+41 52 511 3200 (SUI)     + 1 713 955 7305 (USA)     
Politika kybernetické bezpečnosti

 

1. Úvod a účel

1.1 Rheonics se zavázala chránit svá informační aktiva, včetně proprietárních dat, informací o zákaznících, duševního vlastnictví a IT infrastruktury, před neoprávněným přístupem, použitím, zveřejněním, pozměněním, narušením nebo zničením.

1.2 Tato politika vytváří rámec pro udržování bezpečného prostředí pro Rheonicsdigitální operace, v souladu s:

  • Předpisy: Švýcarský FADP, GDPR (pokud je to relevantní), státní/federální zákony USA a další příslušné národní zákony, kde Rheonics funguje.
  • Standardy: Principy Zero Trust, CIS Benchmarks, NIST směrnice (např. SP 800-88, SP 800-171 tam, kde je to relevantní) a OWASP směrnice.

1.3 Cíle:

  • Zabezpečte důvěrnost, integritu a dostupnost (CIA) dat a systémů.
  • Minimalizujte rizika kybernetických bezpečnostních incidentů a zajistěte kontinuitu podnikání.
  • Pěstujte u všech zaměstnanců kulturu uvědomující si bezpečnost.
  • Zajistěte dodržování zákonných, regulačních a smluvních závazků.

 

2. Rozsah

Platí pro všechny Rheonics zaměstnanci, dodavatelé, konzultanti, stážisté, dobrovolníci a třetí strany („Uživatelé“) Rheonics systémy, data nebo zařízení. Kryty:

2.1 Majetek

  • technické vybavení
  • Software (včetně SaaS/IaaS/PaaS)
  • Data (elektronická a fyzická)
  • Sítě
  • Fyzické vybavení

2.2 Činnosti

  • Práce na místě
  • Vzdálená práce
  • Použití zařízení vlastněných společností
  • Používání osobních zařízení (BYOD)
  • Vývojové aktivity
  • Interakce s dodavateli třetích stran

 

3. Role a odpovědnosti


RoleKlíčové povinnosti
managementŠampionská politika; alokovat zdroje; zajistit celkovou shodu a řízení rizik.
IT/bezpečnostní týmImplementujte/řídíte kontroly; hlavní reakce na incidenty; provádět audity a hodnocení.
Všichni uživateléDodržujte zásady; používat silná hesla + MFA; okamžitě hlásit incidenty; kompletní školení.

 

4. Politická prohlášení

4.1 Zabezpečení dat

  • Klasifikace a manipulace: Údaje musí být klasifikovány a musí se s nimi zacházet podle citlivosti (viz příloha A). Požadavky se zvyšují s citlivostí.
  • Šifrování: Omezená a důvěrná data musí být zašifrována v klidu a při přenosu pomocí silných standardních algoritmů.
  • Likvidace: Musí být použity bezpečné metody: stírání elektronických médií v souladu s NIST SP 800-88; křížové skartování (P-4 nebo vyšší) pro fyzické dokumenty obsahující důvěrná nebo omezená data. Je nutné dodržovat harmonogramy uchovávání dat.

4.2 Řízení přístupu

  • Nejmenší oprávnění a RBAC: Přístup je udělován na základě potřeby funkce úlohy (nejmenší oprávnění) pomocí řízení přístupu založeného na rolích (RBAC).
  • Ověření: Je vyžadováno jedinečné ID uživatele. Silná hesla (viz Příloha B) a MFA jsou povinná pro cloudové služby, vzdálený přístup, účty pro správu a systémy zpracovávající důvěrná/omezená data.
  • Hodnocení: Přístupová práva čtvrtletně kontrolována manažery/vlastníky systému; odvoláno okamžitě po ukončení nebo změně role. Pro udělení/změnu přístupu je vyžadován formální schvalovací proces.

