Специфика использования электронной почты в деятельности организаций

Придание юридической силы документам электронной почты подразумевает наличие у них следующих реквизитов: наименование организации и/или структурного подразделе­ния — автора; дата; регистрационный индекс и подпись⁷.

При работе с электронной почтой в качестве аналога соб­ственноручной подписи могут использоваться различные средства: простая электронная подпись, электронная цифро­вая подпись и др.

В качестве простой электронной подписи может рассмат­риваться, например, изображение собственноручной подписи автора, полученное путем сканирования и вставленное в до­кумент. Также простой электронной подписью является ука­зание в конце текста сообщения электронной почты имени и фамилии автора.

Возможность использования простой электронной подпи­си предусмотрена ст. 161 Гражданского кодекса Республики Беларусь, а также законодательством по делопроизводству.

Необходимо учитывать, что простая электронная подпись сама по себе не гарантирует подлинности документа и не под­тверждает факт внесения в него несанкционированных из­менений. С учетом этого ее использование чаще всего огра­ничено лишь рамками одной организации или нескольких, связанных договорными отношениями.

Наиболее широко применяемым юридически значимым средством удостоверения документов в электронном виде является ЭЦП. Порядок ее использования ранее регламенти­ровался Законом Республики Беларусь № 357-3 от 10.01.2000 г. «Об электронном документе». С января 2011 г. вместо ука­занного Закона вступил в силу закон Республики Беларусь № 113-3 от 28.12.2009 г. «Об электронном документе и элек­тронной цифровой подписи». В нем в качестве основного средства удостоверения документов в электронном виде так­же рассматривается ЭЦП.

Ключевым преимуществом ЭЦП перед иными существу­ющими аналогами собственноручной подписи является то, что она предоставляет гарантии подтверждения авторства, а также неизменности документа после его создания. Вместе с тем ее использование влечет за собой некоторые проблемы.

Согласно белорусскому законодательству, электронное сообщение, подписанное ЭЦП, которая подтверждает его не­изменность, будет характеризоваться подлинностью и целос­тностью и, соответственно, иметь юридическую силу. При этом для официального признания ЭЦП используемые сред­ства ее выработки и проверки должны быть сертифицирова­ны в соответствии с требованиями нормативных правовых актов Республики Беларусь, в том числе государственных стандартов.

Если же с помощью ЭЦП подписано не само электронное сообщение, а приложение к нему, то с точки зрения законода­тельства их статус будет различным. В отношении приложе­ния в данном случае следует говорить о подлинности и юри­дической силе, тогда как электронное сообщение, играющее роль сопроводительного электронного письма или конверта, можно назвать лишь информационным сообщением, не име­ющим с официальной точки зрения юридической и доказа­тельной силы, так как его неизменность и аутентичность не удостоверены надлежащим образом.

Использование ЭЦП не является единственным спосо­бом удостоверения сообщения электронной почты (ЭП). За­конодательством Республики Беларусь допускается ситуа­ция, при которой стороны при обмене электронными сообщениями заранее могут договориться о признании официаль­ными документами сообщений, отправляемых друг другу по электронной почте, без удостоверения при помощи ЭЦП.

В отношении внутренних документов порядок удостове­рения документов электронной почты без использования ЭЦП закрепляется в Инструкции по делопроизводству орга­низации и/или иных локальных нормативных правовых ак­тов. При этом в случае, если эти и другие локальные норма­тивные правовые акты организация решится издавать также в электронном виде, они должны быть удостоверены при по­мощи ЭЦП.

При отсутствии у документов электронной почты ЭЦП необходимо предусматривать порядок, при котором исполь­зуемые для их хранения программно-технические средства позволят сохранить и подтвердить их подлинность и целос­тность, а также доступность на протяжении всего жизненно­го цикла. Подобный порядок может предусматривать приме­нение программно-технических средств разграничения и ин­дивидуализации доступа работников к системе электронной почты организации. В том числе каждому работнику может назначаться индивидуальный набор прав для ознакомления, создания, удаления документов электронной почты и распо­ряжения ими, а также вестись протоколирование действий сотрудников при использовании системы электронной поч­ты организации.

В случае обмена документами по электронной почте со сторонними лицами и организациями порядок их удостове­рения без применения сертифицированных ЭЦП необходимо закрепить в письменном соглашении, заключаемом с кор­респондентами, с которыми предполагается осуществлять об­мен юридически значимыми документами в электронном виде. Подобное соглашение целесообразно заключать с пос­тоянными корреспондентами, электронная переписка с кото­рыми имеет значительный объем. При необходимости согла­шение может заключаться и между сторонами, использую­щими для удостоверения пересылаемых документов ЭЦП.

