Михаил Емельянников
начальник отдела департамента безопасности ОАО "Связьинвест", с ним
можно связаться по адресу: eme@rambler.ru
Никто не знает, что происходит в действительности в пределах
данной организации
Следствие Джонсона из Закона Хеллера
Незыблемость законов Мэрфи доказывается на практике в любом обществе, независимо от его политического устройства, главенствующей формы собственности и стадии исторического развития. Вот и тезис, вынесенный в качестве эпиграфа к статье, вряд ли возьмется оспорить кто-либо из специалистов в области безопасности информационных систем.
Единственный способ понять, что же творится в недрах сложной системы (это может быть организация, фирма или корпоративная сеть), - провести аудит этой системы, а затем регулярно осуществлять мониторинг ее состояния. Однако в реальной жизни это вполне естественное желание руководителя или владельца системы наталкивается на ряд серьезнейших проблем самого разного свойства. Оставив "за скобками" вопросы организации и проведения аудита (это тема для другой статьи), обратимся к "скользким" вопросам мониторинга, причем лишь той его части, которая касается работы сотрудников со средствами телекоммуникации, устройствами хранения, обработки и передачи информации. В обычной организации в перечень таких устройств входят телефон, факс и компьютер, обеспечивающий доступ в Интернет и передачу сообщений электронной почты.
Может возникнуть вопрос: зачем обсуждать такие "многосвязные" проблемы, как мониторинг? Стоит ли вообще руководителю службы безопасности ввязываться в столь сложный процесс с неясной юридической базой, непредсказуемыми результатами и последствиями? Ответ однозначен: безусловно, стоит.
Цели и проблемы
Основные цели мониторинга очевидны и обусловлены необходимостью обеспечения экономической и информационной безопасности организации. В числе этих целей - уменьшение необоснованной нагрузки на средства телекоммуникации и сетевое оборудование; предотвращение проникновения в сеть вредоносного контента и, как следствие, несанкционированного уничтожения или модификации информации. Мониторинг также позволяет добиться, чтобы средства телекоммуникации использовались исключительно для выполнения должностных обязанностей сотрудников, - таким образом сокращаются непроизводительные потери рабочего времени, повышается служебная дисциплина. И наконец, не последнее место занимает такая цель, как предотвращение неправомерных действий работников (например, действий, наносящих ущерб репутации организации или создающих предпосылки для привлечения фирмы к ответственности за противоправные действия ее сотрудников).
Опыт показывает, что ущерб от действий собственного персонала организаций весьма велик. Величина суммарного риска реализации соответствующих угроз оценивается большинством руководителей и ИТ-менеджеров российских и зарубежных предприятий как "очень высокая". Так, по данным международного исследования информационной безопасности, проведенного компаний Ernst & Young в 2003 году (рис. 1), наиболее серьезные угрозы несут вирусы и черви, а на втором месте - нарушения собственных сотрудников фирм. Велик также риск, связанный с возможностью доступа к информационным ресурсам со стороны персонала компаний-консультантов, поставщиков программного обеспечения и т. п.
По данным независимого подразделения TruSecure компании ICSA Labs на 2002 год, годовой рост (по сравнению с 2001 годом) стоимости устранения последствий заражения существенно увеличился: в среднем на восстановление системы после вирусной атаки компаниям требовалось 23 человеко-дня, т. е. на три дня больше, чем ранее (рис. 2). Издержки составили около 81 тыс. долл. (рис.3), превышая прошлогодний показатель на 12 тыс. долл. (к сожалению, более поздних данных получить не удалось, но, как мне кажется, они могут оказаться еще хуже приведенных).
Наиболее серьезные потери с точки зрения экономической безопасности - это прямой финансовый урон в результате утечки конфиденциальной информации (ноу-хау, суть изобретений и открытий, предполагаемые контракты и их суммы). Другой, не менее "затратной" проблемой является "свободный серфинг" в Интернете, т. е. доступ в глобальные информационные сети по непроизводственным нуждам, например использование развлекательных, информационных и коммерческих ресурсов (см. врезку "Непродуктивный Web-серфинг").
Полагаю, что причин, по которым руководству есть смысл "ввязываться" в организацию мониторинга, приведено достаточно. И как только решение принято, его надо выполнять. Но, как известно, "нельзя ничего сказать о глубине лужи, пока в нее не попадешь". В этой-то глубине и таятся основные "правовые и технические" проблемы, вынесенные в название статьи.
