Электронная почта является основным инструментом для обмена конфиденциальной информацией внутри организации и с внешними заинтересованными сторонами. Вот почему очень важным аспектом информационной безопасности является защита этого канала обмена информацией. Чтобы обеспечить достаточный уровень безопасности стоит обратить внимание на сервисы, службы, услуги и поставщиков, которые используются нами. Важно, чтобы они соответствовали ряду требований информационной безопасности, применяли международные стандарты, такие как ISO/IEC 27001, ISO 22301, стандарты типа NIST и европейские серии ETSI EN, а также хорошие практики и передовой опыт.
Конечно, существует множество норм и стандартов, и в них очень легко потеряться, особенно потому, что они довольно регулярно обновляются и выпускаются новые. Мы рекомендуем подписаться на новостную рассылку нашего Института, чтобы не отставать от обновляющихся требований.
В данной статье мы рассмотрим один из “свежих” европейских стандартов, который был принят в 2019 году – это стандарт ETSI EN 319 521 V1.1.1 – Электронные подписи и инфраструктура (ESI) – Требования к политике и безопасности для зарегистрированных поставщиков услуг электронной доставки.
Стандарт определяет общеприменимые требования политики и безопасности для поставщиков зарегистрированных электронных услуг или зарегистрированных услуг электронной доставки (ERDSP), включая предоставляемые ими услуги.
Содержание стандарта ETSI EN 319 521?
Стандарт включает в себя требования, которые описаны в разделах 4-7:
• общие положения, касающиеся политики и практики;
• общие положения по ERDS;
• оценка рисков;
• управление и эксплуатация ERDSP.
Общие положения, касающиеся политики и практики включают кодекс ERDSP, общие положения, практические инструкции для QERDSP в ЕС, резолюции и условия, а также политику информационной безопасности.
В разделе Общие положения касающиеся ERDS описывают требования к целостности и конфиденциальности пользовательского контента; идентификацию и аутентификацию пользователей; эталонное время, события и доказательства, а также совместимость.
Не удивительно, что отдельная глава в стандарте посвящена оценке риска, потому что подход, основанный на оценке риска, стал неотъемлемой частью норм и стандартов безопасности и не только.
Раздел «Управление и эксплуатация ERDSP» является наиболее обширным и определяет такие вопросы, как внутренняя организация, включая организационную надежность и разделение обязанностей; человеческие ресурсы; управление активами; контроль доступа; криптографическая безопасность; физическая и экологическая безопасность; безопасность операций; сетевая безопасность; управление инцидентами; сбор доказательств для внутренних служб ERDSP; управление непрерывностью бизнеса; планы завершения/окончания ERDSP и ERDS; комплаенс или соблюдение.
ETSI EN 319 521 применим и относится к:
• требованиям политики и безопасности для ERDSP и квалифицированных ERDSP ЕС;
• общим требованиям и требованиям безопасности для зарегистрированных служб электронной доставки (ERDS) и квалифицированных ERDS ЕС в отношении целостности сообщений, защиты от потери, кражи, повреждения или любых несанкционированных изменений передаваемых данных, строгой идентификации отправителя и получателя, ссылки на время и подтверждения отправки и получение данных.