Poczta elektroniczna jest głównym narzędziem do wymiany informacji poufnych wewnątrz organizacji oraz ze stronami zainteresowanymi z zewnątrz. Właśnie dlatego bardzo ważnym aspektem bezpieczeństwa informacji jest zabezpieczenie tego kanału. Żeby zapewnić odpowiedni poziom bezpieczeństwa należy zwrócić uwagę na serwisy, służby oraz dostawców, z których korzystamy. Ważnym jest by oni spełniali szereg wymagań dotyczących bezpieczeństwa informacji, stosowali międzynarodowe normy, takie jak ISO/IEC 27001, ISO 22301, standardy typu NIST oraz europejskie serii ETSI EN, a także dobre praktyki.
Oczywiście norm i standardów jest mnóstwo i bardzo łatwo jest się w tym wszystkim pogubić. Zwłaszcza, że są często aktualizowane.
Zachęcamy do subskrypcji newslettera Instytutu Kształcenia Menadżerów Jakości.
Będziemy Cię informować o nowych normach.
Również dziś przybliżymy jeden ze świeżych standardów europejskich, który został przyjęty przez Polski Komitet Normalizacyjny. Jest to standard PN-ETSI EN 319 521 V1.1.1:2019-04 albo ETSI EN 319 521 V1.1.1 (2019-02) – Podpisy elektroniczne i infrastruktura (ESI) – Wymagania polityki i bezpieczeństwa dla dostawców usług rejestrowanego doręczenia elektronicznego.
Standard ten ogólnie określa obowiązujące wymagania dotyczące polityki i bezpieczeństwa dla dostawców zarejestrowanych usług elektronicznych albo usług rejestrowanego doręczenia elektronicznego (ERDSP), w tym świadczonych przez nich usług.
Co zawiera standard PN-ETSI EN 319 521 V1.1.1 ?
W standardzie są zawarte wymagania w rozdziałach:
- przepisy ogólne dotyczące polityk i praktyk;
- przepisy ogólne dotyczące ERDS;
- ocena ryzyka;
- zarządzanie i działanie ERDSP.
Przepisy ogólne dotyczące polityk i praktyk zawierają kodeks postępowania ERDSP, przepisy wspólne, instrukcje praktyczne dla QERDSP w UE, uchwały i warunki oraz politykę bezpieczeństwa informacji.
W rozdziale przepisy ogólne dotyczące ERDS są opisane wymagania dotyczące integralności i poufności treści użytkownika; identyfikacji i uwierzytelnienia użytkowników; czasu odniesienia, zdarzeń i dowodów oraz interoperacyjności.
Oczywiste jest, że w standardzie osobny rozdział został poświęcony ocenie ryzyka. Podejście oparte o ryzyku stało się bowiem nierozdzielną częścią norm i standardów dotyczących bezpieczeństwa i nie tylko.
Rozdział zarządzanie i działanie ERDSP jest najbardziej rozbudowany i określa takie kwestie jak: organizacja wewnętrzna (w tym niezawodność organizacji oraz podział obowiązków); zasoby ludzkie; zarządzanie aktywami; kontrola dostępu; zabezpieczenia kryptograficzne; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo operacji; bezpieczeństwo sieci; zarządzanie incydentami; gromadzenie dowodów dla służb wewnętrznych ERDSP; zarządzanie ciągłością działania; plany rozwiązania ERDSP i ERDS; compliance.
PN-ETSI EN 319 521 ma zastosowanie do:
- wymagań polityki oraz bezpieczeństwa dla ERDSP oraz kwalifikowanego ERDSP UE;
- wymagań ogólnych oraz bezpieczeństwa dla usług rejestrowanego doręczenia elektronicznego (ERDS) oraz kwalifikowanego ERDS UE w odniesieniu do integralności wiadomości, ochrony przed utratą, kradzieżą, uszkodzeniem lub jakimkolwiek nieautoryzowanymi zmianami przekazywanych danych, silną identyfikacją nadawcy i odbiorcy, odniesienia do czasu oraz dowodu wysyłania i odbierania danych.
Autor: Maryna Kuczyńska (3193)