Не следует забывать и еще об одной группе проблем, не столь очевидной, но не менее важной, а по последствиям для сотрудников - возможно, и более серьезной. Это психологическая реакция на мониторинг.
Непродуктивный Web-серфинг
|
Privacy act
Перевод этого английского термина - "закон о вторжении в частную жизнь". Упомянутые правовые проблемы тесно связаны именно с такими законами. Сегодня и Конституция РФ (ст.23) определяет, что "каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени... право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений... Ограничение этого права допускается только на основании судебного решения".
Обычно, когда речь идет о возможности или невозможности контроля за электронными отправлениями граждан, посещениями ими тех или иных сайтов в глобальной сети, телефонными переговорами, в нашей стране ссылаются именно на эту статью Конституции. И здесь уместно подчеркнуть, что законодательство РФ не дает руководителю никаких особых прав вмешиваться в переписку и переговоры сотрудников и не предусматривает возможностей нарушать их конфиденциальность.
Более того, статья 138 Уголовного кодекса РФ, устанавливающая ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений, определяет, что "совершение указанных деяний лицом, использовавшим для этого свое служебное положение или специальные технические средства, предназначенные для негласного получения информации, является отягчающим обстоятельством и ведет к ужесточению наказания".
Однако распространяются ли эти статьи закона на сотрудников, использующих в личных целях служебные ресурсы (телефон, компьютер с доступом к электронной почте и Интернет)? Ведь перечисленные средства фактически суть рабочие инструменты, которые предоставлены сотруднику работодателем для выполнения служебных обязанностей, а не для использования в личных целях. А абонентом телефонной сети (который оплачивает все переговоры) является организация или ее структурное подразделение, т. е. юридическое лицо, а вовсе не конкретный сотрудник, пользующийся установленным на его столе телефоном, подключенным к данной сети. Аналогично и почтовые ящики сотрудников принадлежат не сотрудникам, а организации, предоставившей им означенные средства электронной почты.
Почему-то ни у кого не вызывает сомнений правомерность требования об отправке служебной корреспонденции только через канцелярию (делопроизводство, секретариат и т. д.). При этом четко определено, каким должностным лицам предоставлено право ведения переписки, право подписи документов, часто - с указанием, в какие именно инстанции и по каким конкретно вопросам. Правила предусматривают и то, что при этом вся входящая и исходящая переписка вычитывается соответствующими сотрудниками канцелярии на соответствие установленному регламенту документооборота, требованиям по оформлению документов и просто грамматическим нормам. Кроме того, в большинстве случаев служебные документы проходят процедуру согласования с другими должностными лицами и структурными подразделениями. Такой порядок представляется естественным, да и требование о централизованной отправке документов не рассматривается как ограничения права на тайну почтовой переписки.
При обсуждении же правомерности контроля работодателя за использованием электронной почты "тональность" у многих спорящих резко меняется. Электронный почтовый ящик, обычно жестко закрепленный за конкретным сотрудником, многие из них склонны рассматривать как элемент своей личной, частной жизни, а не как инструмент для решения служебных задач. Аналогичная ситуация и со служебным телефоном.
Право и правила
Вероятно, подобные проблемы чаще всего связаны с ошибкой руководителей (истоки которой - в уже далеком времени "развитого социализма"), а также с отсутствием четко определенного и доведенного до сотрудников регламента использования средств коммуникации и доступа в Интернет.
Указанный регламент (правила, индивидуальные трудовые соглашения) должны быть таким же неотъемлемым элементом нормативно-правовой базы организации, как и положения о структурных подразделениях и должностных лицах, должностные инструкции, правила ведения служебной переписки и документооборота в целом. Во избежание возможных недоразумений указанные документы должны вводиться в действие приказом по предприятию полномочного должностного лица, их следует доводить до всех сотрудников "под расписку". Представляется совершенно обоснованным, если в трудовых договорах (или дополнениях к ним, в случаях, когда они были подписаны ранее или носят бессрочный характер) будет оговорено обязательство сотрудника соблюдать установленные правила пользования средствами коммуникации и указана ответственность за их невыполнение (вплоть до увольнения, расторжения контракта, договора). В том же документе следует предусмотреть вопрос, согласен ли работник на проведение администрацией мониторинга за использованием им средств телекоммуникации, причем с указанием степени ответственности сотрудника.
