Cette politique définit les exigences en matière de signalement et de réponse aux incidents liés aux systèmes d'information et aux opérations de Studyo.
Cette politique s'applique à tous les employés et partenaires des entités Studyo, y compris, mais sans s'y limiter, les unités opérationnelles et les filiales.
La direction de Studyo doit préparer, mettre à jour périodiquement et tester régulièrement des plans d'intervention d'urgence qui prévoient le fonctionnement continu des systèmes informatiques et de communication critiques en cas d'interruption ou de dégradation du service.
Le plan d'intervention en cas d'incident de Studyo doit inclure des rôles, des responsabilités et des stratégies de communication en cas de compromis, y compris la notification des partenaires externes pertinents. Les domaines spécifiques couverts par le plan comprennent:
La direction de Studyo doit organiser et maintenir une équipe interne de réponse aux incidents de sécurité ou être en contact avec un tiers offrant des services de réponse en matière de sécurité qui peuvent fournir des services accélérés de notification des problèmes, de contrôle des dommages et de correction des problèmes en cas d'urgences informatiques telles que des infestations de virus et des intrusions de pirates informatiques.
L'équipe de réponse aux incidents de sécurité de Studyo doit toujours être disponible pour répondre aux alertes qui comprennent, mais sans s'y limiter, des preuves d'activité non autorisée, la détection de points d'accès sans fil non autorisés, des alertes de détection d'intrusion critique et des rapports de systèmes critiques non autorisés ou de modifications de fichiers de contenu.
Les personnes responsables du traitement des incidents de sécurité des systèmes d'information doivent être clairement définies par le CTO. Ces personnes doivent avoir le pouvoir de définir les procédures et les méthodologies qui seront utilisées pour traiter des incidents de sécurité spécifiques.
À moins qu'il ne soit expressément reconnu comme porte-parole autorisé de Studyo, aucun employé ne peut parler à la presse ou à toute autre partie extérieure de l'état actuel d'une catastrophe, d'une urgence ou d'un événement de sécurité qui a été récemment vécu.
Il est interdit aux employés de fournir tout document interne de Studyo, ou toute copie de celui-ci, à des tiers en dehors de Studyo ou à des représentants du gouvernement, que ce soit en réponse à une assignation à comparaître ou autrement, à moins d'avoir obtenu au préalable l'autorisation de la direction de Studyo. De même, il est interdit aux employés de témoigner sur des faits dont ils ont pris connaissance alors qu'ils exerçaient leurs fonctions officielles chez Studyo, à moins que l'autorisation de la direction de Studyo n'ait d'abord été obtenue.
Le service informatique doit documenter et réviser périodiquement les procédures de réponse aux intrusions. Ces procédures doivent inclure la séquence des actions que le personnel doit prendre en réponse à une intrusion présumée dans le système d'information, qui a le pouvoir d'effectuer quelles actions et quelles ressources sont disponibles pour aider aux actions. Tout le personnel qui est censé suivre ces procédures doit être périodiquement formé et connaître ces procédures.
Tous les problèmes de sécurité de l'information doivent être traités avec la participation et la coopération du personnel de sécurité de l'information, de la direction de Studyo ou d'autres personnes qui ont été autorisées par la direction de Studyo.
Chaque fois qu'un système a été compromis ou soupçonné d'être compromis par une partie non autorisée, les administrateurs système doivent immédiatement recharger une version de confiance du système et des bases de données et de tous les logiciels liés à la sécurité, et toutes les modifications récentes apportées aux privilèges des utilisateurs et du système doivent être examinées à la recherche de modifications non autorisées.
Chaque fois qu'un système est soupçonné d'être compromis, les accès réseaux doivent être retiré de tout système impliqué, et des procédures prédéterminées doivent être suivies pour s'assurer que le système est exempt de compromis avant de le reconnecter au réseau.
Chaque fois que l'accès non autorisé au système est suspecté ou connu, le personnel de Studyo doit prendre des mesures immédiates pour mettre fin à l'accès ou demander l'aide du directeur technique.
