Возможности Скайпа

Информационная безопасность: Учебное пособие

30.10.2020

Средство защиты - система контроля содержимого электронной почты, само по себе никаких задач по обеспечению безопасности не решает. Это всего лишь «машина», которая помогает человеку в решении данной проблемы. Поэтому задачу по обеспечению безопасности необходимо такой «машине» поставить. Это означает, что должен быть выработан специальный свод правил , который в дальнейшем будет переведен на язык машины. Такой свод правил называется «политикой использования электронной почты».

Во многих организациях такие правила существуют уже длительное время. Как и всякая ограничительная мера, они создают определенные неудобства пользователям системы, а если пользователю что-то неудобно, он либо перестает этим пользоваться, либо старается обойти препятствия. Поэтому такого рода политики, не подкрепленные техническими средствами контроля за их выполнением, постепенно теряют силу - сайт. Программные системы, ориентированные на фильтрацию почты, следует позиционировать именно как инструмент для внедрения и контроля исполнения этих правил.

Таким образом, политика использования электронной почты - это закрепленные в письменном виде и доведенные до сотрудников инструкции и другие документы, которые регламентируют их деятельность и процессы, связанные с использованием системы электронной почты . Данные документы и инструкции обладают юридическим статусом и, как правило, предоставляются для ознакомления сотрудникам организации.

Политика использования электронной почты является важнейшим элементом общекорпоративной политики информационной безопасности и неотделима от нее. Политика должна соответствовать следующим критериям:

- быть лаконично изложенной и понятной всем сотрудникам компании, простота написания не должна привести к потере юридического статуса документа;
- исходить из необходимости защиты информации в процессе экономической деятельности компании;
- быть согласованной с другими организационными политиками компании (регламентирующими финансовую, экономическую, юридическую и другие сферы деятельности компании - сайт);
- иметь законную силу, т.е. политика, как документ, должна быть одобрена и подписана всеми должностными лицами руководящего звена компании, а ее выполнение должно быть детально продумано;
- не противоречить федеральным и местным законам;
- определять меры воздействия на сотрудников, нарушивших положения данной политики;
- соблюдать баланс между степенью защищенности информации и продуктивностью деятельности компании;
- детально определять мероприятия по обеспечению политики использования электронной почты в компании.

Политика использования электронной почты, как правило, рассматривается с двух сторон - как официально оформленный юридический документ и как материал, который описывает технику реализации политики. Как документ она должна включать:

1. Положение, что электронная почта является собственностью компании и может быть использована только в рабочих целях.
2.Указание на то, что применение корпоративной системы электронной почты не должно противоречить законодательству РФ и положениям политики безопасности.
3. Инструкции и рекомендации по использованию и хранению электронной почты.
4. Предупреждение о потенциальной ответственности сотрудников компании за злоупотребления при использовании электронной почты в личных целях и возможном использовании электронной почты в судебных и служебных разбирательствах.
5.Письменное подтверждение того, что сотрудники компании ознакомлены с политикой использования электронной почты и согласны с ее положениями.

Положение об использовании электронной почты (базовый комплект)

1. Общие положения

1.1. Настоящее Положение устанавливает порядок использования электронной почты в ИС "ВАША ОРГАНИЗАЦИЯ" (далее Организация).

1.2. Действие настоящего Положения распространяется на работников Организации, подрядчиков и третью сторону.

2.Основные термины, сокращения и определения

  1. Администратор ИС - технический специалист, обеспечивает ввод в эксплуатацию, поддержку и последующий вывод из эксплуатации ПО.
  2. АРМ - автоматизированное рабочее место пользователя (персональный компьютер с прикладным ПО) для выполнения определенной производственной задачи.
  3. ИБ - информационная безопасность - комплекс организационно-технических мероприятий, обеспечивающих конфиденциальность, целостность и доступность информации.
  4. ИС - информационная система Организации - система, обеспечивающая хранение, обработку, преобразование и передачу информации Организации с использованием компьютерной и другой техники.
  5. ИТ - информационные технологии - совокупность методов и процессов, обеспечивающих хранение, обработку, преобразование и передачу информации Организации с использованием средств компьютерной и другой техники.
  6. Паспорт ПК - документ, содержащий полный перечень оборудования и программного обеспечения АРМ.
  7. ПК - персональный компьютер.
  8. ПО - программное обеспечение вычислительной техники.
  9. ПО вредоносное - ПО или изменения в ПО, приводящие к нарушению конфиденциальности, целостности и доступности информации.
  10. ПО коммерческое - ПО сторонних производителей (правообладателей). Предоставляется в пользование на возмездной (платной) основе.
  11. Пользователь - работник Организации, использующий электронную почту для выполнения своих должностных обязанностей.
  12. Почтовый клиент - ПО, входящее в состав АРМ пользователя ИС, предназначенное для получения, написания, отправки и хранения сообщений электронной почты.
  13. Почтовый сервер - сервер электронной почты - ПО, осуществляющее обработку и передачу почтовых сообщений между АРМ ИС Организации, а также общедоступных сетей - Интернет.
  14. Организация - "ВАША ОРГАНИЗАЦИЯ" .
  15. Отправитель - работник Организации, осуществляющий пересылку электронных сообщений получателю посредством электронной почты.
  16. Получатель - работник Организации, которому адресовано электронное сообщение, пересылаемое отправителем посредством электронной почты.
  17. Реестр - документ «Реестр разрешенного к использованию ПО». Содержит перечень коммерческого ПО, разрешенного к использованию в Организации.
  18. Третья сторона - лицо или организация, считающаяся независимой по отношению к "ВАША ОРГАНИЗАЦИЯ" .
  19. Электронный документ - документ, в котором информация представлена в электронно-цифровой форме.
  20. Электронная почта - сервис обмена электронными сообщениями в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей Интернет (внешняя электронная почта).
  21. Электронный почтовый ящик - персональное пространство на почтовом сервере, в котором хранятся электронные сообщения.
  22. Электронное почтовое сообщение - сообщение, формируемое отправителем с помощью почтового клиента и предназначенное для передачи получателю посредством электронной почты.

3. Порядок использования электронной почты

3.1. Электронная почта используется для обмена в рамках ИС Организации (внутренняя электронная почта) и общедоступных сетей (внешняя электронная почта) служебной информацией в виде электронных сообщений и документов в электронном виде.

3.2. Для обеспечения функционирования электронной почты допускается применение коммерческого ПО, входящего в Реестр разрешенного к использованию ПО и указанного в Паспорте ПК.

