ФСТЭК о защите сервисов электронной почты

Методический документ «Состав и содержание мероприятий и мер по защите информации, содержащейся в информационных системах», утвержденный Федеральной службой по техническому и экспортному контролю (ФСТЭК России) 12 апреля 2026 года содержит перечень мер по защите сервисов электронной почты (п. 4.6).

Защита электронной почты (далее ЭП) включает в себя:

• Защита ящиков и сообщений ЭП;
  
  
• Управление доступом пользователей;
  
  
• Защита от вредоносных вложений;
  
  
• Защита от фишинга;
  
  
• Защита от спама;
  
  
• Защита метаданных и иной технической информации сервисов ЭП.

Защита ящиков и сообщений ЭП направлена на исключение возможности несанкционированного доступа к объектам ЭП информационной системы (информационной инфраструктуры оператора).

Должны быть реализованы следующие меры защиты информации:

• Периодический анализ (аудит) ящиков ЭП на наличие ящиков, подлежащих удалению;
  
  
• Регистрация событий безопасности, связанных с действиями пользователей сервисов ЭП в соответствии с мерами защиты информации 

Дополнительные требования:

• Должно обеспечиваться автоматическое блокирование доступа к ящикам ЭП после установленного времени их неиспользования (неактивности);
  
  
• Должно быть обеспечено периодическое резервное копирование содержимого ящиков ЭП.

Управление доступом пользователей, которое должно исключить несанкционированный доступ к объектам ЭП информационной системы (информационной инфраструктуры оператора).

Должны быть реализованы следующие меры защиты информации:

• Доступ пользователей к ящикам ЭП должен осуществляться после прохождения процедуры идентификации и аутентификации;
  
  
• Идентификация и аутентификация пользователей при доступе к ящикам ЭП в соответствии с мерами защиты информации 

Доступ субъектов доступа к общим (групповым) ящикам ЭП и группам рассылки должен осуществляться по согласованию с владельцем группы ящиков ЭП (рассылок).

Защита от вредоносных вложений должна обеспечить антивирусную защиту объектов ЭП, включающее:

• Обнаружение компьютерных программ либо иной компьютерной информации, предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты информации, сокрытия присутствия другого вредоносного программного обеспечения в информационной системе, сокрытия свидетельств несанкционированного доступа к любым ресурсам информационной системы;
  
  
• Обеспечение реагирования на обнаружение вредоносного программного обеспечения.

Должен обеспечиваться 

• Контроль вложений и ссылок в составе сообщений ЭП с использованием индикаторов компрометации, содержащих информацию об объектах и (или) действиях, которая свидетельствует о реализованных вредоносных действиях (операциях);
  
  
• Блокирование сообщений ЭП, содержащих вложения, имеющие неразрешенные форматы файлов (вложений);
  
  
• Возможность проведения ретроспективного анализа вложений и ссылок ранее поступивших сообщений ЭП на наличие вредоносного программного обеспечения.

Дополнительные требования:

• Контроль вложений, поступающих пользователям информационной системы в составе сообщений ЭП, должен осуществляться с использованием замкнутой системы (среды) предварительного выполнения программ («песочницы»);
  
  
• Должно обеспечиваться блокирование возможности использования заархивированных с использованием паролей вложений до их проверки на наличие компьютерных вирусов.

Защита от фишинга должна обеспечить выявления и блокирования сообщений ЭП, содержащих поддельные данные и фишинговые элементы, направленные на компрометацию учетных записей, или иное несанкционированное воздействие на информационную систему (информационную инфраструктуру оператора).

Должен обеспечиваться контроль текста сообщения (контента), содержащегося в сообщении ЭП, и ссылок, ведущих на сторонние информационные ресурсы, на наличие вредоносных и фишинговых элементов:

• Фильтрация сообщений ЭП на основе информации об отправителе сообщения (IP-адреса, доменные имена), в том числе с использованием "черных" списков (запрещенные отправители) и (или) "белых" списков (разрешенные отправители);
  
  
• Фильтрация сообщений ЭП по содержимому с использованием критериев, позволяющих относить сообщения к фишинговым.

