Сообщения

Даже самая опытная и хорошо подготовленная компания может быть застигнута врасплох компрометацией электронной почты. Вот почему так важно создать эффективную модель соответствия требованиям безопасности электронной почты.

Что такое соответствие требованиям безопасности электронной почты?

Безопасность электронной почты соблюдение требований - это процесс мониторинга, поддержания и обеспечения соблюдения политик и мер контроля для обеспечения конфиденциальности электронных сообщений. Это можно сделать с помощью регулярных аудитов электронной почты или постоянного мониторинга.

Каждая организация должна иметь документированную модель соответствия требованиям безопасности (SCM), в которой описаны ее политики, процедуры и действия, связанные с соответствием требованиям безопасности электронной почты. Это гарантирует отсутствие нарушений связи в вашей организации и помогает удержать деловых партнеров, которые могут настороженно относиться к компаниям с плохой практикой безопасности.

Понимание правил соблюдения требований безопасности электронной почты для предприятий

Законы о соблюдении требований безопасности электронной почты служат правовой основой для обеспечения безопасности и конфиденциальности информации, хранящейся в электронной почте. Эти законы применяются правительствами различных стран и являются предметом растущего беспокойства для предприятий всех форм и размеров.

Ниже мы приводим краткий обзор требований, предъявляемых к предприятиям, которые работают с электронной почтой, а также общий обзор различных правовых рамок, которые необходимо соблюдать для создания надлежащей системы безопасности электронной почты для вашего бизнеса.

a. HIPAA/SOC 2/FedRAMP/PCI DSS

Закон о переносимости и подотчетности медицинского страхования(HIPAA) и Стандарты безопасности для федеральных информационных систем, 2-е издание (SOC 2), FedRAMP и PCI DSS - все эти нормативные акты требуют от организаций защиты конфиденциальности и безопасности медицинской информации, защищенной электронным способом (ePHI). ePHI - это любая информация, которая передается в электронном виде между организациями, на которые распространяется действие закона, или деловыми партнерами.

Законы требуют, чтобы покрываемые организации внедряли политику, процедуры и технические средства контроля, соответствующие характеру обрабатываемых ими данных, а также другие гарантии, необходимые для выполнения своих обязанностей в соответствии с HIPAA и SOC 2. Эти правила применяются ко всем организациям, которые передают или получают PHI в электронной форме от имени другой организации; однако они также применяются ко всем деловым партнерам и другим организациям, которые получают PHI от покрываемой организации.

К какому предприятию применяется данное постановление?

Это положение распространяется на любое предприятие, которое собирает, хранит или передает PHI (защищенную медицинскую информацию) в электронном виде. Оно также применяется к любому предприятию, которое участвует в предоставлении покрываемой электронной медицинской карты (eHealth Record) или других покрываемых медицинских услуг в электронном виде. Эти правила разработаны для защиты конфиденциальности и безопасности данных пациента от несанкционированного доступа третьих лиц.

b. GDPR

Общий регламент по защите данных (GDPR) - это регламент, введенный в действие Европейским союзом. Он разработан для защиты персональных данных граждан ЕС, и его называют "самым важным законом о конфиденциальности за последнее поколение".

GDPR требует от предприятий прозрачности в отношении того, как они используют данные о клиентах, а также четкой политики обращения с этими данными. Он также требует, чтобы компании раскрывали информацию о клиентах, которую они собирают и хранят, и предлагали простые способы доступа к этой информации. Кроме того, GDPR запрещает предприятиям использовать личные данные в иных целях, чем те, для которых они были собраны.

К какому предприятию применяется данное постановление?

Он применяется ко всем компаниям, собирающим данные на территории ЕС, и требует от компаний явного согласия тех, чью личную информацию они собирают. GDPR также предусматривает штрафы за несоблюдение, поэтому вы должны быть готовы к тому, что вам придется собирать персональные данные.

c. CAN-SPAM

CAN-SPAM - это федеральный закон, принятый Конгрессом в 2003 году, который требует, чтобы коммерческие деловые электронные письма содержали определенную информацию о своем происхождении, включая физический адрес и номер телефона отправителя. Закон также требует, чтобы в коммерческих сообщениях указывался обратный адрес, который должен быть адресом в домене отправителя.

