Защита документов электронной почты: организационно-правовые и делопроизводственные аспекты использования электронной почты в деятельности организации

Документированная информация, пересылаемая посредством системы электронной почты (далее — ЭД) организации, подлежит защите на протяжении всего ее жизненного цикла.

Целями защиты информации являются недопущение неправомерного доступа, уничтожения (утраты), модификации (изменения), копирования, распространения и/или предоставления информации, блокирования правомерного доступа к ней, а также иных неправомерных действий [41, c. 18].

Для достижения указанных целей могут применяться правовые, организационные и технические (программно-технические) меры.

К правовым относятся меры по закреплению ответственности работников за нарушение установленного порядка защиты, определению перечня защищаемых сведений, прав и порядка доступа к защищаемой информации, заключению соглашений (договоров) со сторонними организациями и частными лицами о порядке защиты предоставляемой им или получаемой от них информации, а также установлению ответственности за нарушение такого порядка и т. д.

К организационным мерам относятся организация особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), разграничение доступа к информации по кругу лиц и характеру информации и т. д. Помимо этого, в организации должен быть определен порядок действий при возникновении угроз для используемой системы защиты корпоративной ЭП, в том числе чрезвычайных и непредотвратимых обстоятельств, и ликвидации их последствий.

К техническим (программно-техническим) мерам по защите информации относятся меры по использованию надежных средств хранения информации, а также ее защиты, в том числе криптографических средств, систем контроля доступа и регистрации фактов доступа к информации, средств бесперебойного электропитания и т. д.

Для защиты информации в случаях, определенных законодательством, должны использоваться программно-технические средства, сертифицированные в установленном порядке или имеющие положительное экспертное заключение по результатам государственной экспертизы. В частности, в государственных информационных системах должны использоваться средства электронной цифровой подписи (далее — ЭЦП) и шифрования, сертифицированные в установленном порядке уполномоченными органами Национальной системы подтверждения соответствия Республики Беларусь.

Несертифицированные средства защиты информации, в том числе средства ЭЦП, допускается использовать в случаях, определяемых законодательством (например, на основе соглашения (договора), заключаемого между сторонами, осуществляющими обмен документированной информацией).

Устанавливаемые в организации правила защиты документов ЭП должны предусматривать определение порядка доступа различных работников к ним в зависимости от предоставленных полномочий на ознакомление и работу с определенными категориями информации.

При определении порядка доступа к документам ЭП необходимо предусматривать [51, c. 192]:

• — категорирование документов или их совокупности по уровню доступа на основе ценности и конфиденциальности информации, содержащейся в документах;
• — установление прав доступа работников к документам ЭП в соответствии с функциональными обязанностями, а также прав на совершение возможных действий, производимых с ними (просмотр, редактирование, удаление, копирование, распечатка, экспорт и т. д.).

Определение порядка доступа работников к документам ЭП должно осуществляться совместно специалистами по ДОУ и информационным технологиям.

Доступ к системе ЭП организации может предоставляться работникам с использованием системы парольного доступа. Для эффективного использования подобной системы в локальных нормативных правовых актах организации необходимо закрепить правила использования паролей.

Пример формулировки в локальном нормативном правовом акте:

" При использовании работниками предприятия паролей на доступ к персональным компьютерам, системе электронной почты предприятия и ресурсам локальной компьютерной сети запрещается:

• — сообщать личные пароли другим работникам, в том числе системным администраторам и руководству, за исключением случаев, установленных локальными правовыми актами предприятия;
• — хранить пароли в открытом виде в общедоступных местах (например, записывать на самоклеящуюся бумагу и прикреплять ее на монитор компьютера, оставлять среди записей на рабочем столе и т. д.);
• — хранить пароли в незашифрованном виде на жестком диске компьютера, на сменных носителях (дискетах, CD-дисках, флэш-картах и т. д.);
• — использовать в качестве паролей словарные слова, имена собственные, в том числе фамилии, имена и отчества, географические названия, даты и т. д.

Длина пароля должна составлять 8 и более символов. Пароль должен состоять из букв латинского алфавита и цифр. В пароль рекомендуется включать следующие символы: @#$!&(){} []" .

При внедрении персонального парольного доступа к документам ЭП (в том числе персональным почтовым ящикам) необходимо предусмотреть, чтобы в случае увольнения работника или его длительного отсутствия доступ к таким документам (почтовым ящикам), ограниченный паролем данного работника, мог быть предоставлен уполномоченным лицам (службе ДОУ, службе безопасности, лицу, заменяющему отсутствующего работника (временно исполняющего его обязанности) и т. д.).