3.3. Обеспечение функционирования сервиса электронной почты осуществляется специалистами отдела ИТ.

3.4. Доступ работников Организации к внутренней электронной почте предоставляется при подключении АРМ к ИС Организации. Доступ работников Организации к внешней электронной почте предоставляется при подключении АРМ к сети Интернет.

3.5. При использовании электронной почты необходимо:

  • 3.5.1. Соблюдать требования настоящего Положения.
  • 3.5.2. Использовать электронную почту исключительно для выполнения своих служебных обязанностей.
  • 3.5.3. Перед отправкой сообщения проверять правильность введенного электронного адреса получателя.
  • 3.5.4. Ставить в известность администраторов ИС о любых фактах нарушения требований настоящего Положения.

3.6. При использовании электронной почты запрещено:

  • 3.6.1. Использовать электронную почту в личных целях.
  • 3.6.3. Передавать электронные сообщения, содержащие:
    • 3.6.3.1. Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя и способ передачи является безопасным, согласованным с администраторами ИС заранее.
    • 3.6.3.2. Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
    • 3.6.3.3. Информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также осуществить несанкционированный доступ, а также ссылки на вышеуказанную информацию.
    • 3.6.3.4. Угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности и т.д.
  • 3.6.4. Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
  • 3.6.5. По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
  • 3.6.6. Использовать адрес электронной почты для оформления подписки на периодическую рассылку материалов из сети Интернет, не связанных с исполнением служебных обязанностей.
  • 3.6.7. Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
  • 3.6.8. Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
  • 3.6.9. Шифровать электронные сообщения без предварительного согласования с администраторами ИС.
  • 3.6.10. Перенаправлять электронные сообщения с личных почтовых ящиков на корпоративный.

3.7. Организация оставляет за собой право доступа к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований настоящего Положения.

3.8. При подозрении работника Организации в нецелевом использовании электронной почты инициализируется служебная проверка, проводимая комиссией, состав которой определяется Руководителем Организации.

3.9. По факту выясненных обстоятельств составляется акт расследования инцидента и передается Руководителю структурного подразделения для принятия мер согласно локальным нормативным актам Организации и действующему законодательству. Акт расследования инцидента и сведения о принятых мерах подлежат передаче в отдел ИТ.

3.10. Все электронные сообщения и документы в электронном виде, передаваемые посредством электронной почты подлежат обязательной проверке на отсутствие вредоносного ПО.

4. Требования к оформлению электронного сообщения

4.1. При оформлении электронного сообщения необходимо заполнять следующие поля:

  • адрес получателя;
  • тема электронного сообщения;
  • текст электронного сообщения (при необходимости, могут быть вложены различные файлы);
  • подпись отправителя.

4.2. Формат подписи отправителя:

С уважением, <фамилия имя> <должность> <структурное подразделение Организации> <наименование Организации> <адрес> <номера телефонов, мессенжеры, адреса электронной почты> <сайт>

4.3. В почтовом клиенте существует возможность создания подписи и автоматической вставки ее в электронное сообщение. При необходимости можно создать несколько подписей для различных получателей.

4.4. При формировании ответов на полученные электронные сообщения можно использовать упрощенную подпись.

5. Ответственность

5.1. Работники, нарушившие требования настоящего Положения, несут ответственность в соответствии с действующим законодательством и локальными нормативными актами Организации.

6. Внесение изменений и дополнений

6.1. Изменения и дополнения в настоящее Положение вносятся работниками отдела ИТ по указанию начальника отдела, и после согласования с Руководителями служб Организации утверждаются приказом Руководителя Организации.

6.2. Все изменения и дополнения настоящего Положения вступают в силу с момента их утверждения.

Так повелось, что у нас на предприятии всякого рода регламенты, политики и т.п. пишу в основном я и передаю их на рассмотрение руководства, которое может прочитать, что написано, а может и нет.
Так как все озаботились (и я в том числе) информационной безопасностью, решил написать относительно небольшое руководство по разработке политики по использованию электронной почты на предприятии. Многие вещи достаточно очевидны, но почему то они не исполняются.
Получилось конечно немного сумбурно, вперемежку и рекомендации и информация доведения до ума сотрудников и т.д.
Но в целом, кто хочет понять - тот поймет. В конце концов - я для себя пишу и думаю в последующем пригодится

Вопросы конфиденциальности

Вся информация, имеющая отношение к клиентам или бизнесу компании, является конфиденциальной. В 21-ом веке информационных технологий электронная почта является таким же носителем информации, как и печатные материалы, поэтому разумнее всего предъявлять те же требования к безопасности электронной информации, как и к бумажным материалам. Вот несколько рекомендаций по обеспечению безопасности информации в электронном виде:

  • Уделять вн имание сохранению конфиденциальности всякого рода паролей. Ведь ни для кого не секрет, что пароль пишется на бумажкке, которая клеится к клавиатуре или к монитору.
  • Если документ содержит строго конфиденциальную информацию, его следует хранить в особой папке компьютера, которая недоступна никому и знаете только о ней Вы.
  • Обеспечению безопасности может способствовать отказ от пересылки или разделения (даже внутри компании!) любой информации о клиентах.
  • Каждый раз, отправляя письмо, проверяйте список адресатов — все они должны обладать правами доступа к той информации, которую Вы посылаете

Злоупотребление

При написании электронных писем необходимо придерживаться общепринятых норм морали и этики; не нужно делать никаких заявлений ни от своего лица или, ни от лица компании, которые изобличают компанию в чем-либо, портят деловую репутацию или могут быть неверно истолкованы получателем.

Не следует принимать участие ни в каких мероприятиях, которые являются противоправными или противоречат общепринятым нормам ведения дел, а также в тех случаях, когда Ваши действия могут тем или иным образом нанести компании ущерб. Вы не можете загружать, отправлять, использовать, распространять любые изображения, текст, иные материалы, программное обеспечение, которые:

  • Могут быть признаны нелегальными или неэтичными
  • Могут призывать к действиям, выполнение которых нанесет (или может нанести) ущерб компании
  • Использование которых предполагает выполнение действий, не входящих в список Ваших должностных обязанностей
  • Могут отрицательно влиять на производительность информационной системы компании, включая локальную сеть и другие средства связи и обработки информации
  • Могут привести к возникновению каких-либо судебных споров или конфликтов
  • Являются предметом авторского права, защищенного законодательством, а разрешением на использование в том или ином виде Вы не располагаете

Следующие действия запрещены при любых обстоятельствах:

  • Занесение в компьютерную сеть компании вирусов или любых иных вредоносных программных средств.
  • Поиск и обнаружение средств или методов для получения несанкционированного доступа к компьютерным системам, находящимся внутри компании или за ее пределами.
  • Попытки чтения почтовых сообщений других пользователей без их разрешения.

