Системное исследование человеческого фактора при разработке систем безопасности

Системное исследование человеческого фактора при разработке систем безопасности
"Многие защищенные и безопасные системы опираются на действия людей для выполнения критически важных функций. Однако, люди часто не справляются со своими ролями. Когда это возможно, дизайнеры и архитекторы систем безопасности должны находить способы исключения человеческого фактора при проектировании систем. Однако, есть ряд задач, для которых альтернатив человеку нет или они экономически нецелесообразны. В этих случаях архитекторы безопасности должны максимизировать свои шансы на выполнении всех критичных для безопасности функций даже при наличии человеческого фактора". Так начинается отчет CMU-CyLab-08-001 "A Framework for Reasoning About the Human in the Loop", опубликованный институтом Карнеги Меллона в январе 2008 года. "Мы предлагаем основу для рассуждений о человеческом поведении, что обеспечивает систематический подход к выявлению возможных причин для "отказа человека", т.е. действий человека, направленных на умышленный или случайный обход системы защиты. Эта структура (framework) может быть использована дизайнерами и архитекторами для выявления проблемных областей до внедрения систем и для своевременного обнаружения и устранения недостатков, связанных с человеческим фактором. Эксперты безопасности могут также использовать этот подход для анализа причины неудач и сбоев в системе безопасности, которые относятся к разряду человеческих ошибок. Приведены примеры, иллюстрирующие применение этого подхода к различным проблемам проектирования защищенных систем, включая системы антифишинга и управления паролями". Достаточно интересное исследование, которое лишний раз демонстрирует важности учета психологических аспектов при построении и внедрении систем ИБ.
психология наука
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!