соблюдение требований безопасности электронной почты

Даже самая опытная и хорошо подготовленная компания может быть застигнута врасплох компрометацией электронной почты. Вот почему так важно создать эффективную модель соответствия требованиям безопасности электронной почты.

Что такое соответствие требованиям безопасности электронной почты?

Безопасность электронной почты соблюдение требований - это процесс мониторинга, поддержания и обеспечения соблюдения политик и мер контроля для обеспечения конфиденциальности электронных сообщений. Это можно сделать с помощью регулярных аудитов электронной почты или постоянного мониторинга.

Каждая организация должна иметь документированную модель соответствия требованиям безопасности (SCM), в которой описаны ее политики, процедуры и действия, связанные с соответствием требованиям безопасности электронной почты. Это гарантирует отсутствие нарушений связи в вашей организации и помогает удержать деловых партнеров, которые могут настороженно относиться к компаниям с плохой практикой безопасности.

Понимание правил соблюдения требований безопасности электронной почты для предприятий

Законы о соблюдении требований безопасности электронной почты служат правовой основой для обеспечения безопасности и конфиденциальности информации, хранящейся в электронной почте. Эти законы применяются правительствами различных стран и являются предметом растущего беспокойства для предприятий всех форм и размеров.

Ниже мы приводим краткий обзор требований, предъявляемых к предприятиям, которые работают с электронной почтой, а также общий обзор различных правовых рамок, которые необходимо соблюдать для создания надлежащей системы безопасности электронной почты для вашего бизнеса.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

Закон о переносимости и подотчетности медицинского страхования(HIPAA) и Стандарты безопасности для федеральных информационных систем, 2-е издание (SOC 2), FedRAMP и PCI DSS - все эти нормативные акты требуют от организаций защиты конфиденциальности и безопасности медицинской информации, защищенной электронным способом (ePHI). ePHI - это любая информация, которая передается в электронном виде между организациями, на которые распространяется действие закона, или деловыми партнерами.

Законы требуют, чтобы покрываемые организации внедряли политику, процедуры и технические средства контроля, соответствующие характеру обрабатываемых ими данных, а также другие гарантии, необходимые для выполнения своих обязанностей в соответствии с HIPAA и SOC 2. Эти правила применяются ко всем организациям, которые передают или получают PHI в электронной форме от имени другой организации; однако они также применяются ко всем деловым партнерам и другим организациям, которые получают PHI от покрываемой организации.

К какому предприятию применяется данное постановление?

Это положение распространяется на любое предприятие, которое собирает, хранит или передает PHI (защищенную медицинскую информацию) в электронном виде. Оно также применяется к любому предприятию, которое участвует в предоставлении покрываемой электронной медицинской карты (eHealth Record) или других покрываемых медицинских услуг в электронном виде. Эти правила разработаны для защиты конфиденциальности и безопасности данных пациента от несанкционированного доступа третьих лиц.

b. GDPR

Общий регламент по защите данных (GDPR) - это регламент, введенный в действие Европейским союзом. Он разработан для защиты персональных данных граждан ЕС, и его называют "самым важным законом о конфиденциальности за последнее поколение".

GDPR требует от предприятий прозрачности в отношении того, как они используют данные о клиентах, а также четкой политики обращения с этими данными. Он также требует, чтобы компании раскрывали информацию о клиентах, которую они собирают и хранят, и предлагали простые способы доступа к этой информации. Кроме того, GDPR запрещает предприятиям использовать личные данные в иных целях, чем те, для которых они были собраны.

К какому предприятию применяется данное постановление?

Он применяется ко всем компаниям, собирающим данные на территории ЕС, и требует от компаний явного согласия тех, чью личную информацию они собирают. GDPR также предусматривает штрафы за несоблюдение, поэтому вы должны быть готовы к тому, что вам придется собирать персональные данные.

c. CAN-SPAM

CAN-SPAM - это федеральный закон, принятый Конгрессом в 2003 году, который требует, чтобы коммерческие деловые электронные письма содержали определенную информацию о своем происхождении, включая физический адрес и номер телефона отправителя. Закон также требует, чтобы в коммерческих сообщениях указывался обратный адрес, который должен быть адресом в домене отправителя.

Позднее закон CAN-SPAM был обновлен, чтобы включить более строгие требования к коммерческой электронной почте. Новые правила требуют, чтобы отправители электронной почты четко и точно идентифицировали себя, указывали законный обратный адрес и включали ссылку для отказа от подписки в нижней части каждого письма.

К какому предприятию применяется данное постановление?

Закон CAN-SPAM применяется ко всем коммерческим сообщениям, включая те, которые отправляются компаниями потребителям и наоборот, при условии, что они отвечают определенным требованиям. Правила предназначены для защиты предприятий от спама, когда кто-то отправляет сообщение с целью заставить вас перейти по ссылке или открыть вложение. Закон также защищает потребителей от спама, который рассылается компаниями, пытающимися им что-то продать.