Почтовые сообщения, которые были удалены, могут тем не менее быть отслежены и восстановлены. Таким образом, любой сотрудник, принимающий участие в создании или рассылке запрещенных сообщений, может быть идентифицирован. Почтовые сообщения, как в электронном, так и в бумажном виде, могут представлять собой вещественные доказательства для суда.

Мониторинг

Все ресурсы компании, включая компьютеры, электронную и голосовую почту, предоставляются для пользования сотрудниками исключительно в рабочих целях. Компания оставляет за собой право в любое время без предварительного предупреждения проверить состояние компьютерных систем, а также информацию, которая в них содержится. Любая информация, содержащаяся как на постоянных носителях (к коим можно отнести жесткие диски и оптические неперезаписываемые компакт-диски), так и на временных (дискетах, CD - R / RW и пр.) может быть проверена и изучена представителями компании.

В целях обеспечения выполнения пунктов настоящих Правил, компания может внедрять специализированное программное и аппаратное обеспечение для проверки и мониторинга использования компьютерных систем. Компания оставляет за собой право отслеживать, изучать, удалять или изменять любые почтовые сообщения, которые проходят через корпоративную почтовую систему.

Соглашение

Все сотрудники компании, включая работающих по контракту и временный персонал, имеющие доступ к почтовой системе компании, должны подписать настоящее соглашение, подтверждая тем самым понимание сути предъявляемых требований.

ВЫРАБОТКА СТАНДАРТОВ

Внутренние стандарты

После того, как Вы выработали определенные Правила пользования Вашей почтовой системой, Вы можете заняться выработкой стандартов, которые позволят эффективно применять Правила. Некоторые стандарты невозможно поддержать без применения специализированных технических средств, однако четкое планирование позволит Вам без труда разобраться, какое именно техническое решение Вам необходимо. Следующие стандарты, утвержденные представителями всех отделов Вашей компании, помогут Вам внедрить и успешно применять Правила пользования почтовой системой.

Официальные заявления

Официальные заявления в форме отказа от обязательств (disclaimer ) предназначены для информирования получателей писем о том, что компания не отвечает за содержание корреспонденции, отосланной сотрудниками. Заявления обычно содержат три основных типа положений, которые:

  • Уведомляют получателя письма о конфиденциальности переписки и просят перенаправить письмо в случае, если оно попало к получателю по ошибке
  • Объясняют, что содержание письма может не отражать официальную точку зрения компании
  • Показывают, что компания предприняла все возможные меры для того, чтобы защитить получателя письма. Одновременно с этим следует отказ от каких-либо обязательств в случае, если получателю был все же нанесен ущерб

Например так:

Настоящее почтовое сообщение является конфиденциальным и предназначено исключительно для получателя письма. Если Вы не являетесь получателем, вероятнее всего Вы получили письмо по ошибке и в этом случае любое использование, перенаправление, вывод на печать или копирование данного сообщения запрещаются. Если Вы получили сообщение по ошибке, пожалуйста свяжитесь с отправителем письма. Любые взгляды или мнения, представленные в письме, могут не совпадать с точкой зрения компании и отражают только точку зрения отправителя. Однако настоящее почтовое сообщение и любые вложения в него не содержат вирусов или каких-либо других недостатков, которые могли бы причинить вред Вашей системе; тем не менее, компания не несет никакой ответственности за причинение ущерба в результате получения данного письма.

По хорошему текст можно согласовать с юристом.

Файлы подписи

Подпись в электронном письме используется для идентификации отправителя и сообщения своих контактных данных. Возможно придется стандартизировать подписи всех Ваших сотрудников, сделать так, чтобы они все содержали практически один и тот же текст.

Сохранение электронной корреспонденции

В компании стоит выработать определенные правила, согласно которым происходит сохранение электронной переписки в течение некоторого периода времени. Возможно, Вам понадобится установить ограничение на размер почтового ящика каждого из сотрудников. Говоря в бщем, почтовые сообщения, не имеющие отношения к делу, могут удаляться незамедлительно, тогда как переписка с клиентами, партнерами и т.п. может сохраняться в течение относительно длительного периода времени. Часто разумным представляется создание дерева папок, в каждой из которых сохраняются сообщения, сходные по тематике. По прошествии нескольких месяцев новому сотруднику будет гораздо проще войти в курс дела, пользуясь архивом сообщений.

Стандарты фильтрации

Типы файлов

Обсудите с представителями отделов Вашей компании вопрос, какие типы файлов следует запретить пересылать через корпоративную почтовую систему. Вы можете выбрать такие типы файлов, как WAV , AVI , MPG , МРЗ — они практически никогда не используются в работе, только если Вы не работаете в медиа-индустрии. Общепринятой практикой сегодня является проверка всех исполняемых (ЕХЕ) файлов на предмет наличия вирусов.

Упакованные файлы должны проверяться как на вирусы, так и на содержание исходных файлов. Для этого при выборе программного обеспечения для анализа следует обратить внимание, какие типы архивов поддерживает система. Самые распространенные типы архивов: ARJ , LZH , CAB , CMP , GZIP , RAR , TAR , ZIP .

Анализ содержания

Большая часть программных продуктов, предназначенных для анализа почтового трафика, исследуют почтовые сообщения на предмет наличия в них определенных ключевых слов. Некоторые продукты даже содержат в себе списки слов, обнаруживая которые, программа должна выполнять заданные администратором действия. Такими словами могут быть: password ; vitae ; horoscopes ; confidential и прочие. Необходимо только обратить внимание на возможность ввода ключевых слов в Вашей кодировке и на Вашем языке, а не только на английском или русском.



Разработка Правил пользования почтовой системой

Перед тем, как окунуться в мир программных разработок для управления почтовым трафиком, рекомендуется разработать Правила пользования почтовой системой. Четкое определение, что можно, а что нельзя — это лучший аргумент, против обвинений в ограничении прав и свобод, а также скрытого неприятия нововведений. После разработки Правил рекомендуется согласовать окончательный текст с юристом, с начальниками подразделений.

Иногда случается так, что вопрос о контроле над электронными почтовыми сообщениями возникает после инцидента, когда нервы у всего персонала напряжены, а руководство спешно ищет способы избежать повторения неприятностей. Здесь очень важно не забывать то, что задача — не ликвидировать последствия, а разработать комплекс средств, призванный обеспечить эффективность и безопасность использования такого важного в бизнес-практике инструмента, как электронной почты. Не следует ожидайть, что выработка методик и стратегии пройдет легко и быстро. Возможно, что подготовительные мероприятия займут месяцы в зависимости от размера Вашей компании, а еще некоторое время уйдет на адаптацию сотрудников к изменившимся «правилам игры».