Jusqu'à ce que des accusations soient portées ou que des mesures disciplinaires soient prises, toutes les enquêtes sur un comportement criminel ou abusif présumé doivent rester strictement confidentielles afin de préserver la réputation de la partie présumée.
Tout employé de Studyo appelé par une assignation à comparaître ou de toute autre manière appelé à comparaître ou à témoigner devant un conseil judiciaire ou un organisme gouvernemental doit immédiatement informer le conseiller juridique en chef par écrit de l'appel.
L'utilisation de toutes les ressources informatiques partagées Studyo utilisées pour les activités de production doit être surveillée et enregistrée en permanence. Ces données d'historique d'utilisation doivent à leur tour être fournies en temps réel aux systèmes d'alerte de sécurité désignés par le service informatique (systèmes de détection d'intrusion, systèmes de détection de virus, systèmes de détection de spam, etc.).
Tous les incidents suspects de sécurité de l'information doivent être signalés le plus rapidement possible par les canaux internes approuvés de Studyo.
Le département de la sécurité doit établir, maintenir et tester périodiquement un système de communication permettant aux employés d'informer rapidement le personnel approprié des problèmes présumés de sécurité de l'information.
Les employés de Studyo doivent immédiatement signaler tous les problèmes, vulnérabilités et incidents suspectés de sécurité de l'information à leur gestionnaire immédiat.
Studyo protégera les employés qui signalent de bonne foi ce qu'ils croient être une violation des lois ou des règlements, ou des conditions qui pourraient mettre en danger la santé ou la sécurité des autres employés. Cela signifie que ces employés ne seront pas licenciés, menacés ou discriminés parce qu'ils signalent ce qu'ils perçoivent comme un acte répréhensible ou une situation dangereuse.
Les employés qui signalent au service informatique un problème de sécurité, une vulnérabilité ou une condition non éthique au sein de Studyo peuvent, à leur seule discrétion, voir leur identité tenue dans une stricte confidentialité. Cela signifie que le superviseur immédiat du lanceur d'alerte, les autres membres de l'équipe de direction, ainsi que les autres employés de Studyo qui ne sont pas directement impliqués dans la réception du rapport, ne recevront pas l'identité du lanceur d'alerte.
Les employés doivent signaler rapidement à leur gestionnaire tout dommage ou toute perte de matériel, de logiciel ou d'information Studyo qui a été confié à leurs soins.
Les utilisateurs doivent signaler rapidement toutes les alertes de sécurité de l'information, les avertissements, les vulnérabilités suspectées, et autres au service d'assistance des systèmes d'information. Il est interdit aux utilisateurs d'utiliser les systèmes Studyo pour transmettre ces informations à d'autres utilisateurs, que les autres utilisateurs soient internes ou externes à Studyo.
Les utilisateurs des systèmes d'information Studyo doivent immédiatement signaler au responsable du service informatique toute perte ou modification non autorisée des données de production informatisées. Toute utilisation douteuse de fichiers, de bases de données ou de réseaux de communication doit également être immédiatement signalée au même gestionnaire.
Outre les écrans de connexion Studyo habituels et attendus, les utilisateurs doivent se méfier de toutes les fenêtres pop-up, sites Web, messages instantanés et autres demandes d'ID utilisateur et de mot de passe Studyo. Les utilisateurs qui rencontrent ces demandes doivent s'abstenir de fournir leur identifiant d'utilisateur et leur mot de passe Studyo, ainsi que de signaler rapidement les circonstances au service d'assistance.
Les badges d'identité et les cartes d'accès physiques qui ont été perdus ou volés - ou qui sont soupçonnés d'être perdus ou volés - doivent être signalés immédiatement au service informatique. De même, tous les ordinateurs ou les jetons d'accès au système de communication (cartes à puce avec mots de passe dynamiques, cartes de crédit téléphoniques, etc.) qui ont été perdus ou volés - ou qui sont soupçonnés d'être perdus ou volés - doivent être signalés immédiatement.
