Администрирование электронной почты
То, как организация оперирует электронной почтой, также важно, как и использование системы. Правила безопасности и инструкции при подходящем случае становятся темой судебных процессов, основанием для жалоб и прочих хлопот, которые мешают работе организации или пользователей.
Другие аспекты работы с электронной почтой, будь то содержание посланий или их обработка, обычно не воспринимаются серьезно. А они являются реальными вопросами, так как находят порой отражение в скандальных делах и проблемах, связанных с электронной почтой и отражающихся на безопасности организации. Правила безопасности электронной почты должны устанавливать определенные обязанности и для пользователя, и для администратора.
Следует заметить, в этом разделе речь идет о том, что организация сама управляет собственными службами электронной почты. Если организация пользуется внешними услугами для обеспечения работы электронной почты, то следует проверить контракт, чтобы убедиться, что провайдер услуг управляет системами электронной почты в соответствии с принятыми в организации правилами. Однако, если организация пользуется онлайновыми услугами провайдера, такого как AOL (America Online), то правила будут регламентировать, в основном, пользование этими услугами и почти не затрагивать администрирование.
Введение права на контроль электронной почты
Самое распространенное приложение Internet может оказаться и самым опасным. Электронная почта может использоваться для пересылки секретных данных, оскорблений и создавать проблемы для службы безопасности. Все проблемы можно решить, если организация контролирует трафик электронной почты и содержимое посланий, а также архивирует сообщения, чтобы в будущем можно было разобраться в возникшей проблеме. Если в чем-то вы сомневаетесь, то необходимо проконсультироваться с юристом, чтобы выяснить, что законно, а что противопоказано в этой работе. Если этого не делать, то право на мониторинг, так же как весь режим работы электронной почты и архивирование сообщений пользователей, должно быть установлено правилами безопасности, а периодический просмотр электронной почты может быть основой контроля за их соблюдением.
Обработка электронной почты
Клиент стал беспокоиться о разработке правил эксплуатации электронной почты после того, как бывший служащий затеял судебный процесс против организации. Это была небольшая компания, насчитывающая менее 70 пользователей, и вопрос касался добавления в правила информации об архитектуре. После изучения этого запроса автор книги получил копию приказа о смещении с должности системного администратора. Юрист истца запрашивал, каким образом организация управляет маршрутизацией электронной почты, и записано ли это в правилах безопасности.
Автор книги просмотрел приказ об увольнении и другую вспомогательную документацию и пришел к выводу, что в системе, построенной на самой передовой архитектуре, можно найти детали, которые могут стать уликами против организации. Автору пришлось написать формулировку правил, которая позволяла бы организации разработать архитектуру системы, но такую, чтобы ее технические решения не могли стать зацепкой в суде. Она выглядела следующим образом.
Системные администраторы и администраторы безопасности должны совместно разработать архитектуру системы электронной почты таким образом, чтобы обеспечить надлежащую доставку сообщений как внутри организации, так и в Internet. Помимо всего прочего эта система должна допускать использование посреднических программ, переадресации, шлюзов и ручного вмешательства в управление этой службой.
Несмотря на то, что данная формулировка очень обобщенная, она удовлетворяет любое архитектурное решение и удовлетворит юристов организации.
Архивирование электронной почты
Не стоит легкомысленно относиться к хранению и обновлению заархивированной электронной почты, поскольку если бы компания Microsoft руководствовалась собственными правилами, то сообщений, используемых правительством, могло бы уже и не существовать. Это не означает, что автор книги поддерживает использование электронной почты для якобы незаконной деятельности. Но если организация собирается разработать правила, то следует позаботиться, чтобы они были реалистичными, и руководствоваться ими в работе.
Правила архивирования и хранения содержат два компонента. Во-первых, нужно декларировать, что электронная почта будет архивироваться. Во-вторых, необходимо установить временные параметры хранения электронной почты. Также, как это делалось при разработке других правил, лучше было бы перенести вопросы, касающиеся используемых типов памяти и объемов хранимой информации, в документы по внедрению. Однако, необходимо включить в правила некоторые указания.
Организация должна сохранять и архивировать все сообщения электронной почты, которые проходят через ее сервер. Архив должен храниться на включенном в сеть запоминающем устройстве. Администраторы должны переносить архивированные сообщения на автономное запоминающее устройство каждые шесть месяцев, удаляя эти сообщения из оперативных запоминающих устройств.
Организация должна сохранять сообщения на этом автономном запоминающем устройстве, по крайней мере, два года, но может, по решению руководства, хранить его и дольше. Сообщения на автономном запоминающем устройстве должны быть стерты, или носитель должен быть уничтожен в соответствии с принятой для этого носителя технологией.
Некоторые более крупные организации, в особенности правительственные подрядчики, могут столкнуться с проблемами при создании единого правила для архивирования и хранения. От них, на основании контракта, могут потребовать руководствоваться правилами, отличными от тех, которые разработаны в организации. В таком случае организация может включить следующую формулировку в правила.
Организация должна дополнить правила, чтобы удовлетворить требования контракта, но без пересмотра правил. Данные изменения должны касаться только тех пользователей, которые выполняют работу по настоящему договору, и организация должна уведомить этих пользователей о внесенных изменениях до их внедрения.