Материал помещен в архив

ЗАЩИТА ЭЛЕКТРОННОЙ ПОЧТЫ, ИСПОЛЬЗУЕМОЙ В ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИИ

Цели защиты электронной почты

Любые документы - как бумажные, так и электронные - на протяжении всего их жизненного цикла подвержены ряду угроз (сохранности, целостности, доступности, конфиденциальности). Уже сам по себе факт документирования информации резко увеличивает степень угрозы для ее безопасности и конфиденциальности. Риск проявления тех или иных угроз в отношении информации существует на всех стадиях ее перемещения и обращения к ней. В связи с этим документированная информация, пересылаемая посредством системы электронной почты организации, подлежит защите.

Защита электронной почты ставит перед собой цели предотвращения неправомерного доступа, утраты, несанкционированного уничтожения, модификации, копирования, распространения сообщений электронной почты, блокирования правомерного доступа, а также иных неправомерных действий в отношении системы электронной почты организации и циркулирующих в ней сообщений.

Комплекс мер по защите электронной почты

Организация защиты электронной почты подразумевает применение комплекса мер: правовых, организационных и технических (программно-технических).

Правовые меры заключаются в закреплении ответственности работников за нарушение установленного порядка защиты, определении перечня защищаемых сведений, прав и порядка доступа к защищаемой информации, заключении соглашений (договоров) со сторонними организациями и частными лицами о порядке защиты предоставляемой им или получаемой от них информации и т.д.

Организационные меры включают создание особого режима допуска на территории (в помещении), где может быть осуществлен доступ к информации (материальным носителям информации), разграничение доступа к информации по кругу лиц и характеру информации и т.д.

К техническим (программно-техническим) мерам по защите информации относятся меры по использованию надежных средств хранения информации, а также ее защиты, в т.ч. криптографических средств, систем контроля доступа и регистрации фактов доступа к информации, средств бесперебойного электропитания и т.д.

Определение порядка доступа к электронной почте

Устанавливаемые правила защиты системы электронной почты организации должны предусматривать порядок доступа различных работников к ней в зависимости от предоставленных полномочий на ознакомление и работу с определенными категориями информации. Данный порядок включает, в частности, категорирование информации, циркулирующей в системе электронной почты, по уровню доступа на основе ценности и конфиденциальности, а также установление прав доступа работников к электронной почте в соответствии с функциональными обязанностями и прав на совершение возможных действий (просмотр, удаление, копирование, распечатка и т.д.).

Использование электронной почты в организациях нередко индивидуализировано (т.е. каждый работник имеет свой персональный ящик, доступ к которому, как правило, ограничен паролем, известным только этому работнику). Для того чтобы такой важный элемент защиты, как использование парольного доступа к системе электронной почты, был действительно эффективным, каждый работник должен знать следующие основные требования по использованию паролей:

• запрещается сообщать личные пароли другим работникам, за исключением случаев, установленных локальными правовыми актами организации (например, службе безопасности или руководству);

• не допускается хранить пароли в открытом виде в общедоступных местах (например, записывать на самоклеящуюся бумагу и прикреплять ее на монитор компьютера, оставлять среди записей на рабочем столе и т.д.);

• запрещается хранить пароли в незашифрованном виде на жестком диске компьютера, на сменных носителях (дискетах, CD-дисках, флэш-картах и т.д.).

Требования к паролю

Необходимо помнить, что не допускается использовать в качестве паролей словарные слова, имена собственные, в т.ч. фамилии, имена и отчества, географические названия, даты рождения, номер паспорта, девичью фамилию матери, иные отдельные слова (особенно существительные) и т.д.

При выборе пароля необходимо учитывать его сложность: чем сложнее пароль, тем меньше вероятность его взлома или подбора злоумышленником. Как правило, рекомендуется выбирать длинные пароли. При этом пароль рекомендуется составлять не только из букв разного регистра (больших и маленьких), но также цифр, знаков препинания и специальных символов (@, #, $, !, & и т.п.).

Подобные требования нередко вызывают нарекания работников, поскольку, к примеру, запомнить пароль типа «A3#fsdf9» сложнее, чем более простой, но слишком очевидный «qwerty» или «Katja». Вместе с тем даже сложный для взлома пароль можно легко запомнить, если при его составлении использовать указанные ниже способы:

• заменять буквы на похожие по начертанию символы: $ вместо буквы «s», ноль вместо буквы «о», @ вместо буквы «а» и т.д. Например, вместо слова «soroka» можно получить «$0r0k@»;

• набирать русские слова в английской раскладке. Например, слово «Беларусь» в английской раскладке представляет собой «<tkfhecm»;

• использовать легко запоминающиеся фразы (словосочетания) или же первые буквы таких фраз и словосочетаний. Например, пароль на основе фразы «каждый охотник желает знать, где сидит фазан» будет «кожз,гсф» (или «kojz,gsf», если пароль допускается составлять только из символов латинского алфавита).

В качестве фразы-пароля может служить слитно написанная поговорка, в т.ч. в английской раскладке (например, «гдеум,тамитолк» или «ultev?nfvbnjkr»).

Соблюдение указанных правил по выбору и использованию пароля доступа к электронной почте должно подкрепляться регулярной сменой такого пароля.

При внедрении персонального парольного доступа к электронной почте необходимо предусмотреть, чтобы в случае увольнения работника или его длительного отсутствия доступ к его электронной почте (почтовому ящику) мог быть предоставлен уполномоченным лицам (например, руководителю соответствующего структурного подразделения, службе документационного обеспечения управления, службе безопасности, лицу, заменяющему отсутствующего работника (временно исполняющему его обязанности) и т.д.). Данный вопрос может быть решен путем:

1) хранения сведений о персональных паролях доступа в уполномоченном структурном подразделении (службе безопасности, службе информационных технологий и т.д.) или у уполномоченного работника (системного администратора или др.);

2) наличия возможности аннулирования (сброса) персональных паролей уполномоченным структурным подразделением или работником (службой безопасности, службой информационных технологий, системным администратором и т.д.);

3) автоматического перенаправления сообщений, поступающих в персональный ящик отсутствующего работника, на другой адрес электронной почты, определенный уполномоченным должностным лицом организации.

Резервное копирование

Для защиты электронной почты организации от уничтожения необходимо использовать программно-технические средства ее резервного копирования. В этих целях в организации необходимо разработать график выполнения процедур резервного копирования (см. ниже), в котором указываются:

1) категории документов электронной почты, подлежащих резервному копированию;

2) частота резервного копирования;

3) устройства хранения и места размещения файлов резервных копий;

4) работники, выполняющие процедуры резервного копирования и отвечающие за сохранность резервных копий (системные администраторы, работники отдела информационных технологий, ответственные работники структурных подразделений и т.д.).

При установлении в организации порядка резервного копирования электронной почты необходимо учитывать, что сообщения электронной почты могут автоматически удаляться с корпоративного почтового сервера при их копировании в почтовые клиенты (программы сбора почты), которыми пользуются работники. В подобной ситуации задачи по резервному копированию возлагаются на самих работников, хранящих единственные экземпляры поступивших (отправленных) сообщений, либо возлагаются на иных ответственных работников, наделенных правомерным доступом к почтовым клиентам, в которых хранятся такие документы.

27.06.2012 г.

Андрей Сукач, заведующий отделом документоведения Белорусского научно-исследовательского института документоведения и архивного дела