Консультации с отделами и руководством

Внедрение ограничений на пользование электронной почтой может быть воспринято персоналом очень остро и не в положительном смысле. Чтобы преодолеть сомнение и неприятие, чрезвычайно важно обеспечить прозрачность процесса разработки новых правил, показать сотрудникам, что новые решения не навязываются руководством, а предлагаются к совместному обсуждению и выработке компромисса. Значительно проще будет разрабатывать Правила путем формирования некоторой комиссии, состоящей из представителей всех отделов компании, включая высшее руководство.

Поощрение и объяснение реальных причин и мотивов для разработки Правил будет производить больший эффект, нежели Правила, основанные на запретах. С другой стороны Правила должны служить общему делу, поэтому вряд ли удастся совсем обойтись без запретов. Помните, что разрабатывая новые Правила, Вы имеете дело прежде всего с человеческим фактором, а технологии лишь помогают Вам внедрить Правила и обеспечить контроль их исполнения.

Управляя ожиданиями

Необходимо держать всех менеджеров в курсе изменений, производимых в почтовой системе. Будьте реалистом, не переоценивайте значимость и положительный эффект от внедрения той или иной технологической системы. Не исключено, что сейчас разрабатываемые Вами Правила изменяться через некоторое время, следуя за изменениями в тактике и стратегии компании.

Сотрудники компаний часто считают, что пользование электронной почтой должно быть таким же свободным и не подверженным ограничениям, как разговор по телефону. В этом смысле важно разъяснить, до какого предела корпоративная почтовая система может быть использована в личных целях. Каждый сотрудник должен четко себе представлять, что почтовая система предоставляет минимум средств для сохранения приватности, а каждое поступающее или отправляемое сообщение может быть просмотрено и сохранено администрацией. Собственно Правила пользования электронной почты должны начинаться с обозначения общих принципов работы с электронной почтой. Далее следует указать условия, на которых компания предоставляет сотруднику право пользования электронной почтой, и те действия, которые считаются недопустимыми в компании. Закончить Правила имеет смысл разделом, поясняющим, какие последствия могут иметь нарушения положений документа, а также местом для подписи сотрудника.

По закону (западных стран), сотрудники должны быть уведомлены о том, что компания производит перлюстрацию электронных писем. Впрочем, в обсуждениях с представителями отделов сделайте акцент на том, что мониторинг почтовых сообщений автоматизирован, и никто не собирается вручную просматривать каждое письмо. Применяя автоматизированные средства анализа, компания лишь желает оградить себя и своих сотрудников от возможных нежелательных последствий, которые могут наступить в результате утечки конфиденциальной информации, рассылки спама, оскорбительных и неэтичных материалов и т.д.

Допустимо ли использование почты в личных целях?

В компании следует выработать общую точку зрения на то, в какой мере допустимо использование корпоративной почтовой системы в личных целях. Существует по сути три возможных варианта:

  • Полностью запретить любое использование Интернет-ресурсов и электронной почты в личных целях. Согласие с этим сделать одним из условий работы в компании.
  • Обеспечить наличие альтернативных компьютерных систем, не входящих в корпоративную информационную систему, с помощью которых сотрудники могли бы использовать службы Интернет в личных целях. Что же касается корпоративной почтовой системы, то отношение к ее частному использованию такое же негативное, как и в первом варианте.
  • Разрешить до определенной степени использование электронной почты в личных целях, однако не гарантировать приватности этой переписки. При этом уровень безопасности, разумеется, снижается; в то же время, с точки зрения психологии такой вариант предпочтителен.
Конфиденциальность

Удостоверьтесь, что Ваши Правила содержат положения о том, как следует обращаться с информацией о клиентах. Сотрудники должны быть уведомлены об общепринятых в мировой бизнес-практике правилах работы с информацией о клиентах, а также об особенностях применения этих правил в компании.

Электронная почта через Web ( Web - based Email )

В настоящее время существует масса почтовых веб-сервисов . Безусловно, гораздо проще контролировать один канал передачи электронных сообщений через корпоративную почтовую систему, нежели отслеживать огромное количество бесплатных почтовых служб. Следует заметить, что большая часть подобных почтовых служб не является безопасной. Они в принципе не могут удовлетворять всем требованиям по безопасности, которые предъявляются Вашей компанией, а потому представляют собой угрозу Вашей корпоративной системе.

Разумным путем может быть запрещение использования подобных веб-сервисов с тем, чтобы все электронные письма отсылались исключительно через центральный почтовый сервер предприятия. Для обеспечения безопасности и в то же время благоприятной психологической атмосферы Вы можете установить несколько дополнительных компьютеров, не являющихся частью Вашей системы, с которых сотрудники могли бы посетить любые веб-сайты и пользоваться веб-почтой.

Пример Правил пользования электронной почтой

Пожалуйста внимательно ознакомьтесь с текстом Правил пользования корпоративной электронной почты; в дальнейшем предполагается, что Вы понимаете все положения настоящих Правил и обязуетесь их выполнять.

Цель

Цель настоящих Правил заключается в донесении до всех работников компании позиции компании относительно того, как должна использоваться корпоративная электронная почта. Конечной целью является гарантия того, что электронная почта используется эффективно для общего дела без создания дополнительного бизнес-риска или инцидентов.

Область применения

Все сотрудники компании, включая работающих по контракту и временный персонал, должны подчиняться положениям настоящих Правил. Нарушение Правил может привести к дисциплинарным взысканиям вплоть до увольнения. Кроме того, Ваши действия могут быть расценены как противозаконные, и в этом случае Вы несете личную полную ответственность перед законом за совершенные действия.

Общие принципы.

Компания предоставляет почтовую систему в пользование сотрудникам для организации рабочего процесса и доступ к системе предоставляется только для этого. Почтовые сообщения полученные или отправленные через корпоративную почтовую систему не являются частной собственностью, а составляют часть внутреннего документооборота компании.

Эпизодическое или время от времени встречающееся использование корпоративной электронной почты в личных целях допустимо, однако ограничивается положениям настоящих Правил. Любое частное использование электронной почты должно выполняться в свободное от работы время и не может нарушать ход рабочего процесса. Личное использование электронной почты не должно каким-либо образом воздействовать на работу других сотрудников, нарушать работу электронных систем компании или портить репутацию компании.

