Набор положений политики PKI Общие положения Набор положений - совокупность положений практики и/или политики PKI, охватывающих круг стандартных тем для формулирования политики применения сертификатов или регламента. Рис. 14.1 иллюстрирует ориентировочный перечень

Сергей Александрович Петренко, Владимир Анатольевич Курбатов Политики информационной

1.4. Как разработать политики безопасности? Прежде чем мы начнем искать ответ на поставленный вопрос, поговорим немного о проблеме доверия.1.4.1. Кому и что доверятьОт правильного выбора уровня доверия к сотрудникам зависит успех или неудача реализации политики

Приложение 1 ОЦЕНКА СОСТОЯНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В США В начале 2005 года Институт компьютерной безопасности (Computer Security Institute, CSI) и Группа по компьютерным вторжениям отделения Федерального бюро расследований в Сан-Франциско (San Francisco Federal Bureau of Investigations Computer Intrusion

Приложение 2 МЕЖДУНАРОДНЫЙ ОПРОС 2003 ГОДА ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ОБЗОР РЕЗУЛЬТАТОВ ПО СТРАНАМ СНГ В начале 2004 года компания «Эрнст энд Янг» опубликовала результаты своего исследования состояния информационной безопасности в СНГ (www.eu.com/russia). В этом исследовании

Приложение 3 РУКОВОДСТВО ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ (Site Security Handbook, RFC 1244) Приводится в сокращенном варианте, с разрешения доктора физико-математических наук, профессора В.А Галатенко (автора перевода оригинального документа). Данное руководство является

Приложение 6 ПРИМЕРЫ МЕТОДИЧЕСКИХ МАТЕРИАЛОВ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Инструкция для администратора безопасности сетиАдминистратор безопасности сети компании X назначается из числа наиболее подготовленных системных администраторов, владеющих сетевыми

Локальные политики Раздел Локальные политики содержит три политики: Политика аудита, Назначение прав пользователя и Параметры безопасности.? Политика аудита - позволяет определить события, факты происхождения которых будут записываться в журнал Безопасность

5.2. Место информационной безопасности экономических систем в национальной безопасности страны В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым,

