Propósito
Esta Política es un documento básico que regula las actividades del Grupo Softline en materia de seguridad de la información.
Los requisitos corporativos de seguridad de la información se aplican a todas las regiones de operación y a todas las unidades de negocio del Grupo Softline.
Disposiciones generales
Se entiende por seguridad de la información el estado de la seguridad de la información caracterizado por la capacidad del personal, los medios técnicos y las tecnologías de la información para garantizar la confidencialidad, la integridad y la disponibilidad de la información durante su procesamiento por medios técnicos.
La política de seguridad de la información se desarrolla de acuerdo con las disposiciones del estándar internacional ISO/IEC 27001:2013.
La política de seguridad de la información es aprobada por el Presidente de la Junta directiva del Grupo Softline.
La Política se revisa periódicamente al menos una vez al año.
Objetivos de la seguridad de la información
En materia de seguridad de la información, el Grupo Softline establece los siguientes objetivos estratégicos:
- Aumento de la competitividad del negocio del Grupo Softline;
- Cumplimiento de los requisitos legales y de las obligaciones contractuales en materia de seguridad de la información;
- Mejora de la reputación empresarial y la cultura corporativa del Grupo Softline;
- Gestión eficaz de la seguridad de la información y mejora continua del sistema de gestión de la seguridad de la información;
- Cumplimiento de las medidas adecuadas de protección contra las amenazas a la seguridad de la información;
- Garantizar la seguridad de los activos corporativos del Grupo Softline, incluyendo el personal, los valores materiales y técnicos, los recursos de información y los procesos empresariales.
Tareas de seguridad de la información
El sistema de seguridad de la información del Grupo Softline debe resolver las siguientes tareas:
- Participación de la alta gerencia del Grupo Softline en el proceso de seguridad de la información: las actividades de seguridad de la información son iniciadas y controladas por la alta gerencia del Grupo Softline;
- Cumplimiento de la legislación de los países en los que opera la Empresa: El Grupo Softline implementa medidas de seguridad de la información en estricto cumplimiento de la legislación vigente y de las obligaciones contractuales;
- Coherencia de las acciones para garantizar la seguridad de la información, la seguridad física y la seguridad económica: las acciones para asegurar la seguridad de la información, la seguridad física y la seguridad económica se llevan a cabo sobre la base de una clara interacción entre los departamentos interesados del Grupo Softline y se coordinan entre ellos en términos de objetivos, tareas, principios, métodos y medios;
- Aplicación de medidas económicamente viables: El Grupo Softline se esfuerza por adoptar medidas de seguridad de la información teniendo en cuenta el costo de su implementación, la probabilidad de amenazas a la seguridad de la información y el monto de las posibles pérdidas derivadas de su implementación;
- Verificación de empleados: todos los candidatos para puestos vacantes en el Grupo Softline se someten a un examen obligatorio de conformidad con los procedimientos establecidos;
- Documentación de los requisitos de seguridad de la información: En el Grupo Softline, todos los requisitos en materia de seguridad de la información se fijan en los documentos normativos internos en desarrollo;
- Sensibilización sobre la seguridad de la información: los requisitos documentados de seguridad de la información se comunican a los empleados de todas las unidades de negocio del Grupo Softline y a las contrapartes en lo que a ellos respecta;
- Respuesta a incidentes de seguridad de la información: El Grupo Softline se esfuerza por identificar, considerar y responder rápidamente a las violaciones reales, continuas y potenciales de la seguridad de la información;
- Evaluación de riesgos: el Grupo Softline está constantemente implementando medidas para evaluar y gestionar los riesgos de seguridad de la información y mejorar el nivel de seguridad de los activos de información;
- Consideración de los requisitos de seguridad de la información en las actividades del proyecto: Además de las actividades operativas, el Grupo Softline se esfuerza por cumplir con los requisitos de seguridad de la información en las actividades del proyecto. El desarrollo y la documentación de los requisitos de seguridad de la información se lleva a cabo en las etapas iniciales de la ejecución de los proyectos relacionados con el procesamiento, el almacenamiento y la transmisión de la información;
- Mejora continua del sistema de gestión de la seguridad de la información: la mejora del sistema de gestión de la seguridad de la información es un proceso continuo.
Principios de seguridad de la información
Principio de coherencia
En el Grupo Softline, los activos se consideran componentes interrelacionados e influyentes del sistema unificado. Se tiene en cuenta el mayor número posible de escenarios de comportamiento del sistema en caso de amenazas a la seguridad de la información. El sistema de protección se
basa no sólo en todos los canales conocidos de acceso no autorizado a la información, sino también en la posibilidad de nuevas vías de aplicación de las amenazas a la seguridad.
Principio de exhaustividad (integridad)
Para garantizar la seguridad de la información se utiliza una amplia gama de medidas, métodos y medios de protección de la información. Su utilización compleja requiere la coordinación de los medios heterogéneos junto a la creación del sistema integral de protección que superpone todos los canales existentes de amenazas y que no contiene puntos débiles en las uniones de sus componentes inpiduales.
Principio de escalonamiento
No se puede confiar en una única línea de defensa, por muy fidedigna que parezca. El sistema de seguridad de la información está diseñado de tal manera que la zona de seguridad más protegida se encuentra dentro de otras áreas protegidas.
Principio de igualdad
La eficacia de los mecanismos de protección no debe verse socavada por el eslabón débil resultante de la subestimación de las amenazas reales o de la aplicación de medidas de protección inadecuadas.
Principio de continuidad
En el Grupo Softline, garantizar la seguridad de la información es un proceso continuo y centrado que implica adoptar las medidas adecuadas en todas las etapas del ciclo de vida de los activos.
Principio de suficiencia razonable
La gerencia del Grupo Softline asume que es imposible crear una protección de activos "absoluta". Por lo tanto, la selección de los medios de protección de los activos adecuados a las amenazas reales (es decir, para garantizar un nivel aceptable de daños posibles en caso de amenazas) se basa en el análisis de riesgos.
Principio de legalidad
Al seleccionar e implementar medidas y medios de seguridad de la información, el Grupo Softline cumple estrictamente con la legislación de la Federación Rusa y con los requisitos de los documentos reglamentarios legales y técnicos en materia de seguridad de la información del Grupo Softline.
Principio de gestión
Todos los procesos de gestión y seguridad de la información en el Grupo Softline deben ser gestionables, es decir, debe existir la posibilidad de monitorear y evaluar los procesos y componentes, detectar oportunamente las violaciones de la seguridad de la información y adoptar las medidas adecuadas.
Principio de responsabilidad personal
La responsabilidad de la seguridad de los activos recae en cada empleado dentro de su competencia.
Responsabilidad por violación de la Política de Seguridad de la Información
En caso de violación de las normas establecidas de trabajo con los activos de información, el empleado puede ser limitado en sus derechos de acceso a dichos activos y también puede ser procesado de conformidad con la legislación de los países en los que operan las empresas del Grupo Softline.
CEO global de Softline
S.V. Chernovolenko
Descarga el documento en formato PDF