4. Руководство
4.1. ПомещенияЭта политика была разработана на основании Разрешения CMN в 4.658/2018 и Решение Центрального Банка Бразилии В 85/2021, что есть о политике кибербезопасности и о требованиях к закупке услуг хранения и обработки данных и облачных вычислений, которые должны соблюдаться учреждениями платежных право работать Центрального Банка Бразилии.
4.2. Структура ОбластиПриведены в соответствие с внутренних стратегий ИТ и лучшие практики Информационной Безопасности, были проанализированы с помощью различных моделей, которые могут удовлетворить потребности защиты информации компании.
Были избраны стандартам NBR ISO / IEC 27001 и 27002, а также стандартов PCI и требования, Bacen, с целью осуществлять не только контроль технологических, но и процесс управления, обеспечивая, таким образом, управление в реализации Системы Управления Безопасностью
Информация Stregu inc.
Организационная структура, установленная отражает выбор элементов управления, обеспечения безопасности и на основе результатов Оценки Рисков, в руководстве акционеров, диагнозе, проведенном в культурных аспектов, из Stregu inc и законодательством.
Группа Безопасности Информации управления, выделенной в рамках Технологии Stregu inc, под именованием Security, как показано в диаграмме ниже.
4.2.1. Внедрения и Эксплуатации в Области Информационной Безопасности
На основе Системы Менеджмента Информационной Безопасности, Stregu inc:
4.2.1.1. Formula план обработки риска, что определяет соответствующие меры должны быть приняты по направлению, ресурсов и обязанностей и приоритетов управления рисками, связанных с безопасностью информации;
4.2.1.2. Реализует план лечения исторических аудита, которые находятся под ответственностью области, на достижение целей управления определены;
4.2.1.3. Реализует выбранных элементов управления для достижения целей управления;
4.2.1.4. Определяет, как оценить эффективность элементов управления или групп, выбранных и конкретной, как эти измерения используются для оценки эффективности управления, чтобы произвести результаты, сопоставимые и воспроизводимые;
4.2.1.5. Определяет область действия, пределы области и процессы, связанные, в терминах характеристик бизнеса, организации, местоположение, активов и технологий, в том числе подробности и обоснования любых исключений из сферы управления
4.2.1.6. Реализует технологии для выявления попыток нарушений информационной безопасности успешным или нет, а также инцидентов информационной безопасности;
4.2.1.7. Способствует технологий и процессов для обнаружения событий информационной безопасности и тем самым предотвратить инциденты информационной безопасности за счет использования показателей;
4.2.1.8. Проводится каждые шесть месяцев, критический анализ эффективности управления, через Комитет по Информационной Безопасности, чтобы гарантировать, что область остается адекватной и, что улучшения в процесс управления безопасностью, определены и реализованы;
4.2.1.9. Управляет операциями Информационной Безопасности;
4.2.1.10. Управляет все возможности технологии под стражей;
4.2.1.11. Реализует Политики, Стандартов и Процедур и других элементов управления, которые будут в состоянии разрешить своевременное обнаружение событий информационной безопасности и реагирования на инциденты информационной безопасности.
В Stregu inc устанавливает, внедряет, управляет, контролирует, анализирует, критически, поддерживает и постоянно улучшает свою Систему Менеджмента Информационной Безопасности (SGSI), описанного в контексте предпринимательской деятельности, и глобальные риски, что оно подлежит.
4.3. Роли и ОбязанностиРоль и ответственность касательно, касающиеся этой Политики изложены ниже.
4.3.1. Безопасность Информации
4.3.1.1. Defensive Security Team
Ответственность за мониторинг угроз и поведения, аномальных, а также доступ к данным. Исследует, анализирует и отвечает на кибер-инцидентов в среде Stregu inc. Управляет SOC (Security Operations Center), который контролирует среду 24x7x365 и анализирует, уведомления и информация о безопасности, раздавая команды соответствующие. Устанавливает, документирует и распространяет процедуры ответов, и эскалации инцидентов в сфере безопасности, чтобы гарантировать, что все ситуации были
решать эффективно.
4.3.1.2. Integration Team
Гарантирует, что требования безопасности, необходимые для защиты миссии и бизнес-процессами организации не будут надлежащим образом рассмотрены все аспекты системной архитектуры, в том числе модели, достопримечательностей, архитектуры сегмента и решение в соответствии лучшие практики безопасности.
4.3.1.3. It Corp Team
Ответственности за поддержку конечных пользователей, от технической поддержки до руководящие принципы для использования средств, используемых в Stregu inc.
4.3.1.4. Identity & Access Management
Ответственность за жизненный цикл доступа всех сотрудников и третьих лиц, а также за соблюдение лучших практик. Управляет учетными записями пользователей, в том числе дополнения, исключения и изменения. Контроля доступа к системам и данным с помощью соответствующих профилей.
