Bezpieczeństwo usług poczty elektronicznej – część 1

Pamiętacie jak mówiłam o tym, że świat bardzo szybko się zmienia? Zmieniają się regulacje, normy i standardy, zwłaszcza w dziedzinie bezpieczeństwa informacji. Często za nimi nie nadążamy za i dobrymi praktykami. Jeszcze jesienią 2018 roku oraz w styczniu 2019 roku Europejski Komitet Normalizacyjny (CEN) – główny autor europejskich norm, standardów i wymagań technicznych, we współpracy z Europejskim Instytutem Norm Telekomunikacyjnych (ETSI), opublikował szereg nowych standardów dla zarejestrowanych (certyfikowanych) elektronicznych usług albo serwisów pocztowych i zarejestrowanych dostaw elektronicznych. Dziś spróbujemy rozpatrzeć te pierwsze, czyli dotyczące usług albo serwisów zarejestrowanej poczty elektronicznej (Registered Electronic Mail, REM).

Usługi zarejestrowanej poczty elektronicznej (Registered Electronic Mail, REM) zostały opisane w następujących dokumentach:

  • ETSI EN 319 531 V1.1.1 (2019-01) «Podpisy elektroniczne i infrastruktura – zasady bezpieczeństwa i wymagania dla zarejestrowanych dostawców usług poczty elektronicznej» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Registered Electronic Mail Service Providers)
  • ETSI EN 319 532-1 V1.1.1 (2018-09) «Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 1: Koncepcja i architektura» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 1: Framework and architecture),
  • ETSI EN 319 532-2 V1.1.1 (2018-09) «Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 2: Zawartość/treść semantyczna» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 2: Semantic contents),
  • ETSI EN 319 532-3 V1.1.1 (2018-09) « Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 3: Formaty» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 3: Formats),
  • ETSI EN 319 532-4 V1.1.1 (2018-09) « Podpisy elektroniczne i infrastruktura – Zarejestrowane usługi poczty elektronicznej – Część 4: Profile interoperacyjności» (Electronic Signatures and Infrastructures (ESI); Registered Electronic Mail (REM) Services; Part 4: Interoperability profiles),
Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 1

W/w dokumenty mają na celu objąć i opisać wspólne i uznane na całym świecie wymogi dotyczące doręczania przesyłek elektronicznych w bezpieczny i niezawodny sposób.

ETSI EN 319 531 Podpisy elektroniczne i infrastruktura – zasady bezpieczeństwa i wymagania dla zarejestrowanych dostawców usług poczty elektronicznej

Skupimy się na ETSI EN 319 531, który ma zastosowanie u zarejestrowanych dostawców usług poczty elektronicznej (Registered Electronic Mail Service Provider – REMSP), świadczących swoje usługi na terenie UE określa ogólnie obowiązujące zasady dotyczące polityki i praktyk w zakresie bezpieczeństwa REMSP oraz świadczonych przez nich usług.
Dany dokument zawiera w sobie nie tylko ogólne regulacje/przepisy dotyczące polityki i praktyk, ale również ogólne przepisy dotyczące REMS w zakresie integralności i poufności wiadomości, identyfikacji i uwierzytelnienia nadawcy i odbiorcy, nawiązania do czasu, potwierdzenia/dowodów i ich zachowania, a także interoperacyjności. Nie uciekniemy również od oceny ryzyka, na podstawie którego będziemy mogli skutecznie zarządzać REMSP i zapewnić odpowiedni poziom bezpieczeństwa, który będzie uwzględniał:

  • wewnętrzną organizacje
  • niezawodność organizacji
  • podział obowiązków
  • zasoby ludzkie
  • zarządzanie aktywami
  • kontrolę dostępu
  • zabezpieczenia/kontrole kryptograficzne
  • bezpieczeństwo fizyczne i środowiskowe
  • bezpieczeństwo działania
  • bezpieczeństwo sieci
  • zarządzanie incydentami
  • gromadzenie dowodów dla wewnętrznych usług REMSP
  • zarządzanie ciągłością działania
  • zakończenie REMSP i plany terminacji REMS
  • compliance
Zobacz podobne  NIS vs NIS2

W następnych częściach rozpatrzymy inne wprowadzone normy dla zarejestrowanych (certyfikowanych) elektronicznych usług albo serwisów pocztowych i zarejestrowanych dostaw elektronicznych.
Potrzebujecie pomocy z implementacją norm i standardów w organizacji? Chętnie pomożemy, skontaktujcie się z naszym specjalistą.

Autor: Maryna Kuczyńska (2719)

Źródła:
ETSI EN 319 531 V1.1.1 (2019-01) Electronic Signatures and Infrastructures (ESI); Policy and security requirements for Registered Electronic Mail Service Providers
https://www.etsi.org/deliver/etsi_en/319500_319599/319531/01.01.01_60/en_319531v010101p.pdf


Scroll to Top