Позднее закон CAN-SPAM был обновлен, чтобы включить более строгие требования к коммерческой электронной почте. Новые правила требуют, чтобы отправители электронной почты четко и точно идентифицировали себя, указывали законный обратный адрес и включали ссылку для отказа от подписки в нижней части каждого письма.

К какому предприятию применяется данное постановление?

Закон CAN-SPAM применяется ко всем коммерческим сообщениям, включая те, которые отправляются компаниями потребителям и наоборот, при условии, что они отвечают определенным требованиям. Правила предназначены для защиты предприятий от спама, когда кто-то отправляет сообщение с целью заставить вас перейти по ссылке или открыть вложение. Закон также защищает потребителей от спама, который рассылается компаниями, пытающимися им что-то продать.

Как построить модель соответствия требованиям безопасности электронной почты для вашего бизнеса

Модель соответствия требованиям безопасности электронной почты разработана для проверки соответствия серверов и приложений электронной почты организации применимым законам, общеотраслевым стандартам и директивам. Модель помогает организациям установить политику и процедуры, обеспечивающие сбор и защиту данных клиентов посредством обнаружения, предотвращения, расследования и устранения потенциальных инцидентов безопасности.

Ниже вы узнаете, как построить модель, которая поможет обеспечить безопасность электронной почты, а также советы и передовые технологии, позволяющие выйти за рамки соответствия требованиям.

1. Используйте безопасный шлюз электронной почты

Шлюз безопасности электронной почты - это важная линия обороны для защиты почтовых сообщений вашей компании. Он помогает гарантировать, что электронную почту получит только предполагаемый получатель, а также блокирует спам и попытки фишинга.

Вы можете использовать шлюз для управления потоком информации между вашей организацией и ее клиентами. А также воспользоваться преимуществами таких функций, как шифрование, которое помогает защитить конфиденциальную информацию, отправляемую по электронной почте, путем ее шифрования до того, как она покинет один компьютер, и расшифровки на пути к другому компьютеру. Это поможет предотвратить возможность киберпреступников прочитать содержимое электронных писем или вложений, отправленных между различными компьютерами или пользователями.

Безопасный шлюз электронной почты может также предоставлять такие функции, как фильтрация спама и архивирование - все это необходимо для поддержания организованной и соответствующей требованиям атмосферы в вашей компании.

2. Осуществлять защиту после доставки

Существует несколько способов построения модели соответствия требованиям безопасности электронной почты для вашего предприятия. Самый распространенный способ - использовать модель для определения потенциальных рисков, а затем применить к ним защиту после доставки (PDP).

Защита после доставки - это процесс проверки того, что электронное письмо было доставлено адресату. Это включает в себя обеспечение того, что получатель может войти в программу своего почтового клиента и проверить наличие сообщения, а также подтверждение того, что письмо не было отфильтровано спам-фильтрами.

Защита после доставки может быть достигнута за счет наличия защищенной сети или сервера, где хранятся ваши электронные письма, а затем их шифрования перед доставкой адресатам. Важно отметить, что только уполномоченное лицо должно иметь доступ к этим файлам, чтобы они могли быть расшифрованы только им.

3. Внедрить технологии изоляции

Модель соответствия требованиям безопасности электронной почты строится путем изоляции всех конечных точек ваших пользователей и их веб-трафика. Технологии изоляции работают путем изоляции всего веб-трафика пользователя в облачном защищенном браузере. Это означает, что электронные письма, отправленные с помощью технологии изоляции, шифруются на стороне сервера и расшифровываются на стороне клиента в "изолированной" станции.

Поэтому никакие внешние компьютеры не могут получить доступ к их электронной почте, и они не могут загрузить вредоносные программы или ссылки. Таким образом, даже если кто-то нажмет на ссылку в электронном письме, содержащую вредоносное ПО, оно не сможет заразить его компьютер или сеть (поскольку вредоносная ссылка откроется только для чтения).

Технологии изоляции облегчают компаниям соблюдение таких нормативных требований, как PCI DSS и HIPAA, путем внедрения защищенных решений для электронной почты, использующих шифрование на базе хоста (HBE).

