Что такое People-Centric Security и как это работает. Управление информационной безопасностью
Авторы Наши партнёры Наши проекты: IT WorldIT-Weekly
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Что такое People-Centric Security и как это работает

Лента новостейБезопасностьУправление ИБ

Что такое People-Centric Security и как это работает

Андрей Прозоров | 29.12.2017

"Концепция People-Centric Security зародилась из-за того,

что бизнес запретил безопасности запрещать".

Антон Чувакин, компания Gartner

 

В последние время все больше специалистов по информационной безопасности стали разделять и применять в своей работе принципы концепции People-Centric Security (PCS), базовая идея которой предполагает смещение фокуса внимания с защиты информации (во всех ее видах) в сторону работы с людьми и созданию культуры информационной безопасности.

Почему «классические» подходы по защите информации уже не эффективны? Все просто: слишком быстро стала меняться среда бизнеса и, в частности, ландшафт ИТ. Безопасность опять начала опаздывать...

— У нас Agile! Побежали!

— Но постойте, у нас же есть требования к ИБ!

— Не мешайте нам делать бизнес!

— Но риски!

— Если мы не сделаем это прямо сейчас, то потеряем этот контракт/долю рынка/возможности. Вернемся к вашему вопросу [ИБ] позже...

Запрещать и останавливать бизнес-процессы безопасникам больше не разрешают. А риски остаются... Что же делать? Правильно. Обучать пользователей работать «безопасно». Причем не просто обучать, а создавать культуру ИБ, поощряющую правильную (безопасную) работу с информацией, ИС и сервисами. Именно на этом и строится концепция PCS. Давайте рассмотрим ее подробнее, для этого возьмем за основу следующую модель. См. рис 1.

img

Рисунок 1. Модель культуры ИБ

 Первое, что следует понять и принять, — то, что бизнес первичен, а ИБ должна ему помогать. Не запрещать, не навязывать свое мнение, а именно помогать и советовать. Поэтому сотрудников следует воспринимать именно в качестве ответственных людей, которые лучше безопасника знают, что нужно бизнесу, и имеют право делать свою работу именно так, как им кажется правильным, понимая и принимая возможные последствия для бизнеса.

Следующим важным элементом концепции PCS являются общие принципы, на которые имеет смысл ориентироваться:

1.   Поощрение позитивной культуры ИБ. Руководство организации поддерживает и своим примером показывает необходимость и ценность ИБ, культура ИБ поощряется и поддерживается всеми сотрудниками.

2.   Самостоятельное принятие решения. Сотрудники сами принимают решение о том, когда и как использовать информационные ресурсы организации, исходя из понимания принципов и рисков ИБ и задач бизнеса.

3.   Ответственное владение. У каждого информационного ресурса существует владелец, который и определяет правила работы с ним.

4.   Персональная ответственность. Сотрудники несут персональную ответственность за последствия своих действий.

5.   Мониторинг и обратная связь. Поведение сотрудников контролируется, все ошибки анализируются, и по ним дается обратная связь с целью их дальнейшего недопущения.

6.   Отсутствие злого умысла. Погрешности в работе персонала первоначально рассматриваются в качестве неумышленных ошибок, предполагающих объяснения и обучение. Но если потребуется наказание, то оно будет обоснованным и неминуемым.

7.   Адекватный контроль. Меры контроля выбираются с учетом возможных рисков и соизмеримы с ними.

Принятие этих принципов заложит прочную основу для изменения подходов к обеспечению информационной безопасности в организациях, выбравших для себя путь PCS.

Третье — необходимо обучать сотрудников и повышать их осведомленность в области информационной безопасности. Да, задача вполне стандартная для ИБ, но надо понимать, что в концепции PCS сотрудникам дается больше прав и свобод в отношении работы с информацией, ИС и сервисами, а значит, уровень «цифровой гигиены» в компании должен быть очень высоким. Сотрудники должны понимать, как безопасно работать с информацией, какие существуют угрозы и риски, куда обращаться в случае инцидентов ИБ и многое другое. По сути, сотрудники подразделения ИБ должны стать доверенными советниками бизнеса.

Для начала необходимо определить базовые рекомендации по ИБ и критерии «хорошего» и «плохого» поведения, обсудить их с ключевыми заинтересованными лицами —– владельцами информационных ресурсов, и при необходимости скорректировать правила. На основании этого в дальнейшем будут формироваться учебные материалы. Полезно помнить, что для эффективности последующего обучения предоставляемая информация должна отвечать следующим критериям: актуальность и польза; целесообразность, доступность и удобство восприятия; обоснованность, прозрачность и достаточность.

Наконец, требуется обеспечить мониторинг поведения пользователей. Для этого вполне подойдут стандартные средства, такие как DLP, SIEM, и другие продвинутые системы мониторинга. Хорошей практикой является настройка подобных систем на автоматическое оповещение самих пользователей в случае выявления небезопасного поведения. Например, можно настроить DLP-систему на временную блокировку передачи сообщений, содержащих конфиденциальную информацию, оповещение отправителя «а вы точно хотите переслать такую информацию» с возможностью подтвердить отправку.

Это, пожалуй, основные идеи концепции PCS. Подытожим их короткой таблицей-сравнением «классического» подхода к информационной безопасности (Data-Centric Security) и подхода People-Centric Security. Какого подхода придерживаться? Выбирать вам.

 

 

DCS

PCS

Фокус внимания

Информация

Люди

Главная идея ИБ

Защита информации

Создание позитивной культуры ИБ

Разрешенное поведение

Запрещено все, что не разрешено

Разрешено все, но правильно (безопасно), вот так

Кто прав?

ИБ лучше знает, как надо

Бизнес лучше знает, как надо

Принятие ответственности

Сотрудники должны...

Сотрудникам объясняют, но решение за ними

Документы

Требования и регламенты

Рекомендации, памятки, учебные материалы

Восприятие сотрудниками

ИБ — карающий контролер

ИБ — доверенный советник

Режимы СЗИ

DLP в режиме блокировки

DLP в режиме мониторинга/отправка по требованию

 

Теги: безопасность, менеджмент

Горячие темы: Угрозы и риски ИБ

Журнал IT Manager    [ Подписка на журнал ]

Компания: Solar Security

Об авторе

Андрей Прозоров

Андрей Прозоров

Руководитель экспертного направления компании Solar Security


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме
Другие материалы рубрики

мероприятия

| 07.02.2018
Бизнес встреча «Цифровая трансформация промышленного предприятия»

Санкт-Петербург, Санкт-Петербург, ул. Достоевского, д. 19/21, лит. Б, Интеллектуальный кластер "Игры разума", Арт пространство "Delos"

Также смотрите

Журнал IT-Manager: № 11/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Январь >>>>
Пн Вт Ср Чт Пт Сб Вс
1234567
891011121314
15161718192021
22232425262728
2930311234