Как построить модель соответствия требованиям безопасности электронной почты для вашего бизнеса

Модель соответствия требованиям безопасности электронной почты разработана для проверки соответствия серверов и приложений электронной почты организации применимым законам, общеотраслевым стандартам и директивам. Модель помогает организациям установить политику и процедуры, обеспечивающие сбор и защиту данных клиентов посредством обнаружения, предотвращения, расследования и устранения потенциальных инцидентов безопасности.

Ниже вы узнаете, как построить модель, которая поможет обеспечить безопасность электронной почты, а также советы и передовые технологии, позволяющие выйти за рамки соответствия требованиям.

1. Используйте безопасный шлюз электронной почты

Шлюз безопасности электронной почты - это важная линия обороны для защиты почтовых сообщений вашей компании. Он помогает гарантировать, что электронную почту получит только предполагаемый получатель, а также блокирует спам и попытки фишинга.

Вы можете использовать шлюз для управления потоком информации между вашей организацией и ее клиентами. А также воспользоваться преимуществами таких функций, как шифрование, которое помогает защитить конфиденциальную информацию, отправляемую по электронной почте, путем ее шифрования до того, как она покинет один компьютер, и расшифровки на пути к другому компьютеру. Это поможет предотвратить возможность киберпреступников прочитать содержимое электронных писем или вложений, отправленных между различными компьютерами или пользователями.

Безопасный шлюз электронной почты может также предоставлять такие функции, как фильтрация спама и архивирование - все это необходимо для поддержания организованной и соответствующей требованиям атмосферы в вашей компании.

2. Осуществлять защиту после доставки

Существует несколько способов построения модели соответствия требованиям безопасности электронной почты для вашего предприятия. Самый распространенный способ - использовать модель для определения потенциальных рисков, а затем применить к ним защиту после доставки (PDP).

Защита после доставки - это процесс проверки того, что электронное письмо было доставлено адресату. Это включает в себя обеспечение того, что получатель может войти в программу своего почтового клиента и проверить наличие сообщения, а также подтверждение того, что письмо не было отфильтровано спам-фильтрами.

Защита после доставки может быть достигнута за счет наличия защищенной сети или сервера, где хранятся ваши электронные письма, а затем их шифрования перед доставкой адресатам. Важно отметить, что только уполномоченное лицо должно иметь доступ к этим файлам, чтобы они могли быть расшифрованы только им.

3. Внедрить технологии изоляции

Модель соответствия требованиям безопасности электронной почты строится путем изоляции всех конечных точек ваших пользователей и их веб-трафика. Технологии изоляции работают путем изоляции всего веб-трафика пользователя в облачном защищенном браузере. Это означает, что электронные письма, отправленные с помощью технологии изоляции, шифруются на стороне сервера и расшифровываются на стороне клиента в "изолированной" станции.

Поэтому никакие внешние компьютеры не могут получить доступ к их электронной почте, и они не могут загрузить вредоносные программы или ссылки. Таким образом, даже если кто-то нажмет на ссылку в электронном письме, содержащую вредоносное ПО, оно не сможет заразить его компьютер или сеть (поскольку вредоносная ссылка откроется только для чтения).

Технологии изоляции облегчают компаниям соблюдение таких нормативных требований, как PCI DSS и HIPAA, путем внедрения защищенных решений для электронной почты, использующих шифрование на базе хоста (HBE).

4. Создание эффективных фильтров спама

Фильтрация электронной почты включает в себя проверку сообщений электронной почты по списку правил перед их доставкой в принимающую систему. Правила могут устанавливаться пользователями или автоматически на основе определенных критериев. Фильтрация обычно используется для проверки того, что сообщения, отправленные из определенных источников, не являются вредоносными и не содержат неожиданного содержимого.

Лучший способ создания эффективного фильтра спама - это анализ того, как спамеры используют методы, затрудняющие обнаружение их сообщений до того, как они попадут в почтовые ящики получателей. Этот анализ должен помочь вам разработать фильтры, которые будут выявлять спам и предотвращать его попадание в почтовый ящик.

К счастью, существуют некоторые решения (например, DMARC), которые автоматизируют большую часть этого процесса, позволяя предприятиям определять конкретные правила для каждого сообщения, чтобы фильтры обрабатывали только те сообщения, которые соответствуют этим правилам.

5. Внедрение протоколов аутентификации электронной почты

Сайт DMARC Стандарт DMARC - это важный шаг к обеспечению того, чтобы ваши пользователи получали сообщения, которые они ожидают от вашей компании, и чтобы конфиденциальная информация никогда не попала в нежелательные руки.