Les divulgations non intentionnelles d'informations sensibles de Studyo sont des questions graves, et elles doivent toutes être immédiatement signalées à l'avocat en chef et au directeur du service informatique. Une telle déclaration doit avoir lieu chaque fois qu'une telle divulgation est connue pour avoir eu lieu, ou chaque fois qu'il existe une base raisonnable pour croire qu'une telle divulgation a eu lieu.
Tous les dysfonctionnements apparents des logiciels doivent être immédiatement signalés à la direction de la ligne ou au fournisseur de services du système d'information.
Si un point d'accès sans fil non autorisé est détecté sur le réseau Studyo, l'équipe de réponse aux incidents informatiques doit en être informée.
À moins que la loi ou la réglementation ne l'exige pour signaler les violations de la sécurité de l'information aux autorités externes, la haute direction, en collaboration avec les représentants du service juridique et du service informatique, doit peser les avantages et les inconvénients de la divulgation externe avant de signaler ces violations.
Si un problème de sécurité des systèmes d'information vérifiable, ou un problème de sécurité de l'information suspect mais probable, a entraîné l'exposition d'informations privées ou confidentielles de tiers à des personnes non autorisées, ces tiers doivent être immédiatement informés de la situation.
Si des informations sensibles sont perdues, divulguées à des parties non autorisées ou soupçonnées d'être perdues ou divulguées à des parties non autorisées, leur propriétaire et le service informatique doivent en être informés immédiatement.
Le personnel de Studyo ne doit pas divulguer publiquement des informations sur les individus, les organisations ou les systèmes spécifiques qui ont été endommagés par des crimes informatiques et des abus informatiques. De même, les méthodes spécifiques utilisées pour exploiter certaines vulnérabilités du système ne doivent pas être divulguées publiquement.
Si une vulnérabilité grave du système d'information est découverte par les employés de Studyo, et que la vulnérabilité peut être directement attribuée à une faiblesse du matériel et/ou des logiciels d'un certain fournisseur, ce fournisseur doit être informé rapidement et de manière confidentielle du problème.
Le personnel des systèmes d'information technique ne doit pas contacter la police ou d'autres membres de la communauté de la justice pénale au sujet de tout problème de système d'information à moins d'avoir reçu la permission de la direction de Studyo.
Même si la partie requérante prétend être membre de la communauté des forces de l'ordre, les employés de Studyo ne doivent révéler aucune information interne de Studyo par le biais d'un mécanisme de communication à moins qu'ils n'aient établi l'authenticité de l'identité de l'individu et la légitimité de l'enquête.
Toute décision concernant l'implication des forces de l'ordre dans des incidents ou des problèmes de sécurité de l'information doit être prise par un partenaire principal de Studyo. De même, chaque contact informant les forces de l'ordre d'un incident ou d'un problème de sécurité de l'information doit être initié par le responsable du service informatique.
Les employés doivent immédiatement signaler à l'avocat en chef toute demande de participation à une enquête sur la sécurité de l'information. Toute forme de coopération avec la partie requérante est interdite jusqu'à ce que le conseiller juridique en chef ait déterminé que la participation est légale, qu'il est peu probable qu'elle cause des problèmes à Studyo et qu'elle soit demandée par une partie autorisée.
La direction de Studyo doit préparer, tester et mettre à jour chaque année un plan de réponse à la violation de données qui traite des politiques et des procédures de réponse en cas de violation des données sensibles des clients.
Le plan d'intervention en cas d'incident doit être mis à jour pour refléter les leçons tirées des incidents réels.
Le plan d'intervention en cas d'incident doit être mis à jour pour refléter l'évolution de l'industrie.
Une analyse annuelle des problèmes et des violations de la sécurité de l'information signalés doit être préparée par le service informatique.
