вторник, 11 октября 2016 г.

США: Национальный институт стандартов и технологий выпустил рекомендации по защите электронной почты


Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) 21 сентября 2016 года выложил на своем сайте новую специальную публикацию NIST SP 800-177 «Обеспечение доверия к электронной почте» (Trustworthy Email) объёмом 97 страниц, которая доступна по адресу http://dx.doi.org/10.6028/NIST.SP.800-177  .

Данный документ содержит рекомендации и указания по укреплению доверия к электронной почте. Основная целевая аудитория этих рекомендаций – корпоративные администраторы электронной почты, специалисты по информационной безопасности и сетевые администраторы. Хотя некоторые из содержащихся в документе рекомендаций непосредственно связаны с политикой управления федеральными ИТ-системами и сетями, большая часть документа носит более общий характер и применима в  отношении любой организации.

В большинстве разделов настоящего документа предполагается, что организация несёт некоторую или всю ответственность за электронную почту и может настраивать и управлять собственными системами электронной почты и доменных имен (Domain Name System, DNS). Даже если это не так, содержащиеся в данном документе советы и рекомендации могут помочь в повышении знаний о безопасности электронной почты, и могут быть использованы для подготовки набора требований к получаемым по контракту услугам.

... NIST много лет активно участвует в разработке руководств по безопасности электронной почты. Наиболее недавним руководством NIST по безопасной электронной почте является специальная публикация NIST SP 800-45, версия 2, выпущенная в феврале 2007 года и называющаяся «Руководство по безопасности электронной почты» (Guidelines on Electronic Mail Security, см. http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-45ver2.pdf ) ... Настоящее руководство дополняет SP 800-45, предоставляя более актуальные рекомендации и указания по использованию электронных цифровых подписей и шифрования (посредством протокола S/MIME), рекомендации по защите от нежелательной почты (спама), а также рекомендации по другим аспектам развертывания и конфигурирования систем электронной почты.

... Обмен информацией по электронной почте невозможно сделать доверенным с использованием какого-то одного пакета или приложения. Эта работа включает в себя внесение постепенных дополнений в базовые подсистемы, при этом каждая из технологий адаптируется для решения конкретной задачи. Некоторые из методов используют другие протоколы, такие как DNS, чтобы облегчить выполнение определенных функций в области безопасности, таких, как аутентификация домена, шифрование контента и аутентификация отправителя сообщения. Они могут быть реализованы по отдельности или в совокупности, в зависимости от потребностей организации.

Содержание документа следующее:
Резюме для руководства
1. Введение
2. Элементы технологии электронной почты
3. Угрозы безопасности для почтовых сервисов
4. Аутентификация домена отправителя и индивидуальных почтовых сообщений
5. Защита конфиденциальности электронной почты
6. Сокращение объёмов нежелательной почты (спама)
7. Безопасность электронной почты для конечных пользователей
Приложение A: Сокращения
Приложение B: Литература
Источник: сайт NIST
http://dx.doi.org/10.6028/NIST.SP.800-177

Комментариев нет:

Отправить комментарий