4. Создание эффективных фильтров спама

Фильтрация электронной почты включает в себя проверку сообщений электронной почты по списку правил перед их доставкой в принимающую систему. Правила могут устанавливаться пользователями или автоматически на основе определенных критериев. Фильтрация обычно используется для проверки того, что сообщения, отправленные из определенных источников, не являются вредоносными и не содержат неожиданного содержимого.

Лучший способ создания эффективного фильтра спама - это анализ того, как спамеры используют методы, затрудняющие обнаружение их сообщений до того, как они попадут в почтовые ящики получателей. Этот анализ должен помочь вам разработать фильтры, которые будут выявлять спам и предотвращать его попадание в почтовый ящик.

К счастью, существуют некоторые решения (например, DMARC), которые автоматизируют большую часть этого процесса, позволяя предприятиям определять конкретные правила для каждого сообщения, чтобы фильтры обрабатывали только те сообщения, которые соответствуют этим правилам.

5. Внедрение протоколов аутентификации электронной почты

Сайт DMARC Стандарт DMARC - это важный шаг к обеспечению того, чтобы ваши пользователи получали сообщения, которые они ожидают от вашей компании, и чтобы конфиденциальная информация никогда не попала в нежелательные руки.

Это протокол аутентификации электронной почты, который позволяет владельцам доменов отклонять сообщения, не соответствующие определенным критериям. Это может использоваться как способ предотвращения спама и фишинга, но также полезно для предотвращения отправки обманных писем вашим клиентам.

Если вы строите модель соответствия требованиям безопасности электронной почты для своего бизнеса, вам необходим DMARC, чтобы защитить свой бренд от вредоносных писем, отправленных из внешних источников, которые могут пытаться выдать себя за имя компании или домен, чтобы обмануть ваших постоянных клиентов. .

Будучи клиентом компании, сообщения электронной почты которой поддерживают DMARC, вы можете быть уверены, что получаете законные сообщения от этой компании.

6. Согласуйте безопасность электронной почты с общей стратегией

Общая стратегия программы обеспечения соответствия требованиям безопасности электронной почты заключается в том, чтобы ваша организация соблюдала все соответствующие государственные нормы. К ним относятся нормы, относящиеся к следующим областям: идентификаторы отправителя, оптинги, опт- ауты и время обработки запроса.

Чтобы достичь этого, необходимо разработать план, в котором каждая из этих областей рассматривается отдельно, а затем интегрировать их таким образом, чтобы они взаимно поддерживали друг друга.

Вам также следует рассмотреть возможность дифференциации стратегии рассылки электронной почты в разных регионах на основе различных политик, действующих в каждом из них. Например, в США существует множество различных правил, касающихся рассылки спама, которые требуют иных средств реализации, чем в других странах, таких как Индия или Китай, где правила рассылки спама менее строгие.

Ознакомьтесь с нашими безопасность корпоративной электронной почты контрольный список для обеспечения безопасности корпоративных доменов и систем.

Построение модели соответствия требованиям безопасности электронной почты для вашего бизнеса: Дополнительные шаги

  • Разработайте план сбора данных, включающий типы информации, которую вы хотели бы собрать, как часто вы хотели бы ее собирать, и сколько времени должно уйти на ее сбор
  • Обучите сотрудников безопасному и надежному использованию электронной почты, внедрив политику, процедуры и учебные модули по правильному использованию электронной почты на рабочем месте.
  • Оцените текущие меры безопасности электронной почты, чтобы убедиться, что они соответствуют лучшим отраслевым практикам, и при необходимости проведите модернизацию.
  • Определите, какие кадровые данные должны быть закрытыми или конфиденциальными и как они будут передаваться вашим сотрудникам, партнерам и поставщикам, включая третьих лиц, участвующих в создании контента для вашего сайта или каналов социальных сетей.
  • Составьте список всех сотрудников, имеющих доступ к чувствительной/конфиденциальной информации, и разработайте план мониторинга использования ими средств электронной почты.

Кто отвечает за соблюдение требований безопасности электронной почты в вашей компании?

ИТ-менеджеры - ИТ-менеджер отвечает за общее соответствие требованиям безопасности электронной почты в своей организации. Именно они следят за тем, чтобы политика безопасности компании соблюдалась и чтобы все сотрудники прошли соответствующее обучение.