Законодательно не запрещается заключать такие догово­ры в устной форме, однако в силу необходимости подробной регламентации всех аспектов обмена электронными сообще­ниями наиболее приемлемым представляется именно заключение письменного соглашения.

Стороны, заключающие соглашение об обмене юридичес­ки значимыми документами посредством электронной почты, должны использовать совместимые программно-техни­ческие средства. Совместимость подразумевает возможность программно-технических средств воспроизводить пересыла­емые документы без искажения и формы внешнего представ­ления, проверять подлинность ЭЦП, которыми будут подпи­сываться документы, и т.д.

В соглашении необходимо подробно регламентировать порядок удостоверения и обмена документами ЭП. В час­тности, следует определить:

• адреса электронной почты;

• категории документов;

• требования к их оформлению;

• периодичность проверки сторонами электронной почты;

• перечень оснований для отказа в регистрации и рас­
смотрении поступающих по электронной почте документов;

• способы удостоверения документов;

• форматы файлов, в которых допускается их пересылать.

При определении порядка удостоверения пересылаемых посредством электронной почты документов на основе сог­лашения в качестве альтернативы использованию сертифи­цированных средств ЭЦП может рассматриваться техноло­гия создания и проверки цифровых подписей S/MIME, под­держиваемая широко распространенным программным обес­печением для работы с электронной почтой.

Документированная информация, пересылаемая посред­ством системы электронной почты организации, подлежит защите на протяжении всего ее жизненного цикла⁸.

Целями защиты информации являются недопущение неп­равомерного доступа, уничтожения (утраты), модификации (изменения), копирования, распространения и/или предостав­ления информации, блокирования правомерного доступа к ней, а также иных неправомерных действий. Для достиже­ния указанных целей могут применяться правовые, органи­зационные и технические (программно-технические) меры. К правовым относятся меры по закреплению ответствен­ности работников за нарушение установленного порядка за­щиты, определению перечня защищаемых сведений, прав и порядка доступа к защищаемой информации, заключению соглашений (договоров) со сторонними организациями и час­тными лицами о порядке защиты предоставляемой им или получаемой от них информации, а также установлению от­ветственности за нарушение такого порядка и т.д.

Организационные меры включают организацию особого режима допуска на территории (в помещения), где может быть осуществлен доступ к информации, разграничение дос­тупа к ней по кругу лиц и характеру сведений и т.д. Помимо этого, в организации должен быть определен порядок дей­ствий при возникновении угроз для используемой системы за­щиты корпоративной ЭП, в том числе чрезвычайных и непре­дотвратимых обстоятельств, и ликвидации их последствий.

К техническим (программно-техническим) мерам по защите информации относятся меры по использованию на­дежных средств хранения информации, а также ее защиты, в том числе криптографических средств, систем контроля доступа к информации и регистрации его фактов, средств бесперебойного электропитания и т.д.

Для защиты информации в случаях, определенных законо­дательством, должны применяться программно-технические средства, сертифицированные в установленном порядке или имеющие положительное экспертное заключение по результа­там государственной экспертизы. В частности, в государствен­ных информационных системах должны использоваться сред­ства ЭЦП и шифрования, сертифицированные в установлен­ном порядке уполномоченными органами Национальной сис­темы подтверждения соответствия Республики Беларусь.

Устанавливаемые в организации правила защиты доку­ментов ЭП должны предусматривать порядок доступа раз­личных работников к ним в зависимости от предоставлен пых полномочий на ознакомление и работу с определенными категориями информации.

Доступ к системе ЭП организации может предоставлять­ся работникам с использованием системы парольного досту­па. Для эффективного применения подобной системы в ло­кальных нормативных правовых актах организации необхо­димо закрепить правила использования паролей.

При внедрении персонального парольного доступа к до­кументам ЭП (в том числе персональным почтовым ящи­кам) необходимо предусмотреть, чтобы в случае увольнения работника или его длительного отсутствия доступ к таким документам (почтовым ящикам), ограниченный паролем данного работника, мог быть предоставлен уполномочен­ным лицам (службе ДОУ, службе безопасности, лицу, заме­няющему отсутствующего работника (временно исполняю­щему его обязанности) и т.д.).

Для защиты информации от уничтожения нужно исполь­зовать программно-технические средства ее резервного ко­пирования. В этих целях в организации необходимо разрабо­тать график выполнения процедур резервного копирования, в котором указываются:

• категории документов ЭП, подлежащих резервному ко­пированию;

• частота резервного копирования;

• устройства хранения и места размещения файлов ре­зервных копий;

• работники, выполняющие процедуры резервного копи­рования и отвечающие за сохранность резервных копий (сис­темные администраторы, работники отдела информацион­ных технологий, ответственные работники структурных под­разделений и т.д.).