Политика кибербезопасности
1. Введение и цель
1.1 Rheonics обязуется защищать свои информационные активы, включая конфиденциальные данные, информацию о клиентах, интеллектуальную собственность и ИТ-инфраструктуру, от несанкционированного доступа, использования, раскрытия, изменения, нарушения или уничтожения.
1.2 Настоящая политика устанавливает рамки для поддержания безопасной среды для Rheonics«цифровые операции, соответствующие:
- Нормативные акты: Swiss FADP, GDPR (где применимо), государственные/федеральные законы США и другие применимые национальные законы, где это применимо. Rheonics работает.
- Стандарты: принципы нулевого доверия, эталонные показатели CIS, рекомендации NIST (например, SP 800-88, SP 800-171, где применимо) и рекомендации OWASP.
1.3 Цели:
- Обеспечивать конфиденциальность, целостность и доступность (CIA) данных и систем.
- Минимизируйте риски инцидентов кибербезопасности и обеспечьте непрерывность бизнеса.
- Развивать культуру осознания вопросов безопасности среди всего персонала.
- Обеспечить соблюдение правовых, нормативных и договорных обязательств.
2. Объем
Применимо ко всем Rheonics сотрудники, подрядчики, консультанты, стажеры, волонтеры и третьи лица («Пользователи»), получающие доступ Rheonics системы, данные или объекты. Охватывает:
2.1 Активы
- Аппаратные средства
- Программное обеспечение (включая SaaS/IaaS/PaaS)
- Данные (электронные и физические)
- Сети
- Физические возможности
2.2 Деятельность
- Работа на месте
- Удаленная работа
- Использование корпоративных устройств
- Использование личных устройств (BYOD)
- Деятельность по развитию
- Взаимодействие со сторонними поставщиками
3. Роли и обязанности
| Роли | Основные обязанности |
|---|---|
| Руководство | Реализовать политику; распределить ресурсы; обеспечить общее соответствие и управление рисками. |
| Команда ИТ/безопасности | Внедрение/управление средствами контроля; руководство реагированием на инциденты; проведение аудитов и оценок. |
| Все пользователи | Соблюдайте политику; используйте надежные пароли + MFA; незамедлительно сообщайте об инцидентах; пройдите обучение. |
4. Заявления о политике
4.1 Безопасность данных
- Классификация и обработка: Данные должны быть классифицированы и обработаны в соответствии с чувствительностью (см. Приложение A). Требования возрастают с чувствительностью.
- Шифрование: Ограниченные и конфиденциальные данные должны быть зашифрованы при хранении и передаче с использованием надежных алгоритмов, соответствующих отраслевым стандартам.
- Утилизация: Необходимо использовать безопасные методы: очистка электронных носителей в соответствии с NIST SP 800-88; поперечное измельчение (P-4 или выше) для физических документов, содержащих конфиденциальные или ограниченные данные. Необходимо соблюдать графики хранения данных.
4.2 Контроль доступа
- Наименьшие привилегии и RBAC: Доступ предоставляется на основе необходимости выполнения должностных обязанностей (наименьшие привилегии) с использованием управления доступом на основе ролей (RBAC).
- Аутентификация: Требуются уникальные идентификаторы пользователей. Надежные пароли (см. Приложение B) и MFA обязательны для облачных сервисов, удаленного доступа, административных учетных записей и систем, обрабатывающих конфиденциальные/ограниченные данные.
- Отзывы: Права доступа ежеквартально проверяются менеджерами/владельцами системы; отзываются немедленно после увольнения или изменения роли. Для предоставления/изменения доступа требуется формальный процесс утверждения.
4.3 Политика допустимого использования (AUP)
- Бизнес Цель: Rheonics Ресурсы в первую очередь предназначены для использования в бизнесе. Ограниченное случайное личное использование разрешено, если оно не мешает выполнению обязанностей, не потребляет чрезмерные ресурсы, не влечет за собой расходы и не нарушает политику/законы.