4.3 Zásady přijatelného užívání (AUP)

  • Obchodní účel: Rheonics zdroje jsou primárně pro obchodní použití. Omezené náhodné osobní použití je povoleno, pokud nezasahuje do povinností, nespotřebovává nadměrné zdroje, nevzniká náklady nebo neporušuje zásady/zákony.
  • Zakázané činnosti: Mezi ně patří mimo jiné: nelegální aktivity, obtěžování, přístup/distribuce urážlivého materiálu, porušování autorských práv, neoprávněné úpravy systému, obcházení bezpečnostních kontrol, instalace neoprávněného softwaru, zavádění malwaru, neoprávněné sdílení/exfiltrace dat, nadměrné osobní použití.
  • Bdělost uživatele: Uživatelé musí být opatrní s e-maily (phishing), webovým procházením (škodlivé stránky) a manipulací s přílohami/odkazy.

4.4 Zabezpečení sítě

  • Obvod a segmentace: Firewally, IDS/IPS udržovány. Segmentace sítě izoluje kritické systémy (např. výzkum a vývoj, výroba) a datová úložiště.
  • Wi-Fi: Zabezpečené WPA3-Enterprise (nebo WPA2-Enterprise minimum) pro interní sítě. Wi-Fi pro hosty musí být logicky oddělena a nesmí poskytovat žádný přístup k interním zdrojům.
  • Vzdálený přístup: Pouze přes společností schválenou VPN s MFA. Dělené tunelování může být omezeno.
  • Nulová důvěra: Implementace principů architektury Zero Trust (např. mikrosegmentace, průběžné ověřování, kontroly stavu zařízení) probíhá s cílem dokončení do 1. čtvrtletí 2026 pro kritické sítě.

4.5 Zabezpečení koncového bodu vlastněné společností

  • Ochrana: Všechny koncové body vlastněné společností (stolní počítače, notebooky, mobily) musí mít spuštěný a aktualizovaný antivirový software spravovaný společností Endpoint Detection & Response (EDR) nebo schválený antivirový software.
  • Oprava: Operační systémy a aplikace musí být aktualizovány prostřednictvím firemního procesu správy oprav. Kritické opravy aplikované v rámci definovaných časových os [Rheonics definovat časové osy, např. 72 hodin pro kritický OS].
  • Šifrování: U notebooků a přenosných zařízení je povinné šifrování celého disku (např. BitLocker, FileVault).

4.6 Přineste si vlastní zařízení (BYOD)

  • Schválení a standardy: Použití osobních zařízení (BYOD) pro neveřejný přístup Rheonics data vyžadují výslovné schválení a dodržování minimálních standardů (viz příloha D).
  • Bezpečnostní požadavky: Zahrnuje registraci MDM, podporované verze OS, bezpečnostní software, šifrování, přístupové kódy, možnost vzdáleného vymazání a segregaci/kontejnerizaci dat.
  • Disclaimer: Rheonics si vyhrazuje právo spravovat/vymazat firemní data ze zařízení BYOD; Rheonics nenese odpovědnost za ztrátu osobních údajů při bezpečnostních akcích.

4.7 Zabezpečení a správa softwaru

  • Autorizovaný software: Instalovat lze pouze licencovaný software schválený IT oddělením. Uživatelům je zakázáno instalovat neautorizované aplikace.
  • Správa oprav: Platí pro veškerý software (OS, aplikace, firmware) na všech systémech (servery, koncové body, síťová zařízení).
  • Správa zranitelnosti: Provádí se pravidelné skenování zranitelnosti. Kritická zranitelnost musí být opravena v definovaných časových lhůtách [Rheonics definovat]. Periodicky prováděné penetrační testy na kritických systémech.
  • Bezpečný vývoj: (Pokud je to možné) Vývojové týmy musí dodržovat postupy bezpečného kódování (např. OWASP Top 10), provádět kontroly kódu a používat nástroje pro testování zabezpečení (SAST/DAST).
  • Analýza složení softwaru (SCA): Komponenty s otevřeným zdrojovým kódem musí být inventarizovány a prohledány na zranitelnosti. Používání softwaru/komponent s ukončenou životností (EOL) je zakázáno, pokud to není výslovně schváleno vedením/IT Security.

