1. Objetivo

A presente Política é documento fundamental que controla a atividade do Grupo de Empresas Softline na área de segurança da informação.

Os requisitos corporativos na área de segurança da informação aplicam-se a todas as regiões da atividade da empresa, bem como a todas as unidades de negócio do Grupo de Empresas Softline.

2. Disposições gerais

A segurança da informação é considerada como estado da proteção da informação caracterizada pela capacidade do pessoal, meios técnicos e tecnologias de informação de assegurar a confidencialidade, integridade e disponibilidade da informação no momento de processamento dela por meios técnicos.

A Política de Segurança da Informação foi desenvolvida em conformidade com as disposições da norma internacional ISO/IEC 27001:2013.

A Política de Segurança da Informação é aprovada pelo Presidente do Conselho de Administração do Grupo de Empresas Softline.

A Política é revista regularmente pelo menos uma vez por ano.

3. Objetivos na área de segurança da informação

Na área da segurança da informação, o Grupo de Empresas Softline estabelece os seguintes objetivos estratégicos:

• Aumentar a competitividade do negócio do Grupo de Empresas Softline;
• Cumprir os requisitos legais e seguir as obrigações contratuais em termos de segurança da informação;
• Melhorar a reputação empresarial e a cultura corporativa do Grupo de Empresas Softline;
• Efetuar a gestão eficaz da segurança da informação e aperfeiçoar constantemente o sistema de gestão da segurança da informação;
• Aplicar as medidas adequadas da proteção contra as ameaças à segurança da informação;
• Garantir a segurança dos ativos corporativos do Grupo de Empresas Softline, incluindo pessoal, valores materiais e técnicos, recursos de informação, processos de negócio.

4. Tarefas que devem ser resolvidas para garantir a segurança da informação

O sistema de segurança da informação do Grupo de Empresas Softline deve resolver as tarefas seguintes:

• Envolvimento da alta gerência do Grupo de Empresas Softline no processo de segurança da informação: a atividade de segurança da informação é iniciada e controlada pela alta gerência do Grupo de Empresas Softline;
• Cumprimento dos requisitos da legislação dos países da presença da Empresa: O Grupo de Empresas Softline implementa as medidas de segurança da informação em restrita conformidade com a legislação em vigor e as obrigações contratuais;
• Coordenação das ações para garantir a segurança da informação, segurança física e econômica: as ações para garantir a segurança da informação, segurança física e econômica são realizadas à base de uma cooperação bem definida entre os departamentos envolvidos do Grupo de Empresas Softline e são acordadas entre si em relação aos objetivos, tarefas, princípios, métodos e meios;
• Aplicação das medidas economicamente viáveis: O Grupo de Empresas Softline tenta aplicar as medidas de segurança da informação tendo em consideração as despesas para a implementação delas, a probabilidade de surgimento das ameaças à segurança da informação e o volume das possíveis perdas decorrentes da sua implementação;
• Verificação dos funcionários: todos os candidatos para as vagas disponíveis no Grupo de Empresas Softline estão sujeitas à verificação obrigatória de acordo com os procedimentos estabelecidos;
• Documentação relativa aos requisitos de segurança da informação: no Grupo de Empresas Softline todos os requisitos de segurança da informação são fixados nos documentos normativos internos desenvolvidos para este fim;
• Formação dos funcionários na área de segurança da informação: os requisitos de segurança da informação documentados são comunicados aos funcionários de todas as unidades do negócio do Grupo de Empresas Softline, bem como às contrapartes na área de competência delas;
• Reação aos incidentes de segurança da informação: O Grupo de Empresas Softline esforça-se por identificar, tomar em consideração e responder rapidamente às violações reais e potenciais da segurança da informação;
• Avaliação dos riscos: O Grupo de Empresas Softline toma as medidas contínuas para avaliar e gerenciar os riscos de segurança da informação e aumentar o nível da proteção dos ativos de informação;
• Consideração dos requisitos de segurança da informação nas atividades do projeto: além das atividades operacionais, o Grupo de Empresas Softline se esforça por levar em conta os requisitos de segurança da informação nas atividades do projeto. O desenvolvimento e a documentação dos requisitos de segurança da informação são efectuados nas fases iniciais da execução dos projectos
  relacionados com o tratamento, armazenamento e transmissão da informação;
• Melhoria contínua do sistema de gestão da segurança da informação: a melhoria do sistema de gestão da segurança da informação é um processo contínuo.

5. Princípios aplicados para garantir a segurança de informação

Princípio de sistematização

No Grupo de Empresas Softline, os ativos são considerados como componentes inter-relacionados que influenciam mutuamente no sistema único. No caso de ameaças à segurança da informação, o número máximo de possíveis cenários de comportamento do sistema é levado em conta. O sistema de proteção é construído tendo em conta tanto todos os canais conhecidos de acesso não autorizado à informação, como a possibilidade de aparecimento de modos fundamentalmente novos de efetuar as ameaças de segurança.

Princípio da integralidade

Uma ampla gama de medidas, métodos e ferramentas de segurança da informação é utilizada para garantir a segurança da informação. A sua utilização abrangente pressupõe a aplicação de meios diferentes na construção do sistema integral da proteção que bloqueia todos os canais de ameaças existentes e não contém pontos fracos na ligação dos seus componentes diferentes.*

Princípio de separação

Não se pode confiar em linha de proteção única, por mais segura que possa parecer. O sistema de segurança da informação é construído de maneira que a zona de segurança mais protegida fique situada no interior de outras zonas protegidas.

Princípio de resistência igual

A eficácia dos mecanismos de proteção não deve ser comprometida pelo elo fraco resultante da subestimação das ameaças reais ou da utilização das medidas de proteção inadequadas.

Princípio da continuidade

No Grupo de Empresas Softline, a garantia de segurança da informação é um processo contínuo e propositado que implica a tomada das medidas apropriadas em todas as fases do ciclo de vida dos ativos.

Princípio da suficiência razoável

A gerência do Grupo de Empresas Softline assume que é impossível criar uma proteção "absoluta" dos ativos. Por isso, a seleção das medidas de proteção dos ativos adequadas às ameaças reais (ou seja, aquelas que podem garantir o nível aceitável dos danos possíveis em caso de ameaças) baseiase na análise dos riscos.

Princípio da legalidade

Ao selecionar e implementar as medidas e os meios de segurança da informação, o Grupo de Empresas Softline cumpre restritamente a legislação da Federação Russa, os requisitos dos documentos normativos legais e técnicos na área da segurança da informação do Grupo de Empresas Softline.

Princípio da gestão

Todos os processos de gestão e garantia de segurança da informação no Grupo de Empresas Softline devem ser controlados, ou seja, deve existir a possibilidade de monitorar e medir os processos e componentes, identificar a tempo as violações da segurança da informação e tomar as medidas apropriadas.

Princípio da responsabilidade pessoal

A responsabilidade pela segurança dos ativos é conferida a cada funcionário no âmbito das suas competencias.

6. Responsabilidade por violação da Política de Segurança da Informação

No caso de violação das regras de trabalho com os ativos de informação estabelecidas, o funcionário pode ser restringido em seus direitos de acesso a tais ativos, bem como pode ser responsabilizado de acordo com a legislação dos países onde as empresas do Grupo de Empresas Softline operam.

CEO global da Softline
S.V.Chernovolenko

Política de Segurança da Informação do Grupo de Empresas Softline