- Запрещенная деятельность: Включая, помимо прочего: незаконную деятельность, преследование, доступ к оскорбительным материалам или их распространение, нарушение авторских прав, несанкционированное изменение системы, обход средств безопасности, установку несанкционированного программного обеспечения, внедрение вредоносного ПО, несанкционированный обмен данными или их эксфильтрация, чрезмерное использование в личных целях.
- Бдительность пользователя: Пользователи должны проявлять осторожность при работе с электронной почтой (фишинг), веб-браузером (вредоносные сайты) и при работе с вложениями/ссылками.
4.4 Сетевая безопасность
- Периметр и сегментация: Поддерживаются межсетевые экраны, IDS/IPS. Сегментация сети изолирует критически важные системы (например, НИОКР, производство) и хранилища данных.
- Wi-Fi: Безопасный WPA3-Enterprise (или WPA2-Enterprise минимум) для внутренних сетей. Гостевой Wi-Fi должен быть логически разделен и не предоставлять доступ к внутренним ресурсам.
- Удаленный доступ: Только через VPN, одобренный компанией, с MFA. Раздельное туннелирование может быть ограничено.
- Нулевое доверие: Реализация принципов архитектуры Zero Trust (например, микросегментация, непрерывная проверка, проверки работоспособности устройств) продолжается и должна быть завершена к первому кварталу 1 года для критически важных сетей.
4.5 Корпоративная безопасность конечных точек
- Protection: Все корпоративные конечные точки (настольные компьютеры, ноутбуки, мобильные устройства) должны иметь управляемое компанией программное обеспечение Endpoint Detection & Response (EDR) или одобренное антивирусное программное обеспечение, работающее и обновленное.
- Патч: Операционные системы и приложения должны обновляться с помощью процесса управления исправлениями компании. Критические исправления применяются в определенные сроки [Rheonics для определения сроков, например, 72 часа для критических ОС].
- Шифрование: Полное шифрование диска (например, BitLocker, FileVault) является обязательным на ноутбуках и портативных устройствах.
4.6 Принеси свое устройство (BYOD)
- Утверждение и стандарты: Использование личных устройств (BYOD) для доступа к непубличным Rheonics данные требуют явного одобрения и соблюдения минимальных стандартов (см. Приложение D).
- Требования безопасности: Включает регистрацию в MDM, поддерживаемые версии ОС, программное обеспечение безопасности, шифрование, пароли, возможность удаленного стирания и сегрегацию/контейнеризацию данных.
- Отказ от ответственности: Rheonics оставляет за собой право управлять/удалять данные компании с устройств BYOD; Rheonics не несет ответственности за потерю персональных данных во время проведения мероприятий по обеспечению безопасности.
4.7 Безопасность и управление программным обеспечением
- Авторизованное программное обеспечение: Разрешается устанавливать только лицензионное программное обеспечение, одобренное IT-отделом. Пользователям запрещено устанавливать несанкционированные приложения.
- Управление исправлениями: Применимо ко всему программному обеспечению (ОС, приложениям, прошивкам) на всех системах (серверах, конечных точках, сетевых устройствах).
- Управление уязвимостями: Регулярное сканирование уязвимостей. Критические уязвимости должны быть устранены в установленные сроки [Rheonics определить]. Тестирование на проникновение, проводимое периодически в критических системах.
- Безопасная разработка: (Если применимо) Команды разработчиков должны следовать безопасным методам кодирования (например, OWASP Top 10), проводить проверки кода и использовать инструменты тестирования безопасности (SAST/DAST).
- Анализ состава программного обеспечения (SCA): Компоненты с открытым исходным кодом должны быть инвентаризированы и просканированы на предмет уязвимостей. Использование программного обеспечения/компонентов с истекшим сроком службы (EOL) запрещено, если только руководство/служба безопасности ИТ явно не одобрили риск.
4.8 Физическая безопасность
- Контроль доступа: Доступ к Rheonics Объекты, серверные комнаты и научно-исследовательские лаборатории ограничены физическим контролем (бейджи, ключи, биометрия). Журналы доступа ведутся для конфиденциальных зон.