Отложенную доставку сообщений электронной почты по расписанию; - Ведение полнофункционального архива электронной почты. Рис. 18.14 - Решение проблем защиты почтовой системы Выполнение этих требований обеспечивается применением в средствах защиты определенных механизмов. К таким механизмам могут относиться: 1. Рекурсивная декомпозиция (специальный алгоритм, применяемый для разбора сообщений электронной почты на составляющие компоненты с последующим анализом их содержимого); 2. Эвристическое определение кодировок текстов; 3. Определение типа файлов по сигнатуре; 4. Полнотекстовый поиск по архиву электронной почты и т.п. 18.4.3 Политика использования электронной почты Средство защиты - система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает. Это всего лишь «машина», которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой «машине» поставить. Это означает, что должен быть выработан специальный набор правил, который в дальнейшем будет переведен на язык машины. Данный набор правил называется «политикой использования электронной почты». Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные 271 неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия. Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил. Таким образом, политика использования электронной почты - это закрепленные в письменном виде и доведенные до сотрудников инструкции и другие документы, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты. Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации. Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее. Политика должна соответствовать следующим критериям: - Быть лаконично изложенной и понятной всем сотрудникам компании, простота написания не должна привести к потере юридического статуса документа; - Исходить из необходимости защиты информации в процессе экономической деятельности компании; - Быть согласованной с другими организационными политиками компании (регламентирующими финансовую, экономическую, юридическую и другие сферы деятельности компании); - Иметь законную силу, т.е. политика, как документ, должна быть одобрена и подписана всеми должностными лицами руководящего звена компании, а ее выполнение должно быть детально продумано; - Не противоречить федеральным и местным законам; - Определять меры воздействия на сотрудников, нарушивших положения данной политики; - Соблюдать баланс между степенью защищенности информации и продуктивностью деятельности компании; - Детально определять мероприятия по обеспечению политики использования электронной почты в компании. Политика использования электронной почты, как правило, рассматривается с двух сторон - как официально оформленный юридический документ и как материал, который описывает технику реализации политики. Как документ политика должна включать: - Положение, что электронная почта является собственностью компании и может быть использована только в рабочих целях. 272 - Указание на то, что применение корпоративной системы электронной почты не должно противоречить законодательству РФ и положениям политики безопасности. - Инструкции и рекомендации по использованию и хранению электронной почты. - Предупреждение о потенциальной ответственности сотрудников компании за злоупотребления при использовании электронной почты в личных целях и возможном использовании электронной почты в судебных и служебных разбирательствах. - Письменное подтверждение того, что сотрудники компании ознакомлены с политикой использования электронной почты и согласны с ее положениями. С технической точки зрения политика устанавливает правила использования электронной почты, то есть определяет следующее: Что Прохождение каких сообщений входящей, исходящей контролируется или внутренней электронной почты должно быть разрешено или запрещено. На кого Категории лиц, которым разрешено или запрещено распространяется отправлять исходящие или получать входящие сообщения электронной почты. Как реагирует Что необходимо делать с теми или иными сообщениями система электронной почты, которые удовлетворяют или не удовлетворяют критериям, определенным правилами использования электронной почты. 18.4.4 Системы контроля содержимого электронной почты Внедрение политики использования электронной почты требует от руководства компании понимания, что наличие только документально оформленной политики не гарантирует ее выполнения. Необходимо создание в компании соответствующих условий реализации данной политики. При этом важнейшим условием является наличие в корпоративной сети программно-технических средств контроля выполнения положений и требований политики. К таким средствам относятся системы контроля содержимого электронной почты. Системы контроля содержимого электронной почты - это программное обеспечение, способное анализировать содержание письма по различным компонентам и структуре в целях реализации политики использования электронной почты. К особенностям данных продуктов относятся: 1. Применение при анализе содержания специально разработанной политики использования электронных писем. 