4.8 Fyzická bezpečnost

  • Řízení přístupu: Přístup k Rheonics zařízení, serverovny a výzkumné a vývojové laboratoře omezeny fyzickými kontrolami (odznaky, klíče, biometrické údaje). Přístupové protokoly udržované pro citlivé oblasti.
  • Správa návštěvníků: Návštěvníci se musí přihlásit, dostat dočasný průkaz totožnosti a být doprovázeni v neveřejných prostorách.
  • Zabezpečení pracovní stanice: Uživatelé musí zamknout pracovní stanice bez dozoru (Windows+L / Ctrl+Cmd+Q).
  • Vymazat plochu/obrazovku: Citlivé informace (fyzické dokumenty, obrazovky) by měly být chráněny před neoprávněným prohlížením, zejména v otevřených prostorách nebo při ponechání stolů bez dozoru. Používané bezpečné odpadkové koše.

4.9 Zabezpečení cloudu

  • Schválené služby: Využití cloudových služeb (SaaS, IaaS, PaaS) pro Rheonics data musí být schválena IT/bezpečnostním oddělením.
  • Konfigurace a monitorováníoring: Služby musí být nakonfigurovány bezpečně, v souladu s CIS Benchmarks, kde je to možné (AWS/GCP/Azure). Musí být vynuceny zásady podmíněného přístupu (např. geografická poloha, soulad zařízení). API a protokolování aktivity uživatelů povoleno a monitorováno.
  • Ochrana dat: Zajistěte, aby se poskytovatelé cloudu setkali RheonicsPožadavky na zabezpečení dat, šifrování, zálohování a pobyt prostřednictvím smluv a hodnocení.

4.10 Správa třetí strany / Prodejce

  • Odhad rizika: Bezpečnostní hodnocení prováděná před zapojením dodavatelů, kteří přistupují, zpracovávají a ukládají Rheonics dat nebo připojení k sítím. Úroveň rizika určuje hloubku hodnocení.
  • Smluvní požadavky: Smlouvy musí obsahovat klauzule týkající se důvěrnosti, ochrany údajů (včetně DPA při zpracování osobních údajů podle GDPR/FADP), bezpečnostních kontrol, oznamování incidentů a práv na audit.
  • Probíhá Monitoring: Pravidelná kontrola kritického stavu zabezpečení dodavatele.

4.11 Reakce na incident

  • Hlášení: Podezřelé incidenty musí být hlášeny okamžitě (cíl do 1 hodiny od zjištění) prostřednictvím () nebo (24/7 kanál interních týmů společnosti).
  • Plán odezvy: Rheonics udržuje plán reakce na incidenty (IRP). Základní průtok viz příloha C.
  • Kritické události: (např. ransomware, potvrzené narušení dat) Spustit eskalaci a zadržovací akce (cíl do 4 hodin). Právní/výkonné oznámení se řídí časovými harmonogramy diktovanými nařízeními (např. 72hodinové oznámení o porušení GDPR/FADP, pokud je to relevantní).
  • Spolupráce: Všichni uživatelé musí plně spolupracovat při vyšetřování reakce na incidenty.

 

5. Prosazování

Porušení budou řešena na základě závažnosti a úmyslu, v souladu s místním pracovním právem.

PorušeníPříkladDůsledek (příklady)
MenšíNáhodné odchylky od politiky; zameškaný nekritický tréninkPísemné varování; povinná rekvalifikace
HlavníSdílené přihlašovací údaje; opakovaná drobná porušení; instalace neautorizovaného P2P softwaruSuspenze; formální disciplinární řízení
Kritické / ZáměrnéÚmyslné narušení dat; škodlivá činnost; sabotovatUkončení; případné právní kroky

 

6. Údržba zásad

  • Kadence recenze: Alespoň jednou ročně přezkoumává vlastník politiky (vedoucí IT) a zúčastněné strany.
  • Spouštěče kontroly: Ad-hoc kontroly vyvolané: velkými bezpečnostními incidenty, významnými regulačními změnami (např. nové zákony o ochraně osobních údajů), významnými změnami technologie/infrastruktury (např. velká migrace do cloudu), zjištěními auditu.
  • Zprávy: Schválené změny sděleny všem uživatelům.

