MAM, Android Work Profile). Nema kopiranja podataka tvrtke u osobne aplikacije/pohranu.
  • mreža: Povežite se putem sigurnog Wi-Fi-ja; izbjegavajte nepouzdani javni Wi-Fi za rad.

 

8. Kontakt i potvrda

  • Sigurnosna pitanja/zabrinutosti: kontakt () ili IT/sigurnosni tim putem internih kanala.
  • Prijavi incidente: Koristite hitne metode: () i (kanal 24/7 Interni timovi tvrtke).
  • Priznanje: Svi korisnici moraju pročitati, razumjeti i elektronički potvrditi primitak ove politike putem (HR portala, sustava za obuku) prilikom uključivanja i nakon značajnih ažuriranja. Nepotvrda primitka ne negira primjenjivost politike.
Preuzmite Pravila kibernetičke sigurnosti
Rheonics Politika kibernetičke sigurnosti
Traži