26.10.2011

Что такое HFACS?

Последние авиакатастрофы в России напомнили мне давнее исследование министерства транспорта США (может и у нас такое есть, но с публичностью таких документов в США на несколько порядков получше будет) "Система классификации и анализа человеческого фактора" (The Human Factors Analysis and Classification System - HFACS).

Разработанное еще в 2000-м году это исследование начинается с того, что постулирует следайющий факт - по статистике от 70 до 80% всех авиационных инцидентов в гражданской и военной авиации происходит по вине человека. При этом причины этих инцидентов никак не классифицированы. В результате при возникновении инцидента сложно идентифицировать проблему, понять ее причины и предотвратить повтор неприятных событий. Собственно для решения этой задачи и была разработана система классификации HFACS.

Данная система использует лучшее, что было на тот момент в области исследования человеческого фактора. Это и известная с начала 90-х годов модель совершения человеческих ошибок "Швейцарский сыр".


Это и "Таксономия небезопасных операций" Шеппеля и Вигманна и ряд других. В результате появляется HFACS. По данной модели существует 4 уровня отказов/сбоев/ошибок/проблем, приводящих к инцидентам - небезопасное действие, предпосылки к небезопасным действиям, плохой надзор и влияния организации. При этом каждый уровень разбивается на подуровни и составляется полная таксономия всех "человеческих факторов".





Но и не этим хороша HFACS. Для каждого уровня существуют и более детальные списки причин, приведших к инцидентам. Вот как выглядит неполный список причин для влияния организации:

Можно заметить, что даже в этот неполный список попали все ключевые источники проблем - алкоголь, наркотики, плохой рекрутинг персонала, давление времени, урезание расходов и т.д.

Собственно к чему я начал рассказ про авиационные инциденты? Да к тому, что в ИБ HFACS можно применять практически без изменений. Эта классификация прекрасно объясняет почему происходят инциденты информационной безопасности. Она может быть использована при моделировании угроз. Спектр ее применений огромен. Главное, чтобы ее применяли...

11 коммент.:

Ригель комментирует...

Однозначно согласен, что некачественные алкоголь и наркотики - зло, но все-таки антропогенных угроз в ИБ в разы больше, чем в безопасности полетов, так что применимость небесспорна: у них чтобы самолет грохнуть, надо им управлять, а инциденты ИБ могут происходить в отстутствие админа, MITM и удаленного администрирования у них нет, еще много чего.

Сергей комментирует...

2Ригель. А причем тут админ, в данном случае речь идет об "управлении" информацией - а это все легальные пользователи, потенциальные инсайдеры.

Алексей Лукацкий комментирует...

Чтобы самолет грохнуть, не нужно им управлять. Можно коряво научить пилотом, можно залить плохое топливо, можно взорвать стингером, можно ослепить пилота лазерной указкой... И все это в HFACS есть

Ригель комментирует...

Это неверно. В случае неявки на работу летного и обслуживающего персонала (отравились на пакгаузе колбасой) самолет не взлетит и не упадет. ИС упадет запросто.

LAY комментирует...

"Ригель пишет...
Это неверно. В случае неявки на работу летного и обслуживающего персонала (отравились на пакгаузе колбасой) самолет не взлетит и не упадет. ИС упадет запросто."


Пример непонятен.
Если ИС не вводить в эксплуатацию, то и она не упадет.
И наоборот, если персонал выйдет из летящего самолета, то он упадет вернее, чем ИС...

Алексей Лукацкий комментирует...

Ригель: А почему ты считаешь, что HFACS на 100% покрывает отрасль ИБ? Я же про это не писал. HFACS систематизирует проблемы и позволяет не упустить часто упускаемые из виду причины инцидентов; в т.ч. и ИБ.

Ригель комментирует...

Совершенно не считаю, изначально же писал, что в ИБ угроз больше.
Смотря с чем сравнивать: хорошему анализу рисков ИБ заимствование HVACS сливает, а плохому, конечно, еще и не такое поможет.

Алексей Лукацкий комментирует...

;-)

Алексей Лукацкий комментирует...

А если средний вариант? Как раз будет

Ригель комментирует...

O!

Владимир Гнинюк комментирует...

Дались вам те самолеты ;-)

Если бы тогда ВМФ попросила исследовать связь действий человека с ИБ инцидентами - результаты были те же ;-)