Указанный вопрос может быть решен путем:

• — хранения сведений о персональных паролях доступа в уполномоченном структурном подразделении (службе безопасности, службе информационных технологий и т. д.) или у уполномоченного работника (системного администратора или др.);
• — наличия возможности аннулирования (сброса) персональных паролей уполномоченным структурным подразделением или работником (службой безопасности, службой информационных технологий, системным администратором и т. д.);
• — автоматического перенаправления документов и сообщений, поступающих в персональный ящик отсутствующего работника, на другой адрес ЭП (в другой ящик ЭП), определенный уполномоченным должностным лицом организации.

Для защиты информации от уничтожения необходимо использовать программно-технические средства ее резервного копирования. В этих целях в организации необходимо разработать график выполнения процедур резервного копирования, в котором указываются:

• — категории документов ЭП, подлежащих резервному копированию;
• — частота резервного копирования; устройства хранения и места размещения файлов резервных копий;
• — работники, выполняющие процедуры резервного копирования и отвечающие за сохранность резервных копий (системные администраторы, работники отдела информационных технологий, ответственные работники структурных подразделений и т. д.).

При установлении в организации порядка резервного копирования документов ЭП необходимо учитывать ситуацию, при которой документы ЭП могут автоматически удаляться с корпоративного почтового сервера при их копировании (перемещении) в почтовые клиенты (программы сбора почты), которыми пользуются работники. В подобной ситуации задачи по резервному копированию возлагаются на самих работников, хранящих единственные экземпляры поступивших (отправленных) документов ЭП, либо возлагаются на иных ответственных работников, наделенных правомерным доступом к почтовым клиентам, в которых хранятся такие документы.

Коллективный ящик электронной почты (далее — ЭП) представляет собой ящик ЭП, используемый несколькими работниками для осуществления электронной переписки.

Коллективный ящик может создаваться для ведения переписки несколькими работниками одного структурного подразделения или группой работников в рамках выполнения какого-либо проекта, решения вопроса и т. д.

В локальных нормативных правовых актах организации закрепляются цели и порядок использования коллективного ящика ЭП, в том числе право определенных работников (категорий работников) использовать коллективный ящик для отправки документированной информации.

При использовании коллективного ящика ЭП авторы отправляемых документов должны быть однозначно идентифицированы (обозначены). Идентификация может осуществляться, например, посредством электронной цифровой подписи.

Право получения (отправки) документов посредством коллективного ящика ЭП может закрепляться за одним работником или группой работников.

В последнем случае для управления использованием коллективного ящика ЭП назначается ответственный работник, обязанности которого могут включать [41, c. 18]:

• — определение работников, допускаемых к использованию коллективного ящика ЭП;
• — обучение их правилам использования коллективного ящика ЭП;
• — контроль за соблюдением установленных правил использования коллективного ящика ЭП;
• — определение необходимости подготовки ответа на поступающие в ящик документы и определение ответственного исполнителя;
• — организацию учета и хранения документов, поступающих и отправляемых посредством коллективного ящика ЭП.

Для организации авторизованного доступа к коллективному ящику ЭП может применяться система доступа посредством паролей, смарт-карт и т. д. Выдаваемые пользователям пароли должны храниться в тайне. Их предоставление работникам, не уполномоченным использовать коллективный ящик ЭП, не допускается.

Порядок учета и хранения отправляемых и поступающих в коллективный ящик ЭП документов должен соответствовать принятому в организации общему порядку учета и хранения документов, отправляемых (получаемых) посредством ЭП.

При использовании системы ЭП организации необходимо определить меры борьбы со спамом. Они должны быть направлены на противодействие спаму, поступающему по ЭП извне, а также рассылаемому посредством корпоративной ЭП работниками организации.

Отличительными признаками спама чаще всего являются:

• — отсутствие инициативы и согласия получателя на получение сообщений;
• — безадресность (распространители спама часто не знают, кто именно станет его получателем);
• — массовость рассылки (количество рассылаемых незапрашиваемых сообщений может достигать тыс. яч и даже миллионов экземпляров).