сисадмины - сисадмины отвечают за установку и настройку серверов электронной почты, а также любой другой ИТ-инфраструктуры, которая может потребоваться для успешной работы системы электронной почты. Они должны понимать, какие данные хранятся, кто имеет к ним доступ и как они будут использоваться.

Ответственные за соответствие - они отвечают за то, чтобы компания соблюдала все законы, касающиеся соответствия требованиям безопасности электронной почты.

Сотрудники - Сотрудники несут ответственность за соблюдение политик и процедур безопасности электронной почты компании, а также любых дополнительных инструкций или указаний своего менеджера или руководителя.

Сторонние поставщики услуг - Вы можете передать обеспечение безопасности вашей электронной почты сторонним организациям, что позволит вам сэкономить время и деньги. Например, третья сторона DMARC управляемые услуги поставщик услуг может помочь вам внедрить ваши протоколы в течение нескольких минут, управлять и контролировать ваши отчеты DMARC, устранять ошибки и предоставлять экспертные рекомендации, чтобы легко добиться соответствия требованиям.

Как мы можем помочь вам в обеспечении соответствия требованиям безопасности электронной почты?

PowerDMARC, предоставляет решения по обеспечению безопасности электронной почты для предприятий по всему миру, делая вашу систему деловой рассылки более защищенной от фишинга и спуфинга. .

Мы помогаем владельцам доменов перейти к DMARC-совместимой инфраструктуре электронной почты с принудительной политикой (p=reject) без каких-либо сбоев в доставке. Наше решение поставляется с бесплатным пробным периодом (данные карты не требуются), чтобы вы могли испытать его, прежде чем принимать какие-либо долгосрочные решения. испытание DMARC прямо сейчас!

Соблюдение требований кибербезопасности становится все более актуальной задачей для многих компаний. Важно, чтобы ваш бизнес знал о требованиях и имел план по достижению соответствия.

Соблюдение требований кибербезопасности включает в себя следующее:

  1. Проведение оценки рисков для вашего бизнеса, включая риски, связанные с внешними угрозами, такими как вирусы и вредоносное ПО, и внутренними угрозами, такими как неправомерное использование конфиденциальной информации внутренними лицами.
  2. Создание группы реагирования на инциденты, которая может быстро отреагировать на любой инцидент. Они также должны быть обучены тому, как реагировать на кибератаки.
  3. Внедрение системы обнаружения вторжений, которая отслеживает сеть и почтовый трафик на предмет несанкционированной активности, например, анализатор DMARC. DMARC-анализатор.
  4. Разработка сильной стратегии кибербезопасности, которая включает в себя лучшие практики разработки средств контроля безопасности и обучения сотрудников тому, как правильно их использовать и как предотвратить мошенничество в Интернете.

Что такое соответствие требованиям кибербезопасности?

Соответствие требованиям кибербезопасности - это набор стандартов, которым должны следовать компании и организации, чтобы считаться "соответствующими требованиям". Эти стандарты могут различаться в зависимости от типа предприятия или организации, но обычно они включают в себя политики, процедуры и средства контроля, которые обеспечивают защиту компании от кибератак.

Например, если ваша организация использует электронную почту в качестве способа коммуникации, вам необходимо внедрить протоколы безопасности и аутентификации электронной почты, такие как DMARC, для защиты почтовых транзакций и проверки источников отправки. Отсутствие таких протоколов может сделать ваш домен уязвимым для подмены домена, фишинговых атак и программ-вымогателей. 

Одна из самых важных вещей, которую вы можете сделать для защиты своей компании, - это убедиться, что ваша практика кибербезопасности находится на должном уровне. Вы не можете позволить себе игнорировать нарушения кибербезопасности - это самый простой способ для хакеров проникнуть в вашу сеть и нанести вам серьезный ущерб.

Но что такое соответствие требованиям кибербезопасности?

Соответствие требованиям кибербезопасности - это набор лучших практик, которые компании используют в своей повседневной деятельности для обеспечения защиты от кибератак. Эти передовые методы включают:

  • Поддержание безопасной сети
  • поддержание систем в работоспособном состоянии и обновление патчей безопасности
  • Защита информации и данных клиентов
  • Защита собственных данных и коммуникаций по электронной почте 

С чего начать соблюдение требований кибербезопасности?

