Что такое People-Centric Security и как это работает
"Концепция People-Centric Security зародилась из-за того,
что бизнес запретил безопасности запрещать".
Антон Чувакин, компания Gartner
В последние время все больше специалистов по информационной безопасности стали разделять и применять в своей работе принципы концепции People-Centric Security (PCS), базовая идея которой предполагает смещение фокуса внимания с защиты информации (во всех ее видах) в сторону работы с людьми и созданию культуры информационной безопасности.
Почему «классические» подходы по защите информации уже не эффективны? Все просто: слишком быстро стала меняться среда бизнеса и, в частности, ландшафт ИТ. Безопасность опять начала опаздывать...
— У нас Agile! Побежали!
— Но постойте, у нас же есть требования к ИБ!
— Не мешайте нам делать бизнес!
— Но риски!
— Если мы не сделаем это прямо сейчас, то потеряем этот контракт/долю рынка/возможности. Вернемся к вашему вопросу [ИБ] позже...
Запрещать и останавливать бизнес-процессы безопасникам больше не разрешают. А риски остаются... Что же делать? Правильно. Обучать пользователей работать «безопасно». Причем не просто обучать, а создавать культуру ИБ, поощряющую правильную (безопасную) работу с информацией, ИС и сервисами. Именно на этом и строится концепция PCS. Давайте рассмотрим ее подробнее, для этого возьмем за основу следующую модель. См. рис 1.
Рисунок 1. Модель культуры ИБ
Первое, что следует понять и принять, — то, что бизнес первичен, а ИБ должна ему помогать. Не запрещать, не навязывать свое мнение, а именно помогать и советовать. Поэтому сотрудников следует воспринимать именно в качестве ответственных людей, которые лучше безопасника знают, что нужно бизнесу, и имеют право делать свою работу именно так, как им кажется правильным, понимая и принимая возможные последствия для бизнеса.
Следующим важным элементом концепции PCS являются общие принципы, на которые имеет смысл ориентироваться:
1. Поощрение позитивной культуры ИБ. Руководство организации поддерживает и своим примером показывает необходимость и ценность ИБ, культура ИБ поощряется и поддерживается всеми сотрудниками.
2. Самостоятельное принятие решения. Сотрудники сами принимают решение о том, когда и как использовать информационные ресурсы организации, исходя из понимания принципов и рисков ИБ и задач бизнеса.
3. Ответственное владение. У каждого информационного ресурса существует владелец, который и определяет правила работы с ним.
4. Персональная ответственность. Сотрудники несут персональную ответственность за последствия своих действий.
5. Мониторинг и обратная связь. Поведение сотрудников контролируется, все ошибки анализируются, и по ним дается обратная связь с целью их дальнейшего недопущения.
6. Отсутствие злого умысла. Погрешности в работе персонала первоначально рассматриваются в качестве неумышленных ошибок, предполагающих объяснения и обучение. Но если потребуется наказание, то оно будет обоснованным и неминуемым.
7. Адекватный контроль. Меры контроля выбираются с учетом возможных рисков и соизмеримы с ними.
Принятие этих принципов заложит прочную основу для изменения подходов к обеспечению информационной безопасности в организациях, выбравших для себя путь PCS.
Третье — необходимо обучать сотрудников и повышать их осведомленность в области информационной безопасности. Да, задача вполне стандартная для ИБ, но надо понимать, что в концепции PCS сотрудникам дается больше прав и свобод в отношении работы с информацией, ИС и сервисами, а значит, уровень «цифровой гигиены» в компании должен быть очень высоким. Сотрудники должны понимать, как безопасно работать с информацией, какие существуют угрозы и риски, куда обращаться в случае инцидентов ИБ и многое другое. По сути, сотрудники подразделения ИБ должны стать доверенными советниками бизнеса.
Для начала необходимо определить базовые рекомендации по ИБ и критерии «хорошего» и «плохого» поведения, обсудить их с ключевыми заинтересованными лицами —– владельцами информационных ресурсов, и при необходимости скорректировать правила. На основании этого в дальнейшем будут формироваться учебные материалы. Полезно помнить, что для эффективности последующего обучения предоставляемая информация должна отвечать следующим критериям: актуальность и польза; целесообразность, доступность и удобство восприятия; обоснованность, прозрачность и достаточность.
Наконец, требуется обеспечить мониторинг поведения пользователей. Для этого вполне подойдут стандартные средства, такие как DLP, SIEM, и другие продвинутые системы мониторинга. Хорошей практикой является настройка подобных систем на автоматическое оповещение самих пользователей в случае выявления небезопасного поведения. Например, можно настроить DLP-систему на временную блокировку передачи сообщений, содержащих конфиденциальную информацию, оповещение отправителя «а вы точно хотите переслать такую информацию» с возможностью подтвердить отправку.
Это, пожалуй, основные идеи концепции PCS. Подытожим их короткой таблицей-сравнением «классического» подхода к информационной безопасности (Data-Centric Security) и подхода People-Centric Security. Какого подхода придерживаться? Выбирать вам.
|
DCS |
PCS |
Фокус внимания |
Информация |
Люди |
Главная идея ИБ |
Защита информации |
Создание позитивной культуры ИБ |
Разрешенное поведение |
Запрещено все, что не разрешено |
Разрешено все, но правильно (безопасно), вот так |
Кто прав? |
ИБ лучше знает, как надо |
Бизнес лучше знает, как надо |
Принятие ответственности |
Сотрудники должны... |
Сотрудникам объясняют, но решение за ними |
Документы |
Требования и регламенты |
Рекомендации, памятки, учебные материалы |
Восприятие сотрудниками |
ИБ — карающий контролер |
ИБ — доверенный советник |
Режимы СЗИ |
DLP в режиме блокировки |
DLP в режиме мониторинга/отправка по требованию |
Опубликовано 29.12.2017