Политика информационной безопасности почты. Политика использования электронной почты
Средство защиты - система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает. Это всего лишь «машина», которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой «машине» поставить. Это означает, что должен быть выработан специальный свод правил , который в дальнейшем будет переведен на язык машины. Такой свод правил называется «политикой использования электронной почты».
Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия. Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу - сайт. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил.
Таким образом, политика использования электронной почты - это закрепленные в письменном виде и доведенные до сотрудников инструкции и другие документы, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты . Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации.
Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее. Политика должна соответствовать следующим критериям:
- быть лаконично изложенной и понятной всем сотрудникам компании, простота
написания не должна привести к потере юридического статуса документа;
- исходить из необходимости защиты информации в процессе экономической
деятельности компании;
- быть согласованной с другими организационными политиками компании
(регламентирующими финансовую, экономическую, юридическую и другие сферы
деятельности компании - сайт);
- иметь законную силу, т.е. политика, как документ, должна быть одобрена и
подписана всеми должностными лицами руководящего звена компании, а ее выполнение
должно быть детально продумано;
- не противоречить федеральным и местным законам;
- определять меры воздействия на сотрудников, нарушивших положения данной
политики;
- соблюдать баланс между степенью защищенности информации и продуктивностью
деятельности компании;
- детально определять мероприятия по обеспечению политики использования
электронной почты в компании.
Политика использования электронной почты, как правило, рассматривается с двух сторон - как официально оформленный юридический документ и как материал, который описывает технику реализации политики. Как документ она должна включать:
1. Положение, что электронная почта является
собственностью компании и может быть использована только в рабочих целях.
2.Указание на то, что применение корпоративной системы электронной почты не
должно противоречить законодательству РФ и положениям политики безопасности.
3. Инструкции и рекомендации по использованию и хранению электронной почты.
4. Предупреждение о потенциальной ответственности сотрудников компании за
злоупотребления при использовании электронной почты в личных целях и возможном
использовании электронной почты в судебных и служебных разбирательствах.
5.Письменное подтверждение того, что сотрудники компании ознакомлены с политикой
использования электронной почты и согласны с ее положениями.
Положение об использовании электронной почты (базовый комплект)
1. Общие положения
1.1. Настоящее Положение устанавливает порядок использования электронной почты в ИС "ВАША ОРГАНИЗАЦИЯ" (далее Организация).
1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.
2.Основные термины, сокращения и определения
- Администратор ИС - технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО.
- АРМ - автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.
- ИБ - информационная безопасность - комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
- ИС - информационная система Организации - система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
- ИТ - информационные технологии - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации Организации с использованием средств компьютерной и другой техники.
- Паспорт ПК - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
- ПК - персональный компьютер.
- ПО - программное обеспечение вычислительной техники.
- ПО вредоносное - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности информации.
- ПО коммерческое - ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
- Пользователь - работник Организации, использующий электронную почту для выполнения своих должностных обязанностей.
- Почтовый клиент - ПО, входящее в состав АРМ пользователя ИС, предназначенное для получения, написания, отправки и хранения сообщений электронной почты.
- Почтовый сервер - сервер электронной почты - ПО, осуществляющее обработку и передачу почтовых сообщений между АРМ ИС Организации, а также общедоступных сетей - Интернет.
- Организация - "ВАША ОРГАНИЗАЦИЯ" .
- Отправитель - работник Организации, осуществляющий пересылку электронных сообщений получателю посредством электронной почты.
- Получатель - работник Организации, которому адресовано электронное сообщение, пересылаемое отправителем посредством электронной почты.
- Реестр - документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.
- Третья сторона - лицо или организация, считающаяся независимой по отношению к "ВАША ОРГАНИЗАЦИЯ" .
- Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
- Электронная почта - сервис обмена электронными сообщениями в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей Интернет (внешняя электронная почта).
- Электронный почтовый ящик - персональное пространство на почтовом сервере, в котором хранятся электронные сообщения.
- Электронное почтовое сообщение - сообщение, формируемое отправителем с помощью почтового клиента и предназначенное для передачи получателю посредством электронной почты.
3. Порядок использования электронной почты
3.1. Электронная почта используется для обмена в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей (внешняя электронная почта) служебной информацией в виде электронных сообщений и документов в электронном виде.
3.2. Для обеспечения функционирования электронной почты допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.
3.3. Обеспечение функционирования сервиса электронной почты осуществляется специалистами отдела ИТ.
3.4. Доступ работников Организации к внутренней электронной почте предоставляется при подключении АРМ к ИС Организации. Доступ работников Организации к внешней электронной почте предоставляется при подключении АРМ к сети Интернет.
3.5. При использовании электронной почты необходимо:
- 3.5.1. Соблюдать требования настоящего Положения.
- 3.5.2. Использовать электронную почту исключительно для выполнения своих служебных обязанностей.
- 3.5.3. Перед отправкой сообщения проверять правильность введенного электронного адреса получателя.
- 3.5.4. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.
3.6. При использовании электронной почты запрещено:
- 3.6.1. Использовать электронную почту в личных целях.
- 3.6.3. Передавать электронные сообщения, содержащие:
- 3.6.3.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя и способ передачи является безопасным, согласованным с администраторами ИС заранее.
- 3.6.3.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
- 3.6.3.3. Информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.
- 3.6.3.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.
- 3.6.4. Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
- 3.6.5. По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
- 3.6.6. Использовать адрес электронной почты для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с исполнением служебных обязанностей.
- 3.6.7. Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
- 3.6.8. Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
- 3.6.9. Шифровать электронные сообщения без предварительного согласования с администраторами ИС.
- 3.6.10. Перенаправлять электронные сообщения с личных почтовых ящиков на корпоративный.
3.7. Организация оставляет за собой право доступа к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований настоящего Положения.
3.8. При подозрении работника Организации в нецелевом использовании электронной почты инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.
3.9. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.
3.10. Все электронные сообщения и документы в электронном виде, передаваемые посредством электронной почты подлежат обязательной проверке на отсутствие вредоносного ПО.
4. Требования к оформлению электронного сообщения
4.1. При оформлении электронного сообщения необходимо заполнять следующие поля:
- адрес получателя;
- тема электронного сообщения;
- текст электронного сообщения (при необходимости, могут быть вложены различные файлы);
- подпись отправителя.
4.2. Формат подписи отправителя:
С уважением, <фамилия имя> <должность> <структурное подразделение Организации> <наименование Организации> <адрес> <номера телефонов, мессенжеры, адреса электронной почты> <сайт>
4.3. В почтовом клиенте существует возможность создания подписи и автоматической вставки ее в электронное сообщение. При необходимости можно создать несколько подписей для различных получателей.
4.4. При формировании ответов на полученные электронные сообщения можно использовать упрощенную подпись.
5. Ответственность
5.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.
6. Внесение изменений и дополнений
6.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.
6.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.
Политика определяет разрешимое использование электронной почты в сетях предприятия. Такая политика является частью .
Электронная почта — один из главных методов коммуникации в деловом мире. Это удобно и быстро. Однако есть при использовании электронной почты, ибо использование ее небезопасно за пределами информационной сети предприятия. Сообщения отправленные через электронную почту в сеть интернет, могут быть перехвачены, прочитаны или перенаправлены. А это большой риск к разрушению деловых взаимодействий между предприятиями и тд.
Главные критерии работы с электронной почтой:
- Сотрудник, который использует электронную почту должен избегать действия, которые нарушают .
- Электронная почта предприятия должна использоваться только в рамках обязанностей сотрудников. Все сообщения такой почты на предприятии считаются собственностью предприятия
Политика безопасности электронной почты предполагает правила, которые нужно соблюдать. Нельзя использовать электронную почту:
- Для пересылки информации если она не зашифрована специальным ПО, которое разрешено для использования на предприятии
- Для пересылки, отправки или хранения информации в сообщениях, которая является незаконной или оскорбительной.
- Не делать того, что не в ходит в ваши обязанности
- Для отправки сообщения от чужого имени или с другого почтового ящика. Это разрешено руководством с единичных случаях, при создании пометки, что сообщения отправлено от другого имени. К примеру секретарь от имени директора отправляет письмо.
- Рассылка неэтичных, оскорбительных или незаконных сообщений
При составлении письма, нужно придерживаться общепринятых правил этикета при работе с электронной почты. Без надобности, не раскрывать не публичные данные. При получении сомнительных писем не спешить открывать их. Можно обратиться с службу информационной безопасности. Также работники не имеют право игнорировать, удалять или изменять сообщения кроме ситуаций, когда такие действия санкционированы от руководства.
Все письма электронной почты предприятия проходят сканированию и могут быть прочтены уполномоченными сотрудниками для выявления угроз если таковы есть. Также письма могут помещаться в карантин в автоматическом режиме.
Ответственность
Служба информационной безопасности предприятия отвечает за соблюдения правил пользования электронной почты каждым сотрудником. Если есть тенденция несоблюдения правил, в ее компетенции входит разъяснительные действия с каждым сотрудником предприятия относительно того, какие последствия грозят при недооценки политики безопасности пользованием электронной почтой.
Отдел ИТ отвечает за настройку параметров реализации и обслуживания программного и аппаратного оборудования для работы с электронной почтой. Включая антиспам, и другие фильтры.
Все сотрудники, которые были осведомлены о данной политики, несут ответственность за соблюдение правил данной политики. Каждый сотрудник в любое время может обратиться в службу информационной безопасности по поводу консультации тех или иных действий относительно политики безопасности пользования электронной почты.