Политика организации делопроизводства на предприятии — рабочий инструмент или декларативная бумажка?
Больше года прошло с последней массовой волны заражения компьютеров Украинская вредоносным ПО NotPetya. Тогда, наверное, многие предприниматели (если оперировать данными Нацполициии, то около 1500) задумались о внедрении в своей работе надежных мер кибербезопасности.
Электронная почта, как точка входа в ваших тайн.
Однако, к сожалению, в Украине львиная доля до сих пор надеется на милость фортуны по защите своей информации. Кстати, знали ли вы, что одним из самых масштабных и убыточных вирусом считается MyDoom, который распространялся исключительно через электронную почту? В 2004 году от него пострадали за разным оценкам 16-25% всех электронных почтовых ящиков в мире, а причиненный ущерб оценивается примерно в $ 30,000,000,000. Корпоративная электронная почта до сих пор является крайне уязвимым каналом для кибератак, но одновременно можно легко организовать противодействие таким атакам на своем предприятии.
Здесь важную роль играет повышение компьютерной грамотности сотрудников.Во-первых, это намного дешевле, чем внедрение новых дополнительных технических мероприятий, и, во-вторых, значительно эффективнее в разрезе безопасного пользования почтовыми сервисами.
Документом, который должен стать отправной точкой для донесения до работников ключевых моментов обращения с электронной почтой с целью организациии максимального соблюдения кибербезопасности, может быть Политика организации делопроизводства на предприятии.
Правовые средства защиты электронной почты
Так что главное в этой политике? Конечно не открывать электронные письма от неизвестных лиц или с подозрительным названием.
Например, MyDoom и ILOVEYOU (еще один очень распространенный червь) в теме письма содержали «andy; I’m just doing my job, nothing personal, sorry »и« I love you »соответственно.
Кто такой Энди? Такие интригующие фразы заставляли с естественной любопытства заглянуть в содержание письма, и было роковой ошибкой, после которой терялись массивы данных или совершался несанкционированный доступ ко всем письмам в электронной базе или даже корпоративной локальной сети.
С другой стороны, электронная почта уязвима и в других проявлениях. Так, например, посторонние лица достаточно легко могут прочитать и отредактировать содержание отправленного Вами сообщения во время его передачи или узнать Ваш логин и пароль от почтового ящика.
Учитывая это, логичным было бы включить в политики организации делопроизводства положения об отправке конфиденциальной информации компании в зашифрованном виде. Даже простой архив с паролем усложнит хакерам задачу. Пароль от архива же при этом не следует передавать другим каналам связи. Также уместно возложить обязанность работникам не обмениваться коммерческой тайной в сторонних почтовых сервисах.
Еще одним важным аспектом считаем порядок отправки электронных сообщений. Так обязательства персонала ставить директора в копию при передаче важных документов поможет руководству контролировать оборот конфиденциальной информации.
Кроме того, возложение таких обязанностей положительно отразится на привлечении ответственных за разглашение лиц к возмещению убытков компании связанных с таким разглашением.
Политика организации делопроизводства на предприятии — рабочий инструмент или декларативная бумажка?
Итак, Политика организации делопроизводства на предприятии, как минимум, должен содержать:
запрет открывать содержание писем с подозрительным названием или от неизвестного адресата;
обязанность отправлять конфиденциальную информацию в зашифрованном виде;
не использовать сторонние сервисы при передаче коммерческой тайны предприятия;
ставить в копию письма руководство предприятия при передаче конфиденциальной информации.
А также не следует забывать, что одно дело — утвердить политики, а совсем другое — имплементировать ее использования в работе компании. В этом случае тренинги для команды могут помочь.
Всем безопасных писем ?
Голод Александр
Team lead of IT lawyers