Файл: Разработка методики выявления инцидентов информационной безопасности, связанных с нарушением политики использования электронной почтовой системы организации.pdf
Добавлен: 23.05.2023
Просмотров: 65
Скачиваний: 2
При данной опасности следует поставить фильтры на объем вложенных данных и глубине архивов.
Простота в использовании и общедоступность почты может привести к неэффективному использованию почтовых ресурсов. Работники фирмы могут воспользоваться данным сервисов для личной переписки, выгрузки конфиденциальных данных и т.п. В результате могут возникнуть такая деятельность сотрудников:
- Снижение производительности работы информационной системы (увеличение объема нецелевого трафика);
- Снижение производительности работы конкретного работника (неоправданная потеря рабочего времени);
- Засорение ресурсов системы предприятия (занятие дискового пространства под нецелевую почту).
Отсутствие правил использования является причиной возникновения такой угрозы. Все это приводит к непродуктивности использования производительности труда и финансовых вложений.
К засорению почтовой системы тоже ведет рассылка спама. Многие фирмы используют почту для рассылки рекламных сообщений, предложения услуг и товаров и т.д. Данная проблема изымает время на удаление спам писем и увеличивает вероятность случайного удаления нужных. Для блокировки спам сообщений необходимо провести анализ сообщений для дальнейшего нахождения ключевых фраз и выражений рекламного характера.
Есть ряд угроз связанных с внешней перепиской и особенностями электронной почты. Нет возможности отследить и предотвратить действия во время передачи такие как создание копий, перенаправления и аутентификацию пользователей. Также контроль за количеством созданный копий на точках передачи информации. Некоторые поля передаются в открытом виде такие как адреса получателя и отправителя и получателя, тема письма и т.п., что может привести к прочтению письма во время передачи.
Еще одной угрозой может стать отсутствие полного удаления данных, сообщения почты практически неуничтожимы. Резервное копирование сохраняет копии на основном сервере компании, а также на компьютерах получателя и отправителя. Есть еще посредники - сервисы осуществляющие передачу почту по каналам интернет, они также создают копии в своих архивах.
В случае методичной очистки и нахождения всех посредников нет гарантии удаления всех копий сообщения и соответственно данной информации с серверов и жестких дисков.
С использованием общедоступного программного обеспечения любой пользователь может восстановить сообщение электронной почты после его удаления см. Рис. 2. Не говоря уже о преднамеренном внедрении соответствующих посредников-серверов злоумышленников, для изъятия информации.
Рисунок 2. Проблемы, возникающие при пересылке e-mail через Internet
Данные проблемы могут привести к копированию и передачи информации как среди сотрудников фирмы, так и за ее пределами даже без разрешения сотрудника отправителя. Данный сотрудник не имеет средств для контроля и последующему устранению возможных копий как сразу, так и по истечению некоторого времени.
В данном случае могут быть преданы конфиденциальные данные: служебная информация, системные данные, пароли и т.д. Такие утечки могут привести к финансовым потерям и очернению имиджа фирмы.
С другой стороны бумажной корреспонденции, электронную почту очень легко неумышленно отправить по неверному адресу. Причиной этого может быть как неумелое использование адресных книг, так и ошибка в указании адреса получателя или, что еще хуже, случайный выбор опции, предусматривающей рассылку сообщения большой группе пользователей, в то время как сообщение является конфиденциальным. Чтобы обеспечить защиту от утечки конфиденциальной данных из сети, необходимо осуществлять контроль адресатов, фильтрацию передаваемых данных на наличие в текстах сообщений или в прикрепленных к электронному письму файлах слов и выражений, имеющих отношение к "закрытой" тематике, осуществлять разграничение доступа различных категорий пользователей к архивам e-mail и т.п.
Одно из основных отличий e-mail состоит в формальном к ней отношении (по сравнению c другими видами коммерческих связях). Во-первых, большинство пользователей относятся к электронной почте как к чему-то временному, то есть поступают c ней по принципу "прочитал и выкинул". При таком отношении существует угроза случайного удаления значимой данных. Кроме того, существует риск потери переписки c важным клиентом. Все эти проблемы решаются путем создания в организации архива e-mail. Во-вторых, такое отношение к электронной почте приводит к тому, что из-за кажущейся недолговечности электронных сообщений люди часто используют их для того, чтобы выразить чувства и мнения в выражениях, которые они никогда не позволили бы себе употребить в традиционных письмах. Публикация таких писем в сети может нанести серьезный ущерб репутации фирмы или явиться причиной юридических исков к ней.
Еще одна область связана c возможностью привлечения к юридической ответственности фирмы и ее сотрудников — за нарушение авторского права. Защищенные этим правом материалы могут содержаться или в сообщении e-mail, или в присоединенных файлах. К подобным материалам относятся графическая, аудио, видео и различная текстовая материалы, т. е. любая материалы, которая может быть представлена в электронной форме и передана по компьютерным сетям. Копирование или распространение этих материалов без предварительного согласия автора или владельца авторских прав является нарушением закона. Если только фирма допускает, чтобы материалы почты, защищенные авторским правом, использовались сотрудниками, не имеющими на это полномочий, то она может быть привлечена к ответственности за прямое или косвенное пособничество нарушению авторского права.
Глава 2. Порядок использования электронной почты
2.1. Политика в отношении электронной почты
В фирме должен быть порядок использования электронной почтой наравне с использованием других средств организации. Соответственно все взаимодействия совершаемые с помощью корпоративной почты должны осуществляться согласно данному порядку, и отправитель и получатель должны быть информированы об этом.
С помощью электронной почты не должны воспроизводится такие действия:
- неэтичные послания;
- призывы к конфликтным действиям;
- послания содержащие конфиденциальную информацию.
Уровень защиты должен быть соответствующий важности передаваемой информации. Чаще всего защита осуществляется централизованным управлением сервисами электронной почты.
Политика указывающая уровень защиты должна иметь полное описание. Такая политика является закрепленными в документе и инструкциях виде. Все юридические документы должны быть доведены до сотрудников фирмы для ознакомления. Политика использования e-mail, обычно, рассматривается c двух сторон — как официально оформленный юридический документ и как материал, который описывает технику реализации политики.
В данные документы входят:
- положение, указывающее о принадлежности электронной почты фирме и использовании данного ресурса только в рабочих целях;
- представление о применении корпоративной почты только в рамках законодательства РФ и политики безопасности фирмы;
- инструкции и регламенты по использованию и хранению e-mail;
- предупреждение об ответственности сотрудников фирмы при злоупотреблениях использования e-mail в личных целях и возможном использовании e-mail в судебных и служебных разбирательствах;
- заверенный письменный документ об ознакомлении сотрудником с данной политикой и согласие на ее положения.
С технической точки зрения политика устанавливает правила использования e-mail:
- Указывает что контролируется;
Какие сообщения могут быть разрешены или запрещены для исходящей, входящей и внутренней почты.
- Описывает на кого распространяется;
Распределение категорий лиц допущенных к использованию электронной почты и какие имеют ограничения.
- Реакции системы.
Что происходит с сообщениями подпадающими под какую-либо из описанных угроз.
Нарушитель это человек или группа людей, которые приводят к возникновению угрозы. Характер их действий может быть как предумышленный, так и не предумышленный.
Каналы, используемые нарушителями:
- пересылка по электронной почте;
- использование доступа в Internet (web-mail, блоги, мессенджеры, передача файлов по ftp и т.д.);
- печать и вынос твердой копии;
- копирование на съемные носители;
- физический вынос резервных копий.
Классификация внутренних нарушителей представлена на табл. 1.
Таблица 1.
Классификация внутренних нарушителей
Неосторожные (халатные) |
Большинство потерь происходят по вине данных лиц. Невнимательный или халатный сотрудник может нарушать политику безопасности по незнанию или просто забыв о каких то моментов. По невнимательности может произойти пересыл письма с секретной информацией не тому пользователю. К этому же типу относятся работники, теряющие ноутбуки. |
Манипулируемые |
Посредством социальной инженерии можно вынудить сотрудника нарушить политику безопасности компании. Введение в заблуждение может привести к такому случаю: секретарю приходит задача переслать сообщение не только адресату, но и злоумышленнику под предлогом сохранения данных или для надежности. |
Саботажники (обиженные работники) |
Мотивация таких нарушителей наиболее сильна. Такие сотрудники из-за обиды на фирму и(или) руководство наносят вред компании. Они могут иметь цель, например забрать информацию для будущего места работы. Так же есть категория наносящих вред чтобы просто нанести вред фирме. в которой в текущий момент работают. |
Нелояльные |
Данный тип похож на предыдущий, но имеет ряд отличий: угроза в данном случае является ненаправленной, сотрудник не имеет цели причинить вред фирме, но при этом может нанести его. Так же такие нарушители не скрывают своих действий, а чаще всего за счет них пытаются комфортно уйти с данного места работы, шантажируя добытой информацией. К данному типу работников можно отнести и людей использующих ресурсы фирмы в целях других организаций, для нахождения более комфортных условий. |
Нарушители, мотивированные извне. |
Сотрудники цель которых непосредственное внедрение для нанесения ущерба или кража информации. Данные сотрудники также могут изначально работать в фирме, но быть подкуплены или запуганы для мотивации в своих интересах. Чаще всего такие сотрудники снабжены техническим средствами или программами для достижения своих целей. |
Глава 3. Системы контроля содержимого электронной почты
3.1. Средства реализации политики использования электронной почты
Внедрение политики использования e-mail требует от руководства фирмы понимания, что наличие только документально оформленной политики не гарантирует ее выполнения. Необходимо создание в фирмы соответствующих условий реализации данной политики. При этом важнейшим условием является наличие в корпоративной сети программно-технических средств контроля выполнения положений и требований политики. К таким средствам относятся системы контроля содержимого e-mail.
Системы контроля содержимого e-mail — это программное обеспечение, способное анализировать содержание письма по различным компонентам и структуре в целях реализации политики использования e-mail.
К особенностям данных продуктов относятся:
- Применение при анализе содержания специально разработанной политики использования электронных писем;
- Способность осуществлять "рекурсивную декомпозицию" электронных писем;
- Возможность распознавания реальных форматов файлов вне зависимости от различных способов их маскировки (искажение расширения файлов, архивирование файлов и т.п.);
- Анализ множества параметров сообщения e-mail;
- Ведение архива e-mail;
- Анализ содержимого сообщения e-mail и прикрепленных файлов на наличие запрещенных к использованию слов и выражений.
3.2. Требования к системам контроля содержимого электронной почты
Спектр возможностей всех категорий систем контроля содержимого e-mail достаточно широк и существенно меняется в зависимости от производителя.
Тем не менее ко всем системам предъявляются наиболее общие требования, которые позволяют решать задачи, связанные c контролем почтового трафика. Самыми первыми требованиями к таким системам должны быть полнота и адекватность.
Полнота — это способность систем контроля обеспечить наиболее глубокую проверку сообщений e-mail. Это предполагает, что фильтрация должна производиться по всем компонентам письма. При этом ни один из объектов, входящих в структуру электронного сообщения, не должен быть "оставлен без внимания". Условия проверки писем должны учитывать все проблемы, опасности и угрозы, которые могут существовать в организации, использующей систему e-mail.