Использование электронной почты

При использовании электронной почты обращайте внимание на содержание писем. Отношение многих людей к электронной почте можно назвать легкомысленным по сравнению с отношением к бумажной корреспонденции. Помните, что любые заявления, сделанные в ходе электронной переписки имеют точно такой же вес, как и письменные, и могут быть использованы против Вас и/или компании.

Доступ к почтовым веб-услугам (например, Mail .ru ) запрещается с целью уменьшения риска попадания вирусов и других вредоносных программ в корпоративную сеть компании.

Обучение

Обучение сотрудников является одной из важнейших задач в ходе внедрения Правил доступа к электронной почте. В ходе обучения используйте плохие примеры пользования почтой и объясняйте, почему та или иная практика использования несет отрицательный заряд и недопустима в компании. Не стоит говорить только о том, что нужно делать; приводя отрицательные примеры, Вы тем самым четко проводите границу между тем, что хорошо, а что плохо.

Уведомления

Чтобы все те аспекты Правил, о которых Вы говорили в ходе внутренних семинаров, не забылись на вторую неделю, подумайте о том, как напоминать сотрудникам о всем вышесказанном. Вот несколько способов, как не дать забыть о том, что Правила все еще в силе:

  • Когда исходящее сообщение не соответствует положениям Правил и задерживается почтовой системой, разумно отправлять уведомление об этом факте с подобным текстом: «Почтовое сообщение, которое Вы только что отправили на адрес vova . putin @ mail . ru было автоматически проверено, и установлено, что не соответствует Правилам использования почты в компании. Мы рекомендуем связаться с получателем сообщения и уведомить о задержке с отправкой письма. Вам следует связаться с системным администратором по внутреннему телефону 1234, если Вы считаете, что запрет на отправку сообщения является результатом ошибки. В случае, если от Вас не последует какой-либо реакции на задержку сообщения, последнее будет удалено в течение 72 часов».
  • Задержанная входящая корреспонденция должна обрабатываться похожим образом. Уведомление высылается отправителю письма с просьбой связаться с получателем. Предпочтительно связываться именно с отправителем, поскольку сообщение потенциально может быть спамом.
  • Вы можете вставлять в каждое входящее письмо несколько строк, в которых указываете, например, адрес на текст Правил. Вот пример подобного раздела: «Настоящее сообщение было проверено на предмет наличия вирусов и соответствия положениям Правил пользования электронной почты. Текст Правил может быть найден по адресу: (где-то там) f :/ company / policies / email . doc ».
  • Предлагайте сотрудникам самим сделать выводы об эффективности применения тех или иных технических средств, которые Вы установили. Для этого регулярно представляйте цифры, отражающей количество входящих писем, содержащих вирусы или спам, которые были остановлены системой.

Поэтапное создание и внедрение Правил

Далее мы предлагаеся возможный вариант плана внедрения Ваших Правил использования электронной почты. План состоит из нескольких этапов, между которыми рекомендуется сделать хотя бы недельный перерыв для получения и анализа результатов выполненных ранее задач.

ЭТАП 1 - ОБСУЖДЕНИЕ БУДУЩИХ ПРАВИЛ

Можете ли Вы четко объяснить сами себе, какую проблему представляет собой неуправляемый доступ к корпоративной почтовой системе? Вполне вероятно, Вам придется не раз объяснять и доказывать очевидные для Вас вещи своим сотрудникам.

Помогите понять высшему руководству компании, что проблема существует и на ее решение необходимо выделение людских и материальных ресурсов

Организуйте комиссию по разработке Правил пользования корпоративной электронной почты. Вовлеките в работу сотрудников отдела кадров, поскольку Правила имеют большее отношение к персоналу, нежели к технологиям

Решите, до какой степени возможно использование корпоративной электронной почты в личных целях

Примите решение относительно запретов на пользование почтовых веб-услуг. Если Вы решаете полностью запретить подобные сервисы, следует сразу задаться вопросом, какими техническими средствами будет обеспечена реализация запрета

Подготовьте черновик Правил и разошлите его всем участникам рабочей группы перед обсуждением. Возможно, имеет смысл разослать черновик документа всем сотрудникам компании для получения отзывов до принятия Правил

Решите вопрос, следует ли требовать от сотрудников письменного согласия выполнять положения Правил при приеме на работу

К черновику Правил приложите возможный вариант текста обязательной вставки во все исходящие электронные письма (Disclaimer ). Посоветуйтесь с юристом относительно содержания текста

Проконсультируйтесь у юристов и специалистов в области трудового права относительно содержания Правил использования почты.

Обсудите с участниками рабочей группы вопрос, существуют ли в компании отделы или сотрудники, к которым положения Правил неприменимы или применимы лишь частично

Заранее подумайте о том, как следует поступать с теми сотрудниками, которые откажутся выполнять положения Правил

Распространите Правила среди всех сотрудников. Не забудьте про временный персонал и контрактников

Составьте расписание учебных мероприятий для сотрудников, на которых разъясняются аспекты Правил

Достигните соглашения со всеми заинтересованными лицами относительно того, кто будет осуществлять мониторинг почтовых сообщений и кому это лицо будет подчиняться

Найдите ответ на вопрос: следует ли устанавливать предел по объему почтового ящика, и если да, то существуют ли исключения из правил? Решите, будет ли создаваться структура папок для хранения различных сообщений

Собираетесь ли Вы вводить обязательный для выполнения стандарт на подписи писем? Если да, то Вам следует разработать общий шаблон подписи

Если Вы собираетесь организовать свободную зону доступа к Интернет , то позаботьтесь о решении вопроса, связанного с материально-техническим оснащением и выбором места

Какой максимальный объем одного письма является допустимым?

Какую политику обработки вложенных файлов Вы решите применить? Следует ли жестко утвердить отсылку документов, созданных в MS Word , в формате RTF ?