Должна обеспечиваться возможность проведения ретроспективного анализа сообщений ЭП на наличие поддельных данных и (или) фишинговых элементов.

Дополнительные требования:

• Должно осуществляться блокирование сообщений ЭП, содержащих поддельные данные и (или) фишинговые элементы, или помещение их в карантин;
  
  
• Должна осуществляться фильтрация сообщений ЭП на основе репутационной информации об отправителе сообщения;
  
  
• Контроль сообщений ЭП на наличие фишинговых элементов должен осуществляться с использованием замкнутой системы (среды) предварительного выполнения программ («песочницы»);
  
  
• Должны обеспечиваться контроль адресов ЭП, с которых было отправлено сообщение ЭП с целью верификации адресов ЭП, а также обнаружение фактов подделки электронных писем от легитимных отправителей.

Защита от спама должна предотвратить поступления незапрашиваемых сообщений ЭП (спама) пользователям информационной системы.

Должен обеспечиваться контроль поступающих сообщений ЭП, позволяющий обнаруживать незапрашиваемые сообщения. Контроль поступающих сообщений ЭП должен осуществляться за счет:

• Фильтрации сообщений ЭП на основе информации об отправителе сообщения (IP-адреса, доменные имена), в том числе с использованием "черных" списков (запрещенные отправители) и (или) "белых" списков (разрешенные отправители);
  
  
• Фильтрации сообщений ЭП по содержимому с использованием критериев, позволяющих относить сообщения к спаму.

Дополнительные требования:

• Должна осуществляться фильтрация сообщений ЭП на основе репутационной информации об отправителе сообщения;
  
  
• Должно быть установлено ограничение на количество сообщений ЭП, поступающих от одного отправителя за период времени, при превышении которого последующие сообщения ЭП должны блокироваться;
  
  
• Должны применяться технологии, позволяющие однозначно верифицировать адреса ЭП, от имени которых были отправлены сообщения.

Защита метаданных и иной технической информации сервисов ЭП, связанной с функционированием сервисов ЭП, для предотвращения их несанкционированного использования.

Информационное взаимодействие между пользователями ящиков ЭП и сервером ЭП должно осуществляться с использованием технологий и сетевых протоколов, обеспечивающих сокрытие метаданных и иной технической информации, связанной с функционированием сервисов ЭП.

Должно обеспечиваться сокрытие метаданных и иной технической информации, связанной с функционированием сервисов ЭП, а именно:

• Служебные заголовки сообщений ЭП, содержащие информацию об инфраструктуре информационной системы, а также программном обеспечении, с использованием которого отправлено сообщение ЭП(например, X-Mailer, User-Agent);
  
  
• Служебные заголовки сообщений ЭП, содержащие информацию о маршруте передачи сообщения (например, X-Originating-IP, Message-ID).

Сокрытие информации, содержащейся в служебных заголовках, должно осуществляться одним из следующих способов:

• Настройка параметров сервера ЭП, при которой обеспечивается запрет записи информации в служебные заголовки отправляемых сообщений ЭП;
  
  
• Использование промежуточного сервера (SMTP-шлюз или прокси-сервер), позволяющего подменять или удалять информацию, содержащуюся в служебных заголовках.

Должна быть исключена возможность получения информации о существующих ящиках ЭП, содержащихся на сервере ЭП, с использованием:

• Запрета использования на почтовом сервере команд VRFY/EXPN;
  
  
• Средства защиты информации, позволяющего блокировать запросы на получение информации о существующих ящиках ЭП, содержащихся на сервере ЭП.

Дополнительные требования:

• Сервер ЭП, доступный из сети «Интернет», не должен поддерживать прием и передачу почтового сетевого трафика, предназначенного для других информационных систем (доменов).