Несколько слов о содержании упомянутых правил работы со средствами коммуникации и доступа в Интернет. Первое и безусловное требование - применение телефона, факса, электронной почты, доступа в Интернет только для служебных целей. Конечно, эта мера сама по себе не обеспечит идеально-правильного использования принадлежащего фирме ресурса, но поможет оградить руководство и подразделения безопасности от обвинений в преднамеренном вмешательстве в частную жизнь.
Следующий важный момент, который необходимо отразить в правилах, - регламент на допустимый объем сообщений электронной почты. Следует также определить перечень типов файлов, разрешенных (и запрещенных) к передаче, порядок рассылки многоадресных, рекламных и политических материалов и т. п. Необходимо однозначно сформулировать право организации вести мониторинг отправляемых сообщений - как с вмешательством соответствующих должностных лиц, так и в автоматическом режиме, с применением специальных программных средств. Хотя данное право, безусловно, вовсе не означает стопроцентного просмотра сообщений, оно ясно дает понять, что контроль "исходящих" возможен на каждом рабочем месте.
К сожалению, еще приходится упоминать о запрете на рассылку материалов непристойного, угрожающего, оскорбительного или противозаконного характера, и о том, что посещение Web-сайтов экстремистского, порнографического, развлекательного и т. п. характера в рабочее время должно быть однозначно запрещено условиями трудового соглашения.
Следующий столь же важный вопрос - как защитить конфиденциальную информацию "изнутри" - в основном решается с помощью тех же запретительных мер (возможно, они не помогут фирме, если ее секретами заинтересуется Джеймс Бонд, но типичных потерь удастся избежать). Такой запрет должен распространяться на рассылку по незащищенным каналам любой конфиденциальной информации, как принадлежащей организации, так и полученной ею от других физических и юридических лиц. При этом незащищенным следует считать любой канал, где отсутствуют средства защиты информации, эксплуатируемые в данной организации.
Зарубежный опыт показывает, что наиболее благоприятным для работодателя оказывается вариант, когда в договоре или соглашении четко оговорены исключительные права фирмы на используемые средства коммуникации и указано, что сотрудник не может рассчитывать на конфиденциальность своих сообщений и отправлений, а согласие на мониторинг является добровольным.
Еще два замечания, которые следуют из нашего российского законодательства:
- Технический контроль за использованием электронной почты, выполняемый без вмешательства человека, но с помощью специальных программных средств, и направленный на предотвращение пересылки сообщений, не соответствующих принятым правилам (объем, тип, адреса и т. п.), - как и блокирование доступа к определенным узлам, сайтам, а также запрет использования портов, сервисов и протоколов, - вообще не может рассматриваться как ограничение тайны связи или вмешательство в частную жизнь.
- Сведения о доступе к узлам, сайтам, страницам не подпадают под определение тайны связи, зафиксированное в законах "О связи" и "О почтовой связи", и, соответственно, под действие упоминавшейся статьи ст.138 УК РФ. В лучшем случае получение и разглашение информации о таком доступе может рассматриваться как вмешательство в частную жизнь (ст. 23 Конституции РФ), если данные содержат сведения о религиозных, политических убеждениях, увлечениях и пристрастиях частного лица.
Технические возможности и рекомендации
Для реализации выбранной политики мониторинга организации понадобится соответствующим образом настроить межсетевой экран (МЭ), прокси-сервер и почтовый сервер, чтобы перераспределить между ними функции контроля трафика и фильтрации. Целесообразно сосредоточить общие правила политики доступа в Интернет на МЭ, а групповые и индивидуальные политики - на прокси-сервере. На почтовом сервере (при наличии у него соответствующих функций) следует задействовать фильтры адресов, а также блокировку отправки присоединенных файлов недопустимого размера и типа (например, мультимедиа). Кстати, с задачей блокировки файлов определенного типа вполне успешно справляются и некоторые антивирусные программы.
Для повышения эффективности мониторинга, в частности, можно применять средства анализа содержимого сообщений электронной почты и загружаемых из Интернета файлов, например такие специальные программы, как Mime (Web) Sweeper, "Дозор-Джет", Web-Enterprise и др. Эти же программы позволяют создавать различного рода отчеты о результатах мониторинга - по пользователям, Web-адресам, дням и т. п. Однако надо прямо сказать, что если исключить требование "анализ содержимого", то со всеми остальными функциями (контроля и блокировки доступа в Интернет, генерации отчетов) вполне справляется большинство прокси-серверов.
