Információbiztonság a Fresenius Kabinál

A Fresenius Kabinál tudjuk, hogy az információbiztonság fontos ügyfeleink, betegeink és üzleti partnereink számára. Elkötelezettek vagyunk az információbiztonság fenntartása iránt a felelős kezelés, a megfelelő használat és a jogi és szabályozási követelményeknek megfelelő védelem révén.

 

Az információbiztonság szervezése

Írásos kiberbiztonsági szabályzatot tettünk közzé, amelyben felvázoljuk a szervezeten belül meghatározott kiberbiztonsági szerepeket és felelősségi köröket.

Biztonsági csapatunk az információbiztonsággal, a globális biztonsági auditálással és a megfelelőséggel, valamint a Fresenius Kabi hardverének és infrastruktúrájának védelmét szolgáló biztonsági ellenőrzések meghatározásával foglalkozik. A biztonsági csapat rendszeresen kapja az információs rendszerek biztonsági értesítéseit, és rutinszerűen osztja szét a szervezetnek a biztonsági riasztásokat és tanácsokat.

Információbiztonsági képességmodell

Elfogadtunk egy, a kritikus biztonsági ellenőrzéseken (CIS 18) alapuló információbiztonsági képességmodellt, amelyet az iparági legjobb gyakorlatokon alapuló egyéb biztonsági intézkedések egészítenek ki. Ez lehetővé teszi számunkra, hogy a biztonság tekintetében holisztikus megközelítést alkalmazzunk a megfelelésre vonatkozóan.  Emellett rendszeresen végezzük biztonsági képességeink időszakos érettségi értékelését, és ezek eredményeiről beszámolunk a Fresenius Kabi vezetőségének is.

Biztonsági megfelelés menedzsment

Folyamatban van a Fresenius Csoport alapkövetelményeihez igazodó szabályrendszer, a Fresenius Csoport egészére kiterjedő, az iparági legjobb gyakorlatokkal összhangban lévő belső ellenőrzési katalógus kidolgozása.

A Fresenius Kabi hivatalos belső ellenőrzési programmal rendelkezik, amely biztosítja a belső irányelveinknek, a vonatkozó kiberbiztonsági törvényeknek és szabályozásoknak való megfelelést.

Biztonságos adatkezelés

Az adatok osztályozására folyamatot hoztunk létre, hogy megfelelő biztonsági intézkedéseket alkalmazzunk ügyfeleink, betegeink és üzleti partnereink adatainak védelme érdekében.

Ahol lehetséges és célszerű, titkosítjuk az érzékeny adatokat szállítás közben és nyugalmi állapotban is.

Hozzáférés-ellenőrzés kezelése

A felhasználói hozzáférés megadására, kezelésére és visszavonására vonatkozóan hozzáférés-kezelési követelményeket állapítottunk meg. A Fresenius Kabi információs rendszereihez való hozzáféréshez szerepkör alapú hozzáférés-szabályozást alakítottunk ki.

Az adatbázisainkban, rendszereinkben és környezetünkben található érzékeny adatokhoz való hozzáférés ellenőrzése a szükséges ismeretek elve alapján történik. Továbbá a hozzáférési engedélyeket csak a legkisebb jogosultság elve alapján adjuk meg. 

Az információs rendszerek felhasználói egyedi felhasználói fiókokat és jelszavakat kapnak, a jelszókövetelményeket meghatározásra és betartásra kerülnek.

A rendszergazdai jogosultságokat a dedikált rendszergazdai fiókokra korlátozzuk.

Virtuális magánhálózati (VPN) szoftvert biztosítunk felhasználóink számára, hogy lehetővé tegyük a kulcsfontosságú rendszerek biztonságos, internetalapú távoli elérését. A távoli hálózati hozzáféréshez többfaktoros hitelesítést is megkövetelünk.

Sebezhetőség és változáskezelés

Arra törekszünk, hogy a legújabb biztonsági javításokat és frissítéseket alkalmazzuk az operációs rendszerekre, végpontokra és a hálózati infrastruktúrára, hogy csökkentsük a sebezhetőségeknek való kitettséget.

A gyártók által kiadott biztonsági javítások frissítéseinek implementálására javításkezelési folyamat van érvényben.

Rendszeresen ellenőrizzük a külsőleg és belsőleg kitett eszközöket. 

Behatolás tesztelés

Folyamatokat alakítottunk ki a Cobalt Labs Inc. nevű képzett és független pentesztelő partnerünk által kétévente elvégzett behatolásvizsgálat során felfedezett sebezhetőségek értékelésére és kijavítására.