Мой комментарий: Защита почтовых сервисов выделена в отдельную категорию - это прямое следствие роста числа атак через фишинг и компрометации деловой переписки.

Пункт 4.6 устанавливает объемный перечень требований, охватывающих все критические области: от управления доступом и антивирусной защиты до контроля метаданных и противодействия фишингу.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=531896    

Китай: В провинции Цзянси разработаны три подхода с целью стандартизации архивной работы в государственных учреждениях

Данная новость была опубликована 21 мая 2026 года на сайте Государственного архивного управления (Госархива) Китая.

В апреле этого года Бюро архивов провинции Цзянси (江西省档案局) совместно с провинциальным архивом сформировали три группы по консультированию. 

Применяя упрощенный подход «полдня на обследование одного подразделение, без многоуровневого сопровождения и без требований к подготовке отчётов», эти группы оказывали консультационные услуги на местах подразделениям провинциального уровня.

Недавно Бюро архивов провинции и провинциальный архив систематически проанализировали общие для различных подразделений проблемы, и разработали три основных подхода для работы с архивными документами. Цель состоит в том, чтобы закрепить результаты поэтапного консультирования в долгосрочном рабочем механизме и обеспечить постоянное повышение уровня стандартизации и нормализации архивной работы в подразделениях провинциального уровня.

Эти три подхода нашли отражение в следующих документах:

• В документе «Руководящие указания по строительству инфраструктуры архивных помещений (музеев) в учреждениях провинциального уровня» (《省直单位档案室（馆）基础设施建设指导意见》) рассматриваются недостатки оборудования в архивохранилищах некоторых учреждений, такие как устаревающая инфраструктура, необоснованное функциональное зонирование и неадекватные системы безопасности. 
  
  Комбинируя новейшие правила и требования к архивному делу, документ предоставляет стандартизированные рекомендации по таким аспектам, как выбор местоположения хранилища, контроль температуры и влажности, пожарная безопасность, конструкция и нагрузки на стеллажное оборудование и функциональное зонирование, - тем самым укрепляя аппаратную основу для безопасного и защищённого обеспечения долговременной сохранности документов в учреждениях провинциального уровня. 
  
  
• В документе «Рекомендации по упорядочиванию и архивированию документов и материалов, относящихся к крупным событиям и мероприятиям» (《重大活动文件材料整理归档操作指引》) основное внимание уделяется таким важным проблемам, как неполнота коллекций, нестандартное упорядочивание и несвоевременная передача на архивное хранение документов, относящихся к крупным встречам, важным соревнованиям и внезапным чрезвычайным ситуациям.
  
  Рекомендации уточняют сферу охвата усилий по архивирования, стандарты упорядочивания, сроки и ответственных лиц за документы и материалы, связанные с крупными мероприятиями, - предоставляя четкие и оперативное применимые технические спецификации для архивистов, непосредственно работающих с документами. 
  
  
• В документе «Меры по архивированию и управлению электронными документами и электронными архивами партийных и государственных органов провинции Цзянси» (《江西省党政机关电子文件归档和电子档案管理办法》) решаются такие проблемы, как нечеткое понимание тенденций перехода от бумажных к электронным архивным документам, неэффективные процессы архивирования электронных документов, несогласованные форматы и трудности обеспечения долговременной сохранности. 
  
  В документе уточняются технические требования и распределение обязанностей для каждого этапа архивирования электронных документов, от их создания, распространения и архивирования до хранения, использования и уничтожения, - тем самым обеспечивая институциональные гарантии отдельного управления архивированием электронных документов в государственных органах и учреждениях.

Источник: сайт Госархива КНР
https://www.saac.gov.cn/daj/c100215/202605/953c6f008c71478aa7e3dd59be0e3a54.shtml 

Штат Виктория, Австралия: Опубликована новая редакция стандарта PROS 26/01 «Стандарт доступа»

Я регулярно рассказываю на блоге об уникальном опыте в области стандартизации управления документами и архивного дела Управления государственных документов австралийского штата Виктория (Public Record Office Victoria, PROV). Данный пост подготовлен на основе материалов, опубликованных на сайте PROV 24 апреля 2026 года.