273 2. Способность осуществлять «рекурсивную декомпозицию» электронных писем. 3. Возможность распознавания реальных форматов файлов вне зависимости от различных способов их маскировки (искажение расширения файлов, архивирование файлов и т.п.). 4. Анализ множества параметров сообщения электронной почты. 5. Ведение архива электронной почты 6. Анализ содержимого сообщения электронной почты и прикрепленных файлов на наличие запрещенных к использованию слов и выражений. Системы контроля электронной почты помимо основной своей задачи мониторинга почтового трафика способны выполнять и другие функции. Практика показала, что в настоящее время такие системы используются в качестве: 1. Средств управления почтовым потоком. 2. Средств управления доступом. 3. Средств администрирования и хранения электронной почты. 4. Средств аудита контента (важнейшую функцию которого осуществляет архив электронной почты). 5. Основы системы документооборота. 18.4.5 Требования к системам контроля содержимого электронной почты Спектр возможностей всех категорий систем контроля содержимого электронной почты достаточно широк и существенно меняется в зависимости от производителя. Однако ко всем системам предъявляются наиболее общие требования, которые позволяют решать задачи, связанные с контролем почтового трафика. Основныме требования предьявляемые к таким системам - полнота и адекватность 1. Полнота - это способность систем контроля обеспечить наиболее глубокую проверку сообщений электронной почты. Это предполагает, что фильтрация должна производиться по всем компонентам письма. При этом ни один из объектов, входящих в структуру электронного сообщения, не должен быть «оставлен без внимания». Условия проверки писем должны учитывать все проблемы, риски и угрозы, которые могут существовать в организации, использующей систему электронной почты. 2. Адекватность - это способность систем контроля содержимого как можно более полно воплощать словесно сформулированную политику использования электронной почты, иметь все необходимые средства реализации написанных людьми правил в понятные системе условия фильтрации. 274 К другим наиболее общим требованиям относятся: 3. Текстовый анализ электронной почты - анализ ключевых слов и выражений с помощью встроенных словарей. Данная возможность позволяет обнаружить и своевременно предотвратить утечку конфиденциальной информации, установить наличие запрещенного содержания, остановить рассылку спама, а также передачу других материалов, запрещенных политикой безопасности. При этом качественный анализ текста должен предполагать морфологический анализ слов, то есть система должна иметь возможность генерировать и определять всевозможные грамматические конструкции слова. Эта функция приобретает большое значение в связи с особенностями русского языка, в котором слова имеют сложные грамматические конструкции. 4. Контроль отправителей и получателей сообщений электронной почты. Данная возможность позволяет фильтровать почтовый трафик, тем самым реализуя некоторые функции межсетевого экрана в почтовой системе. 5. Разбор электронных писем на составляющие их компоненты (MIME-заголовки, тело письма, прикрепленные файлы и т.п.), устранение «опасных» вложений и последующий сбор компонентов письма воедино, причем с возможностью добавлять к сообщению электронной почты необходимые для администраторов безопасности элементы (например, предупреждения о наличии вирусов или «запрещенного» текста в содержании письма). 6. Блокировка или задержка сообщений большого размера до того момента, когда канал связи будет менее всего загружен (например, в нерабочее время). Циркуляция в почтовой сети компании таких сообщений может привести к перегрузке сети, а блокировка или отложенная доставка позволит этого избежать. 7. Распознавание графических, видео и звуковых файлов. Как правило, такие файлы имеют большой размер, и их циркуляция может привести к потере производительности сетевых ресурсов. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании. 8. Обработка сжатых/архивных файлов. Это дает возможность проверять сжатые файлы на содержание в них запрещенных материалов. 9. Распознавание исполняемых файлов. Как правило, такие файлы имеют большой размер и редко имеют отношение к коммерческой деятельности компании. Кроме того, исполняемые файлы являются основным источником заражения вирусами, передаваемыми с электронной почтой. Поэтому способность распознавать и задерживать данные типы файлов позволяет предотвратить снижение эффективности работы компании и избежать заражения системы. 