Для достижения указанных целей могут применяться пра­вовые, организационные и технические (программно-технические) меры.

К правовым относятся меры по закреплению ответствен­ности работников за нарушение установленного порядка за­щиты, определению перечня защищаемых сведений, прав и порядка доступа к защищаемой информации, заключению со­глашений (договоров) со сторонними организациями и час­тными лицами о порядке защиты предоставляемой им или получаемой от них информации, а также установлению от­ветственности за нарушение такого порядка и т. д.

К организационным мерам относятся организация осо­бого режима допуска на территории (в помещения), где мо­жет быть осуществлен доступ к информации (материаль­ным носителям информации), разграничение доступа к ин­формации по кругу лиц и характеру информации и т. д. По­мимо этого, в организации должен быть определен поря­док действий при возникновении угроз для используемой системы защиты корпоративной ЭП, в том числе чрезвы­чайных и непредотвратимых обстоятельств, и ликвидации их последствий.

К техническим (программно-техническим) мерам по за­щите информации относятся меры по использованию на­дежных средств хранения информации, а также ее защиты, в том числе криптографических средств, систем контроля доступа и регистрации фактов доступа к информации, средств бесперебойного электропитания и т. д.

Для защиты информации в случаях, определенных зако­нодательством, должны использоваться программно-тех­нические средства, сертифицированные в установленном порядке или имеющие положительное экспертное заклю­чение по результатам государственной экспертизы. В час­тности, в государственных информационных системах дол­жны использоваться средства электронной цифровой под­писи (далее - ЭЦП) и шифрования, сертифицированные в установленном порядке уполномоченными органами На­циональной системы подтверждения соответствия Рес­публики Беларусь.

Несертифицированные средства защиты информации, в том числе средства ЭЦП, допускается использовать в случаях, определяемых законодательством (например, на основе согла­шения (договора), заключаемого между сторонами, осуществ­ляющими обмен документированной информацией).

Устанавливаемые в организации правила защиты доку­ментов ЭП должны предусматривать определение поряд­ка доступа различных работников к ним в зависимости от предоставленных полномочий на ознакомление и рабо­ту с определенными категориями информации.

При определении порядка доступа к документам ЭП не­обходимо предусматривать [51, c. 192]:

- категорирование документов или их совокупности по уровню доступа на основе ценности и конфиденциальнос­ти информации, содержащейся в документах;

- установление прав доступа работников к документам ЭП в соответствии с функциональными обязанностями, а также прав на совершение возможных действий, произ­водимых с ними (просмотр, редактирование, удаление, ко­пирование, распечатка, экспорт и т. д.).

Определение порядка доступа работников к документам ЭП должно осуществляться совместно специалистами по ДОУ и информационным технологиям.

Доступ к системе ЭП организации может предоставлять­ся работникам с использованием системы парольного дос­тупа. Для эффективного использования подобной системы в локальных нормативных правовых актах организации необходимо закрепить правила использования паролей.

Пример формулировки в локальном нормативном правовом акте:

«При использовании работниками предприятия паролей на доступ к персональным компьютерам, системе элект­ронной почты предприятия и ресурсам локальной компью­терной сети запрещается:

- сообщать личные пароли другим работникам, в том чис­ле системным администраторам и руководству, за исклю­чением случаев, установленных локальными правовыми ак­тами предприятия;

- хранить пароли в открытом виде в общедоступных местах (например, записывать на самоклеящуюся бумагу и прикреплять ее на монитор компьютера, оставлять сре­ди записей на рабочем столе и т. д.);

- хранить пароли в незашифрованном виде на жестком диске компьютера, на сменных носителях (дискетах, CD-дисках, флэш-картах и т. д.);

- использовать в качестве паролей словарные слова, име­на собственные, в том числе фамилии, имена и отчества, географические названия, даты и т. д.

Длина пароля должна составлять 8 и более символов. Пароль должен состоять из букв латинского алфавита и цифр. В пароль рекомендуется включать следующие симво­лы: @#$ !&(){} []».

При внедрении персонального парольного доступа к документам ЭП (в том числе персональным почтовым ящи­кам) необходимо предусмотреть, чтобы в случае увольне­ния работника или его длительного отсутствия доступ к та­ким документам (почтовым ящикам), ограниченный паро­лем данного работника, мог быть предоставлен уполномо­ченным лицам (службе ДОУ, службе безопасности, лицу, заменяющему отсутствующего работника (временно испол­няющего его обязанности) и т. д.).

Указанный вопрос может быть решен путем:

- хранения сведений о персональных паролях доступа в уполномоченном структурном подразделении (службе бе­зопасности, службе информационных технологий и т. д.) или у уполномоченного работника (системного админист­ратора или др.);

- наличия возможности аннулирования (сброса) персо­нальных паролей уполномоченным структурным подразде­лением или работником (службой безопасности, службой информационных технологий, системным администрато­ром и т. д.);

- автоматического перенаправления документов и сооб­щений, поступающих в персональный ящик отсутствующе­го работника, на другой адрес ЭП (в другой ящик ЭП), оп­ределенный уполномоченным должностным лицом орга­низации.

Для защиты информации от уничтожения необходимо использовать программно-технические средства ее резерв­ного копирования. В этих целях в организации необходимо разработать график выполнения процедур резервного копирования, в котором указываются:

- категории документов ЭП, подлежащих резервному ко­пированию;

- частота резервного копирования; устройства хранения и места размещения файлов резер­вных копий;

- работники, выполняющие процедуры резервного копи­рования и отвечающие за сохранность резервных копий (си­стемные администраторы, работники отдела информаци­онных технологий, ответственные работники структурных подразделений и т. д.).

При установлении в организации порядка резервного ко­пирования документов ЭП необходимо учитывать ситуацию, при которой документы ЭП могут автоматически удаляться с корпоративного почтового сервера при их копировании (перемещении) в почтовые клиенты (программы сбора по­чты), которыми пользуются работники. В подобной ситуа­ции задачи по резервному копированию возлагаются на са­мих работников, хранящих единственные экземпляры по­ступивших (отправленных) документов ЭП, либо возлага­ются на иных ответственных работников, наделенных пра­вомерным доступом к почтовым клиентам, в которых хра­нятся такие документы.

Коллективный ящик электронной почты (далее - ЭП) представляет собой ящик ЭП, используемый несколькими работниками для осуществления электронной переписки.

Коллективный ящик может создаваться для ведения пере­писки несколькими работниками одного структурного подразде­ления или группой работников в рамках выполнения какого-либо проекта, решения вопроса и т. д.

В локальных нормативных правовых актах организации зак­репляются цели и порядок использования коллективного ящика ЭП, в том числе право определенных работников (категорий ра­ботников) использовать коллективный ящик для отправки доку­ментированной информации.

При использовании коллективного ящика ЭП авторы отправ­ляемых документов должны быть однозначно идентифи­цированы (обозначены). Идентификация может осуществляться, например, посредством электронной цифровой подписи.

Право получения (отправки) документов посредством кол­лективного ящика ЭП может закрепляться за одним работником или группой работников.

В последнем случае для управления использованием коллективного ящика ЭП назначается ответственный работник, обязанности которого могут включать [41, c. 18]: )