Страница: 25/28
Пример формулировки в локальном нормативном правовом акте:
«При использовании работниками предприятия паролей на доступ к персональным компьютерам, системе электронной почты предприятия и ресурсам локальной компьютерной сети запрещается:
- сообщать личные пароли другим работникам, в том числе системным администраторам и руководству, за исключением случаев, установленных локальными правовыми актами предприятия;
- хранить пароли в открытом виде в общедоступных местах (например, записывать на самоклеящуюся бумагу и прикреплять ее на монитор компьютера, оставлять среди записей на рабочем столе и т. д.);
- хранить пароли в незашифрованном виде на жестком диске компьютера, на сменных носителях (дискетах, CD-дисках, флэш-картах и т. д.);
- использовать в качестве паролей словарные слова, имена собственные, в том числе фамилии, имена и отчества, географические названия, даты и т. д.
Длина пароля должна составлять 8 и более символов. Пароль должен состоять из букв латинского алфавита и цифр. В пароль рекомендуется включать следующие символы: @#$ !&(){} []».
При внедрении персонального парольного доступа к документам ЭП (в том числе персональным почтовым ящикам) необходимо предусмотреть, чтобы в случае увольнения работника или его длительного отсутствия доступ к таким документам (почтовым ящикам), ограниченный паролем данного работника, мог быть предоставлен уполномоченным лицам (службе ДОУ, службе безопасности, лицу, заменяющему отсутствующего работника (временно исполняющего его обязанности) и т. д.).
Указанный вопрос может быть решен путем:
- хранения сведений о персональных паролях доступа в уполномоченном структурном подразделении (службе безопасности, службе информационных технологий и т. д.) или у уполномоченного работника (системного администратора или др.);
- наличия возможности аннулирования (сброса) персональных паролей уполномоченным структурным подразделением или работником (службой безопасности, службой информационных технологий, системным администратором и т. д.);
- автоматического перенаправления документов и сообщений, поступающих в персональный ящик отсутствующего работника, на другой адрес ЭП (в другой ящик ЭП), определенный уполномоченным должностным лицом организации.
Для защиты информации от уничтожения необходимо использовать программно-технические средства ее резервного копирования. В этих целях в организации необходимо разработать график выполнения процедур резервного копирования, в котором указываются:
- категории документов ЭП, подлежащих резервному копированию;
- частота резервного копирования; устройства хранения и места размещения файлов резервных копий;
- работники, выполняющие процедуры резервного копирования и отвечающие за сохранность резервных копий (системные администраторы, работники отдела информационных технологий, ответственные работники структурных подразделений и т. д.).
При установлении в организации порядка резервного копирования документов ЭП необходимо учитывать ситуацию, при которой документы ЭП могут автоматически удаляться с корпоративного почтового сервера при их копировании (перемещении) в почтовые клиенты (программы сбора почты), которыми пользуются работники. В подобной ситуации задачи по резервному копированию возлагаются на самих работников, хранящих единственные экземпляры поступивших (отправленных) документов ЭП, либо возлагаются на иных ответственных работников, наделенных правомерным доступом к почтовым клиентам, в которых хранятся такие документы.
Коллективный ящик электронной почты (далее - ЭП) представляет собой ящик ЭП, используемый несколькими работниками для осуществления электронной переписки.
Коллективный ящик может создаваться для ведения переписки несколькими работниками одного структурного подразделения или группой работников в рамках выполнения какого-либо проекта, решения вопроса и т. д.
В локальных нормативных правовых актах организации закрепляются цели и порядок использования коллективного ящика ЭП, в том числе право определенных работников (категорий работников) использовать коллективный ящик для отправки документированной информации.
При использовании коллективного ящика ЭП авторы отправляемых документов должны быть однозначно идентифицированы (обозначены). Идентификация может осуществляться, например, посредством электронной цифровой подписи.
Право получения (отправки) документов посредством коллективного ящика ЭП может закрепляться за одним работником или группой работников.
В последнем случае для управления использованием коллективного ящика ЭП назначается ответственный работник, обязанности которого могут включать [41, c. 18]:
- определение работников, допускаемых к использованию коллективного ящика ЭП;
- обучение их правилам использования коллективного ящика ЭП;
- контроль за соблюдением установленных правил использования коллективного ящика ЭП;
- определение необходимости подготовки ответа на поступающие в ящик документы и определение ответственного исполнителя;
- организацию учета и хранения документов, поступающих и отправляемых посредством коллективного ящика ЭП.
Для организации авторизованного доступа к коллективному ящику ЭП может применяться система доступа посредством паролей, смарт-карт и т. д. Выдаваемые пользователям пароли должны храниться в тайне. Их предоставление работникам, не уполномоченным использовать коллективный ящик ЭП, не допускается.
Порядок учета и хранения отправляемых и поступающих в коллективный ящик ЭП документов должен соответствовать принятому в организации общему порядку учета и хранения документов, отправляемых (получаемых) посредством ЭП.
При использовании системы ЭП организации необходимо определить меры борьбы со спамом. Они должны быть направлены на противодействие спаму, поступающему по ЭП извне, а также рассылаемому посредством корпоративной ЭП работниками организации.
Отличительными признаками спама чаще всего являются:
- отсутствие инициативы и согласия получателя на получение сообщений;
- безадресность (распространители спама часто не знают, кто именно станет его получателем);
- массовость рассылки (количество рассылаемых незапрашиваемых сообщений может достигать тысяч и даже миллионов экземпляров).
Необходимо учитывать, что не все массовые рассылки можно рассматривать в качестве спама. Например, легальность массовой рассылки информации может быть закреплена в законодательстве (о чрезвычайных происшествиях, мобилизации граждан и др.), межведомственных и межкорпоративных соглашениях, локальных правовых актах организации (для внутренней рассылки) и т.д., а также обусловлена спецификой деятельности организации и необходимостью реализации возложенных на нее функций и задач (например,рассылка вышестоящей организацией копий принятых правовых актов подчиненным организациям; рассылка уведомлений о проведении заседаний (собраний); рассылка документов в копиях в ходе ведения служебной переписки с несколькими корреспондентами и т. д.).
Реферат опубликован: 14/06/2011