10. Контроль и блокирование спама. Циркуляция спама приводит к перегрузке сети и потере рабочего времени сотрудников. Функция контроля и блокирования спама позволяет сберечь сетевые ресурсы и предотвратить 275 снижение эффективности работы компании. Основными способами защиты от спама являются: проверка имен доменов и IP-адресов источников рассылки спама по спискам, запрос на указанный адрес отправителя (блокировка в случае отсутствия ответа), текстовый анализ спам-сообщения на наличие характерных слов и выражений в заголовках электронной почты (from/subject), проверка заголовков на соответствие спецификации RFC-822 и т.п. 11. Способность определять число вложений в сообщениях электронной почты. Пересылка электронного письма с большим количеством вложений может привести к перегрузке сети, поэтому контроль за соблюдением определенных политикой информационной безопасности ограничений на количество вложений обеспечивает сохранение ресурсов корпоративной сети. 12. Контроль и блокирование программ-закладок (cookies), вредоносного мобильного кода (Java, ActiveX, JavaScript, VBScript и т.д.), а также файлов, осуществляющих автоматическую рассылку (так называемые «Automatic Mail-to»). Эти виды вложений являются крайне опасными и приводят к утечке информации из корпоративной сети. 13. Категоризация ресурсов почтовой системы компании («административный», «отдел кадров», «финансы» и т.д.) и разграничение доступа сотрудников компании к различным категориям ресурсов сети (в т.ч. и в зависимости от времени суток). 14. Реализация различных вариантов реагирования, в том числе: удаление или временная блокировка сообщения; задержка сообщения и помещение его в карантин для последующего анализа; «лечение» зараженного вирусом файла; уведомление администратора безопасности или любого другого адресата о нарушении политики безопасности и т.п. 15. Возможность модификации данных, которая предусматривает, например, удаление неприемлемых вложений и замену их на тексты заданного содержания. Такая возможность позволит администратору удалять из писем прикрепленные файлы, тип которых запрещен политикой безопасности компании. К таким типам могут относиться исполняемые, видео и звуковые файлы, не имеющие отношения к деятельности компании. А это, в конечном итоге, позволит избежать заражения сети вирусами и добиться от сотрудников продуктивного использования почтового сервиса. 16. Ведение полнофункционального архива электронной почты, способного обеспечить хранение в режиме on-line большого количества электронной почты с высоким уровнем доступности данных. На основании хранящейся в архиве информации, возможно проводить дальнейший анализ почтового потока компании, корректировать работу системы, осуществлять анализ инцидентов, связанный с злоупотреблением сотрудниками компании почтовым сервисом и т.п. 276 На Рис. 18.15 представлена последовательность работы типичной системы контроля содержимого электронной почты. Схема обработки сообщения, как правило, включает в себя следующие этапы: рекурсивная декомпозиция электронного письма; анализ содержимого электронного письма; «категоризация» электронного письма (отнесение к определенной категории); действие над письмом по результатам присвоения категории. Рис. 18.15 - Схема обработки сообщения системой контроля содержимого электронной почты 18.4.6 Принципы функционирования систем контроля содержимого электронной почты Каждое попадающее в систему электронное письмо должно проверяться на соответствие заданным условиям. При этом, по меньшей мере, должны выполняться следующие условия отбора писем: - условия на почтовые заголовки; 277 - условия на структуру письма (наличие, количество и структура вложений); - условия на типы вложений (MS Office, исполняемые, архивы и т.п.); - условия на содержимое (текст) писем и вложений; - условия на результат обработки письма. Кроме того, система должна позволять анализировать почтовые сообщения по всем их составляющим: атрибутам конверта, заголовкам сообщения, MIME-заголовкам, телу сообщения, присоединенным файлам. 18.4.6.1 Категоризация писем и фильтрация спама Рассмотрим вопрос категоризации писем. Важно отметить, что гибкость при фильтрации почтовых сообщений особенно необходима, когда это касается такой проблемы, как спам. Одним из главных критериев выбора системы контроля содержимого электронной почты в настоящее время является как раз ее способность как можно более качественно справляться с данной проблемой. Существует четыре основные методики определения, какое письмо относится к спаму, а какое нет. 1. Выявление спама по наличию в письме определенных признаков, таких как наличие ключевых слов или словосочетаний, характерное написание темы письма (например, все заглавные буквы и большое количество восклицательных знаков), а также специфическая адресная информация. 