Incidenskezelés

Van egy formalizált incidensreagálási tervünk és a kapcsolódó eljárások, amelyek biztonsági incidens esetén lépnek életbe. Az incidensreagálási terv meghatározza a kulcsszemélyzet felelősségét, valamint az értesítésre és az eszkalációra vonatkozó folyamatokat és eljárásokat. Az incidensre reagáló személyzetet kiképezük és az incidens-reagálási terv végrehajtását rendszeresen teszteljük.  

A biztonsági incidensek előkészítése, azonosítása, megelőzése, felderítése és kezelése érdekében a SANS Incident Response Process, az incidensek kezelésére szolgáló iparági szabványos keretrendszert követjük. Ebben támogat bennünket a Fresenius Cybersecurity Emergency Response Team (CERT). 

Végpontvédelem

Végpontjainkat központilag kezelt vírusirtó megoldással látjuk el, amely biztosítja, hogy a legfrissebb vírusdefiníciók mindig elérhetőek legyenek és hogy minden végponton egységes biztonsági irányelvek érvényesüljenek. 

Minden laptop teljes lemezes titkosítással rendelkezik, a kulcsokat pedig biztonsági tárolóval (security vault) kezeljük.

Beállítottuk a vállalati eszközök automatikus munkamenet-zárását egy meghatározott inaktivitási időszak után.

A mobileszközökre mobileszköz-kezelő rendszer vonatkozik, és a hozzáférés csak a biztonsági szabályzatunknak megfelelően konfigurált eszközökről engedélyezett. Ez a biztonsági politika megköveteli egy kód beírását az eszközhöz való hozzáféréshez, és lehetővé teszi a távoli törlést, ha az eszköz elvesztését vagy ellopását jelentik.

Hálózati és e-mail biztonság

A hálózati szegmensek között forgalomszűrést végzünk.

Környezetünkben csak a Fresenius Kabi által kezelt vezeték nélküli hálózatok engedélyezettek. A vezeték nélküli hozzáférés biztonsági ellenőrzése magában foglalja a vállalati és a vendég hozzáférések elkülönítését és a vezeték nélküli kulcsok rotációját.

Olyan megoldást telepítettünk, amely rendszeresen frissíti az URL-szűrő szoftvert, amely blokkolja a nem megfelelő weboldalak elérését a hálózatról.

E-mail átjáróink akadályként működnek, amelyek kiszűrik a rosszindulatú adatforgalmat, megállítják az adathalászatot, és csak hiteles kommunikációt tesznek lehetővé.

Naplózás és felügyelet

Az alkalmazás- és infrastruktúra-rendszerek naplóit hibaelhárítás, biztonsági felülvizsgálatok és elemzés céljából tárolják az arra felhatalmazott személyzet által. A naplókat a szabályozási követelményeknek megfelelően őrzik meg.

A vállalati eszközökre kiterjedő központi biztonsági eseményriasztás a naplók korrelációja és elemzése érdekében. A biztonsági szempontból releváns korrelációs riasztásokkal konfigurált naplóelemző platform szintén megfelel ennek a biztosítéknak.

Munkavállalói képzés és tudatosság

A Fresenius Kabi alkalmazottai kötelesek részt venni a kiberbiztonsági tudatossági képzéseinken. Ehhez különböző formátumokat biztosítunk a kiberbiztonság témájának bemutatására és egyszerű megértésére. Szlogenünk: "A kiberbiztonság egy csapatsport", és ennek szellemében rendszeresen igyekszünk különböző tudatosságnövelő kampányokkal, a biztonság témájával kapcsolatos cikkekkel és blogbejegyzésekkel inspirálni munkatársainkat, hogy aktív tagjává váljanak vállalatunk védelmi stratégiájának.

A biztonságtudatossági programunkhoz kapcsolódóan minden, az informatikai rendszereinkhez hozzáféréssel rendelkező személy negyedévente adathalász szimulációs teszteket kap. A negyedévenkénti kampányok támogatják a biztonságtudatosságot, mivel növelik mindenki ismereteit és éberségét az adathalász e-mailekkel kapcsolatban.

Fizikai biztonság

Irodáinkban fizikai beléptetési ellenőrzéseket hajtunk végre. Az ellenőrzések magukban foglalják az épület biztonságát és a Fresenius Kabi telephelyeinek biztonságos megközelítését. A Fresenius Kabi irodáiba és a gyártóüzemekbe való bejutáshoz belépőkártyás hozzáférés szükséges. A látogatók belépésének ellenőrzésére meghatározott eljárások vannak, amelyek szerint minden látogatónak jelentkeznie kell a recepción.