Wymagania polityki i bezpieczeństwa dla dostawców usług rejestrowanego doręczenia elektronicznego. PN-ETSI EN 319 521 V1.1.1:2019

Poczta elektroniczna jest głównym narzędziem do wymiany informacji poufnych wewnątrz organizacji oraz ze stronami zainteresowanymi z zewnątrz. Właśnie dlatego bardzo ważnym aspektem bezpieczeństwa informacji jest zabezpieczenie tego kanału. Żeby zapewnić odpowiedni poziom bezpieczeństwa należy zwrócić uwagę na serwisy, służby oraz dostawców, z których korzystamy. Ważnym jest by oni spełniali szereg wymagań dotyczących bezpieczeństwa informacji, stosowali międzynarodowe  normy, takie jak ISO/IEC 27001, ISO 22301, standardy typu NIST oraz europejskie serii ETSI EN, a także dobre praktyki.

Oczywiście norm i standardów jest mnóstwo i bardzo łatwo jest się w tym wszystkim pogubić. Zwłaszcza, że są często aktualizowane.

 


Zachęcamy do subskrypcji newslettera Instytutu Kształcenia Menadżerów Jakości.  
Będziemy Cię informować o nowych normach.


 

Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 1

Również dziś przybliżymy jeden ze świeżych standardów europejskich, który został przyjęty przez Polski Komitet Normalizacyjny. Jest to standard PN-ETSI EN 319 521 V1.1.1:2019-04 albo ETSI EN 319 521 V1.1.1 (2019-02) Podpisy elektroniczne i infrastruktura (ESI) – Wymagania polityki i bezpieczeństwa dla dostawców usług rejestrowanego doręczenia elektronicznego.

Standard ten ogólnie określa obowiązujące wymagania dotyczące polityki i bezpieczeństwa dla dostawców zarejestrowanych usług elektronicznych albo usług rejestrowanego doręczenia elektronicznego (ERDSP), w tym świadczonych przez nich usług.

Co zawiera standard PN-ETSI EN 319 521 V1.1.1 ?

W standardzie są zawarte wymagania w rozdziałach:

  • przepisy ogólne dotyczące polityk i praktyk;
  • przepisy ogólne dotyczące ERDS;
  • ocena ryzyka;
  • zarządzanie i działanie ERDSP.

Przepisy ogólne dotyczące polityk i praktyk zawierają kodeks postępowania ERDSP, przepisy wspólne, instrukcje praktyczne dla QERDSP w UE, uchwały i warunki oraz politykę bezpieczeństwa informacji.
W rozdziale przepisy ogólne dotyczące ERDS są opisane wymagania dotyczące integralności i poufności treści użytkownika; identyfikacji i uwierzytelnienia użytkowników; czasu odniesienia, zdarzeń i dowodów oraz interoperacyjności.

Zobacz podobne  Luki w zabezpieczeniach oraz ich ujawnienie. Przegląd norm ISO/IEC 29147 oraz ISO 30111. część 2

Oczywiste jest, że w standardzie osobny rozdział został poświęcony ocenie ryzyka. Podejście oparte o ryzyku stało się bowiem nierozdzielną częścią norm i standardów dotyczących bezpieczeństwa i nie tylko.
Rozdział zarządzanie i działanie ERDSP jest najbardziej rozbudowany i określa takie kwestie jak: organizacja wewnętrzna (w tym niezawodność organizacji oraz podział obowiązków); zasoby ludzkie; zarządzanie aktywami; kontrola dostępu; zabezpieczenia kryptograficzne; bezpieczeństwo fizyczne i środowiskowe; bezpieczeństwo operacji; bezpieczeństwo sieci; zarządzanie incydentami; gromadzenie dowodów dla służb wewnętrznych ERDSP; zarządzanie ciągłością działania; plany rozwiązania ERDSP i ERDS; compliance.

 

PN-ETSI EN 319 521 ma zastosowanie do:

  • wymagań polityki oraz bezpieczeństwa dla ERDSP oraz kwalifikowanego ERDSP UE;
  • wymagań ogólnych oraz bezpieczeństwa dla usług rejestrowanego doręczenia elektronicznego (ERDS) oraz kwalifikowanego ERDS UE w odniesieniu do integralności wiadomości, ochrony przed utratą, kradzieżą, uszkodzeniem lub jakimkolwiek nieautoryzowanymi zmianami przekazywanych danych, silną identyfikacją nadawcy i odbiorcy, odniesienia do czasu oraz dowodu wysyłania i odbierania danych.
Zobacz podobne  NIS2 - Kluczowe powiązania z normami i aktami prawnymi?

 

Autor: Maryna Kuczyńska (3193)

Scroll to Top