2. Определение адреса отправителя и его принадлежности к, так называемым, «черным спискам» почтовых серверов Open Relay Black List (ORBL). В эти списки заносятся те серверы, которые замечены в массовых рассылках спама и идея состоит в том, чтобы вообще не принимать и не транслировать почту, исходящую с этих серверов. 3. Совместное использование методик по фильтрации по определенным признакам и проыеркой «черных списко». По продуктивности мало чем отличается от двух первых. Результаты тестирования хорошо настроенного фильтра с применением обеих методик показывают, что из 100% спам-сообщений обнаруживается только 79,7%. При этом был выявлен значительный процент ложных срабатываний, а это значит, что к спаму были отнесены обычные письма (1,2% от задержанных писем), а это грозит для компании потерей важной информации. Некачественное разделение спама и обычных писем обусловлено, в том числе и некоторой «однобокостью» стандартных фильтров. При отбраковке писем учитываются «плохие» признаки и не учитываются «хорошие», характерные для полезной переписки. 4. автоматическая настройка фильтров согласно особенностям индивидуальной переписки, а при обработке учет признаков как «плохих», 278 так и «хороших» фильтров. Эта четвертая методика, предложенная американским программистом и предпринимателем Полом Грэмом. Методика основывается на теории вероятностей и использует для фильтрации спама статистический алгоритм Байеса. По имеющимся оценкам, этот метод борьбы со спамом является весьма эффективным. Так, в процессе испытания через фильтр были пропущены 8000 писем, половина из которых являлась спамом. В результате система не смогла распознать лишь 0,5% спам-сообщений, а количество ошибочных срабатываний фильтра оказалось нулевым. Требование полного разбора письма при решении задачи категоризации следует дополнить требованием устойчивости. - Во-первых, система должна быть устойчивой по отношению к обработке писем с некорректной стрктурой. Структура письма подчиняется определенным правилам. Разбор письма на составляющие основан на применении этих правил к конкретному письму. Возможны случаи, когда почтовая программа автора письма формирует письмо с нарушением этих правил. В этом случае письмо не может быть корректно разобрано.. - Во-вторых, система должна надежно определять типы файлов- вложений. Под «надежностью» имеется в виду определение, не основанное на имени файла, а также на информации, вписываемой в письмо почтовым клиентом при прикреплении файла (mime-type). Такая информация может быть недостоверна либо в результате сознательных попыток обмануть систему контроля, либо в результате неправильных настроек почтовой программы отправителя. Бессмысленно запрещать пересылку файлов типа JPEG, если файл picture.jpg после переименования в page.txt пройдет незамеченным. - В-третьих, система болжна обеспечивать полноту проводимых проверок, то есть высокое количество и разнообразие критериев анализа электронной почты. При этом система должна осуществлять фильтрацию по любым атрибутам сообщений, по объему сообщений и вложенных файлов, по количеству и типу вложений, по глубине вложенности, а также уметь анализировать содержимое прикрепленных файлов вне зависимости от того, являются ли эти файлы сжатыми или архивными. Существенным преимуществом многих продуктов является возможность создания собственного сценария обработки сообщений электронной почты. При анализе текста нужно иметь возможность работать с нормализованными словоформами и т.д. 279 18.4.6.2 Реализациия политики использования Рассмтрим не отдельные правила, а все множество правил, составляющих политику. Любая реалистичная политика состоит из целого множества правил, которые, естественно, объединяются в группы. Очевидно, что правила для исходящей почты отличаются от правил для входящей, правила для руководства компании - от правил для рядовых сотрудников и т.д. Более того, поскольку правила применяются к письму в определенной последовательности, хотелось бы, чтобы эта последовательность была логичной и могла зависеть от результатов анализа письма. Все это вместе приводит к требованию «прозрачности»: правила, заданные в системе, должны «читаться» как правила, написанные на естественном языке, понятном человеку. Все сказанное выше относилось к анализу письма. Однако сам по себе анализ ничего не дает. По его результатам письмо должно быть отнесено к какой-нибудь категории (безопасное, важное, неразрешенное и т.п.). Если такая категоризация проведена, то можно говорить о каких-либо действиях по отношению к проанализированному письму, например, доставить его адресату, заблокировать, и т.д. Другими словами, необходима возможность задавать системе правила, по которым она обрабатывает письма. Рис. 18.16 - Фильтрация по всем компонентам письма 280

