26.03.2010

Системное исследование человеческого фактора при разработке систем безопасности

"Многие защищенные и безопасные системы опираются на действия людей для выполнения критически важных функций. Однако, люди часто не справляются со своими ролями. Когда это возможно, дизайнеры и архитекторы систем безопасности должны находить способы исключения человеческого фактора при проектировании систем. Однако, есть ряд задач, для которых альтернатив человеку нет или они экономически нецелесообразны. В этих случаях архитекторы безопасности должны максимизировать свои шансы на выполнении всех критичных для безопасности функций даже при наличии человеческого фактора". Так начинается отчет CMU-CyLab-08-001 "A Framework for Reasoning About the Human in the Loop", опубликованный институтом Карнеги Меллона в январе 2008 года.

"Мы предлагаем основу для рассуждений о человеческом поведении, что обеспечивает систематический подход к выявлению возможных причин для "отказа человека", т.е. действий человека, направленных на умышленный или случайный обход системы защиты. Эта структура (framework) может быть использована дизайнерами и архитекторами для выявления проблемных областей до внедрения систем и для своевременного обнаружения и устранения недостатков, связанных с человеческим фактором. Эксперты безопасности могут также использовать этот подход для анализа причины неудач и сбоев в системе безопасности, которые относятся к разряду человеческих ошибок. Приведены примеры, иллюстрирующие применение этого подхода к различным проблемам проектирования защищенных систем, включая системы антифишинга и управления паролями".

Достаточно интересное исследование, которое лишний раз демонстрирует важности учета психологических аспектов при построении и внедрении систем ИБ.