ГОСТ Р ИСО/МЭК 17799—2005
Необходимо обеспечивать устойчивость к вирусным атакам в процессе проведения электронной
торговли, а также предусматривать последствия для безопасности всех сетевых взаимосвязей при ее
осуществлении (9.4.7).
8.7.4 Безопасность электронной почты
8.7.4.1 Риски безопасности
Электронная почта используется для обмена служебной информацией, заменяя традиционные
формы связи, такие как телекс и почта. Электронная почта отличается от традиционных форм биз
нес-коммуникаций скоростью, структурой сообщений, определенной упрощенностью, а также уязви
мостью к неавторизованным действиям. При этом необходимо учитывать потребность в средствах
контроля для уменьшения рисков безопасности, связанных с электронной почтой. При оценке рисков
безопасности необходимо учитывать, в частности:
- уязвимость сообщений по отношению к возможности неавторизованногодоступа или модифика
ции, а также к отказу в обслуживании;
- повышенную чувствительностьк ошибкам, например указанию ошибочного или неверногоадре
са, а также к общей надежности и доступность данной услуги,
- влияние изменения средств передачи информации на бизнес-процессы, например эффект от
увеличенной скорости доставки сообщений, а также эффект, связанный с обменом официальными
сообщениями между людьми, а не между организациями;
- юридические вопросы, такие каквозможная необходимостьв доказательстве авторствасообще
ния, а также фактов ее отправки, доставки и получения;
- последствия, связанные с приданием гласности списка сотрудников, имеющих электронную
почту:
- вопросы, связанные с управлением удаленным доступом к электронной почте.
8.7.4.2 Политика в отношении электронной почты
Организациямследуетвнедритьчеткиеправилаиспользованияэлектроннойпочты, предусматри
вающие следующие аспекты:
- вероятность атаки на электронную почту (вирусы, перехват);
- защиту вложений в сообщения электронной почты;
- данные, при передаче которых не следует пользоваться электронной почтой;
- исключениевозможности компрометацииорганизациисостороны сотрудников, например, путем
рассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электрон
ной почты с целью неавторизованных покупок;
- использование криптографических методов для защиты конфиденциальности и целостности
электронных сообщений (10.3);
- хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебных
разбирательств;
- дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифициро
ваны.
8.7.5 Безопасность электронных офисных систем
Необходимо разработать и внедрить политики безопасности и руководства с целью управления
рисками бизнеса и информационной безопасностью, связанныес электронными офисными системами.
Эти системы обеспечивают возможностидля быстрого распространения исовместного использования
служебной информации путем использования сочетания возможностей документов, компьютеров,
переносныхкомпьютеров, мобильных средствсвязи, почты, электроннойпочты, речевой связи вообще,
мультимедийных систем, сервисов доставки почтовых отправлений и факсов.
Необходимо учитывать последствия для информационной безопасности и бизнес-процессов от
взаимодействия вышеуказанных средств, в частности:
- уязвимость информации в офисных системах, связана, например, с записью телефонных разго
воровили переговоров поконференц-связи, конфиденциальностьюзвонков, хранением факсов, вскры
тием и рассылкой почты:
- уязвимость информации, предназначенной для совместного использования, например, при
использовании корпоративных электронных досок объявления (9.1);
- исключениеиспользованияофисныхсистем вотношении категорий важной служебной информа
ции, если эти системы не обеспечивают соответствующий уровень защиты (5.2);
- уязвимостьдоступа кданнымличныхежедневниковотдельныхсотрудников, например, работаю
щих на важных проектах:
- возможность или невозможностьофисныхсистем поддерживать бизнес-приложения, например,
в части передачи заказов или авторизации;
26