Управление государственных документов австралийского штата Виктория (Public Record Office Victoria, PROV) опубликовало новую редакцию стандарта PROS 26/01 «Стандарт доступа» (Access Standard) версии 1.0, текст которого можно найти на странице системы стандартов PROV (см. https://prov.vic.gov.au/recordkeeping-government/standards-framework ) на сайте Управления. 

Данный 3-страничный документ доступен по прямой ссылке https://prov.vic.gov.au/sites/default/files/files/documents/2601v1.0.pdf

Ранее действовавшая редакция того же стандарта PROS 19/06 отменена.

Управление PROV благодарит участников Консультативной группы заинтересованных сторон (Stakeholder Advisory Group) и другие заинтересованные стороны за предоставление отзывов о пересмотренном Стандарте.

Во вводной части стандарт отмечается:

«Стандарт доступа» PROS 26/01 устанавливает принципы и требования, которым обязаны соответствовать государственные учреждения штата Виктория с целью обеспечить доступность документов на протяжении всего срока их хранения и отсутствие ограничений на доступ не будет ограничен, за исключением ситуаций, предусмотренных законодательством, нормативными актами или политикой.

Настоящий стандарт включает следующие разделы:

• Доступ к документам, хранящимся в государственных учреждениях,
  
  
• Управление доступом,
  
  
• Доступ к документам, хранящимся в PROV (архивно-документационной службе штата – Н.Х.).»

Изменения в стандарте

Пересмотренный стандарт доступа:

• Обеспечивает баланс между открытостью и прозрачностью государственных органов и соображениями безопасности и защиты персональных данных, которые были менее актуальными во время подготовки предыдущей редакции;
  
  
• Учитывает большое количество замечаний и предложений, полученных от Управлением уполномоченного штата Виктория по вопросам защиты информации (Office of the Victorian Information Commissioner, https://ovic.vic.gov.au/ ) с цель обеспечить соответствие другим стандартам стратегического управления информацией;
  
  
• Пересматривает терминологию, касающуюся персональных данных и конфиденциальной информации, во избежание путаницы при использовании стандартов стратегического управления информацией;
  
  
• Сокращает дублирование между положениями стандарта доступа и положениями других стандартов PROV, в особенности PROS 25/02 «Стандарт создания, захвата и контроля» (Create, Capture and Control Standard, https://prov.vic.gov.au/recordkeeping-government/document-library/pros-2502-create-capture-and-control-standard , о нём также см. мои посты http://rusrim.blogspot.com/2025/03/pros-2502.html и http://rusrim.blogspot.com/2025/03/pros-2502_01839264359.html - Н.Х.);

Мой комментарий: Ниже приведен полный перевод основной части стандарта – принципов и требований.

Принцип доступа к документам, хранящимся в государственных учреждениях: Доступ к документам, хранящимся в государственных учреждениях, не должен ограничиваться, за исключением случаев, когда для есть веские причины для ограничения или закрытия доступа, такие как законодательно-нормативные, договорные требования и требования политик.

Требования:

1. Внешний доступ – государственные учреждения должны поддерживать открытость и прозрачность государственного управления, предоставляя общественности и организациям/группам доступ к документам, за исключением случаев, когда для ограничения или отказа в доступе есть веские причины.

2. Внутренний доступ государственных органов штата и доступ для других государственных органов – государственные учреждения должны поддерживать обмен и повторное использование документов между государственными органами (штата, органами федерального и местного уровня), за исключением случаев, когда для ограничения или отказа в доступе есть веские причины.

Принцип управления доступом: Государственные учреждения должны обеспечить надлежащее управление доступом к документам.

