Необходимо обеспечивать устойчивость к вирусным атакам в процессе проведения электронной торговли, а также предусматривать последствия для безопасности всех сетевых взаимосвязей при ее осуществлении (9.4.7).

8.7.4 Безопасность электронной почты

8.7.4.1 Риски безопасности Электронная почта используется для обмена служебной информацией, заменяя традиционные

формы связи, такие как телекс и почта. Электронная почта отличается от традиционных форм бизнескоммуникаций скоростью, структурой сообщений, определенной упрощенностью, а также уязвимостью к неавторизованным действиям. При этом необходимо учитывать потребность в средствах контроля для уменьшения рисков безопасности, связанных с электронной почтой. При оценке рисков безопасности необходимо учитывать, в частности:

-уязвимость сообщений по отношению к возможности неавторизованного доступа или модифика­ ции, а также к отказу в обслуживании;

-повышенную чувствительность к ошибкам, например указанию ошибочного или неверного адреса,

атакже к общей надежности и доступность данной услуги;

-влияние изменения средств передачи информации на бизнес-процессы, например эффект от увеличенной скорости доставки сообщений, а также эффект, связанный с обменом официальными сообщениями между людьми, а не между организациями;

-юридические вопросы, такие как возможная необходимость в доказательстве авторства сообще­ ния, а также фактов ее отправки, доставки и получения;

-последствия, связанные с приданием гласности списка сотрудников, имеющих электронную почту;

-вопросы, связанные с управлением удаленным доступом к электронной почте.

8.7.4.2 Политика в отношении электронной почты Организациям следует внедрить четкие правила использования электронной почты, предусматри­

вающие следующие аспекты:

-вероятность атаки на электронную почту (вирусы, перехват);

-защиту вложений в сообщения электронной почты;

-данные, при передаче которых не следует пользоваться электронной почтой;

-исключение возможности компрометации организации со стороны сотрудников, например, путем рассылки дискредитирующих и оскорбительных сообщений, использование корпоративной электронной почты с целью неавторизованных покупок;

-использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений (10.3);

-хранение сообщений, которые, в этом случае, могли бы быть использованы в случае судебных разбирательств;

-дополнительные меры контроля обмена сообщениями, которые не могут быть аутентифициро­

ваны.

8.7.5 Безопасность электронных офисных систем

Необходимо разработать и внедрить политики безопасности и руководства с целью управления

рисками бизнеса и информационной безопасностью, связанные с электронными офисными системами. Эти системы обеспечивают возможности для быстрого распространения и совместного использования служебной информации путем использования сочетания возможностей документов, компьютеров, переносных компьютеров, мобильных средств связи, почты, электронной почты, речевой связи вообще, мультимедийных систем, сервисов доставки почтовых отправлений и факсов.

Необходимо учитывать последствия для информационной безопасности и бизнес-процессов от взаимодействия вышеуказанных средств, в частности:

-уязвимость информации в офисных системах, связана, например, с записью телефонных разго­ воров или переговоров по конференц-связи, конфиденциальностью звонков, хранением факсов, вскры­ тием и рассылкой почты;

-уязвимость информации, предназначенной для совместного использования, например, при использовании корпоративных электронных досок объявления (9.1);

-исключение использования офисных систем в отношении категорий важной служебной информа­ ции, если эти системы не обеспечивают соответствующий уровень защиты (5.2);

-уязвимость доступа к данным личных ежедневников отдельных сотрудников, например, работаю­ щих на важных проектах;

-возможность или невозможность офисных систем поддерживать бизнес-приложения, например, в части передачи заказов или авторизации;

26

-категории сотрудников, подрядчиков или деловых партнеров, которым разрешено использовать систему и рабочие места, с которых может осуществляться к ней доступ (4.2);

-ограничение определенных возможностей системы для определенных категорий пользователей;

-идентификацию статуса пользователей, например служащих организации или подрядчиков, в отдельных директориях, для удобства других пользователей;

-сохранение и резервирование информации, содержащейся в системе (12.1.3, 8.4.1);

-требования по переходу на аварийный режим работы и перечень соответствующих мероприятий

(11.1).

8.7.6 Системы публичного доступа

Следует уделять внимание защите целостности информации, опубликованной электронным спо­

собом, чтобы предотвратить неавторизованную модификацию, которая могла бы навредить репутации организации, поместившей эту информацию. Информацию системы публичного доступа, например информацию на Web-сайте, доступную через Интернет, возможно, потребуется привести в соответствие с законодательством и регулирующими нормами страны, под юрисдикцией которых находится система или осуществляется торговля. Необходим соответствующий формализованный процесс авторизации прежде, чем информация будет сделана общедоступной.

Программное обеспечение, данные и другую информацию, требующую высокого уровня целост­ ности, доступ к которой осуществляется через системы публичного доступа, необходимо защищать адекватными способами, например, посредством цифровой подписи (10.3.3). Системы, предоставляющие возможность электронной публикации информации, обратной связи и непосредственного ввода информации, должны находиться под надлежащим контролем с тем, чтобы:

-полученная информация соответствовала всем законам по защите данных (12.1.4);

-информация, введенная в систему электронной публикации, обрабатывалась своевременно, полностью и точно;

-важная информация была защищена в процессе ее сбора и хранения;

-доступ к системе электронной публикации исключал бы возможность непреднамеренного доступа к сетям, с которыми она связана.

8.7.7 Другие формы обмена информацией

Необходимо предусмотреть наличие процедур и мероприятий по управлению информационной

безопасностью с целью защиты процесса обмена информацией посредством речевых, факсимильных и видеосредств коммуникаций. Информация может быть скомпрометирована из-за недостаточной осве­ домленности сотрудников по использованию средств передачи информации. В частности, информация может быть подслушана при переговорах по мобильному телефону в общественном месте, а также с автоответчиков; информация может также быть скомпрометированной вследствие неавторизованного доступа к системе голосовой почты или случайной отсылки факсимильных сообщений неправильному адресату.

Бизнес-операции могут быть нарушены и информация может быть скомпрометирована в случае отказа, перегрузки или прерывания в работе средств взаимодействия (7.2 и раздел 11). Информация может быть скомпрометирована, если к ней имели место доступ неавторизованные пользователи (раздел 9).

Следует сформулировать четкие требования по соблюдению процедур, которым должны следовать сотрудники при использовании речевой, факсимильной и видеосвязи. В частности, необходимо предусмотреть следующее:

а) напоминание сотрудникам о необходимости принятия соответствующих мер предосторож ности, например, для исключения подслушивания или перехвата информации при использовании теле фонной связи:

1)лицами, находящимися в непосредственной близости, особенно при пользовании мобильными телефонами;

2)прослушивания телефонных переговоров путем физического доступа к трубке, телефонной линии или с использованием сканирующих приемников при применении аналоговых мобильных телефонов;

3)посторонними лицами со стороны адресата;

б) напоминание сотрудникам о том, что не следует вести конфиденциальные беседы в общественных местах, открытых офисах и в переговорных комнатах с тонкими стенами;

в) не оставлять сообщений на автоответчиках, переадресация на которые произошла вслед ствие ошибки соединения, или автоответчиках операторов связи, поскольку эти сообщения могут быть воспроизведены неавторизованными лицами;

27