Защита писем, почтовых серверов и программ должна соответствовать важности информации, передаваемой по сетям. Как правило, должно осуществляться централизованное управление сервисами электронной почты. Должна быть разработана политика, в которой указывался бы нужный уровень защиты.
Примеры политик безопасности для электронной почты
Низкий риск:
· Пользователь
Использование служб электронной почты для целей, явно противоречащий интересам организации или противоречащих политикам безопасности организации – явно запрещено, так же как и чрезмерное использование ее в личных целях.
Использование адресов организации в письмах-пирамидах запрещено.
Организация предоставляет своим сотрудникам электронную почту для выполнения ими своих обязанностей. Ограниченное использование ее в личных целях разрешается, если оно не угрожает организации.
Использование электронной почты таким образом, что это помогает получать личную коммерческую выгоду, запрещено.
· Менеджер
Все сотрудники должны иметь адреса электронной почты.
Справочники электронных адресов должны быть доступны для общего доступа.
Если организация обеспечивает доступ к электронной почте внешних пользователей, таких как консультанты, контрактные служащие или партнеры, они должны прочитать политику доступа к электронной почте и расписаться за это.
Содержимое почтовых сообщений считается конфиденциальным, за исключением случая проведения расследований органами внутренних дел.
· Сотрудник отдела автоматизации
POP-сервер должен быть сконфигурирован так, чтобы исключать использование незашифрованных паролей с локальных машин.
Средний риск имеют:
· Пользователь
Электронная почта предоставляется сотрудникам организации только для выполнения ими своих служебных обязанностей. Использование ее в личных целях запрещено.
Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.
Могут использоваться только утвержденные почтовые программы.
Нельзя устанавливать анонимные ремэйлеры
Служащим запрещено использовать анонимные ремэйлеры
· Менеджер
Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты.
Если будет установлено, что сотрудник неправильно использует электронную почту с умыслом, он будет наказан.
· Сотрудник отдела автоматизации
Почтовая система должна обеспечивать только один внешний электронный адрес для каждого сотрудника. Этот адрес не должен содержать имени внутренней системы или должности
Должен вестись локальный архив MIME-совместимых программ для просмотра специальных форматов и быть доступен для внутреннего использования.
Высокий риск:
· Пользователь
Электронная почта предоставляется сотрудникам организации только для выполнения своих служебных обязанностей. Использование ее в личных целях запрещено.
Все электронные письма, создаваемые и хранимые на компьютерах организации, являются собственностью организации и не считаются персональными.
Организация оставляет за собой право получить доступ к электронной почте сотрудников, если на то будут веские причины. Содержимое электронного письма не может быть раскрыто, кроме как с целью обеспечения безопасности или по требованию правоохранительных органов.
Пользователи не должны позволять кому-либо посылать письма, используя их идентификаторы. Это касается их начальников, секретарей, ассистентов или других сослуживцев.
Организация оставляет за собой право осуществлять наблюдение за почтовыми отправлениями сотрудников. Электронные письма могут быть прочитаны организацией даже если они были удалены и отправителем, и получателем. Такие сообщения могут использоваться для обоснования наказания.
· Менеджер
Справочники электронных адресов сотрудников не могут быть сделаны доступными всем.
Если с помощью электронного письма должна быть послана конфиденциальная информация или информация, являющаяся собственностью организации, она должна быть зашифрована так, чтобы ее мог прочитать только тот, кому она предназначена, с использованием утвержденных в организации программ и алгоритмов.
Никто из посетителей, контрактников или временных служащих не имеет права использовать электронную почту организации.
Должно использоваться шифрование все информации, классифицированной как критическая или коммерческая тайна, при передаче ее через открытые сети, такие как Интернет.
Выходящие сообщения могут быть выборочно проверены, чтобы гарантировать соблюдение политики.
· Сотрудник отдела автоматизации
Входящие письма должны проверяться на вирусы или другие РПС.
Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не на компьютеры организации.
