Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Базовые принципы People-Centric Security (PCS)

  06 июня 2017 Страница персоны
В последнее время все чаще и чаще начал сталкиваться в западных "лучших практиках" с упоминанием концепции People-Centric Security (PCS), которая является развитием и расширением темы повышения осведомленности пользователей в вопросах ИБ (awareness).

Базовая проблема проста: сотрудники организаций зачастую являются самым слабым звеном в системе обеспечения ИБ. Они подвержены социальной инженерии, нередко ошибаются, могут быть нелояльными и держать обиду на своего работодателя. По статистике Solar Security (JSOC Security flash report), которую я люблю приводить в своих презентациях, 2/3 инцидентов ИБ приходится именно на инсайдеров...

Решить эту проблему (ну, или хотябы снизить ее актуальность) и призвана концепция People-Centric Security (PCS). Суть ее в следующем: необходимо в организации создать и поддерживать культуру ИБ, которая повысит личную ответственность сотрудников, снизит количество их ошибок и позволит все это контролировать в прозрачном режиме. В идеале каждый сотрудник должен стать "information security agent", этаким активным приверженцем идей и подходов ИБ...

Основой PCS является признание того, что, хотя у людей есть права, у них также есть четкая ответственность перед бизнесом и другими пользователями ИТ в организации. Но предполагается создавать не "полицейское государство", а культуру, поощряющую личную ответственность сотрудников и при этом еще и их свободу выбора, основанную на понимании бизнес-рисков, порождаемых этим самым выбором... Соответственно в организации, помимо формальных требований, должным быть определены принципы работы с информационными активами, которыми следует руководствоваться сотрудникам.


Хотя личная ответственность и поощряется, но организация оставляет за собой право мониторить и контролировать сотрудников. Это позволяет своевременно выявлять и устранять ошибки, обучаться на них и гарантировать, что они не будут повторяться...

Gartner приводит очень удачную, на мой взгляд, модель, описывающую PCS. Она состоит из следующих смысловых блоков: права и ответственность, принципы, обучение и повышение осведомленности и мониторинг (контроль):

Чего-то совсем нового и неожиданного в ней нет, пожалуй, упомяну только Принципы, которым рекомендуется следовать организациям, ориентирующимся на PCS.

Gartner выделяет следующие принципы:
  1. Community (Общность). Позитивная культура ИБ поощряется и поддерживается всеми сотрудниками.
  2. Autonomy (Автономность). Сотрудники сами принимают решение когда и как использовать информационные ресурсы организации, исходя из понимания принципов ИБ и задач бизнеса.
  3. Accountability (Подотчетность). У каждого информационного ресурса есть владелец, который и определяет правила работы с ним.
  4. Responsibility (Ответственность). Люди несут персональную ответственность за последствия своих действий.
  5. Immediacy (Незамедлительность). Реакция на неправильное поведение будет неминуемой. а наказание (если оно необходимо) будет неотвратимым. Все ошибки анализируются и по ним дается обратная связь с целью их дальнейшего недопущения.
  6. Proportionality (Пропорциональность). Меры контроля должны быть соизмеримы рискам, следует ориентироваться на максимальную автоматизацию мониторинга. 
  7. Transparency (Прозрачность). Поведение сотрудников контролируется, и им дается обратная связь. Если необходимо наказание, то это решение требует четкого обоснования и может быть перепроверено.

Предполагается, что стоит начинать строить PCS именно с их внедрения и популяризации... 


P.S. Сейчас начал читать книгу "People-Centric Security: Transforming Your Enterprise Security Culture"  (Lance Hayden)  (ссылка), на нее ссылаются многие сторонники концепции PCS. Может позже выберу и опубликую идеи и из нее.


Источник

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.