Примечание: Возможные меры для этого включают в себя механизмы стратегического управления, реестр информационных активов, политики доступа/раскрытия информации, оценки рисков, проектирование систем/процессов, обучение персонала, отчетность об инцидентах и проведение аудитов/проверок.

Требования:

1. Необходимо разработать, внедрить и поддерживать политики, процессы и меры, обеспечивающие надлежащее управление доступом к документам. Они должны основываться на оценке законодательно-нормативных и административных требований, а также потенциальных преимуществ, последствий и рисков предоставления доступа к документам.

2. Политики, процессы и меры доступа должны пересматриваться, подтверждаться и обновляться по мере необходимости, чтобы обеспечить их надлежащее функционирование и сохранение ими адекватности.

3. В случаях, когда доступ к документам необходимо предоставить другой организации, и это допускается политикой доступа организации, государственные учреждения должны обеспечить наличие соответствующих мер, обеспечивающих сохранение конфиденциальности документов. Сюда входит информирование получателя о его обязанностях и требование к нему продемонстрировать надлежащее управление документами.

Примечание: В число соответствующих возможных мер входят соглашения об обмене данными, контракты и системы, которые допускают доступ только на определенный период времени.

Принцип доступа к документам, хранящимся в Управлении PROV: Большинство документов, хранящихся в PROV в составе Архивной коллекции штата (State Archival Collection), доступны для публичного доступа. Некоторые документы могут быть изъяты из публичного доступа на определенный период времени в соответствии с одним из положений Закона о государственных документах 1973 года (Public Records Act 1973), касающихся закрытия доступа.

Примечание: Данный принцип и требования включены для полноты – государственные учреждения не обязаны соблюдать их в рамках своих обычных процессов оперативной деятельности. Управление PROV предоставляет подробные рекомендации в случае передачи документов государственными учреждениями на архивное хранение в PROV и при обращении организаций за получением статуса «хранилища, используемого для депозитарного хранения» (Place of Deposit).

Требования:

1. Перед передачей на хранение в PROV необходимо определить статус доступа к документам в соответствии с требованиями Закона о государственных документах 1973 года.

Примечание: Статус доступа будет либо «открытые» (что означает, что к документам может получить доступ общественность), либо «закрытые» (что означает, что документы будут изъяты из публичного доступа на определенный период времени).

2. Организации, получившие статус мест депозитарного хранения класса А, могут хранить документы:

• оцененные как подходящие для публичного доступа; и/или
  
  
• оцененные как подлежащие изъятию из публичного доступа на определенный срок, если это было согласовано с PROV, и если закрытие доступа к документам авторизовано в соответствии с Законом о государственных документах 1973 года.

Организации, получившие статус мест депозитарного хранения класса B, могут хранить только документы, оцененные как подходящие для публичного доступа.

Примечание: Закон о государственных документах 1973 года позволяет назначать места хранения вне PROV в качестве мест депозитарного хранения для целей безопасного хранения и обеспечения долговременной сохранности определенных государственных документов штата. Места депозитарного хранения должны соответствовать условиям, установленным PROV.

Источник: сайт PROV
https://prov.vic.gov.au/about-us/our-blog/new-access-standard 
https://prov.vic.gov.au/recordkeeping-government/document-library/pros-2601-access-standard 

ИСО и МЭК: Опубликована новая редакция стандарта ISO/IEC/IEEE 12207:2026 «Процессы жизненного цикла программного обеспечения»

В апреле 2026 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой редакция стандарта ISO/IEC/IEEE 12207:2026 «Системная и программная инженерия - Процессы жизненного цикла программного обеспечения» (Systems and software engineering — Software life cycle processes) объёмом 156 страниц, см. https://www.iso.org/standard/90219.html и https://www.iso.org/obp/ui/en/#!iso:std:90219:en .

Стандарт подготовлен подкомитетом SC7 «Системное проектирование и разработка программного обеспечения» Объединённого технического комитета ИСО/МЭК JTC1. Он заменил предыдущую редакцию ISO/IEC/IEEE 12207:2017.