- Управление посетителями: Посетители должны зарегистрироваться, получить временное удостоверение личности и сопровождаться в закрытых зонах.
- Безопасность рабочей станции: Пользователи должны блокировать рабочие станции, когда они остаются без присмотра (Windows+L / Ctrl+Cmd+Q).
- Очистить стол/экран: Конфиденциальная информация (физические документы, экраны) должна быть защищена от несанкционированного просмотра, особенно на открытых площадках или при оставлении столов без присмотра. Используйте безопасные мусорные баки.
4.9 Облачная безопасность
- Одобренные услуги: Использование облачных сервисов (SaaS, IaaS, PaaS) для Rheonics данные должны быть одобрены ИТ/службой безопасности.
- Конфигурация и мониторинг: Сервисы должны быть настроены безопасно, в соответствии с CIS Benchmarks, где это применимо (AWS/GCP/Azure). Должны быть реализованы политики условного доступа (например, геолокация, соответствие устройств). API и регистрация действий пользователей включены и отслеживаются.
- Защита данных: Обеспечьте соответствие поставщиков облачных услуг Rheonics' требования к безопасности данных, шифрованию, резервному копированию и размещению данных посредством контрактов и оценок.
4.10 Управление третьими лицами/поставщиками
- Оценка рисков: Оценки безопасности проводятся перед привлечением поставщиков, которые получают доступ, обрабатывают, хранят Rheonics данные или подключение к сетям. Уровень риска определяет глубину оценки.
- Договорные требования: Контракты должны включать положения, охватывающие конфиденциальность, защиту данных (включая соглашения об обработке данных при обработке персональных данных в соответствии с GDPR/FADP), контроль безопасности, уведомление об инцидентах и права на аудит.
- Текущий мониторинг: Периодический обзор состояния безопасности важнейших поставщиков.
4.11 Реагирование на инциденты
- Отчетность: О предполагаемых инцидентах необходимо сообщать немедленно (в течение 1 часа с момента обнаружения) по электронной почте () или (круглосуточный канал внутренних команд компании).
- План реагирования: Rheonics поддерживает План реагирования на инциденты (IRP). См. Приложение C для основного потока.
- Критические инциденты: (например, вирус-вымогатель, подтвержденная утечка данных) Инициировать действия по эскалации и сдерживанию (цель в течение 4 часов). Юридическое/исполнительное уведомление следует срокам, установленным нормативными актами (например, уведомление о нарушении GDPR/FADP за 72 часа, где применимо).
- Сотрудничество: Все пользователи должны в полной мере сотрудничать с расследованием инцидентов.
5. Правоприменение
Нарушения будут рассматриваться в зависимости от серьезности и намерений, в соответствии с местным трудовым законодательством.
| Нарушение | Пример | Последствия (Примеры) |
|---|---|---|
| Незначительный | Случайное отклонение от политики; пропущенное некритическое обучение | Письменное предупреждение; обязательная переподготовка |
| Основной | Общие учетные данные; повторяющиеся незначительные нарушения; установка несанкционированного программного обеспечения P2P | Отстранение; официальное дисциплинарное взыскание |
| Критический / Преднамеренный | Преднамеренная утечка данных; вредоносная деятельность; саботаж | Прекращение; потенциальный судебный иск |
6. Политика поддержания
- Обзор Cadence: Пересматривается не реже одного раза в год владельцем политики (руководителем ИТ-отдела) и заинтересованными сторонами.
- Триггеры обзора: Специальные проверки, вызванные: серьезными инцидентами безопасности, значительными изменениями в регулировании (например, новыми законами о конфиденциальности данных), серьезными изменениями в технологиях/инфраструктуре (например, масштабной миграцией в облако), результатами аудита.
- Обновления: Одобренные изменения доведены до сведения всех пользователей.