Установите стандартную процедуру обработки всех документов, содержащих определенные знаковые ключевые фразы, вроде «Для служебного пользования»


ЭТАП 3-ОБУЧЕНИЕ

Обучите сотрудников грамотной и безопасной работе с почтовой системой. Доведите до их сведения все аспекты Правил пользования электронной почты

Концентрируйте внимание не на запретах, корпоративном контроле и пр; акцент делайте на общепринятых правилах бизнес-этики. Сканирование почтовых сообщений - процесс полностью автоматизированный, и никто не собирается читать все проходящие сообщения

Приведите примеры напрасной траты ресурсов почтовой системы (расход пропускной способности, место на диске и пр.), которая может препятствовать прохождению действительно важных для компании сообщений

Сообщите сотрудникам, как они могут высказывать свое мнение о нововведениях


ЭТАП 4 - МОНИТОРИНГ

Удостоверьтесь в том, что антивирусные средства, которые Вы применяете в настоящий момент, смогут эффективно работать вместе с почтовой системой. Возможно, Вам потребуется закупить дополнительное программное обеспечение

Установите программное обеспечение для фильтрации почтового трафика в режиме мониторинга и вывода отчетов

Просмотрите все существующие инструкции относительно обеспечения сохранности клиентской информации. Проверьте, что они не противоречат Правилам работы с почтой

Оцените важность документов, с которыми работают сотрудники. Допустимо ли их пересылка по электронной почте? Можете ли Вы создать правила обработки сообщений, которые смогут предотвратить утечку конфиденциальной информации?

Составьте список значимых фраз, наличие которых в письмах или вложенных файлах, будет являться признаком передачи конфиденциальных данных

Есть ли в компании сотрудники, деятельность которых предполагает использования шифровальных средств?

Какие типы вложений имеет смысл запретить к прохождению через почтовую систему? Удостоверьтесь в том, что Вы блокируете прохождение ненужных файлов баз данных или мультимедиа-файлов. Какие типы архивов Вы считаете допустимыми к использованию в электронной почте?

Продумайте методику борьбы со спамом. Возможно, Вам имеет смысл установить антиспам

Выведите отчеты об использовании почты и проанализируйте их. Вероятнее всего, уже на данном этапе из отчетов Вы сможете определить кто из пользователей пользуется корпоративной электронной почтой не по делу


ЭТАП 5 - ВНЕДРИТЕ ПРАВИЛА ДОСТУПА

Во исполнение Правил введите специальные условия на фильтрующем программном обеспечении:
Ограничение размера письма
Запрет на пересылку писем, содержащих файлы форматов WAV , AVI , MPG и пр. - файлы этих форматов используются в бизнес-практике чрезвычайно редко. Добавляйте к каждому исходящему письму стандартный заголовок или окончание. Блокируйте и проверяйте исполняемые ехе-файлы. Перед блокировкой узнайте, кто привык использовать самораспаковывающиеся архивы

Регулярно отслеживайте работу правил программного обеспечения. Настройте их таким образом, чтобы количество неверных срабатываний было минимальным


ЭТАП 6 - НАПОМИНАЙТЕ СОТРУДНИКАМ О НАЛИЧИИ ПРАВИЛ ПОЛЬЗОВАНИЯ

Напоминайте пользователям о наличии Правил пользования почтой автоматическими письмами в случае, если их письма задерживаются или блокируются. Будьте вежливы и помните, что ни одно техническое средство не дает 100% гарантии распознавания конфиденциальной информации

Подумайте о том, чтобы добавлять во входящие письма специальное сообщение, говорящее о том, что сообщение было просканировано


ЭТАП 7 - ПЕРЕСМАТРИВАЙТЕ И РАССТАВЛЯЙТЕ АКЦЕНТЫ

Создавайте отчеты, демонстрирующие текущий уровень почтового трафика. Создавайте отчеты, которые показывают активность тех пользователей, которые были неоднократно замечены в нарушениях Правил

Пересматривайте правила программного обеспечения и список ключевых слов

Пересматривайте результаты обучения сотрудников. Возможно, следует провести еще несколько корпоративных мероприятий?

Позвольте сотрудникам кадрового отдела заниматься непосредственной работой с сообщениями и нарушителями. Отделу ИТ оставьте обеспечение функционирования техники


Как обеспечить фильтрацию? Следующая таблица поможет Вам составить список технических требований по обеспечению выполнения Правил.

Тип

Лимит на входящие сообщения

Лимит на выходящие сообщения

Исключения для пользователей/групп пользователей

Максимальный размер письма

10Мб

5Мб

Допустимы ли зашифрованные файлы?

Да

Нет

Отдел разработок

Запрещенные вложенные файлы

Avi, qtm, mpg, mpeg, wav, exe, com

Avi, qtm, mpg, mpeg, wav, exe, com

Отдел маркетинга

Exe, com, dll

Exe, com, dll

Отдел ИТ

Ns3, nsf, ntf (Lotus Notes)

Отдел ИТ

Ключевые слова

Конфиденциально, для служебного пользования

Директора

Username, id, password

Отдел ИТ

Cv, vitae, resume, резюме

Cv, vitae, resume, recruitment, резюме , поиск работы

Отдел кадров

Виагра, халява

доступ.

Исключения

В любых правилах есть исключения. Например, отдел кадров наверняка должен иметь доступ к получению писем, содержащих в огромном количестве фразы вроде «резюме» или «вакансия», а отдел кадров регулярно рассылает информацию о продукции компании и прайс-листы потенциальным клиентам. Поэтому выработка списка исключений является чрезвычайно важной задачей. Наверняка, для разработки такого списка Вам потребуется консультация со стороны представителей всех отделов Вашей компании.

Стандарты обеспечения безопасности Внутренние стандарты

Как уже поняли из настоящего документа, Вы можете фильтровать конфиденциальную информацию, основываясь на наличии или отсутствии специальных ключевых фраз. Однако, если никто и никогда такие фразы в компании не применяет, эффективность работы фильтрующего программного обеспечения будет равна нулю. Поэтому следует подумать над тем, как утвердить хорошую практику установки на каждый конфиденциальный документ соответствующего «электронного штампа» и сохранения некоторых особо важных документов в шифрованном виде в закрытых разделах сервера.

Для передачи особо важных документов третьим лицам следует применять шифрацию. На сегодняшний момент на рынке работает огромное число компаний, предлагающих свои продукты в области криптозащиты. Перед выбором такого средства почитайте о стойкость шифров, а также оцените степень защищенности системы на основе результатов экспериментов ряда независимых экспертов.

Вложенные файлы

Вложенные файлы представляют собой реальную угрозу заражения вирусом. В свое время, когда вложенные файлы хранили в себе преимущественно текстовую информацию, возможности заразить их вирусом практически не существовало. Однако сегодня многие файлы данных по сложности не уступают небольшим программам. Вы не можете уверенно утверждать, что находится в файле до тех пор, пока не откроете его, однако если файл заражен - будет уже слишком поздно. Хорошей практикой является отсылка документов в формате RTF . Это позволяет отсылать текстовую информацию со всем необходимым оформлением, но без возможности внедрения макросов, а значит и без возможности «подцепить» и перенести заразу. Хотя мысль о полном запрете на пересылку вложенных файлов может выглядеть ужасной, стоит ее рассмотреть. Помимо обеспечения антивирусной безопасности, таким образом, можете предотвратить использование почтовой системы в целях передачи порнографических материалов, игр, мультимедийных файлов и т.д.