4.3.1.5. ADVISORY TEAM
Проводит оценку нормативных и методов, что касается контроля безопасности в организации, управление рисками, связанными с информационной безопасностью, среди проверок, проекты соответствия и соответствия законам и управляет показатели безопасности, содействие совершенствование процесса и повышение осведомленности. Устанавливает, документирует и распространяет политику и процедуры безопасности.
4.3.2. Администраторы () и участников(в)
Это обязанность администраторов, () и сотрудников () Stregu inc:
4.3.2.1. Наблюдать и присматривать за соблюдение настоящей Политики, понимая, формально из принципов, изложенных и, тем не менее, если это необходимо, вызвать ответственности в области информационной безопасности для запросов о ситуациях, включающих конфликт с настоящей Политикой или по возникновению ситуации, в ней описаны;
4.3.2.2. Соблюдать законы и нормы, которые regulamentem аспекты интеллектуальной собственности и использования данных, как заботиться о защите конфиденциальных данных (персональные данные, чувствительные, финансовые – в том числе и данные карты, стратегических или охраняемые законом) Stregu inc, или данные, которые находятся под их ответственностью во время его обработки;
4.3.2.3. Отчет по Информационной Безопасности группы таким образом, своевременной является любое событие, подозреваю, что может поставить под угрозу окружающей среде Stregu inc, или настроить нарушение Политики Информационной Безопасности и Кибербезопасности;
4.3.2.4. Предложить, рекомендовать и проверить внедрение лучших практик безопасности во всех процессах, их ответственность;
4.3.2.5. Использовать ответственно и для рабочих целей, профессиональных, этических и правовых средств информационных технологий;
4.3.2.6. Защитить информацию от несанкционированного доступа, модификации, разрушения или раскрытия;
4.3.2.7. Понимать роль информационной безопасности в их повседневной деятельности, и участвовать в просветительских программ.
4.3.3. Директора по Информационной Безопасности
Обязанность Директора по Информационной Безопасности:
4.3.3.1. Соблюдать и следить за соблюдением принципов этой Политики совпадает с Разрешением CMN в 4.658/2018 и Разрешение Центрального Банка Бразилии В 85/2021, а также других нормативных внутренние корреляты и их обновления; и
4.3.3.2. Ответить и удовлетворить требования регулирующих органов, относящихся к Информационной Безопасности.
4.3.4. Соблюдения и защиты Информации
Долг области по Этике и Информационной Безопасности, вместе, выполнить обновление нормативной внутренние, связанные с Информационной Безопасностью, гарантируя соблюдение всех законов и правил.
4.3.5. Исполнительный комитет и Комитет по Информационной Безопасности
Обязанность Исполнительного Комитета и Комитета по Информационной Безопасности Stregu inc гарантии защиты данных карт и соответствие стандартам PCI DSS, предоставляя для этого необходимые средства пригодности.
В случаях, когда есть потребность в контакте с органами власти (например, в случае подозрения, что закон был нарушен), там будет обсуждение Комитета по Информационной Безопасности, определение ответственных за проведение мероприятий, общения.
Обоих Комитетов, упомянутых выше, имеют свои принципы, изложенные в сборнике Комитета по Безопасности Информации, доступной для знаний сотрудников Stregu inc в хранилище корпоративных нормативных внутренние.
Материалы презентации к Комитетам, а также уставы соответствующих, должны быть переданы в группу Compliance заранее для организации встреч и для распределения материала участникам и возможных гостей.
4.4. Активные Информационной БезопасностиДля обеспечения безопасности информации, следующие столбы должны быть выполнены и приняты, по всей принятия решений:
4.4.1. Конфиденциальность – гарантия того, что сведения, доступ к которым осуществляется только через явно разрешены.
4.4.2. Целостность – гарантия того, что информация нетронутым в течение цикла создания, обработки и утилизации.
4.4.3. Доступность – гарантия того, что эти сведения были доступны всегда, что необходимо для выполнения бизнес-процесса.
Они считают себя активными информации, все данные, созданные или разработанные для дела, могут быть представлены в различных формах, таких как: цифровые файлы, оборудования, внешних носителей, бумажных документов, системы, мобильных устройств, банков данных и разговоров.
Независимо от того, отображается, совместно или хранится, информационных активов должны использоваться только по их прямому назначению надлежащим образом уполномоченные, будучи предметом контроля и аудита.
Всем активным информационных собственности Stregu inc должны иметь ответственности, надлежащим образом промаркирован в соответствии с установленными критериями и соответствующим образом защищены от любых рисков или угроз, которые могут поставить под угрозу бизнес.