 

7. Přílohy

7.1 Příloha A: Klasifikace dat

KlasifikacePříkladPožadavky na manipulaci
OmezenýPII zákazníka, zdrojový kód výzkumu a vývoje, šifrovací klíče• Šifrování (v klidu/přepravě)
• Přísné protokoly přístupu
• Potřeba vědět + výslovné schválení
• Roční kontrola přístupu
důvěrnýZáznamy zaměstnanců, finanční údaje, interní strategie• MFA doporučeno/požadováno
• Základ „need-to-know“.
• Omezené interní sdílení
InterníPoznámky ze schůzek, interní zásady, obecná komunikace• Žádné externí sdílení bez schválení.
• Používejte firemní systémy
VeřejnéMarketingové materiály, veřejný obsah webových stránek• Žádná omezení pro manipulaci/sdílení

 

7.2 Příloha B: Požadavky na heslo

  • Minimální délka:
    • Uživatelské účty: 12 znaků
    • Účty správce/služby: 16 znaků
  • Komplexita
    • Alespoň 3 ze 4: velká písmena, malá písmena, čísla, symboly (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Nesmí obsahovat uživatelské jméno ani běžná slova ze slovníku.
  • Rotace
    • Maximálně 90 dní (pokud nepoužíváte schválené metody nepřetržité autentizace).
  • Historie
    • Předchozích 5 hesel nelze znovu použít.
  • Skladování:
    • Nesmí být zapsáno nezabezpečené. Použijte správce hesel schválený společností (např. Bitwarden, 1Password) pro storing složitá unikátní hesla. Sdílení hesel zakázáno. Obchvat MZV zakázán.

 

7.3 Příloha C: Tok odezvy na incident

  • Detekce a analýza: Identifikujte potenciální incidenty.
  • Hlášení: Nahlaste OKAMŽITĚ (do cíle do 1 hodiny) oddělení IT/bezpečnosti prostřednictvím definovaných kanálů.
  • Třídění a hodnocení: IT/zabezpečení posuzuje závažnost a dopad.
  • Zadržování: Izolujte postižené systémy/účty (v případě kritických incidentů do 4 hodin).
  • Eradikace: Odstraňte hrozbu/zranitelnost.
  • Obnova: Bezpečná obnova systémů/dat.
  • Kontrola po incidentu: Poučení, zlepšování procesů.
    • Oznámení: Právní/regulační/zákaznická oznámení prováděná podle potřeby na základě posouzení (např. do 72 hodin v případě porušení ochrany osobních údajů GDPR/FADP).

 

7.4. Příloha D: Minimální standardy BYOD

  • Odsouhlasení: Vyžaduje se před přístupem k neveřejným datům.
  • Požadavky na zařízení:
    • Verze OS: Musí běžet verze aktuálně podporované dodavatelem (např. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Zabezpečení Zámek obrazovky/biometrie povoleny; šifrování zařízení povoleno; může být vyžadován schválený bezpečnostní software (AV/anti-malware); zařízení není jailbreaknuté/rootované.
    • MDM: Zápis do RheonicsŘešení Mobile Device Management (MDM) je povinné.
    • Vzdálené vymazání: Schopnost musí být povolena pro firemní data/profil.
  • Segregace dat: Firemní data zpřístupněná/uložená prostřednictvím schválených aplikací v rámci spravovaného profilu nebo kontejneru (např. Microsoft Intune MAM, Android Work Profile). Žádné kopírování firemních dat do osobních aplikací/úložišť.
  • Síť: Připojení přes zabezpečené Wi-Fi; vyhněte se nedůvěryhodné veřejné Wi-Fi pro práci.

 

8. Kontakt a potvrzení

  • Bezpečnostní otázky/obavy: Kontakt () nebo IT/bezpečnostním týmem prostřednictvím interních kanálů.
  • Nahlásit incidenty: Použijte naléhavé metody: () a (kanál interních firemních týmů 24/7).
  • Potvrzení: Všichni uživatelé jsou povinni si tyto zásady přečíst, porozumět jim a potvrdit jejich přijetí elektronicky prostřednictvím (HR portálu, školicího systému) při nástupu a po následujících důležitých aktualizacích. Nepotvrzení těchto zásad neznamená, že jsou platné.
Stáhněte si zásady kybernetické bezpečnosti
Rheonics Politika kybernetické bezpečnosti
Hledat