Описание политики

Данная политика определяет допустимое использование электронной почты (email) в компании.

Область применения

Настоящая политика является частью корпоративного менеджмента компании и распространяется на все корпоративные почтовые системы.

Политика использования электронной почты

Введение

Электронная почта одно из самых важных средств коммуникации в деловом мире. Сообщения быстро и удобно передаются по внутренним сетям и всему миру через интернет. Тем не менее, существуют риски при ведении бизнеса с помощью электронной почты, так как по сути электронная почта небезопасна, особенно за пределами корпоративной сети. Сообщения могут быть перехвачены, записаны, прочитаны, изменены и перенаправлены кому угодно, а иногда просто пропасть. Случайные комментарии могут быть поняты неправильно и привести к нарушению контрактов или судебным разбирательствам.

Основные принципы

А. Пользователи электронной почты должны избегать деятельность, нарушающую информационную безопасность.

Б. Корпоративная электронная почта должна использоваться в рамках должностных обязанностей. Все сообщения электронной почты в информационных системах и сетях считаются собственностью компании.

Требования политики

1. Не используйте электронную почту:

Для отправки конфиденциальной/секретной информации если она не зашифрована криптографическим ПО, разрешенным к использованию в компании;

Для создания, отправки, пересылки или хранения сообщений или вложений, которые могут считаться незаконными или оскорбительными простыми людьми, например, материалы сексуального характера, расистские, дискредитирующие, оскорбительные, непристойные, уничижительные, дискриминационные, угрожающие, беспокоящие или иные подобные сообщения;

Для установления отношений с третьими сторонами, например, для заключения контрактов на покупку или продажу, отправки предложений о работе или прайс-листов, если это не входит в ваши служебные обязанности. Не изменяйте и не удаляйте уведомления, автоматически вставляемые в конце писем;

В личных и благотворительных целях, не связанных с бизнесом организации;

Образом, который может быть интерпретирован как официальная позиция или высказывание организации;

Для отправки сообщения с чужого почтового ящика или от чужого имени (включая использование поддельного поля «ОТ»). Если это позволено руководством, секретарь может отослать письмо от имени сотрудника, подписав письмо собственным именем, указав по чьему поручению оно было отправлено.

Для рассылки любых подрывных, оскорбительных, неэтичных, незаконных или иначе недопустимых материалов, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возрасте, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений или о национальном происхождении, гиперссылок или других ссылок на неприличные или очевидно оскорбительные веб-сайты и подобные материалы, шутки, массовые рассылки, предупреждений о вирусах и розыгрышей, обращений о помощи, вирусов или другого злонамеренного программного обеспечения;

В любых других незаконных, неэтичных и неразрешенных целях.

2. Проявляйте профессиональное благоразумие при использовании электронной почты. Придерживайтесь общепринятых правил этикета при работе с электронной почтой (см. Правила безопасности электронной почты). Тщательно проверяйте сообщения перед отправкой, особенно при общении с внешними контрагентами.

3. Не раскрывайте без необходимости возможно непубличную информацию в сообщениях, уходящих за пределы компании.

4. Сообщения электронной почты автоматически сканируются в информационных системах на наличие вредоносных программ, спама и нешифрованной служебной или личной информации. К сожалению, процесс сканирования недостаточно эффективен (например, сжатые и шифрованые сообщения не могут быть полностью просканированы), поэтому нежелательная/сомнительная почта иногда попадает к пользователям. Удаляйте такие сообщения или сообщайте о них в службу поддержки.

5. Сотрудники не должны перехватывать, игнорировать, изменять, удалять, сохранять или публиковать сообщения кроме случаев, санкционированных руководством или в целях администрирования ИТ систем.

6. Ограниченное использование корпоративной электронной почты разрешается под ответственность руководства, учитывая, что это носит случайный и непостоянный характер и не мешает выполнению должностных обязанностей. Все сообщения, отправляемые в корпоративных системах и сетях подвергаются автоматическому сканированию и могут быть помещены в карантин и/или просмотрены уполномоченными сотрудниками.

7. Не используйте веб-сервисы Gmail, Hotmail, Yahoo или похожие почтовые системы третьих сторон (обычно называемые «вебмайл») в служебных целях. Не пересылайте и не перенаправляйте корпоративную электронную почту на внешние почтовые системы/системы третьих сторон. Вы можете пользоваться вашим личным почтовым ящиком с использованием корпоративных систем под ответственность руководства с учетом, что этот вид использования почты крайне ограничен и не считается личным использованием (см. выше).

8. Рационально подходите к числу и размеру сообщений которые вы отправляете и храните. Периодически очищайте ваш почтовый ящик, удаляя старые сообщения, которые больше не нужны и перемещая необходимые сообщения в соответствующие почтовые папки. Отправляйте важные письма в архив в соответствие с политикой архивирования почты.

Ответственность

Управление информационной безопасности отвечает за соблюдение требований настоящей политики. Будучи в тесной связи с другими бизнес-функциями управление ответственно за образовательную деятельность, имеющую целью повысить уровень осведомленности и понимания ответственности, обозначенной в данной политике.

Департамент ИТ отвечает за организацию, конфигурирование, использование и обслуживание оборудования для работы с электронной почтой (включая антиспам, антивирус и другие фильтры) в соответствие с данной политикой.