4.5. Общие РекомендацииВ отношении кибербезопасности, Stregu inc предусмотрены следующие общие рекомендации:
4.5.1. Защита данных от несанкционированного доступа на неправомерные, а также от изменения, незаконного уничтожения или несанкционированного раскрытия;
4.5.2. Подходит классификации информации, и гарантии непрерывности обработки этих, как принципов и критериев, указанных в нормативных конкретные;
4.5.3. Гарантия-систем и данных, под свою ответственность, надежно защищена и используются только для выполнения наших заданий;
4.5.4. Рвение к целостности технологической инфраструктуре, в которой хранятся, обрабатываются и обработанных данных, принимая меры, необходимые для предотвращения угроз, логические, таких как вирусы, вредоносные программы или другие сбои, которые могут привести допуска, обработку или использование интернет-данных и конфиденциальной информации с ограниченным доступом;
4.5.5. Управления и обслуживания антивирусного по, брандмауэра и другого программного обеспечения безопасности установлены и обновлены и обслуживанию компьютерных программ, установленных на окружающую среду;
4.5.6. Посещаемость законов и норм, которые регулируют деятельность осуществляется в Stregu inc.
В вид на соблюдение установленных выше принципов elencadas, Stregu inc имеет целью кибербезопасности и предотвращения, выявления и снижения уязвимости к инцидентов, связанных с кибер-среде.
По отношению к мерам безопасности, Stregu inc принимает процедуры и контроль, чтобы уменьшить уязвимость к инцидентов и для достижения целей кибер-безопасности. Среди них:
i. проверка Подлинности, шифрование, предотвращения и обнаружения вторжений;
ii. Предотвращения утечки информации, проведение периодических испытаний и проверок для обнаружения уязвимостей. защита от вредоносного программного обеспечения, создание механизмов отслеживания, контроля доступа и сегментации сети компьютеры и хранение резервных копий данных и информации,
в соответствии с нормативными действующими;
iii. Применяет процедуры и контроль, указанных ранее, в том числе в области разработки информационных систем страхования и внедрению новых технологий, используемых в деятельности Stregu inc.
iv. Имеет определенные элементы управления, в том числе предназначенных для отслеживания информации, которые стремятся обеспечить безопасность конфиденциальной информации.
v. Управляет, контролирует, ограничивает доступ к активам информации, меньше разрешение и возможные права;
vi. Способствует смягчению рисков бизнес и кибер согласно Политике Управления Рисками.
vii. Выполняет запись, анализ причин и последствий, а также, контроля последствий инцидентов, имеющих отношение к деятельности Stregu inc, которые охватывают в том числе информации, полученной от компаний, предоставляющих услуги третьим лицам.
viii. Разрабатывает инвентаризации и сценарии кризисов, кибер, связанных с инцидентами безопасности считаются тесты непрерывности услугами и лоб ежегодно для обеспечения эффективности процессов, а также производить ежегодно отчет реагирования на инциденты в среде технологического Stregu inc;
ix. выстраивает в ряд инцидентов, в соответствии с их значимость, в соответствии с классификацией информации, занимающихся и влияния на непрерывность бизнеса Stregu inc;
x. Выполняет периодической оценки компаний, предоставляющих услуги, которые выполняют обработку информации, относящейся к Stregu inc с целью последующей уровня зрелости своих элементов управления и обеспечения безопасности для предотвращения и из-за обработки инцидентов;
xi. Имеет критерии для классификации значимости, службы обработки и хранения данных и облачных вычислений, в стране или за рубежом.
xii. Принимает процесс управления непрерывностью бизнеса, как Корпоративную Политику по Непрерывности Бизнеса.
xiii. Устанавливает правила и стандарты, чтобы гарантировать, что информация получить соответствующий уровень защиты, как в его актуальность. Вся информация есть владелец, обязательно классифицируются и получает нужные элементы управления, которые обеспечивают конфиденциальность, condizendo с хорошими практиками рынка и нормативные документы.
xiv. Выполняет действия по предотвращению, выявлению, регистрации и реагирования инцидентов и кризисов безопасности, связанные с технологической среды от Stregu inc, которые могут привести к нарушению столпов информационной безопасности или принести риск испортить репутацию, финансовой или операционной.
xv. Принимает механизмы распространения культуры информационной безопасности и кибербезопасности в компании, в том числе реализации программы, тренинги, обязательные для сотрудников, предоставление информации конечным пользователям, на меры предосторожности при использовании продуктов и услуг и приверженность высшего руководства к постоянному совершенствованию процедуры, связанные с безопасностью информации и кибербезопасности.
xvi. Принимает инициатив для обмена информацией об инцидентах через соответствующие участия в форумах и общий доступ к платформе SIEM.
