Страница: 24/28
В целях защиты информации ограниченного доступа в организации необходимо разработать перечень категорий информации, пересылка которой посредством СЭП организации запрещается или допускается только при условии использования соответствующих программно-технических средств защиты. В качестве примерного перечня таких сведений можно привести следующие [51, c. 187]:
- информация, составляющая государственные секреты (государственная тайна, служебная тайна);
- информация, не относящаяся к государственным секретам, но имеющая ограниченное распространение (для служебного пользования);
- информация, составляющая коммерческую тайну организации; информация, составляющая профессиональную тайну (врачебную тайну, тайну следствия и т. д.);
- информация, составляющая тайну личной жизни; персональные данные работников.
К общедоступной информации относится информация, доступ к которой, распространение и/или предоставление которой не ограничены. При этом согласно законодательству Республики Беларусь не может быть ограничен доступ к информации:
- о правах и законных интересах физических и юридических лиц, а также о порядке их реализации;
- о деятельности и правовом статусе государственных органов, за исключением информации, доступ к которой ограничен законодательными актами Республики Беларусь;
- о чрезвычайных ситуациях, экологической, санитарно-эпидемиологической обстановке, гидрометеорологической и иной информации, отражающей состояние общественной безопасности;
- о льготах и компенсациях, предоставляемых государством физическим и юридическим лицам и др.
Необходимо учитывать, что к информации открытого доступа может относиться информация, пересылка которой посредством ЭП также недопустима. В частности, при регламентации порядка использования ЭП следует учитывать потенциальную возможность использования ее работниками для отправки информации, распространение которой будет негативно влиять на репутацию организации и создавать потенциальные риски деловой деятельности. Например, ЭП может быть использована работниками для пересылки информации, носящей оскорбительный, дискриминационный по отношению к иным работникам или иной недопустимый характер. В результате подобных действий организация может понести материальные и/или моральные издержки, в том числе стать объектом судебных разбирательств.
К информации, недопустимой к пересылке посредством системы ЭП организации, относятся: информация, носящая оскорбительный характер в отношении адресата по признаку расы, пола, национальности и т. д.; информация, направленная на разжигание религиозной или иной вражды; информация эротического или порнографического характера; информация, нарушающая морально-этические нормы; несанкционированные и/или не обусловленные служебной необходимостью массовые рассылки сообщений.
В целом, для снижения потенциальных рисков злоупотребления и неправомерного использования ЭП организации должна рассматриваться исключительно как инструмент деловой переписки, заменяющей работникам переписку в бумажном виде и при необходимости иные формальные средства деловых коммуникаций.
3.3 Защита документов электронной почты: организационно-правовые и делопроизводственные аспекты использования электронной почты в деятельности организации
Документированная информация, пересылаемая посредством системы электронной почты (далее - ЭД) организации, подлежит защите на протяжении всего ее жизненного цикла.
Целями защиты информации являются недопущение неправомерного доступа, уничтожения (утраты), модификации (изменения), копирования, распространения и/или предоставления информации, блокирования правомерного доступа к ней, а также иных неправомерных действий [41, c. 18].
Для достижения указанных целей могут применяться правовые, организационные и технические (программно-технические) меры.
К правовым относятся меры по закреплению ответственности работников за нарушение установленного порядка защиты, определению перечня защищаемых сведений, прав и порядка доступа к защищаемой информации, заключению соглашений (договоров) со сторонними организациями и частными лицами о порядке защиты предоставляемой им или получаемой от них информации, а также установлению ответственности за нарушение такого порядка и т. д.
К организационным мерам относятся организация особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации (материальным носителям информации), разграничение доступа к информации по кругу лиц и характеру информации и т. д. Помимо этого, в организации должен быть определен порядок действий при возникновении угроз для используемой системы защиты корпоративной ЭП, в том числе чрезвычайных и непредотвратимых обстоятельств, и ликвидации их последствий.
К техническим (программно-техническим) мерам по защите информации относятся меры по использованию надежных средств хранения информации, а также ее защиты, в том числе криптографических средств, систем контроля доступа и регистрации фактов доступа к информации, средств бесперебойного электропитания и т. д.
Для защиты информации в случаях, определенных законодательством, должны использоваться программно-технические средства, сертифицированные в установленном порядке или имеющие положительное экспертное заключение по результатам государственной экспертизы. В частности, в государственных информационных системах должны использоваться средства электронной цифровой подписи (далее - ЭЦП) и шифрования, сертифицированные в установленном порядке уполномоченными органами Национальной системы подтверждения соответствия Республики Беларусь.
Несертифицированные средства защиты информации, в том числе средства ЭЦП, допускается использовать в случаях, определяемых законодательством (например, на основе соглашения (договора), заключаемого между сторонами, осуществляющими обмен документированной информацией).
Устанавливаемые в организации правила защиты документов ЭП должны предусматривать определение порядка доступа различных работников к ним в зависимости от предоставленных полномочий на ознакомление и работу с определенными категориями информации.
При определении порядка доступа к документам ЭП необходимо предусматривать [51, c. 192]:
- категорирование документов или их совокупности по уровню доступа на основе ценности и конфиденциальности информации, содержащейся в документах;
- установление прав доступа работников к документам ЭП в соответствии с функциональными обязанностями, а также прав на совершение возможных действий, производимых с ними (просмотр, редактирование, удаление, копирование, распечатка, экспорт и т. д.).
Определение порядка доступа работников к документам ЭП должно осуществляться совместно специалистами по ДОУ и информационным технологиям.
Доступ к системе ЭП организации может предоставляться работникам с использованием системы парольного доступа. Для эффективного использования подобной системы в локальных нормативных правовых актах организации необходимо закрепить правила использования паролей.
Реферат опубликован: 14/06/2011