Служба ИТ поддержки отвечает за помощь сотрудникам в использовании электронной почты и служит центральным пунктом сбора сообщений об инцидентах с использованием электронной почты.

Все сотрудники, имеющие отношение к настоящей политике, несут ответственность за соблюдение данной и остальных корпоративных политик. Настоящая политика также относится к сотрудникам третьих организаций, работающих в тех же условиях независимо от того связаны ли они с политикой информационной безопасности компании явно (например, особыми пунктами контрактов) или не явно (например, общепринятыми нормами поведения).

Компания имеет право оценки выполнения требований настоящей политики в любое время.

Соответствие политик, стандартов и правил

Контакты

За дальнейшей информацией по настоящей политике и соблюдению требований информационной безопасности в целом, обращайтесь к менеджеру по информационной безопасности. Различные стандарты, процедуры, правила и другие материалы в отношение настоящей и других политик информационной безопасности находятся в справочнике по информационной безопасности организации, на корпоративном интранет-сайте и у менеджера по информационной безопасности. Сотрудники департамента ИТ и информационной безопасности также могут оказать поддержку при применении этой политики, обращайтесь к своему начальнику или в службу техподдержки.

Средство защиты - система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает. Это всего лишь «машина», которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой «машине» поставить. Это означает, что должен быть выработан специальный свод правил , который в дальнейшем будет переведен на язык машины. Такой свод правил называется «политикой использования электронной почты».

Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия. Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу - сайт. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил.

Таким образом, политика использования электронной почты - это закрепленные в письменном виде и доведенные до сотрудников инструкции и другие документы, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты . Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации.

Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее. Политика должна соответствовать следующим критериям:

- быть лаконично изложенной и понятной всем сотрудникам компании, простота написания не должна привести к потере юридического статуса документа;
- исходить из необходимости защиты информации в процессе экономической деятельности компании;
- быть согласованной с другими организационными политиками компании (регламентирующими финансовую, экономическую, юридическую и другие сферы деятельности компании - сайт);
- иметь законную силу, т.е. политика, как документ, должна быть одобрена и подписана всеми должностными лицами руководящего звена компании, а ее выполнение должно быть детально продумано;
- не противоречить федеральным и местным законам;
- определять меры воздействия на сотрудников, нарушивших положения данной политики;
- соблюдать баланс между степенью защищенности информации и продуктивностью деятельности компании;
- детально определять мероприятия по обеспечению политики использования электронной почты в компании.

Политика использования электронной почты, как правило, рассматривается с двух сторон - как официально оформленный юридический документ и как материал, который описывает технику реализации политики. Как документ она должна включать:

1. Положение, что электронная почта является собственностью компании и может быть использована только в рабочих целях.
2.Указание на то, что применение корпоративной системы электронной почты не должно противоречить законодательству РФ и положениям политики безопасности.
3. Инструкции и рекомендации по использованию и хранению электронной почты.
4. Предупреждение о потенциальной ответственности сотрудников компании за злоупотребления при использовании электронной почты в личных целях и возможном использовании электронной почты в судебных и служебных разбирательствах.
5.Письменное подтверждение того, что сотрудники компании ознакомлены с политикой использования электронной почты и согласны с ее положениями.

Положение об использовании электронной почты (базовый комплект)

1. Общие положения

1.1. Настоящее Положение устанавливает порядок использования электронной почты в ИС "ВАША ОРГАНИЗАЦИЯ" (далее Организация).

1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.

2.Основные термины, сокращения и определения

1. Администратор ИС - технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО.
2. АРМ - автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.
3. ИБ - информационная безопасность - комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
4. ИС - информационная система Организации - система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
5. ИТ - информационные технологии - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации Организации с использованием средств компьютерной и другой техники.
6. Паспорт ПК - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
7. ПК - персональный компьютер.
8. ПО - программное обеспечение вычислительной техники.
9. ПО вредоносное - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности информации.
10. ПО коммерческое - ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
11. Пользователь - работник Организации, использующий электронную почту для выполнения своих должностных обязанностей.
12. Почтовый клиент - ПО, входящее в состав АРМ пользователя ИС, предназначенное для получения, написания, отправки и хранения сообщений электронной почты.
13. Почтовый сервер - сервер электронной почты - ПО, осуществляющее обработку и передачу почтовых сообщений между АРМ ИС Организации, а также общедоступных сетей - Интернет.
14. Организация - "ВАША ОРГАНИЗАЦИЯ" .
15. Отправитель - работник Организации, осуществляющий пересылку электронных сообщений получателю посредством электронной почты.
16. Получатель - работник Организации, которому адресовано электронное сообщение, пересылаемое отправителем посредством электронной почты.
17. Реестр - документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.
18. Третья сторона - лицо или организация, считающаяся независимой по отношению к "ВАША ОРГАНИЗАЦИЯ" .
19. Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
20. Электронная почта - сервис обмена электронными сообщениями в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей Интернет (внешняя электронная почта).
21. Электронный почтовый ящик - персональное пространство на почтовом сервере, в котором хранятся электронные сообщения.
22. Электронное почтовое сообщение - сообщение, формируемое отправителем с помощью почтового клиента и предназначенное для передачи получателю посредством электронной почты.

3. Порядок использования электронной почты

3.1. Электронная почта используется для обмена в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей (внешняя электронная почта) служебной информацией в виде электронных сообщений и документов в электронном виде.

3.2. Для обеспечения функционирования электронной почты допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.3. Обеспечение функционирования сервиса электронной почты осуществляется специалистами отдела ИТ.

3.4. Доступ работников Организации к внутренней электронной почте предоставляется при подключении АРМ к ИС Организации. Доступ работников Организации к внешней электронной почте предоставляется при подключении АРМ к сети Интернет.

3.5. При использовании электронной почты необходимо:

• 3.5.1. Соблюдать требования настоящего Положения.
• 3.5.2. Использовать электронную почту исключительно для выполнения своих служебных обязанностей.
• 3.5.3. Перед отправкой сообщения проверять правильность введенного электронного адреса получателя.
• 3.5.4. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.

3.6. При использовании электронной почты запрещено:

• 3.6.1. Использовать электронную почту в личных целях.
• 3.6.3. Передавать электронные сообщения, содержащие:
  • 3.6.3.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя и способ передачи является безопасным, согласованным с администраторами ИС заранее.
  • 3.6.3.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
  • 3.6.3.3. Информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.
  • 3.6.3.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.
• 3.6.4. Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
• 3.6.5. По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
• 3.6.6. Использовать адрес электронной почты для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с исполнением служебных обязанностей.
• 3.6.7. Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
• 3.6.8. Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
• 3.6.9. Шифровать электронные сообщения без предварительного согласования с администраторами ИС.
• 3.6.10. Перенаправлять электронные сообщения с личных почтовых ящиков на корпоративный.

3.7. Организация оставляет за собой право доступа к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований настоящего Положения.

3.8. При подозрении работника Организации в нецелевом использовании электронной почты инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.

3.9. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.10. Все электронные сообщения и документы в электронном виде, передаваемые посредством электронной почты подлежат обязательной проверке на отсутствие вредоносного ПО.

4. Требования к оформлению электронного сообщения

4.1. При оформлении электронного сообщения необходимо заполнять следующие поля:

• адрес получателя;
• тема электронного сообщения;
• текст электронного сообщения (при необходимости, могут быть вложены различные файлы);
• подпись отправителя.

4.2. Формат подписи отправителя:

С уважением, <фамилия имя> <должность> <структурное подразделение Организации> <наименование Организации> <адрес> <номера телефонов, мессенжеры, адреса электронной почты> <сайт>

4.3. В почтовом клиенте существует возможность создания подписи и автоматической вставки ее в электронное сообщение. При необходимости можно создать несколько подписей для различных получателей.

4.4. При формировании ответов на полученные электронные сообщения можно использовать упрощенную подпись.

5. Ответственность

5.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.

6. Внесение изменений и дополнений

6.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.

6.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.