Это протокол аутентификации электронной почты, который позволяет владельцам доменов отклонять сообщения, не соответствующие определенным критериям. Это может использоваться как способ предотвращения спама и фишинга, но также полезно для предотвращения отправки обманных писем вашим клиентам.

Если вы строите модель соответствия требованиям безопасности электронной почты для своего бизнеса, вам необходим DMARC, чтобы защитить свой бренд от вредоносных писем, отправленных из внешних источников, которые могут пытаться выдать себя за имя компании или домен, чтобы обмануть ваших постоянных клиентов. .

Будучи клиентом компании, сообщения электронной почты которой поддерживают DMARC, вы можете быть уверены, что получаете законные сообщения от этой компании.

6. Согласуйте безопасность электронной почты с общей стратегией

Общая стратегия программы обеспечения соответствия требованиям безопасности электронной почты заключается в том, чтобы ваша организация соблюдала все соответствующие государственные нормы. К ним относятся нормы, относящиеся к следующим областям: идентификаторы отправителя, оптинги, опт- ауты и время обработки запроса.

Чтобы достичь этого, необходимо разработать план, в котором каждая из этих областей рассматривается отдельно, а затем интегрировать их таким образом, чтобы они взаимно поддерживали друг друга.

Вам также следует рассмотреть возможность дифференциации стратегии рассылки электронной почты в разных регионах на основе различных политик, действующих в каждом из них. Например, в США существует множество различных правил, касающихся рассылки спама, которые требуют иных средств реализации, чем в других странах, таких как Индия или Китай, где правила рассылки спама менее строгие.

Ознакомьтесь с нашими безопасность корпоративной электронной почты контрольный список для обеспечения безопасности корпоративных доменов и систем.

Построение модели соответствия требованиям безопасности электронной почты для вашего бизнеса: Дополнительные шаги

  • Разработайте план сбора данных, включающий типы информации, которую вы хотели бы собрать, как часто вы хотели бы ее собирать, и сколько времени должно уйти на ее сбор
  • Обучите сотрудников безопасному и надежному использованию электронной почты, внедрив политику, процедуры и учебные модули по правильному использованию электронной почты на рабочем месте.
  • Оцените текущие меры безопасности электронной почты, чтобы убедиться, что они соответствуют лучшим отраслевым практикам, и при необходимости проведите модернизацию.
  • Определите, какие кадровые данные должны быть закрытыми или конфиденциальными и как они будут передаваться вашим сотрудникам, партнерам и поставщикам, включая третьих лиц, участвующих в создании контента для вашего сайта или каналов социальных сетей.
  • Составьте список всех сотрудников, имеющих доступ к чувствительной/конфиденциальной информации, и разработайте план мониторинга использования ими средств электронной почты.

Кто отвечает за соблюдение требований безопасности электронной почты в вашей компании?

ИТ-менеджеры - ИТ-менеджер отвечает за общее соответствие требованиям безопасности электронной почты в своей организации. Именно они следят за тем, чтобы политика безопасности компании соблюдалась и чтобы все сотрудники прошли соответствующее обучение.

сисадмины - сисадмины отвечают за установку и настройку серверов электронной почты, а также любой другой ИТ-инфраструктуры, которая может потребоваться для успешной работы системы электронной почты. Они должны понимать, какие данные хранятся, кто имеет к ним доступ и как они будут использоваться.

Ответственные за соответствие - они отвечают за то, чтобы компания соблюдала все законы, касающиеся соответствия требованиям безопасности электронной почты.

Сотрудники - Сотрудники несут ответственность за соблюдение политик и процедур безопасности электронной почты компании, а также любых дополнительных инструкций или указаний своего менеджера или руководителя.

Сторонние поставщики услуг - Вы можете передать обеспечение безопасности вашей электронной почты сторонним организациям, что позволит вам сэкономить время и деньги. Например, третья сторона DMARC управляемые услуги поставщик услуг может помочь вам внедрить ваши протоколы в течение нескольких минут, управлять и контролировать ваши отчеты DMARC, устранять ошибки и предоставлять экспертные рекомендации, чтобы легко добиться соответствия требованиям.

Как мы можем помочь вам в обеспечении соответствия требованиям безопасности электронной почты?

PowerDMARC, предоставляет решения по обеспечению безопасности электронной почты для предприятий по всему миру, делая вашу систему деловой рассылки более защищенной от фишинга и спуфинга. .

Мы помогаем владельцам доменов перейти к DMARC-совместимой инфраструктуре электронной почты с принудительной политикой (p=reject) без каких-либо сбоев в доставке. Наше решение поставляется с бесплатным пробным периодом (данные карты не требуются), чтобы вы могли испытать его, прежде чем принимать какие-либо долгосрочные решения. испытание DMARC прямо сейчас!

Последние сообщения Ахона Рудра (см. все)