Необходимо учитывать, что не все массовые рассылки можно рассматривать в качестве спама. Например, легальность массовой рассылки информации может быть закреплена в законодательстве (о чрезвычайных происшествиях, мобилизации граждан и др.), межведомственных и межкорпоративных соглашениях, локальных правовых актах организации (для внутренней рассылки) и т. д., а также обусловлена спецификой деятельности организации и необходимостью реализации возложенных на нее функций и задач (например, рассылка вышестоящей организацией копий принятых правовых актов подчиненным организациям; рассылка уведомлений о проведении заседаний (собраний); рассылка документов в копиях в ходе ведения служебной переписки с несколькими корреспондентами и т. д.).

Получение спама влечет за собой ряд негативных последствий для деятельности организации, в том числе:

• — необоснованное увеличение объема получаемых сообщений, которые необходимо просмотреть и обработать, и, как следствие, рост трудовых издержек работников на обработку ненужной для деятельности организации информации, а также потенциальная возможность потери важных документов ЭП среди спама;
• — увеличение почтового трафика организации, в том числе дополнительная нагрузка на почтовый сервер организации;
• — потенциальная возможность заражения компьютерными вирусами и иным вредоносным программным обеспечением.

Противодействие входящему спаму должно носить комплексный характер и включать меры организационно-правового и программно-технического характера.

В первую очередь, необходимо закрепить в локальных нормативных правовых актах базовые правила поведения работников при получении спама. Подобные правила могут включать запреты работникам организации на:

• — использование адресов корпоративной ЭП для подписки на электронные рассылки, не связанные с выполнением работниками возложенных на них обязанностей;
• — указание адресов корпоративной ЭП в открытых источниках сети Интернет;
• — переход по ссылкам, указанным в поступающих спам-со-общениях;
• — открытие (запуск) подозрительных вложений в получаемых посредством ЭП сообщениях.

Программно-технические меры противодействия спаму включают использование специализированного программного обеспечения (спам-фильтров). Выбор и внедрение подобного программного обеспечения должны осуществляться квалифицированными специалистами по информационным технологиям.

Если корпоративная ЭП используется организацией как инструмент массового распространения рекламы о своих услугах (товарах) и в иных маркетинговых целях, следует установить четкие правила работы с ЭП в этих целях.

Подобные правила должны учитывать нормы законодательства об информации, рекламе и т. д. В частности, следует учитывать нормы Законов Республики Беларусь «Об информации, информатизации и защите информации» и «О рекламе». Это позволит избежать потенциальных претензий со стороны получателей рекламной информации, распространяемой организацией, так как в случае необоснованных рассылок за пределы организации могут возникать потенциальные риски судебных разбирательств за нарушение законодательства о спаме, рекламе и т. д.

Согласие на получение рекламной информации адресатами целесообразно получать предварительно, например, путем подписки на рассылку.

Распространяемая информация должна содержать достоверные сведения об ее обладателе, а также о лице, распространяющем информацию, в форме и объеме, достаточных для идентификации таких лиц. Например, распространяемые рекламные сообщения должны содержать полное наименование организации и при необходимости ее почтовый адрес, телефоны и другие коммуникационные сведения.

Следует в явной форме предоставлять получателям рекламной рассылки возможность отказаться от ее получения и по первому требованию прекращать рассылку в отношении данных получателей.

Полномочия на осуществление массовых рассылок должны быть закреплены за конкретными структурными подразделениями или работниками (например, в приказах, должностных инструкциях или положениях о структурных подразделениях). При этом следует также закрепить цели и условия проведения подобных рассылок.

Пример формулировки в локальном нормативном правовом акте:

" Отдел маркетинга организует и осуществляет рассылки рекламных буклетов и сообщений о продукции СП «Софтформ» ООО в электронном виде посредством корпоративной системы электронной почты.

Список адресатов для рассылки буклетов определяется отделом маркетинга, в том числе путем сбора электронных адресов посредством корпоративного Интернет-сайта СП «Софтформ» ООО.

Каждое отправляемое рекламное сообщение должно включать текст следующего содержания: «Вы можете отказаться от рассылки информации о продукции (услугах) СП „Софтформ“ ООО, отправив пустое сообщение на адрес Этот адрес e-mail защищен от спам-ботов. Чтобы увидеть его, у Вас должен быть включен Java-Script Приносим извинения, если Ваш адрес электронной почты был указан ошибочно и не соответствует адресату» .

В случае получения от адресатов сообщений о нежелании получения в дальнейшем рекламной рассылки отдел маркетинга прекращает рассылку сообщений в отношении данных адресатов.

Техническое обеспечение осуществления рассылок возлагается на отдел информационных технологий.