Безопасность систем электронной почты

       

Политика использования электронной почты


Средство защиты — система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает. Это всего лишь "машина", которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой "машине" поставить. Это означает, что должен быть выработан специальный свод правил, который в дальнейшем будет переведен на язык машины. Такой свод правил называется "политикой использования электронной почты".

Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия. Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил.

Таким образом, политика использования электронной почты — это закрепленные в письменном виде и доведенные до сотрудников инструкции и другие документы, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты. Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации.

Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее.

Политика должна соответствовать следующим критериям:

  • Быть лаконично изложенной и понятной всем сотрудникам компании, простота написания не должна привести к потере юридического статуса документа;
  • Исходить из необходимости защиты информации в процессе экономической деятельности компании;
  • Быть согласованной с другими организационными политиками компании (регламентирующими финансовую, экономическую, юридическую и другие сферы деятельности компании);
  • Иметь законную силу, т.е.
    политика, как документ, должна быть одобрена и подписана всеми должностными лицами руководящего звена компании, а ее выполнение должно быть детально продумано;
  • Не противоречить федеральным и местным законам;
  • Определять меры воздействия на сотрудников, нарушивших положения данной политики;
  • Соблюдать баланс между степенью защищенности информации и продуктивностью деятельности компании;
  • Детально определять мероприятия по обеспечению политики использования электронной почты в компании.


Политика использования электронной почты, как правило, рассматривается с двух сторон — как официально оформленный юридический документ и как материал, который описывает технику реализации политики.

Как документ она должна включать:

  1. Положение, что электронная почта является собственностью компании и может быть использована только в рабочих целях.
  2. Указание на то, что применение корпоративной системы электронной почты не должно противоречить законодательству РФ и положениям политики безопасности.
  3. Инструкции и рекомендации по использованию и хранению электронной почты.
  4. Предупреждение о потенциальной ответственности сотрудников компании за злоупотребления при использовании электронной почты в личных целях и возможном использовании электронной почты в судебных и служебных разбирательствах.
  5. Письменное подтверждение того, что сотрудники компании ознакомлены с политикой использования электронной почты и согласны с ее положениями.


С технической точки зрения политика устанавливает правила использования электронной почты, то есть определяет следующее:



Что контролируется



Прохождение каких сообщений входящей, исходящей или внутренней электронной почты должно быть разрешено или запрещено.



На кого распространяется



Категории лиц, которым разрешено или запрещено отправлять исходящие или получать входящие сообщения электронной почты.



Как реагирует система



Что необходимо делать с теми или иными сообщениями электронной почты, которые удовлетворяют или не удовлетворяют критериям, определенным правилами использования электронной почты.




Содержание раздела