Электронная почта как инновационная технология в документационном обеспечении организации
Страница 22
Для достижения указанных целей могут применяться правовые, организационные и технические (программно-технические) меры.
К правовым относятся меры по закреплению ответственности работников за нарушение установленного порядка защиты, определению перечня защищаемых сведений, прав и порядка доступа к защищаемой информации, заключению соглашений (договоров) со сторонними организациями и частными лицами о порядке защиты предоставляемой им или получаемой от них информации, а также установлению ответственности за нарушение такого порядка и т. д.
К организационным мерам относятся организация особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), разграничение доступа к информации по кругу лиц и характеру информации и т. д. Помимо этого, в организации должен быть определен порядок действий при возникновении угроз для используемой системы защиты корпоративной ЭП, в том числе чрезвычайных и непредотвратимых обстоятельств, и ликвидации их последствий.
К техническим (программно-техническим) мерам по защите информации относятся меры по использованию надежных средств хранения информации, а также ее защиты, в том числе криптографических средств, систем контроля доступа и регистрации фактов доступа к информации, средств бесперебойного электропитания и т. д.
Для защиты информации в случаях, определенных законодательством, должны использоваться программно-технические средства, сертифицированные в установленном порядке или имеющие положительное экспертное заключение по результатам государственной экспертизы. В частности, в государственных информационных системах должны использоваться средства электронной цифровой подписи (далее - ЭЦП) и шифрования, сертифицированные в установленном порядке уполномоченными органами Национальной системы подтверждения соответствия Республики Беларусь.
Несертифицированные средства защиты информации, в том числе средства ЭЦП, допускается использовать в случаях, определяемых законодательством (например, на основе соглашения (договора), заключаемого между сторонами, осуществляющими обмен документированной информацией).
Устанавливаемые в организации правила защиты документов ЭП должны предусматривать определение порядка доступа различных работников к ним в зависимости от предоставленных полномочий на ознакомление и работу с определенными категориями информации.
При определении порядка доступа к документам ЭП необходимо предусматривать [51, c. 192]:
- категорирование документов или их совокупности по уровню доступа на основе ценности и конфиденциальности информации, содержащейся в документах;
- установление прав доступа работников к документам ЭП в соответствии с функциональными обязанностями, а также прав на совершение возможных действий, производимых с ними (просмотр, редактирование, удаление, копирование, распечатка, экспорт и т. д.).
Определение порядка доступа работников к документам ЭП должно осуществляться совместно специалистами по ДОУ и информационным технологиям.
Доступ к системе ЭП организации может предоставляться работникам с использованием системы парольного доступа. Для эффективного использования подобной системы в локальных нормативных правовых актах организации необходимо закрепить правила использования паролей.
Пример формулировки в локальном нормативном правовом акте:
«При использовании работниками предприятия паролей на доступ к персональным компьютерам, системе электронной почты предприятия и ресурсам локальной компьютерной сети запрещается:
- сообщать личные пароли другим работникам, в том числе системным администраторам и руководству, за исключением случаев, установленных локальными правовыми актами предприятия;
- хранить пароли в открытом виде в общедоступных местах (например, записывать на самоклеящуюся бумагу и прикреплять ее на монитор компьютера, оставлять среди записей на рабочем столе и т. д.);
- хранить пароли в незашифрованном виде на жестком диске компьютера, на сменных носителях (дискетах, CD-дисках, флэш-картах и т. д.);
- использовать в качестве паролей словарные слова, имена собственные, в том числе фамилии, имена и отчества, географические названия, даты и т. д.
Длина пароля должна составлять 8 и более символов. Пароль должен состоять из букв латинского алфавита и цифр. В пароль рекомендуется включать следующие символы: @#$ !&(){} []».
При внедрении персонального парольного доступа к документам ЭП (в том числе персональным почтовым ящикам) необходимо предусмотреть, чтобы в случае увольнения работника или его длительного отсутствия доступ к таким документам (почтовым ящикам), ограниченный паролем данного работника, мог быть предоставлен уполномоченным лицам (службе ДОУ, службе безопасности, лицу, заменяющему отсутствующего работника (временно исполняющего его обязанности) и т. д.).
Указанный вопрос может быть решен путем:
- хранения сведений о персональных паролях доступа в уполномоченном структурном подразделении (службе безопасности, службе информационных технологий и т. д.) или у уполномоченного работника (системного администратора или др.);
- наличия возможности аннулирования (сброса) персональных паролей уполномоченным структурным подразделением или работником (службой безопасности, службой информационных технологий, системным администратором и т. д.);
- автоматического перенаправления документов и сообщений, поступающих в персональный ящик отсутствующего работника, на другой адрес ЭП (в другой ящик ЭП), определенный уполномоченным должностным лицом организации.
Для защиты информации от уничтожения необходимо использовать программно-технические средства ее резервного копирования. В этих целях в организации необходимо разработать график выполнения процедур резервного копирования, в котором указываются:
- категории документов ЭП, подлежащих резервному копированию;
- частота резервного копирования; устройства хранения и места размещения файлов резервных копий;
- работники, выполняющие процедуры резервного копирования и отвечающие за сохранность резервных копий (системные администраторы, работники отдела информационных технологий, ответственные работники структурных подразделений и т. д.).
При установлении в организации порядка резервного копирования документов ЭП необходимо учитывать ситуацию, при которой документы ЭП могут автоматически удаляться с корпоративного почтового сервера при их копировании (перемещении) в почтовые клиенты (программы сбора почты), которыми пользуются работники. В подобной ситуации задачи по резервному копированию возлагаются на самих работников, хранящих единственные экземпляры поступивших (отправленных) документов ЭП, либо возлагаются на иных ответственных работников, наделенных правомерным доступом к почтовым клиентам, в которых хранятся такие документы.
Коллективный ящик электронной почты (далее - ЭП) представляет собой ящик ЭП, используемый несколькими работниками для осуществления электронной переписки.
Коллективный ящик может создаваться для ведения переписки несколькими работниками одного структурного подразделения или группой работников в рамках выполнения какого-либо проекта, решения вопроса и т. д.
В локальных нормативных правовых актах организации закрепляются цели и порядок использования коллективного ящика ЭП, в том числе право определенных работников (категорий работников) использовать коллективный ящик для отправки документированной информации.
При использовании коллективного ящика ЭП авторы отправляемых документов должны быть однозначно идентифицированы (обозначены). Идентификация может осуществляться, например, посредством электронной цифровой подписи.
Право получения (отправки) документов посредством коллективного ящика ЭП может закрепляться за одним работником или группой работников.
В последнем случае для управления использованием коллективного ящика ЭП назначается ответственный работник, обязанности которого могут включать [41, c. 18]: