В силу того, что любая организация является непосредственно субъектом, осуществляющим свою деятельность в рамках государства, то и построение системы защиты электронного документооборота самым тесным образом связано с вопросами правого регулирования отношений в процессе формирования, обработки и использования информационных ресурсов. Разработка и применение соответствующих законодательных средств защиты решает вопрос правовой защиты информации от искажения, несанкционированного доступа и установления ответственности за обеспечение сохранности информации. Решение проблемы защиты информации предполагает комплекс мероприятий и действий государства:
1. разработка системы классификации информации и способов защиты информации;
2. регулирование доступа к данным;
3. установление ответственности за нарушения в данной сфере.
Разработка и внедрение законодательной базы организации требует проведения активной государственной политики, направленной на построение правового механизма, управляющего информационными процессами и включающего принятие соответствующих решений и правил:
1.Закон РБ «Об информации, информатизации и защите информации» от 10.11.2008 № 455-З (понятия «общедоступная информация», «ограниченная информация»). Ограниченная информация – о частной личной жизни физического лица и персональные данные; сведения, составляющие государственные секреты; коммерческая и профессиональная тайна; уголовные и административные дела и др.;
2. Закон РБ «Об электронном документе и электронной цифровой подписи» от 28 декабря 2009 г. № 1137-З, устанавливает правовые основы применения электронных документов, определяет основные требования, предъявляемые к электронным документам, и правовые условия использования электронной цифровой подписи в электронных документах;
3. Постановление СовМина РБ «О некоторых вопросах защиты информации» от 26 мая 2009 г. № 675;
4. Постановление СовМина РБ «О некоторых мерах по реализации Закона Республики Беларусь «Об информации, информатизации и защите информации» и о признании утратившими силу некоторых постановлений Совета Министров Республики Беларусь» от 26 мая 2009 г. № 673;
5. СТБ 1221-2000 «Документы электронные. Правила выполнения, обращения и хранения» и т.д. и т.п.
На международном уровне:
1. Директива ЕС о защите данных 1995 года – защищает персональную информацию; обязала каждое государство ЕС принять свой собственный закон о защите персональных данных. Принцип гарантированной безопасности, которой требует, чтобы персональные данные были защищены средствами безопасности от угроз: утрата или неавторизованный доступ, разрушение, модификация или разглашению директива ЕС вводит классификацию личных данных (медицинские, финансовые); каждая категория таких данных требует дополнительных мер безопасности. Запрещает передавать приватные данные в страны, где законы, защищаемые конфиденциальность неадекватны аналогичным актам в ЕС;
2. Базельское соглашение по капиталу 2006 года – организации обязаны внедрять системы защиты информации, так как они работают с конфиденциальной информацией клиентов;
3. Закон о страховании и отчетности в области здравоохранения 1996 года – защита конфиденциальных данных о здоровье пациента; предусматривает меры административного, физического и др. тех. меры защиты информации, которые включают стандарты для сохранения приватности защищаемой медицинской информации;
4. Стандарт Минобороны США 1997 года (редакция 2002 года) – обязателен для Минобороны США, которое имеет право закупать и использовать только сертифицированные продукты для нужд электронного документооборота;
5. Типовые требования к АСЭД MoReg 2006 года.
