Системное исследование человеческого фактора при разработке систем безопасности

«Многие защищенные и безопасные системы опираются на действия людей для выполнения критически важных функций. Однако, люди часто не справляются со своими ролями. Когда это возможно, дизайнеры и архитекторы систем безопасности должны находить способы исключения человеческого фактора при проектировании систем. Однако, есть ряд задач, для которых альтернатив человеку нет или они экономически нецелесообразны. В этих случаях архитекторы безопасности должны максимизировать свои шансы на выполнении всех критичных для безопасности функций даже при наличии человеческого фактора«. Так начинается отчет CMU-CyLab-08-001 «A Framework for Reasoning About the Human in the Loop», опубликованный институтом Карнеги Меллона в январе 2008 года.

«Мы предлагаем основу для рассуждений о человеческом поведении, что обеспечивает систематический подход к выявлению возможных причин для «отказа человека», т.е. действий человека, направленных на умышленный или случайный обход системы защиты. Эта структура (framework) может быть использована дизайнерами и архитекторами для выявления проблемных областей до внедрения систем и для своевременного обнаружения и устранения недостатков, связанных с человеческим фактором. Эксперты безопасности могут также использовать этот подход для анализа причины неудач и сбоев в системе безопасности, которые относятся к разряду человеческих ошибок. Приведены примеры, иллюстрирующие применение этого подхода к различным проблемам проектирования защищенных систем, включая системы антифишинга и управления паролями«.

Достаточно интересное исследование, которое лишний раз демонстрирует важности учета психологических аспектов при построении и внедрении систем ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.