Для блокировки доступа используются так называемые стоп-списки (stop lists), своего рода инструкции доступа, содержащие два вида информации: недопустимые сочетания в Web-адресах (porno, Sex, game, prostitutk, shop и т. п.) и конкретные названия Web-серверов и IP-адреса, доступ к которым запрещен. Варианты стоп-списков для разнообразных производственных нужд можно найти в Интернете в достаточном количестве, поэтому вряд ли стоит тратить время и силы на их самостоятельную разработку. Однако при использовании этих готовых инструкций вам неизбежно придется столкнуться с тем, что в них прописаны сочетания, характерные для вполне допустимых Web-имен, а иногда и просто необходимые для работы.
Выход есть: нужно сформировать дополнительную "инструкцию" - нон-стоп-список, где указаны допустимые адреса, доступ к которым не блокируется. Тогда при попытке обращения пользователя на сайт с определенным адресом сначала проверяется наличие его в нон-стоп-списке, и, если таковой там имеется, то доступ разрешается. При отсутствии сайта (адреса) в нон-стоп-списке прокси-сервер обращается к другой таблице, стоп-списку, и действует на основании этой инструкции. В случае блокировки ресурса на экране пользователя появляется баннер с уведомлением о причинах.
Но одними блокировками не обойтись. Одновременно на прокси-сервере заполняются лог-файлы (логи, журналы), в которых фиксируются имена пользователей, адреса, по которым производилось обращение, время доступа и объем переданной информации. Все эти данные впоследствии будут отражены в отчетах.
Все звери равны, но некоторые равнее других
"Равноправие" в данном вопросе - еще одно узкое место в политике мониторинга. Думаю, среди читателей найдется немного специалистов подразделений ИТ и ИБ, готовых проводить предложенную политику тотально, т. е. в отношении всего персонала компании: блокирование доступа к определенным сайтам и запись логов чреваты весьма неприятными последствиями. Поэтому более рационально использовать "структурный" подход, когда администратор безопасности формирует несколько групп пользователей, для каждой из которых определена своя политика доступа в Интернет и свой тип мониторинга (см. рис. 4).
С конкретными группами персонала эти гипотетические группы каждый может соотнести самостоятельно. В приведенном примере эти группы распределяются так:
- "кошки, которые гуляют сами по себе" не приемлют стоп-листов, а их логи на прокси-сервере не фиксируются;
- "собаки на поводке" - не имеют ограничений по доступу, но их логи фиксируются и могут быть проанализированы;
- "копытные" двух видов - гуляющие в пределах отведенного пастбища и пасущиеся строго в загоне (для первых свобода передвижения ограничена, существует и нон-стоп-список, и стоп-список; а для вторых никаких послаблений по политике доступа не предусматривается и нон-стоп-список отсутствует);
- "пастушьи собаки" - те, кому дано право анализа содержимого сайтов и определения возможности внесения их в стоп- и нон-стоп-списки (кто-то ведь должен заниматься организацией данного процесса!). Если таких персон в организации несколько, целесообразно фиксировать и их логи тоже, чтобы руководитель работ по мониторингу мог контролировать их деятельность: одно дело просмотреть содержимое сайта и его характер, другое - "висеть в нем" пару часов.
Таким образом, схема организации контроля над передачей сообщений электронной почты и доступом в Интернет для разных групп пользователей выглядит как некая иерархическая структура (рис. 5).
Что же касается контроля телефонных переговоров, то надо отметить, что прослушивание линии в любом случае вряд ли будет целесообразным и легитимным. Только контроль за протоколами соединений является допустимым и не противоречит законодательству - с кем, когда и как долго осуществлялось соединение со служебного телефона.
В заключение хотелось бы напомнить еще два закона, приписываемые Финэйглу и Паддеру и в полной мере отражающие ситуацию с мониторингом работы сотрудников в корпоративной сети. Первый из них гласит: "Если эксперимент удался, что-то здесь не так". Второй философски обобщает результат: "Все, что хорошо начинается, кончается плохо. Все, что плохо начинается, кончается еще хуже".
Но это отнюдь не означает, что мониторинг не помогает обеспечить информационную безопасность предприятия и снизить расходы на сетевые ресурсы. Просто "лужа" может оказаться очень глубокой.