7. Приложения
7.1 Приложение А: Классификация данных
| классификация | Пример | Требования к обработке |
|---|---|---|
| ограниченный | Персональные данные клиентов, исходный код НИОКР, криптографические ключи | • Шифрование (при хранении/пересылке) • Журналы строгого доступа • Необходимо знать + явное одобрение • Ежегодный обзор доступа |
| Конфиденциальный | Записи сотрудников, финансовые данные, внутренние стратегии | • MFA рекомендуется/требуется • На основе необходимости знать • Ограниченный внутренний обмен |
| внутренний | Заметки о встречах, внутренняя политика, общие сообщения | • Запрещается передача третьим лицам без одобрения. • Используйте системы компании |
| Общая | Маркетинговые материалы, общедоступный контент веб-сайта | • Никаких ограничений на обработку/распространение |
7.2 Приложение Б: Требования к паролю
- Минимальная длина:
- Учетные записи пользователей: 12 символов
- Учетные записи администратора/службы: 16 символов
- Многогранность
- Не менее 3 из 4: заглавные буквы, строчные буквы, цифры, символы (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Не может содержать имя пользователя или общеупотребительные слова из словаря.
- Вращение
- Максимум 90 дней (если не используются утвержденные методы непрерывной аутентификации).
- История
- Предыдущие 5 паролей не могут быть использованы повторно.
- Хранение:
- Не допускается запись в незащищённом виде. Для хранения сложных уникальных паролей используйте одобренный компанией менеджер паролей (например, Bitwarden, 1Password). Передача паролей запрещена. Обход MFA запрещён.
7.3 Приложение C: Поток реагирования на инциденты
- Обнаружение и анализ: Выявить потенциальные инциденты.
- Отчетность: НЕМЕДЛЕННО (в течение 1 часа) сообщите об этом в ИТ/отдел безопасности по указанным каналам.
- Сортировка и оценка: ИТ/безопасность оценивает серьезность и воздействие.
- Сдерживание: Изолировать затронутые системы/учетные записи (в течение 4 часов для критических инцидентов).
- Искоренение: Устранить угрозу/уязвимость.
- Восстановление: Безопасное восстановление систем/данных.
- Обзор после инцидента: Извлеченные уроки, улучшение процесса.
- Уведомление: Юридические/нормативные/клиентские уведомления отправляются по мере необходимости на основании оценки (например, в течение 72 часов в случае нарушений персональных данных GDPR/FADP).
7.4 Приложение D: Минимальные стандарты BYOD
- утверждение: Требуется перед доступом к закрытым данным.
- Требования к устройству:
- Версии ОС: Необходимо использовать версии, поддерживаемые в настоящее время поставщиком (например, Windows 11+, macOS 14+, iOS 16+, Android 13+)
-
- Безопасность: Включена блокировка экрана/биометрия; включено шифрование устройства; может потребоваться одобренное программное обеспечение безопасности (антивирусное/антивредоносное ПО); устройство не взломано/не имеет прав root.
-
- МДМ: Зачисление в Rheonics«Решение по управлению мобильными устройствами (MDM) является обязательным.
-
- Удаленная очистка: Возможность должна быть включена для данных/профиля компании.
- Сегрегация данных: Данные компании доступны/хранятся через одобренные приложения в управляемом профиле или контейнере (например, Microsoft Intune MAM, Android Work Profile). Копирование данных компании в личные приложения/хранилище не допускается.
- Cеть: подключайтесь через защищенный Wi-Fi; избегайте ненадежных общедоступных сетей Wi-Fi для работы.
8. Контакты и подтверждение
- Вопросы безопасности/Проблемы: Контакт () или ИТ/группа безопасности по внутренним каналам.
- Сообщить об инциденте: Используйте срочные методы: () и (круглосуточный канал внутренних команд компании).
- Подтверждение: Все пользователи обязаны прочитать, понять и подтвердить получение этой политики в электронном виде через (HR Portal, Training System) при приеме на работу и после значительных обновлений. Неподтверждение не отменяет применимости политики.