В России стандарт был адаптирован (в редакции 2008 года) как ГОСТ Р ИСО/МЭК 12207-2010 «Информационная технология. Системная и программная инженерия. Процессы жизненного цикла программных средств», см. https://protect.gost.ru/gost/details/350d1d97-8905-4368-8a8c-7ce7c041bb09 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает общую концепцию для процессов жизненного цикла программного обеспечения. На его терминологию можно ссылаться и применять её во всей индустрии программного обеспечения. 

Документ описывает процессы, действия и задачи, которые могут применяться при приобретении программной системы, продукта или услуги, а также при поставке, разработке, эксплуатации, обслуживании и выводе из эксплуатации программных продуктов и услуг. Это достигается за счет вовлечения заинтересованных сторон с целью достижения удовлетворенности клиентов. 

Данный документ включает в себя те аспекты определения системы, которые необходимы для обеспечения контекста для программных систем и услуг. Он также описывает процессы, которые могут быть использованы для определения, контроля/управления и улучшения процессов жизненного цикла программного обеспечения в организации или проекте.

Данный документ применим к уникальным программным системам, программным системам для широкого коммерческого или публичного распространения, а также к специализированным адаптируемым программным системам. Понятие программного обеспечения охватывает в себя программную часть встроенного ПО. 

Документ применим как к полной автономной программной системе, так и к программным системам, которые встраиваются и интегрируются в более крупные, сложные и полные системы систем (systems of systems, SoS). Процессы, действия и задачи, описанные в данном документе, также могут применяться при приобретении системы, содержащей программное обеспечение.

Настоящий документ относится ко всему жизненному циклу программных систем, продуктов и услуг, включая концептуализацию, разработку, эксплуатацию, поддержку и вывод из эксплуатации; а также к их приобретению и предоставлению, независимо от того, осуществляется ли это внутри организации или вне её. Процессы жизненного цикла, описанные в этом документе, могут применяться параллельно, итеративно и рекурсивно к программной системе и инкрементально - к её элементам.

Данный документ может применяться в организациях и в программных проектах, использующих различные формальные инженерные подходы. Он применим в отношении гибких (agile) подходов и методов, которые наиболее широко используются для разработки, поддержки и сопровождения программного обеспечения и которые считаются более экономичными и позволяют быстрее создавать пригодные к использованию продукты.

Данный документ не устанавливает и не требует какой-либо конкретной модели жизненного цикла программного обеспечения, методологии разработки, метода, подхода к моделированию или методов выбора модели жизненного цикла для организации или проекта и для сопоставления описанных в этом документе процессов, действий и задач с этой моделью. Использование инженерного суждения для помощи в достижении желаемого уровня качества также выходит за рамки этого документа.

Данный документ не детализирует элементы информации в плане названия, формата, явного содержания и носителя информации. Стандарт ISO/IEC/IEEE 15289:2019 «Разработка систем и программ - Содержание информационных элементов, отражающих жизненный цикл систем и программного обеспечения (документации)» (Systems and software engineering - Content of life-cycle information items (documentation), см. https://www.iso.org/standard/74909.html и https://www.iso.org/obp/ui/#!iso:std:74909:en , а также мой пост о редакции 2017 года: https://rusrim.blogspot.com/2017/11/isoiecieee-152892017.html – Н.Х.). определяет содержание информационных элементов (документации) для процесса жизненного цикла.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Соответствие
5. Ключевые понятия и их применение
6. Процессы жизненного цикла программного обеспечения
Приложение A: Процесс адаптации
Приложение B: Примеры элементов информации о процессе
Приложение C: Эталонная модель процесса для целей оценки
Приложение D: Системная и программная инженерия на основе моделей (Model-based systems and software engineering, MBSSE)
Приложение E: Обеспечение уверенности с примерами
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/90219.html 
https://www.iso.org/obp/ui/en/#!iso:std:90219:en