Правила пользования... электронной почтой?

Михаил Савельев
"Открытые Системы"
LAN, #04/2002

Как правильно выбрать средство контроля за электронной почтой.

Рынок IT стремительно развивается. Новинки появляются день ото дня, и уследить за ними чрезвычайно сложно. Да и в уже существующие продукты постоянно добавляются новые функции и возможности, порой весьма экзотические. Разбираться в них просто не хватает времени. Но зачастую это и ни к чему. Приобретая комплект офисных программ, мы заранее представляем, для чего он нам нужен - для составления и редактирования документов и т. д. Некоторые особенности данного продукта, к примеру возможность разместить в документе видеоклип или включить звуковое сопровождение, могут нас лишь неожиданно порадовать.

К сожалению, при выборе средств безопасности нередко даже специалисты подчиняются описанному стереотипу. Многие только в самых общих чертах представляют, для чего им необходим тот или иной продукт. В качестве примера мы будем рассматривать такую важную задачу, как построение системы контроля корпоративной электронной почты. Ее основные задачи - защита от спама, выявление неблагонадежных сотрудников, предотвращение утечки конфиденциальной информации, контроль за целевым использованием электронной почты, обнаружение вирусов и "троянских коней", блокировка передачи файлов запрещенного типа - перечислит каждый. Но когда дело доходит до внедрения, администраторы только разводят руками: как настроить систему, кто будет определять полномочия пользователей, от чего отталкиваться и чем руководствоваться при назначении полномочий и т. д.

А ведь спектр средств защиты информации довольно обширен. Поэтому, прежде чем приобретать любую систему защиты, стоит задуматься о том, какие цели планируется достичь в результате ее внедрения. Данный процесс должен привести к составлению правил использования тех или иных ресурсов. В сумме все эти правила составляют общекорпоративную политику безопасности. Без ее наличия любая система защиты, даже самая изощренная, окажется бесполезной тратой денег. К тому же, имея четкие представления о том, что вам нужно, проще определиться и с необходимой функциональностью продукта.

Но как же подойти к подобной задаче? Ответственность за построение политики безопасности следует возложить на комиссию из представителей отделов безопасности и отделов автоматизации. Работу целесообразно начать с рассмотрения объекта, над которым производится действие. В нашем примере это будут электронные письма. Самые главные атрибуты писем - адреса отправителя и получателя. Все письма делятся на две категории (по направлению их движения): входящие и исходящие. Очевидно, что и к тем, и другим предъявляются различные требования. С внешними, по отношению к вашей организации, адресами все более или менее понятно: весь мир делится на ваших партнеров и клиентов, с которыми вас связывают некоторые доверительные отношения, и всех остальных. К последней категории писем следует относиться особенно осторожно, так как помимо родственников и друзей сотрудников в это множество входят и ваши конкуренты. Взаимоотношения с партнерами и клиентами тоже могут иметь разную степень доверия.

Внутренние почтовые адреса организации - второй критерий отбора при построении политики. В каждой организации параллельно существуют две структуры упорядочивания сотрудников: организационно-штатная и ролевая. Поясню сказанное. Компания состоит из руководства и (по нисходящей) департаментов, управлений, отделов, отделениий, рабочих групп и т. д. (с точностью до названий и порядка их следования в конкретной структуре). На каждом уровне иерархии есть начальник, его помощники и рядовые сотрудники. Это и есть организационно-штатная структура. Идея ролевой структуры заключается в том, что у каждого из сотрудников могут быть особые, отличные от других, обязанности и сферы деятельности даже в рамках одной рабочей группы.

После того как мы определились с двумя основными критериями отбора, нам осталось выполнить еще два шага.

Прежде всего придется составить модель взаимодействия между внешними и внутренними адресатами. К примеру, это можно реализвать по следующей схеме. Вся почта организации разделяется на входящую и исходящую.

Затем необходимо опуститься на следующий уровень иерархии: подразделение 1 состоит из таких-то структурных единиц, а те в свою очередь... и т. д., вплоть до каждого конкретного сотрудника.

Насколько глубоко придется спускаться при построении модели взаимодействия, подскажут руководители структурных подразделений. Ведь именно они знают, какие роли отведены их подчиненным. Иллюстрацией к сказанному может служить отдел продаж гипотетической компании, каждый менеджер которого общается со своей и только со своей группой клиентов.