Размер писем

Стоит решить вопрос относительно размера писем, которые приходят в корпоративную сеть и отсылаются в Интернет. Обычно достаточно 10Мб. Важно не только остановить передачу больших файлов, но также показать пользователям, что существует множество способов более выходящих сообщений. Чаще всего такое ПО является надстройкой для известных и
популярных почтовых серверов. Однако, не всегда такое возможно: установка
антивирусного ПО на почтовый сервер требует определенной квалификации и собственно
наличия выделенного почтового сервера, что не всегда выполняется в небольших
компаниях.

3. Пользование услуг по антивирусной проверке третьих фирм. Входящая почта
перенаправляется на удаленный сервер, где проверяется и возвращается в сеть компании.
Этот метод очень хорошо себя зарекомендовал тем, что не требует обслуживания системы
- все эти действия производит сервисная компания.

Собственно еще всегда важно помнить, что антивирусное ПО обеспечивает требуемый уровень защиты только в том случае, если регулярно обновляется.

Защита от спама

1. Подумайте о том, чтобы заказать услуги третьих фирм, которые будут обеспечивать
фильтрацию Вашей почты на основе собственных спам-списков.

2. Подпишитесь на регулярную рассылку спам-листов. Большая часть средств фильтрации почтового трафика располагают средствами анализа подобных списков и использования их в работе.

3. Если пользователи регулярно получают спам, можно рассмотреть возможность
отключения вывода изображений в клиентском почтовом программном обеспечении. Это
предотвратит возможность скрытого сообщения об открытии сообщения спамерам.

4. М ожно также использовать возможности клиентского программного обеспечения для
отсеивания спам-сообщений. Однако следует иметь в виду, что существует опасность
отсева действительно важных сообщений.

Мониторинг и оценка состояния

Мониторинг является критически важной процедурой. «Правила без мониторинга - это тоже самое, что закон без полиции». Результаты мониторинга Вас могут сильно удивить после внедрения Правил - в среднем 35-40% почтовых сообщений переносят графические изображения, а 70-80% почтового трафика не имеет отношения к делу.

Регулярно оценивайте точность срабатывания правил обработки сообщений.

Поддерживайте связь с сотрудниками; прислушивайтесь к их мнению относительно Правил. Не переусердствовали ли Вы? Действительно нужно чувствовать меру и не нарушать нормальные бизнес-процессы; с другой стороны, однако, решения не должны носить половинчатого характера.

Будьте готовы подвергнуть Правила изменениям. Никакие правила или законы не могут носить абсолютного и неизменного во времени характера. По мере изменения Вашей компании должны меняться и Правила.

Дисциплинарные взыскания

Средства для анализа почтовых сообщений должны использоваться по назначению. Включайте мониторинг действий определенного сотрудника только в том случае, если есть существенные основания подозревать его в совершении действий, нарушающих Правила. Не ищите «плохих» сотрудников специально путем перлюстрации корреспонденции. Почтовые системы не смогут заменить хорошей практики управления в компании. И помните: любые Правила пользования почтой в компании должны быть внедрены- иначе они будут просто игнорироваться.

Описание политики

Данная политика определяет допустимое использование электронной почты (email) в компании.

Область применения

Настоящая политика является частью корпоративного менеджмента компании и распространяется на все корпоративные почтовые системы.

Политика использования электронной почты

Введение

Электронная почта одно из самых важных средств коммуникации в деловом мире. Сообщения быстро и удобно передаются по внутренним сетям и всему миру через интернет. Тем не менее, существуют риски при ведении бизнеса с помощью электронной почты, так как по сути электронная почта небезопасна, особенно за пределами корпоративной сети. Сообщения могут быть перехвачены, записаны, прочитаны, изменены и перенаправлены кому угодно, а иногда просто пропасть. Случайные комментарии могут быть поняты неправильно и привести к нарушению контрактов или судебным разбирательствам.

Основные принципы

А. Пользователи электронной почты должны избегать деятельность, нарушающую информационную безопасность.

Б. Корпоративная электронная почта должна использоваться в рамках должностных обязанностей. Все сообщения электронной почты в информационных системах и сетях считаются собственностью компании.

Требования политики

1. Не используйте электронную почту:

    Для отправки конфиденциальной/секретной информации если она не зашифрована криптографическим ПО, разрешенным к использованию в компании;

    Для создания, отправки, пересылки или хранения сообщений или вложений, которые могут считаться незаконными или оскорбительными простыми людьми, например, материалы сексуального характера, расистские, дискредитирующие, оскорбительные, непристойные, уничижительные, дискриминационные, угрожающие, беспокоящие или иные подобные сообщения;

    Для установления отношений с третьими сторонами, например, для заключения контрактов на покупку или продажу, отправки предложений о работе или прайс-листов, если это не входит в ваши служебные обязанности. Не изменяйте и не удаляйте уведомления, автоматически вставляемые в конце писем;

    В личных и благотворительных целях, не связанных с бизнесом организации;

    Образом, который может быть интерпретирован как официальная позиция или высказывание организации;

    Для отправки сообщения с чужого почтового ящика или от чужого имени (включая использование поддельного поля «ОТ»). Если это позволено руководством, секретарь может отослать письмо от имени сотрудника, подписав письмо собственным именем, указав по чьему поручению оно было отправлено.

    Для рассылки любых подрывных, оскорбительных, неэтичных, незаконных или иначе недопустимых материалов, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возрасте, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений или о национальном происхождении, гиперссылок или других ссылок на неприличные или очевидно оскорбительные веб-сайты и подобные материалы, шутки, массовые рассылки, предупреждений о вирусах и розыгрышей, обращений о помощи, вирусов или другого злонамеренного программного обеспечения;

    В любых других незаконных, неэтичных и неразрешенных целях.

2. Проявляйте профессиональное благоразумие при использовании электронной почты. Придерживайтесь общепринятых правил этикета при работе с электронной почтой (см. Правила безопасности электронной почты). Тщательно проверяйте сообщения перед отправкой, особенно при общении с внешними контрагентами.

3. Не раскрывайте без необходимости возможно непубличную информацию в сообщениях, уходящих за пределы компании.

