Polityka bezpieczeństwa

……………………………………….……………………..

(pieczęć firmowa)

Polityka postępowania

ze skrzynką poczty elektronicznej

Spis treści

1. Wstęp

1. Niniejszy dokument jest częścią zbioru polityk bezpieczeństwa.

2. Definicje pojęć i podstawa prawna zostały opisane w pierwszych rozdziałach

ww Zbioru.

2. Informacje wstępne

1. Poczta elektroniczna jest popularną metodą przesyłania informacji. Przy jej

pomocy komunikują się nie tylko pracownicy, ale również uczniowie, rodzice,
urzędy oraz osoby trzecie.

2. Poczta elektroniczna przechowywana jest na serwerach firm zewnętrznych, listy

nią przesyłane wędrują po różnych serwerach, a drobna literówka może
spowodować, że list omyłkowo trafi do innego odbiorcy.

3. Poczta elektroniczna wykorzystywana jest przez przestępców do prowadzenia

ataków przy pomocy technik takich jak phishing, ransomware, wirusy.

4. W związku z licznymi zagrożeniami wynikającymi z korzystania z poczty

elektronicznej, wprowadza się całkowity zakaz korzystania z prywatnej
skrzynki pocztowej na komputerach przetwarzających dane osobowe oraz
komputerach działających w nich w jednej podsieci (wspólny VLAN lub LAN).

5. Do działania dopuszcza się wyłącznie skrzynki pocztowe utworzone, lub

zaakceptowane do wykorzystywania przez ADO.

3.Logowanie się do skrzynki pocztowej

3. Logowanie się do skrzynki pocztowej

1. Skrzynka pocztowa powinna być wykorzystywana wyłącznie na komputerach

bezpiecznych i chronionych przed wirusami. W związku z tym sugeruje się
wykorzystywanie skrzynki poza Placówką tylko w sytuacjach niezbędnie
koniecznych.

2. Hasło do skrzynki pocztowej powinno być traktowane z należytą starannością,

tak jak inne hasła, zgodnie z ustalonymi politykami jakości hasła oraz
częstotliwości jego zmian.

4. Odbieranie wiadomości

1. Z uwagi na masowe ataki niebezpiecznego oprogramowania prowadzone

z użycie poczty elektronicznej (e-mail), uruchamianie załączników przesłanych
tą drogą, niezależnie od tego, czy są to pliki PDF, Worda, Excela czy inne musi
być poprzedzone następującymi działaniami:

a) Należy zastanowić się, czy z danym nadawcą wiążą Placówkę jakiekolwiek

związki wymagające przesyłania plików w załączniku.

− Spora liczba ataków bazuje na przesłaniu straszących wezwań do

zapłaty, zaległych faktur do płatności itp. które w rzeczywistości są
szkodliwym oprogramowaniem.

b) Należy zastanowić się, czy dany nadawca ma powód do przesłania takiego

pliku.

− Dla atakującego nie jest problemem podszywanie się pod znanego

pracownikowi nadawcę i przesyłanie w jego imieniu fałszywych
wiadomości.

c) Należy zastanowić się, czy treść listu nie odbiega od zazwyczaj stosowanej.

Czy nie zawiera on dziwnych błędów stylistycznych i językowych.

− Wielu atakujących to osoby spoza Polski, które korzystają

z automatycznego tłumaczenia listów na j. polski, które to automatyczne
tłumaczenie jest zazwyczaj sztuczne językowo i obarczone błędami.

2. W przypadku gdy list elektroniczny zawiera odsyłacze (linki) do wskazanych

stron w Internecie, użytkownik przed ich kliknięciem jest zobowiązany
przeprowadzić następującą analizę:

a) Należy zastanowić się, czy z danym nadawcą wiążą Placówkę jakiekolwiek

związki wymagające przesyłania linków do kliknięcia.

− Spora liczba ataków bazuje na przesłaniu straszących treści

o zablokowaniu kont (bankowych, pocztowych), wezwaniach do zapłaty,
wystawionych fakturach itp. dostępnych pod wskazanym odsyłaczem,
który w rzeczywistości prowadzi do fałszywego oprogramowania.

b) Należy zastanowić się, czy dany nadawca ma powód do przesłania takiego

odsyłacza.

2 / 4

4.Odbieranie wiadomości

− Dla atakującego nie jest problemem podszywanie się pod znanego

pracownikowi nadawcę i przesyłanie w jego imieniu fałszywych
wiadomości.

c) Należy zastanowić się, czy treść listu nie odbiega od zazwyczaj stosowanej.

Czy nie zawiera on dziwnych błędów stylistycznych i językowych.