Как видим, уже на этом этапе накладываются весьма существенные ограничения на свободу электронной переписки сотрудников.

Второй шаг, и это заключительный этап в построении рассматриваемой политики безопасности, состоит в наложении ограничений на разрешенные почтовые взаимодействия. В отличие от скучного описания схемы взаимодействия на предыдущем шаге - это процесс творческий. Конкретные ограничения необходимо разместить на каждой ветви построенного дерева.

Для выработки таких правил, вероятно, придется пообщаться с различными категориями людей. Но прежде всего по поводу ограничений на исходящую информацию стоит посоветоваться с руководителями соответствующих структурных подразделений и представителями отдела безопасности, чтобы они составили перечни слов и выражений, характерных для конфиденциальной или другой информации, выход которой за пределы компании нежелателен. Решения "под копирку" здесь не подойдут. К примеру, появление в письмах слов "вакансия", "резюме" и т. п. типично для переписки отдела кадров, но в переписке других отделов это может означать, что один из сотрудников занялся поиском работы на стороне, и к нему, возможно, отныне стоит относиться с недоверием. Необходимо помнить и о разумности накладываемых ограничений. Установление излишних запретов приведет к тому, что впоследствии администраторы безопасности не смогут выделить настоящие нарушения в ворохе блокированных по пустым подозрениям писем.

После уточнения этих параметров, необходимо проконсультироваться у системных администраторов относительно прочих нежелательных характеристик почтовых сообщений: например, их размера, наличия вложений определенного типа и т. д. Таким образом можно ограничить поступление в корпоративную сеть спама и прочего непродуктивного трафика (видеоклипов, картинок, аудиофайлов, рассылок от различных развлекательных сайтов).

Даже если вы ознакомите с принятой политикой безопасности всех своих сотрудников, то это не значит, что все будут беспрекословно ее соблюдать. Всегда найдутся те, кто попытается обойти новую систему. А может быть, вы хотите внедрить данное средство незаметно для пользователей? В любом из этих случаев важно не только обнаружить факт нарушения, но и предусмотреть ответную реакцию на такое событие. Реагирование может предусматривать полное или временное блокирование письма-нарушителя, занесение записи о событии в журнал регистрации, оповещение о нем администратора или другого уполномоченного лица либо уведомление самого пользователя - выбор зависит от возможностей конкретного средства.

В результате можно составить следующее мнемоническое правило политики безопасности для электронной почты: "Кому, откуда/куда запрещено получать/отправлять письма, удовлетворяющие условию, и как реагировать на такие события".

После того как четко определены все требования, вы сможете оценить необходимую функциональность средства для контроля содержимого электронной почты либо удостовериться в достаточности встроенных функций уже используемого межсетевого экрана или вскоре приобретаемой системы обнаружения атак для реализации вашей политики безопасности.

Естественно, что конкретные ограничения будут постоянно подвергаться корректировке, но наличие грамотно построенной политики безопасности поможет легко адаптировать ваше средство к любым жизненным испытаниям.

Быть может, кто-то спросит, зачем средства контроля содержимого необходимы именно мне? Сомневающимся в их практической полезности имеет смысл рассмотреть следующие соображения.

Вспомните, сколько времени ваша система бездействовала после последнего сбоя в результате активизации полученного по почте вредоносного кода и оцените свои прямые и потенциальные потери от этого. А все ли ваши сотрудники довольны работой и зарплатой? Не переманивают ли кого-нибудь конкуренты, и не пересылает ли он будущим работодателям, в знак своей преданности, конфиденциальные материалы, среди которых фрагменты исходных кодов программ, которые вы создали с огромным трудом (текстов договоров, сведений о планируемых сделках и т. п.)? А вдруг сотрудник использует в переписке с партнерами ненормативную лексику, да еще по отношению к вашим конкурентам или политическим деятелям, и кто-то потом выдает это за официальное мнение компании? А что, если деньги компании уходят на оплату рабочего времени сотрудников, когда они просматривают видео или прослушивают аудиофайлы, которыми обмениваются со своими знакомыми и между собой.

Если вы уже решились на внедрение тех или иных средств защиты, то, надеюсь, что эта статья поможет использовать их на полную мощность.

Михаил Савельев - ведущий специалист НИП "Информзащита". С ним можно связаться по адресу: saveliev@infosec.ru.