Pamiętacie jak mówiłam o tym, że świat bardzo szybko się zmienia? Zmieniają się regulacje, normy i standardy, zwłaszcza w dziedzinie bezpieczeństwa informacji. Często za nimi nie nadążamy za i dobrymi praktykami. Jeszcze jesienią 2018 roku oraz w styczniu 2019 roku Europejski Komitet Normalizacyjny (CEN) – główny autor europejskich norm, standardów i wymagań technicznych, we współpracy z Europejskim Instytutem Norm Telekomunikacyjnych (ETSI), opublikował szereg nowych standardów dla zarejestrowanych (certyfikowanych) elektronicznych usług albo serwisów pocztowych i zarejestrowanych dostaw elektronicznych. Dziś spróbujemy rozpatrzeć te pierwsze, czyli dotyczące usług albo serwisów zarejestrowanej poczty elektronicznej (Registered Electronic Mail, REM).
Usługi zarejestrowanej poczty elektronicznej (Registered Electronic Mail, REM) zostały opisane w następujących dokumentach:
- ETSI EN 319 531 V1.1.1 (2019-01) «Podpisy elektroniczne i infrastruktura – zasady bezpieczeństwa i wymagania dla zarejestrowanych dostawców usług poczty elektronicznej» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Registered Electronic Mail Service Providers)
- ETSI EN 319 532-1 V1.1.1 (2018-09) «Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 1: Koncepcja i architektura» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 1: Framework and architecture),
- ETSI EN 319 532-2 V1.1.1 (2018-09) «Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 2: Zawartość/treść semantyczna» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 2: Semantic contents),
- ETSI EN 319 532-3 V1.1.1 (2018-09) « Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 3: Formaty» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 3: Formats),
- ETSI EN 319 532-4 V1.1.1 (2018-09) « Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 4: Profile interoperacyjności» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 4: Interoperability profiles),
W/w dokumenty mają na celu objąć i opisać wspólne i uznane na całym świecie wymogi dotyczące doręczania przesyłek elektronicznych w bezpieczny i niezawodny sposób.
ETSI EN 319 531 Podpisy elektroniczne i infrastruktura – zasady bezpieczeństwa i wymagania dla zarejestrowanych dostawców usług poczty elektronicznej
Skupimy się na ETSI EN 319 531, który ma zastosowanie u zarejestrowanych dostawców usług poczty elektronicznej (Registered Electronic Mail Service Provider – REMSP), świadczących swoje usługi na terenie UE określa ogólnie obowiązujące zasady dotyczące polityki i praktyk w zakresie bezpieczeństwa REMSP oraz świadczonych przez nich usług.
Dany dokument zawiera w sobie nie tylko ogólne regulacje/przepisy dotyczące polityki i praktyk, ale również ogólne przepisy dotyczące REMS w zakresie integralności i poufności wiadomości, identyfikacji i uwierzytelnienia nadawcy i odbiorcy, nawiązania do czasu, potwierdzenia/dowodów i ich zachowania, a także interoperacyjności. Nie uciekniemy również od oceny ryzyka, na podstawie którego będziemy mogli skutecznie zarządzać REMSP i zapewnić odpowiedni poziom bezpieczeństwa, który będzie uwzględniał:
- wewnętrzną organizacje
- niezawodność organizacji
- podział obowiązków
- zasoby ludzkie
- zarządzanie aktywami
- kontrolę dostępu
- zabezpieczenia/kontrole kryptograficzne
- bezpieczeństwo fizyczne i środowiskowe
- bezpieczeństwo działania
- bezpieczeństwo sieci
- zarządzanie incydentami
- gromadzenie dowodów dla wewnętrznych usług REMSP
- zarządzanie ciągłością działania
- zakończenie REMSP i plany terminacji REMS
- compliance
W następnych częściach rozpatrzymy inne wprowadzone normy dla zarejestrowanych (certyfikowanych) elektronicznych usług albo serwisów pocztowych i zarejestrowanych dostaw elektronicznych.
Potrzebujecie pomocy z implementacją norm i standardów w organizacji? Chętnie pomożemy, skontaktujcie się z naszym specjalistą.
Autor: Maryna Kuczyńska (2719)
Źródła: ETSI EN 319 531 V1.1.1 (2019-01) Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Registered Electronic Mail Service Providers https://www.etsi.org/deliver/etsi_en/319500_319599/319531/01.01.01_60/en_319531v010101p.pdf