В последнее время все чаще и чаще начал сталкиваться в западных "лучших практиках" с упоминанием концепции People-Centric Security (PCS), которая является развитием и расширением темы повышения осведомленности пользователей в вопросах ИБ (awareness).
Базовая проблема проста: сотрудники организаций зачастую являются самым слабым звеном в системе обеспечения ИБ. Они подвержены социальной инженерии, нередко ошибаются, могут быть нелояльными и держать обиду на своего работодателя. По статистике Solar Security ( JSOC Security flash report ), которую я люблю приводить в своих презентациях, 2/3 инцидентов ИБ приходится именно на инсайдеров...
Решить эту проблему (ну, или хотябы снизить ее актуальность) и призвана концепция People-Centric Security (PCS). Суть ее в следующем: необходимо в организации создать и поддерживать культуру ИБ, которая повысит личную ответственность сотрудников, снизит количество их ошибок и позволит все это контролировать в прозрачном режиме. В идеале каждый сотрудник должен стать "information security agent", этаким активным приверженцем идей и подходов ИБ...
Основой PCS является признание того, что, хотя у людей есть права, у них также есть четкая ответственность перед бизнесом и другими пользователями ИТ в организации. Но предполагается создавать не "полицейское государство", а культуру, поощряющую личную ответственность сотрудников и при этом еще и их свободу выбора, основанную на понимании бизнес-рисков, порождаемых этим самым выбором... Соответственно в организации, помимо формальных требований, должным быть определены принципы работы с информационными активами, которыми следует руководствоваться сотрудникам.
Хотя личная ответственность и поощряется, но организация оставляет за собой право мониторить и контролировать сотрудников. Это позволяет своевременно выявлять и устранять ошибки, обучаться на них и гарантировать, что они не будут повторяться...
Gartner приводит очень удачную, на мой взгляд, модель, описывающую PCS. Она состоит из следующих смысловых блоков: права и ответственность, принципы, обучение и повышение осведомленности и мониторинг (контроль):
Чего-то совсем нового и неожиданного в ней нет, пожалуй, упомяну только Принципы, которым рекомендуется следовать организациям, ориентирующимся на PCS.
Gartner выделяет следующие принципы:
Базовая проблема проста: сотрудники организаций зачастую являются самым слабым звеном в системе обеспечения ИБ. Они подвержены социальной инженерии, нередко ошибаются, могут быть нелояльными и держать обиду на своего работодателя. По статистике Solar Security ( JSOC Security flash report ), которую я люблю приводить в своих презентациях, 2/3 инцидентов ИБ приходится именно на инсайдеров...
Решить эту проблему (ну, или хотябы снизить ее актуальность) и призвана концепция People-Centric Security (PCS). Суть ее в следующем: необходимо в организации создать и поддерживать культуру ИБ, которая повысит личную ответственность сотрудников, снизит количество их ошибок и позволит все это контролировать в прозрачном режиме. В идеале каждый сотрудник должен стать "information security agent", этаким активным приверженцем идей и подходов ИБ...
Gartner приводит очень удачную, на мой взгляд, модель, описывающую PCS. Она состоит из следующих смысловых блоков: права и ответственность, принципы, обучение и повышение осведомленности и мониторинг (контроль):
Gartner выделяет следующие принципы:
- Community (Общность). Позитивная культура ИБ поощряется и поддерживается всеми сотрудниками.
- Autonomy (Автономность). Сотрудники сами принимают решение когда и как использовать информационные ресурсы организации, исходя из понимания принципов ИБ и задач бизнеса.
- Accountability (Подотчетность). У каждого информационного ресурса есть владелец, который и определяет правила работы с ним.
- Responsibility (Ответственность). Люди несут персональную ответственность за последствия своих действий.
- Immediacy (Незамедлительность). Реакция на неправильное поведение будет неминуемой. а наказание (если оно необходимо) будет неотвратимым. Все ошибки анализируются и по ним дается обратная связь с целью их дальнейшего недопущения.
- Proportionality (Пропорциональность). Меры контроля должны быть соизмеримы рискам, следует ориентироваться на максимальную автоматизацию мониторинга.
- Transparency (Прозрачность). Поведение сотрудников контролируется, и им дается обратная связь. Если необходимо наказание, то это решение требует четкого обоснования и может быть перепроверено.
Предполагается, что стоит начинать строить PCS именно с их внедрения и популяризации...
P.S. Сейчас начал читать книгу "People-Centric Security: Transforming Your Enterprise Security Culture" (Lance Hayden) ( ссылка ), на нее ссылаются многие сторонники концепции PCS. Может позже выберу и опубликую идеи и из нее.
