Что такое HFACS?

Психология
Последние авиакатастрофы в России напомнили мне давнее исследование министерства транспорта США (может и у нас такое есть, но с публичностью таких документов в США на несколько порядков получше будет) «Система классификации и анализа человеческого фактора» (The Human Factors Analysis and Classification System — HFACS).

Разработанное еще в 2000-м году это исследование начинается с того, что постулирует следайющий факт — по статистике от 70 до 80% всех авиационных инцидентов в гражданской и военной авиации происходит по вине человека. При этом причины этих инцидентов никак не классифицированы. В результате при возникновении инцидента сложно идентифицировать проблему, понять ее причины и предотвратить повтор неприятных событий. Собственно для решения этой задачи и была разработана система классификации HFACS.

Данная система использует лучшее, что было на тот момент в области исследования человеческого фактора. Это и известная с начала 90-х годов модель совершения человеческих ошибок «Швейцарский сыр».

Это и «Таксономия небезопасных операций» Шеппеля и Вигманна и ряд других. В результате появляется HFACS. По данной модели существует 4 уровня отказов/сбоев/ошибок/проблем, приводящих к инцидентам — небезопасное действие, предпосылки к небезопасным действиям, плохой надзор и влияния организации. При этом каждый уровень разбивается на подуровни и составляется полная таксономия всех «человеческих факторов».

Но и не этим хороша HFACS. Для каждого уровня существуют и более детальные списки причин, приведших к инцидентам. Вот как выглядит неполный список причин для влияния организации:

Можно заметить, что даже в этот неполный список попали все ключевые источники проблем — алкоголь, наркотики, плохой рекрутинг персонала, давление времени, урезание расходов и т.д.

Собственно к чему я начал рассказ про авиационные инциденты? Да к тому, что в ИБ HFACS можно применять практически без изменений. Эта классификация прекрасно объясняет почему происходят инциденты информационной безопасности. Она может быть использована при моделировании угроз. Спектр ее применений огромен. Главное, чтобы ее применяли…

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Ригель

    Однозначно согласен, что некачественные алкоголь и наркотики — зло, но все-таки антропогенных угроз в ИБ в разы больше, чем в безопасности полетов, так что применимость небесспорна: у них чтобы самолет грохнуть, надо им управлять, а инциденты ИБ могут происходить в отстутствие админа, MITM и удаленного администрирования у них нет, еще много чего.

    Ответить
  2. Сергей

    2Ригель. А причем тут админ, в данном случае речь идет об "управлении" информацией — а это все легальные пользователи, потенциальные инсайдеры.

    Ответить
  3. Алексей Лукацкий

    Чтобы самолет грохнуть, не нужно им управлять. Можно коряво научить пилотом, можно залить плохое топливо, можно взорвать стингером, можно ослепить пилота лазерной указкой… И все это в HFACS есть

    Ответить
  4. Ригель

    Это неверно. В случае неявки на работу летного и обслуживающего персонала (отравились на пакгаузе колбасой) самолет не взлетит и не упадет. ИС упадет запросто.

    Ответить
  5. LAY

    "Ригель пишет…
    Это неверно. В случае неявки на работу летного и обслуживающего персонала (отравились на пакгаузе колбасой) самолет не взлетит и не упадет. ИС упадет запросто."

    Пример непонятен.
    Если ИС не вводить в эксплуатацию, то и она не упадет.
    И наоборот, если персонал выйдет из летящего самолета, то он упадет вернее, чем ИС…

    Ответить
  6. Алексей Лукацкий

    Ригель: А почему ты считаешь, что HFACS на 100% покрывает отрасль ИБ? Я же про это не писал. HFACS систематизирует проблемы и позволяет не упустить часто упускаемые из виду причины инцидентов; в т.ч. и ИБ.

    Ответить
  7. Ригель

    Совершенно не считаю, изначально же писал, что в ИБ угроз больше.
    Смотря с чем сравнивать: хорошему анализу рисков ИБ заимствование HVACS сливает, а плохому, конечно, еще и не такое поможет.

    Ответить
  8. Алексей Лукацкий

    😉

    Ответить
  9. Алексей Лукацкий

    А если средний вариант? Как раз будет

    Ответить
  10. Ригель

    O!

    Ответить
  11. Unknown

    Дались вам те самолеты 😉

    Если бы тогда ВМФ попросила исследовать связь действий человека с ИБ инцидентами — результаты были те же 😉

    Ответить