Разработанное еще в 2000-м году это исследование начинается с того, что постулирует следайющий факт — по статистике от 70 до 80% всех авиационных инцидентов в гражданской и военной авиации происходит по вине человека. При этом причины этих инцидентов никак не классифицированы. В результате при возникновении инцидента сложно идентифицировать проблему, понять ее причины и предотвратить повтор неприятных событий. Собственно для решения этой задачи и была разработана система классификации HFACS.
Данная система использует лучшее, что было на тот момент в области исследования человеческого фактора. Это и известная с начала 90-х годов модель совершения человеческих ошибок «Швейцарский сыр».
Это и «Таксономия небезопасных операций» Шеппеля и Вигманна и ряд других. В результате появляется HFACS. По данной модели существует 4 уровня отказов/сбоев/ошибок/проблем, приводящих к инцидентам — небезопасное действие, предпосылки к небезопасным действиям, плохой надзор и влияния организации. При этом каждый уровень разбивается на подуровни и составляется полная таксономия всех «человеческих факторов».
Но и не этим хороша HFACS. Для каждого уровня существуют и более детальные списки причин, приведших к инцидентам. Вот как выглядит неполный список причин для влияния организации:
Можно заметить, что даже в этот неполный список попали все ключевые источники проблем — алкоголь, наркотики, плохой рекрутинг персонала, давление времени, урезание расходов и т.д.
Собственно к чему я начал рассказ про авиационные инциденты? Да к тому, что в ИБ HFACS можно применять практически без изменений. Эта классификация прекрасно объясняет почему происходят инциденты информационной безопасности. Она может быть использована при моделировании угроз. Спектр ее применений огромен. Главное, чтобы ее применяли…
Однозначно согласен, что некачественные алкоголь и наркотики — зло, но все-таки антропогенных угроз в ИБ в разы больше, чем в безопасности полетов, так что применимость небесспорна: у них чтобы самолет грохнуть, надо им управлять, а инциденты ИБ могут происходить в отстутствие админа, MITM и удаленного администрирования у них нет, еще много чего.
2Ригель. А причем тут админ, в данном случае речь идет об "управлении" информацией — а это все легальные пользователи, потенциальные инсайдеры.
Чтобы самолет грохнуть, не нужно им управлять. Можно коряво научить пилотом, можно залить плохое топливо, можно взорвать стингером, можно ослепить пилота лазерной указкой… И все это в HFACS есть
Это неверно. В случае неявки на работу летного и обслуживающего персонала (отравились на пакгаузе колбасой) самолет не взлетит и не упадет. ИС упадет запросто.
"Ригель пишет…
Это неверно. В случае неявки на работу летного и обслуживающего персонала (отравились на пакгаузе колбасой) самолет не взлетит и не упадет. ИС упадет запросто."
Пример непонятен.
Если ИС не вводить в эксплуатацию, то и она не упадет.
И наоборот, если персонал выйдет из летящего самолета, то он упадет вернее, чем ИС…
Ригель: А почему ты считаешь, что HFACS на 100% покрывает отрасль ИБ? Я же про это не писал. HFACS систематизирует проблемы и позволяет не упустить часто упускаемые из виду причины инцидентов; в т.ч. и ИБ.
Совершенно не считаю, изначально же писал, что в ИБ угроз больше.
Смотря с чем сравнивать: хорошему анализу рисков ИБ заимствование HVACS сливает, а плохому, конечно, еще и не такое поможет.
😉
А если средний вариант? Как раз будет
O!
Дались вам те самолеты 😉
Если бы тогда ВМФ попросила исследовать связь действий человека с ИБ инцидентами — результаты были те же 😉