Базовые принципы People-Centric Security (PCS)

Базовые принципы People-Centric Security (PCS)
В последнее время все чаще и чаще начал сталкиваться в западных "лучших практиках" с упоминанием концепции People-Centric Security (PCS), которая является развитием и расширением темы повышения осведомленности пользователей в вопросах ИБ (awareness).

Базовая проблема проста: сотрудники организаций зачастую являются самым слабым звеном в системе обеспечения ИБ. Они подвержены социальной инженерии, нередко ошибаются, могут быть нелояльными и держать обиду на своего работодателя. По статистике Solar Security ( JSOC Security flash report ), которую я люблю приводить в своих презентациях, 2/3 инцидентов ИБ приходится именно на инсайдеров...


Решить эту проблему (ну, или хотябы снизить ее актуальность) и призвана концепция People-Centric Security (PCS). Суть ее в следующем: необходимо в организации создать и поддерживать культуру ИБ, которая повысит личную ответственность сотрудников, снизит количество их ошибок и позволит все это контролировать в прозрачном режиме. В идеале каждый сотрудник должен стать "information security agent", этаким активным приверженцем идей и подходов ИБ...

Основой PCS является признание того, что, хотя у людей есть права, у них также есть четкая ответственность перед бизнесом и другими пользователями ИТ в организации. Но предполагается создавать не "полицейское государство", а культуру, поощряющую личную ответственность сотрудников и при этом еще и их свободу выбора, основанную на понимании бизнес-рисков, порождаемых этим самым выбором... Соответственно в организации, помимо формальных требований, должным быть определены принципы работы с информационными активами, которыми следует руководствоваться сотрудникам.

Хотя личная ответственность и поощряется, но организация оставляет за собой право мониторить и контролировать сотрудников. Это позволяет своевременно выявлять и устранять ошибки, обучаться на них и гарантировать, что они не будут повторяться...

Gartner приводит очень удачную, на мой взгляд, модель, описывающую PCS. Она состоит из следующих смысловых блоков: права и ответственность, принципы, обучение и повышение осведомленности и мониторинг (контроль):
Чего-то совсем нового и неожиданного в ней нет, пожалуй, упомяну только Принципы, которым рекомендуется следовать организациям, ориентирующимся на PCS.

Gartner выделяет следующие принципы:
  1. Community (Общность). Позитивная культура ИБ поощряется и поддерживается всеми сотрудниками.
  2. Autonomy (Автономность). Сотрудники сами принимают решение когда и как использовать информационные ресурсы организации, исходя из понимания принципов ИБ и задач бизнеса.
  3. Accountability (Подотчетность). У каждого информационного ресурса есть владелец, который и определяет правила работы с ним.
  4. Responsibility (Ответственность). Люди несут персональную ответственность за последствия своих действий.
  5. Immediacy (Незамедлительность). Реакция на неправильное поведение будет неминуемой. а наказание (если оно необходимо) будет неотвратимым. Все ошибки анализируются и по ним дается обратная связь с целью их дальнейшего недопущения.
  6. Proportionality (Пропорциональность). Меры контроля должны быть соизмеримы рискам, следует ориентироваться на максимальную автоматизацию мониторинга. 
  7. Transparency (Прозрачность). Поведение сотрудников контролируется, и им дается обратная связь. Если необходимо наказание, то это решение требует четкого обоснования и может быть перепроверено.
Предполагается, что стоит начинать строить PCS именно с их внедрения и популяризации... 



P.S. Сейчас начал читать книгу "People-Centric Security: Transforming Your Enterprise Security Culture"  (Lance Hayden)  ( ссылка ), на нее ссылаются многие сторонники концепции PCS. Может позже выберу и опубликую идеи и из нее.



Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Andrey Prozorov

Информационная безопасность в России и мире