Pour fournir des preuves à des fins d'enquête, de poursuite et de mesures disciplinaires, certaines informations doivent être immédiatement saisies chaque fois qu'un crime ou un abus informatique est suspecté. Les informations à collecter immédiatement comprennent la configuration actuelle du système ainsi que des copies de sauvegarde de tous les fichiers potentiellement impliqués.
Les informations pertinentes pour l'enquête informatique doivent ensuite être stockées en toute sécurité hors ligne jusqu'à ce que la garde officielle soit confiée à une autre personne autorisée ou que le conseiller juridique en chef détermine que Studyo n'aura plus besoin de ces informations.
Pour chaque système informatique de production, le service informatique doit identifier les sources de preuves numériques qui pourraient raisonnablement être utilisées dans une affaire judiciaire. Ces sources de preuves doivent ensuite être soumises à un processus normalisé de capture, de conservation et de destruction comparable à celui utilisé pour les documents vitaux.
Studyo nommera une seule personne responsable de la coordination de la découverte et de la présentation des preuves électroniques qui peuvent être nécessaires pour soutenir les litiges.
Les données d'étude qui peuvent être considérées comme des preuves électroniques doivent être classées comme CONFIDENTIELLES et consultées uniquement par les représentants autorisés de l'équipe de réponse aux incidents de sécurité ou par les tiers approuvés impliqués dans l'enquête.
Chaque fois que des preuves montrent clairement que Studyo a été victime d'un crime informatique ou de communication, une enquête approfondie doit être menée. Cette enquête doit fournir suffisamment d'informations pour que la direction puisse prendre des mesures pour s'assurer que (1) de tels incidents ne seront pas susceptibles de se reproduire et (2) que des mesures de sécurité efficaces ont été rétablies.
Toute analyse ou enquête utilisant un support de stockage de données qui contient des informations qui pourraient à un moment donné devenir une preuve importante d'un crime informatique ou d'un procès pour abus informatiques doit être effectuée avec une copie plutôt que la version originale. Cela aidera à éviter toute modification inattendue des informations originales.
L'état des enquêtes sur la sécurité de l'information ne doit être communiqué à la direction que par l'enquêteur principal ou le représentant de la direction de l'équipe d'enquête.
Toutes les preuves, idées et hypothèses sur les crimes informatiques vécus par Studyo, y compris les méthodes d'attaque possibles et les intentions des auteurs, doivent être communiquées à l'avocat en chef et traitées comme des informations restreintes et juridiquement privilégiées.
Toutes les enquêtes internes de Studyo sur les incidents, les violations et les problèmes de sécurité de l'information doivent être menées par un personnel qualifié autorisé par le directeur du service informatique.
Toute personne qui connaît personnellement les suspects, ou qui est amicale avec eux, pour des raisons de conflit d'intérêts est interdite de participer à une équipe d'enquête sur les incidents de sécurité de l'information.
Les détails sur les enquêtes sur les intrusions dans le système d'information qui peuvent encore être en cours ne doivent pas être envoyés par courrier électronique. De même, pour éviter que de telles informations ne tombent entre les mains d'intrus, les fichiers qui décrivent une enquête en cours ne doivent pas être stockés sur des systèmes potentiellement compromis ou n'importe où sur un réseau connexe où l'on pourrait raisonnablement s'attendre à ce qu'ils soient vus par des intrus.
Toute violation de cette politique peut entraîner des mesures disciplinaires, jusqu'à la cessation d'emploi. Studyo se réserve le droit d'informer les autorités répressives de toute activité illégale et de coopérer à toute enquête sur une telle activité. Studyo ne considère pas que la conduite en violation de la présente politique relève du cours et de la portée de l'emploi d'un employé ou d'un partenaire, ni comme la conséquence directe de l'exercice des fonctions de l'employé ou du partenaire. Par conséquent, dans la mesure permise par la loi, Studyo se réserve le droit de ne pas défendre ou de payer les dommages-intérêts accordés à des employés ou à des partenaires qui résultent d'une violation de la présente politique.