− Wielu atakujących to osoby spoza Polski, które korzystają

z automatycznego tłumaczenia listów na j. polski, które to automatyczne
tłumaczenie jest zazwyczaj sztuczne językowo i obarczone błędami.

d) Należy rozważyć czy nie jest możliwe wejście na wskazany adres poprzez

jego wpisanie ręczne w oknie przeglądarki internetowej,

− Wielu atakujących potrafi tak spreparować list, żeby użytkownikowi

wydawało się, że wchodzi na zaufaną stronę, a tak naprawdę odsyłacz
prowadzi w niebezpieczne, specjalnie spreparowane miejsce.

e) Jeżeli po wejściu pod podany adres wymagane jest podanie danych

uwierzytelniających (loginów, haseł, numerów kart kredytowych, numerów
telefonów itp.) należy rozważyć, czy aby na pewno strona nie służy do
wyłudzania tych danych (tzw. phishing).

− Atakujący potrafią spreparować stronę wyglądającą jak strona banku,

poczty elektronicznej czy innego systemu informatycznego, a której
zadaniem jest wyłudzenie danych uwierzytelniających.

3. Jeżeli na którymkolwiek etapie powyższych procedur pojawiają się wątpliwości,

należy natychmiast przerwać korzystanie z poczty elektronicznej i skonsultować
wątpliwości z ASI lub ADO.

5. Wysyłanie wiadomości

1. W przypadku wysyłania wiadomości zawierających dane osobowe w małych

ilościach (faktury, pojedyncze formularze), skierowanych bezpośrednio do
osoby, której dane dotyczą, dopuszczalne jest wysyłanie wiadomości
niezaszyfrowanej.

2. W przypadku wysyłania wiadomości zawierających większą ilość danych

osobowych, należy przeprowadzić proces szyfrowania opisany poniżej.

3. Niezależnie od rodzaju wysyłanej wiadomości, należy upewnić się, że

wpisywany adres odbiorcy jest poprawny i nie pojawiło się w nim jakieś
przekłamanie, które może spowodować, że dane trafią do zupełnie innego
odbiorcy.

3 / 4

6.Dopuszczalne sposoby szyfrowania przesyłanych danych

6. Dopuszczalne sposoby szyfrowania przesyłanych danych

1. Jeżeli dane zawarte są w pojedynczych plikach pakietu biurowego MS Office

(Word, Excel) lub LibreOffice/OpenOffice (Writer, Calc) można wybrać metodę
zapisania pliku z hasłem szyfrującym.

2. Jeżeli dane zawarte są w większej liczbie plików lub są to pliki z programów nie

posiadających   opcji   szyfrowania,   należy   pliki   z   danymi   zaszyfrować
wykorzystując   zabezpieczone   hasłem   archiwum   ZIP  lub   podobne.   Można   tu
wykorzystać   darmowy   program   7-zip   (

http://7-zip.org/

) udostępniający

tworzenie szyfrowanych archiwów 7z (dostępny dla programu 7-zip) oraz ZIP
(dostępny również dla osób nie posiadających programu 7-zip).

3. Hasło szyfrujące należy przekazać odbiorcy w inny sposób niż poprzez e-mail.

Można je podać telefonicznie albo SMSowo.

4. Hasło szyfrujące należy dobrać zgodnie z zasadami doboru dobrej jakości hasła,

a do tego powinno być ono inne niż hasła stosowane przy wysyłce danych do
innych odbiorców.

5. Jeżeli wysyłanie danych pomiędzy dwoma odbiorcami odbywa się często

i proces szyfrowania i zarządzania hasłami staje się kłopotliwy,

a) ASI wdraża na wniosek pracownika metody szyfrowania asymetrycznego,

takie jak GPG czy SMIME,

b) oraz szkoli obie strony z wykorzystania tej metody.

W procesie szyfrowania asymetrycznego nie jest już konieczne wymyślanie
haseł i przekazywanie ich innym kanałem, gdyż opiera się na zasadzie
wykorzystania kluczy prywatnych i publicznych.

7. Porządkowanie skrzynek pocztowych

1. Dane osobowe wysyłane i odbierane pocztą elektroniczną trafiają do folderów

(wysłane, odebrane itp.) w programie pocztowym lub na serwerze
obsługującym skrzynkę.

2. Skrzynka znajdująca się tylko na dysku lokalnym powinna mieć ustawione

parametry automatycznego usuwania listów starszych niż pół roku, chyba że dla
danej skrzynki zasadne jest dłuższe przechowywanie danych i ADO wyrazi na
to zgodę.

3. Skrzynka znajdująca się tylko na serwerze poczty powinna mieć ustawione

parametry automatycznego usuwania listów starszych niż kwartał, chyba że dla
danej skrzynki zasadne jest dłuższe przechowywanie danych i ADO wyrazi na
to zgodę.

4. Jeżeli system obsługi skrzynki lub program pocztowy nie pozwala na

automatyzację czyszczenia zawartości, ADO zobowiązuje pracownika do
ręcznego usuwania przynajmniej raz w miesiącu listów przechowywanych
dłużej niż wskazane okresy.

4 / 4

Document Outline