ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью.

- влияние изменения средств передачи информации на бизнес-процессы, например эффект от увеличенной скорости доставки сообщений, а также эффект, связанный с обменом официальными сообщениями между людьми, а не между организациями;

- юридические вопросы, такие как возможная необходимость в доказательстве авторства сообщения, а также фактов ее отправки, доставки и получения;

- последствия, связанные с приданием гласности списка сотрудников, имеющих электронную почту;

- вопросы, связанные с управлением удаленным доступом к электронной почте.

8.7.4.2 Политика в отношении электронной почты

Организациям следует внедрить четкие правила использования электронной почты, предусматривающие следующие аспекты:

- вероятность атаки на электронную почту (вирусы, перехват);

- защиту вложений в сообщения электронной почты;

- данные, при передаче которых не следует пользоваться электронной почтой;

- исключение возможности компрометации организации со стороны сотрудников, например, путем рассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электронной почты с целью неавторизованных покупок;

- использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений (10.3);

- хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебных разбирательств;

- дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифицированы.

8.7.5 Безопасность электронных офисных систем

Необходимо разработать и внедрить политики безопасности и руководства с целью управления рисками бизнеса и информационной безопасностью, связанные с электронными офисными системами. Эти системы обеспечивают возможности для быстрого распространения и совместного использования служебной информации путем использования сочетания возможностей документов, компьютеров, переносных компьютеров, мобильных средств связи, почты, электронной почты, речевой связи вообще, мультимедийных систем, сервисов доставки почтовых отправлений и факсов.

Необходимо учитывать последствия для информационной безопасности и бизнес-процессов от взаимодействия вышеуказанных средств, в частности:

- уязвимость информации в офисных системах, связана, например, с записью телефонных разговоров или переговоров по конференц-связи, конфиденциальностью звонков, хранением факсов, вскрытием и рассылкой почты;

- уязвимость информации, предназначенной для совместного использования, например, при использовании корпоративных электронных досок объявления (9.1);

- исключение использования офисных систем в отношении категорий важной служебной информации, если эти системы не обеспечивают соответствующий уровень защиты (5.2);

- уязвимость доступа к данным личных ежедневников отдельных сотрудников, например, работающих на важных проектах;

- возможность или невозможность офисных систем поддерживать бизнес-приложения, например, в части передачи заказов или авторизации;

- категории сотрудников, подрядчиков или деловых партнеров, которым разрешено использовать систему и рабочие места, с которых может осуществляться к ней доступ (4.2);

- ограничение определенных возможностей системы для определенных категорий пользователей;

- идентификацию статуса пользователей, например служащих организации или подрядчиков, в отдельных директориях, для удобства других пользователей;

- сохранение и резервирование информации, содержащейся в системе (12.1.3, 8.4.1);

- требования по переходу на аварийный режим работы и перечень соответствующих мероприятий (11.1).

8.7.6 Системы публичного доступа

Следует уделять внимание защите целостности информации, опубликованной электронным способом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутации организации, поместившей эту информацию. Информацию системы публичного доступа, например информацию на Web-сайте, доступную через Интернет, возможно, потребуется привести в соответствие с законодательством и регулирующими нормами страны, под юрисдикцией которых находится система или осуществляется торговля. Необходим соответствующий формализованный процесс авторизации прежде, чем информация будет сделана общедоступной.