Журналы почтовых серверов должны проверяться на предмет выявления использования неутвержденных почтовых клиентов сотрудниками организации, и о таких случаях должно докладываться.
Почтовые клиенты должны быть сконфигурированы так, чтобы каждое сообщение подписывалось с помощью цифровой подписи отправителя.
ЗАКЛЮЧЕНИЕ
В данной работе было рассмотрено понятие электронной почты. Названы основные угрозы, связанные с электронной почтой, а также способы защиты электронной почты и политику защиты электронных писем и почтовых систем.
Изучив материалы по этой теме, можно сделать следующие выводы.
Угрозы, связанные с электронной почтой:
1. Фальшивые адреса отправителя.
2. Перехват письма.
Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Интернету.
3. Почтовые бомбы.
Почтовая бомба – это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя.
4. Угрожающие письма.
Способы защиты электронной почты:
1. Защита от фальшивых адресов. От этого можно защититься с помощью использования шифрования для присоединения к письмам электронных подписей. Одним популярным методом является использование шифрования с открытыми ключами.
2. Защита от перехвата. От него можно защититься с помощью шифрования содержимого сообщения или канала, по которому он передается. Если канал связи зашифрован, то системные администраторы на обоих его концах все-таки могут читать или изменять сообщения.
Все служащие должны использовать электронную почту так же, как и любое другое официальное средство организации. Из этого следует, что когда письмо посылается, как отправитель, так и получатель должен гарантировать, что взаимодействие между ними осуществляется согласно принятым правилам взаимодействия.
Как правило, должно осуществляться централизованное управление сервисами электронной почты. Должна быть разработана политика, в которой указывался бы нужный уровень защиты.
Цель и задачи данной работы достигнуты.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Гутман Б., Бэгвилл Р. Политика безопасности при работе в Интернете - техническое руководство. – National Institute of Standards and Technology (NIST), 2013. – 102 с.
2. Домарев В.В. Название: Безопасность информационных технологий. Методология создания систем защиты Издательство: ТИД Диа Софт, 2006. – 688 с.
3. Кузнецов А.А. Защита деловой переписки (секреты безопасности). – М.: Изд-во Экзамен, 2008. – 239 с.
4. Могилев А.В. Информатика. — М.: Издательский центр «Академия», 2007. — 848 с.
5. Павел Данилов. Электронная почта. Народные советы. – СПб.: БХВ-Петербург, 2007. – 464 с.
6. А.В. Михайлов. Электронная почта и ее защита. – М.: Диалог-МИФИ, 2008. – 128 с.
7. А.А. Орлов, Н.В. Богданов-Катьков, А.А. Гор. Полная энциклопедия Интернета. – М.: АСТ, Сова, ВКТ, Кладезь, 2008. – 896 с.
8. А.Ю. Даниленко. Безопасность систем электронного документооборота. Технология защиты электронных документов. – М.: Ленанд, 2015. – 232 с.
9. Экслер Алекс. Все об электронной почте. – НТ Пресс, 2006. – 304с.
10. Ю.Л. Беньяш. Освоение персонального компьютера и работа с документами. – М.: Горячая Линия - Телеком, 2001. – 580 с.
11. Сергей Симонович, Виктор Мураховский. Персональный компьютер. – М.: Олма-Пресс, Олма Медиа Групп, Развитие, 2007. – 304 с.
12. Игорь Ощенко. Учимся работать на компьютере (+ CD-ROM). – СПб.: БХВ-Петербург, 2009. – 464 с.
13. Д.Н. Колисниченко. Интернет. От "чайника" к пользователю. – СПб.: БХВ-Петербург, 2012. – 512 с.
14. Татьяна Сибрина, Александр Полонский. Компьютер для офиса. Приемы грамотной и эффективной работы. – СПб.: БХВ-Петербург, 2008. – 528 с.
15. Игорь Ощенко. Учимся работать на компьютере (+ CD-ROM). – СПб.: БХВ-Петербург, 2009. – 464 с.