4. Сообщения электронной почты автоматически сканируются в информационных системах на наличие вредоносных программ, спама и нешифрованной служебной или личной информации. К сожалению, процесс сканирования недостаточно эффективен (например, сжатые и шифрованые сообщения не могут быть полностью просканированы), поэтому нежелательная/сомнительная почта иногда попадает к пользователям. Удаляйте такие сообщения или сообщайте о них в службу поддержки.

5. Сотрудники не должны перехватывать, игнорировать, изменять, удалять, сохранять или публиковать сообщения кроме случаев, санкционированных руководством или в целях администрирования ИТ систем.

6. Ограниченное использование корпоративной электронной почты разрешается под ответственность руководства, учитывая, что это носит случайный и непостоянный характер и не мешает выполнению должностных обязанностей. Все сообщения, отправляемые в корпоративных системах и сетях подвергаются автоматическому сканированию и могут быть помещены в карантин и/или просмотрены уполномоченными сотрудниками.

7. Не используйте веб-сервисы Gmail, Hotmail, Yahoo или похожие почтовые системы третьих сторон (обычно называемые «вебмайл») в служебных целях. Не пересылайте и не перенаправляйте корпоративную электронную почту на внешние почтовые системы/системы третьих сторон. Вы можете пользоваться вашим личным почтовым ящиком с использованием корпоративных систем под ответственность руководства с учетом, что этот вид использования почты крайне ограничен и не считается личным использованием (см. выше).

8. Рационально подходите к числу и размеру сообщений которые вы отправляете и храните. Периодически очищайте ваш почтовый ящик, удаляя старые сообщения, которые больше не нужны и перемещая необходимые сообщения в соответствующие почтовые папки. Отправляйте важные письма в архив в соответствие с политикой архивирования почты.

Ответственность

Управление информационной безопасности отвечает за соблюдение требований настоящей политики. Будучи в тесной связи с другими бизнес-функциями управление ответственно за образовательную деятельность, имеющую целью повысить уровень осведомленности и понимания ответственности, обозначенной в данной политике.

Департамент ИТ отвечает за организацию, конфигурирование, использование и обслуживание оборудования для работы с электронной почтой (включая антиспам, антивирус и другие фильтры) в соответствие с данной политикой.

Служба ИТ поддержки отвечает за помощь сотрудникам в использовании электронной почты и служит центральным пунктом сбора сообщений об инцидентах с использованием электронной почты.

Все сотрудники, имеющие отношение к настоящей политике, несут ответственность за соблюдение данной и остальных корпоративных политик. Настоящая политика также относится к сотрудникам третьих организаций, работающих в тех же условиях независимо от того связаны ли они с политикой информационной безопасности компании явно (например, особыми пунктами контрактов) или не явно (например, общепринятыми нормами поведения).

Компания имеет право оценки выполнения требований настоящей политики в любое время.

Соответствие политик, стандартов и правил

Соответствие
Описание политик информационной безопасности Описывает набор правил безопасности в соответствие с ISO/IEC 27002, международным стандартным документом по практике управления информационной безопасностью
Политика архивирования электронной почты Разъясняет правила создания резервных копий, архивов и восстановления важных сообщений
Правила безопасного использования электронной почты, лучшие решения и т. д. Основные советы пользователям электронной почты, впервые вышедшие в сентябре 2007 года в рамках программы ознакомления с правилами информационной безопасности. Включает в себя правила почтового этикета, обращение с мошенническими и содержащими вирусы письмами и т. д.

Контакты

За дальнейшей информацией по настоящей политике и соблюдению требований информационной безопасности в целом, обращайтесь к менеджеру по информационной безопасности. Различные стандарты, процедуры, правила и другие материалы в отношение настоящей и других политик информационной безопасности находятся в справочнике по информационной безопасности организации, на корпоративном интранет-сайте и у менеджера по информационной безопасности. Сотрудники департамента ИТ и информационной безопасности также могут оказать поддержку при применении этой политики, обращайтесь к своему начальнику или в службу техподдержки.

Политика определяет разрешимое использование электронной почты в сетях предприятия. Такая политика является частью .

Электронная почта — один из главных методов коммуникации в деловом мире. Это удобно и быстро. Однако есть при использовании электронной почты, ибо использование ее небезопасно за пределами информационной сети предприятия. Сообщения отправленные через электронную почту в сеть интернет, могут быть перехвачены, прочитаны или перенаправлены. А это большой риск к разрушению деловых взаимодействий между предприятиями и тд.

Главные критерии работы с электронной почтой:

  • Сотрудник, который использует электронную почту должен избегать действия, которые нарушают .
  • Электронная почта предприятия должна использоваться только в рамках обязанностей сотрудников. Все сообщения такой почты на предприятии считаются собственностью предприятия

Политика безопасности электронной почты предполагает правила, которые нужно соблюдать. Нельзя использовать электронную почту:

  • Для пересылки информации если она не зашифрована специальным ПО, которое разрешено для использования на предприятии
  • Для пересылки, отправки или хранения информации в сообщениях, которая является незаконной или оскорбительной.
  • Не делать того, что не в ходит в ваши обязанности
  • Для отправки сообщения от чужого имени или с другого почтового ящика. Это разрешено руководством с единичных случаях, при создании пометки, что сообщения отправлено от другого имени. К примеру секретарь от имени директора отправляет письмо.
  • Рассылка неэтичных, оскорбительных или незаконных сообщений

При составлении письма, нужно придерживаться общепринятых правил этикета при работе с электронной почты. Без надобности, не раскрывать не публичные данные. При получении сомнительных писем не спешить открывать их. Можно обратиться с службу информационной безопасности. Также работники не имеют право игнорировать, удалять или изменять сообщения кроме ситуаций, когда такие действия санкционированы от руководства.

Все письма электронной почты предприятия проходят сканированию и могут быть прочтены уполномоченными сотрудниками для выявления угроз если таковы есть. Также письма могут помещаться в карантин в автоматическом режиме.

Ответственность

Служба информационной безопасности предприятия отвечает за соблюдения правил пользования электронной почты каждым сотрудником. Если есть тенденция несоблюдения правил, в ее компетенции входит разъяснительные действия с каждым сотрудником предприятия относительно того, какие последствия грозят при недооценки политики безопасности пользованием электронной почтой.

Отдел ИТ отвечает за настройку параметров реализации и обслуживания программного и аппаратного оборудования для работы с электронной почтой. Включая антиспам, и другие фильтры.

Все сотрудники, которые были осведомлены о данной политики, несут ответственность за соблюдение правил данной политики. Каждый сотрудник в любое время может обратиться в службу информационной безопасности по поводу консультации тех или иных действий относительно политики безопасности пользования электронной почты.