Стандарты информационной безопасности Банка России об архивировании электронной почты

Банк России ввел в действие новые версии стандартов по обеспечении информационной безопасности банковской системы РФ. Речь идет о двух взаимосвязанных стандартах:

• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010,
  
  
• Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-20xx» СТО БР ИББС-1.2-2010

Учитывая, что кредитные организации России при взаимодействии с клиентами активно используют электронную почту, представляют интерес требования к работе с электронной почтой, установленные в данных стандартах. Стоит также отметить, что требования к архивации электронной почты в стандарте Банка России появились ещё в версии 2006 года, и в последующих версиях они постепенно уточняются и конкретизируются.

Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010 (принят и введен в действие Распоряжением ЦБ РФ от 21.06.2010 № Р-705)

7.6.7. Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер. Перечень указанных защитных мер и порядок их использования должны быть определены документально.
Рекомендуется организовать почтовый обмен с сетью Интернет через ограниченное количество точек, состоящих из внешнего (подключенного к сети Интернет) и внутреннего (подключенного к внутренним сетям организации) почтовых серверов с безопасной системой репликации почтовых сообщений между ними (интернет-киоски).

7.6.8. Электронная почта должна архивироваться. Архив должен быть доступен подразделению (лицу) в организации, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Порядок доступа к информации архива должен быть документально определен.

7.6.9. Рекомендуется не применять практику хранения и обработки банковской информации (в т.ч. открытой) на ЭВМ, с помощью которых осуществляется взаимодействие с сетью Интернет в режиме on-line. Наличие банковской информации на таких ЭВМ должно определяться бизнес-целями организации БС РФ и документально санкционироваться ее руководством.

Из перечисленных выше пунктов рекомендательным является только п.7.6.9.

Пока что в стандартах Банка России нет детальных требований к организации архивации и хранения электронной почты, но, думаю, что это вопрос времени :)

Источник: Консультант Плюс
http://www.consultant.ru/online/base/?req=doc;base=LAW;n=102088