Первым шагом в достижении соответствия требованиям кибербезопасности является понимание того, чего вы пытаетесь достичь.

Каковы ваши цели? Каковы конкретные ожидания организации или лица, которое управляет соблюдением требований кибербезопасности? Это касается самого предприятия или сторонней организации, которая может быть правительственным агентством, организацией, подобной АНБ, или даже сторонним поставщиком?

Если это касается самого предприятия, то вам нужно будет понять, как работает ваша организация и как она взаимодействует с другими организациями. Вам также нужно знать, какие данные они собирают и где они их хранят. И если они используют облачные сервисы, такие как Amazon Web Services (AWS), Google Cloud Platform (GCP), Microsoft Azure или Oracle Cloud Platform (OCP), то вам необходимо выяснить, существуют ли какие-либо средства контроля безопасности в этих сервисах.

Если вы работаете со сторонней организацией, например, государственным учреждением или сторонним поставщиком, то вам необходимо убедиться, что они хорошо понимают как вашу организацию и ее потребности, так и собственный процесс мониторинга и реагирования на угрозы. Вы также хотите, чтобы они были знакомы с типами атак, которые могут произойти на системы вашей компании и каким образом. 

Стратегия соблюдения требований кибербезопасности: План в действии

Безопасность электронной почты

Давайте начнем с основ: Вам необходимо обеспечить безопасность системы электронной почты. Это означает защиту электронной почты паролем, даже если это всего лишь единый пароль для всей системы. Также необходимо убедиться, что все внешние службы, которые отправляют или получают электронную почту из вашей организации, также защищены и имеют те же требования к паролям, что и ваши внутренние системы.

Система электронной почты вашей компании - важнейшая часть вашего бизнеса. С ее помощью вы общаетесь с потенциальными клиентами, покупателями и сотрудниками, а также рассылаете важные обновления и объявления.

Но это также одна из самых уязвимых частей вашей компании.

Поэтому, если вы хотите быть уверенными в том, что ваша электронная почта останется конфиденциальной и защищенной от хакеров, соблюдение требований кибербезопасности просто необходимо. Вот несколько советов по обеспечению соответствия вашей электронной почты требованиям кибербезопасности:

  1. Убедитесь, что вы используете шифрование(SSL) при отправке конфиденциальной информации по электронной почте. Это поможет убедиться, что никто не сможет перехватить или прочитать то, что отправляется между вашим компьютером и устройством получателя.
  2. Установите политику паролей таким образом, чтобы все пользователи имели уникальные пароли, которые регулярно меняются и никогда не используются в других службах или приложениях на той же учетной записи или устройстве, что и у поставщика услуг электронной почты (ESP).
  3. Включайте двухфакторную аутентификацию (2FA) везде, где это возможно, чтобы только авторизованные люди могли получить доступ к учетным записям с включенной 2FA - и даже в этом случае только если они уже получили доступ от кого-то другого с уже включенной 2FA
  4. Защитите свой почтовый домен от спуфинга, фишинга, вымогательства и т.д., внедрив протоколы аутентификации электронной почты, такие как DMARC, SPFи DKIM
  5. Защитите свои электронные письма во время их передачи от посторонних глаз злоумышленников, обеспечив шифрование электронной почты по протоколу TLS с помощью MTA-STS

Важность соблюдения требований кибербезопасности

Существует множество способов, с помощью которых компания может не соответствовать требованиям кибербезопасности. Например, если в вашей компании установлен устаревший брандмауэр, хакеры могут использовать вашу систему в качестве отправной точки для атак вредоносных программ. Или если ваша сеть не защищена двухфакторной аутентификацией, вы можете подвергнуться риску взлома вашего веб-сайта. Или если ваша электронная почта не аутентифицирована, это может открыть путь для поддельных атак и фишинга. 

Важно отметить, что соответствие нормативным требованиям не защищает от всех типов векторов угроз. Решения по кибербезопасности могут помочь организациям предотвратить доступ хакеров к их сетям, предотвратить кражу интеллектуальной собственности, защитить физические активы, такие как компьютеры и серверы, предотвратить заражение вредоносными программами, которые могут ограничить доступ к критическим системам или информации, обнаружить мошенничество при проведении платежных операций в Интернете и остановить другие кибератаки до их совершения.