4.6. Приверженность Высоким НаправленииПриверженность Высшего руководства к эффективности и совершенствование этой Политики, процедур и элементов управления, связанных с обеспечением безопасности информационных и кибер-воспринимаются через постоянное преобразование и совершенствование управления в действия, касающиеся столбов, упомянутые ранее, а также за предоставление ресурсов, совместимых с усложнением Stregu inc, оценка и утверждение Политик и Процедур, в числе прочих инициатив.
4.7. Обучение и ИнформированиеПрограмма Обучения и повышения Осведомленности в области Информационной Безопасности устанавливается и управляется командой Advisory. График годового создана с актуальным вопросам, которые нужно решать, и могут быть приняты различные форматы обучению и повышению квалификации, как например:
● Онлайн через платформу осведомленности законодательством;
● Онлайн и в реальном времени через платформу для коммуникации законодательством, позволяя работать с участниками;
● Тестирование фишинг направлены в электронной почте Членам команды;
● Тренинги, специфичные для удовлетворения потребностей группы Участников команды;
● Пресс-релизы, а также советы и материалы осведомленности раскрыты Членам команды посредством официальных каналов коммуникаций.
Подтверждение участия и признание содержимого оценивается посредством вопросника, или другой подходящий способ.
Доказательств выполнения Программы Обучения и повышения Осведомленности в области Информационной Безопасности, хранятся по Информационной Безопасности в безопасном месте.
4.8. Документы и СведенияИнформации, связанной с инцидентами информационной безопасности и кибербезопасности имеют конфиденциальный характер, и не должна, ни при каких обстоятельствах, которые доступны сторонам.
Все документы, касающиеся расследования, в том числе сбор доказательств, должны храниться в течение не менее 10 (десяти) лет.
4.9. Общие положенияГруппа Информационной Безопасности, сохраняет свои правила, Процедуры и другие необходимые сведения документированы официально в хранилище корпоративных нормативных внутренние.
Это роль, ответственная за документ выполнять обновление нормативной, по крайней мере, за 1 (один) раз в год, следуя рекомендациям корпоративной обновление документов, установленному time compliance.
Документы должны соответствовать номенклатуре, указанной ниже:
POL – Политики: они должны быть классифицированы как Политики все документы, которые содержат всеобъемлющих принципов и правил относительно темы.
PROD – Процедуры: они должны быть классифицированы как Процедуры все документы, которые содержат подробные инструкции по иной процесс.
Другие документы: Документы, которые не попадают в категории, правила и Процедуры (например, форм, диаграмм, etc) должен соответствовать номенклатуре, законодательством не установлено команда Advisory, по мере необходимости.
Документы, которые должны быть раскрыты для всего предприятия должны быть переданы во время Консультативного для рассмотрения, что, в свою очередь, перенаправит к команде Соблюдения правил для утверждения и распространения в корпоративных платформ, используемых в то время.
Уже соответствующие документы только на Информационной Безопасности группы должны быть направлены только во время Консультативного для просмотра и каталогизации.
4.10. Ликвидации ПоследствийВсе(as), Членами команды, поставщиками, партнерами и клиентами, что наблюдают каких-либо отклонений в отношении принципов этой политики, просьба сообщить об этом через Канал, Этического Stregu inc.
Нарушение принципов данного правила может привести к применению мер ответственности персонала, согласно его тяжести нарушения, может эти содержат ответственности административной, гражданской или уголовной, дисциплинарное взыскание и санкций, предусмотренных Консолидация Законов о труде (CLT).
4.11. Соблюдение ПолитикиВ дополнение к оценке эффективности этой Политики, проведенного командой Безопасности Информации, механизмы безопасности должны быть оценены периодически за внутренний аудит в Stregu inc и за проверок, проведенных лицами, которые regulamentem деятельности, осуществляемой за Stregu inc.
4.12. Связаться с Специальные ГруппыС целью расширить знания о лучших практиках и поддерживать обновляемые сведения о Безопасности Информации, установили контакт с группами, которые специализируются на этой теме.
Контакты поставщиков и Безопасности Информации могут быть просмотрены с помощью ссылки ниже:
CERT BR:
Центра Изучения, Реагирования и Обработки Инцидентов Безопасности в Бразилии.
http://www.cert.br/CVE Mitre
Учета, классификации и раскрытия уязвимостей методы
https://cve.mitre.org/4.13. Действия ПолитикиЭта Политика должна быть пересмотрена ежегодно или всякий раз, когда требуется их пригодности. Это компетенции Комитета Информации и Безопасности Совета Директоров компании одобрить любые изменения настоящей Политики, когда это необходимо.
Данная Политика конфиденциальности вступает в силу с даты его утверждения Советом Директоров, и аннулирует любые документы, в противном случае.