Եթե կարծում եք, որ տեխնոլոգիանները կարող են լուծել ձեր անվտանգության խնդիրները, ապա դուք չե՛ք հասկանում ոչ Ձեր խնդիրները եւ ո՛չ տեխնոլոգիաները:
Բրյուս Շնեիր

Վերջին տարիներին ավելի ու ավելի շատ տեղեկատվական անվտանգության(ՏԱ) մասնագետներ սկսել են իրենց ընկերություններում կիրառել կամ Data-centric security մոդելի հետ զուհգահեռ ինտեգրել նաև «Մարդկենտրոն անվտանգության» (People-Centric Security, PCS) մոդելը։ Այս մոդելի սկզբունքը ենթադրում է տեղեկատվության անվտանգության փաստացի պաշտպանությունից բացի ունենալ անձնակազմի տեղեկատվական անվտանգության վարքագիծը կառավարող այնպիսի ուսումնամեթադաբանական հայեցակարգ, որը ընկերությունում ձևավորում է տեղեկատվական անվտանգության կորպորատիվ մշակույթ։

Բիզնեսի գլխավոր պահանջը բիզնես պրոցեսների(և որպես արդյունք դրա եկամտաբերության) անընդհատությունն է, որը երբեմն անհամատեղելի կարող է լինել ՏԱ բաժնի կողմից սահմանված կանոնակարգերի հետ։ Լուծումը՝ աշխատակազմի հետ տեղեկատական անվտանգության դասընթացների կազմակերպումն է։ Ընդ որում խոսքը պարզապես ուսումնական ձեռնարկներ և սեմինարներ կազմակերպելու մասին չէ, այլ բարձրակարգ կորպորատիվ մշակույթ ձևավորելու և այդ գիտակցությամբ ընկերության աշխատանքային գործունեությունը կառավարելու, տեղեկատվության հետ ճիշտ (անվտանգ) աշխատելու հմտություններ զարգացնելու ծրագիր ունենալու մասին է։

Փորձենք առավել հանգամանալից ներկայացնել ՏԱ մարդակենտրոն անվտանգության մոդելի ֆունկցիաները։

ՏԱ մարդակենտրոն մշակույթի ձևավորման առաջին պայմանն այն է, որ անհրաժեշտ է հասկանալ և ընդունել բիզնեսի առաջնային նշանակությունը, իսկ ՏԱ բաժինը կամ ՏԱ կառավարիչը պետք է ապահովվի բիզնես պրոցեսների անընդհատականությունն ու դրանց ռիսկերի կանխարգելումը։ Ո՛չ թե արգելի, ո՛չ թե փաթաթի իր կարծիքը, այլ հե՛նց ՕԳՆԻ, ՈՒՂՂՈՐԴԻ ԵՎ ԽՈՐՀԴ ՏԱ։ Հենց այդ պատճառով աշխատակիցներին պետք է ընդունել որպես ինքնաբավ, պատասխանատու մարդկանց, որոնք ՏԱ կառավարչից ավելի լավ գիտեն, թե ինչ է անհրաժեշտ բիզնեսին և լիարժեք իրավունք ունեն կատարել իրենց աշխատանքային պարտականություններն այնպես, ինչպես իրենց թվում է ճիշտ է, միևնույն ժամանակ լիարժեք պատկերացնելով և ընդունելով իրենց գործողությունների կամ անգործունեության արդյունքում առաջացած հավանական հետեվանքների ողջ ծավալը։

Մարդակենտրոն ՏԱ համակարգը կառուցվում է հետևյալ հենասյունների վրա․

  1. Տեղեկատվական անվտանգության մշակույթի խրախուսում։ Ընկերության ղեկավար կազմը սեփական օրինակով ցուցադրում է ՏԱ անհրաժեշտությունն ու կարևորությունը, ՏԱ վարքագիծը խրախուսվում և ընդունվում է բոլոր աշխատակիցների կողմից որպես աշխատանքային նորմ։
  2. Ինքնուրույն որոշումներ ընդունելու հնարավովորություն։ Աշխատակիցները իրենք են որոշում ընդունում՝ ե՞րբ և ինչպե՞ս կիրառել ընկերության տեղեկատվական ակտիվները՝ ելնելով ընկրերության բիզնես խնդիրներից և տեղեկատվական անվտանգության ռիսկերի ու սկզբունքների գիտակցական համադրությունից։
  3. Պատասխանատվություն սեփականության հանդեպ։ Յուրաքանչյուր տեղեկատվական ռեսուրս ունի իր սեփականատերը, որը և սահմանում է դրանից օգտվելու կարգը։
  4. Անձնական պատասխանատվություն: Աշխատակիցները անձնական պատասխանատվություն են կրում սեփական գործողությունների հետևանքով առաջացած հետևանքների համար։
  5. Մոնիթորինգ և հետադարձ կապ։ Աշխատակիցների վարքը վերահսկվում է, բոլոր սխալները վերլուծվում են և դրանցով տրվում է հետադարձ կապ՝ հետագայում դրանք բացառելու նպատակով։
  6. Չարամիտ մտադրությունների բացակայություն։ Անձնակազմի կողմից թույլատրված սխալները, ի սկզբանե, դիտարկվում են որպես անկանխամտածված, որոնք ունեն իրենց բացատրությունն ու ուղղելու հնարավորությունը։ Իսկ պատիժ կիրառելու անհրաժեշտության դեպքում՝ այն լինում է հիմնավորված և անխուսափելի։
  7. Համապատասխան վերահսկողություն։ Վերահսկողության չափորոշիչները ընտրվում են հաշվի առնելով հնարավոր ռիսկերի ազդեցությունները բիզնեսի շահերի վրա։

Վերոնշյալ դրույթների ինտեգրումը կարող է տեղեկատվական անվտանգության հիմունքների վերանայման հիմք հանդիսանալ այն ընկերությունների համար, որոնք ծախսատար ու երբմեն նաև՝ քիչ արդյունավետ դասական անվտանգության միջոցների փոխարեն կամ դրանց զուգահեռ կնախընտրեն մարդակենտրոն անվտանգության ռազմավարությունը։

Հաջորդ քայլը անձնակազմի վերապատրաստման և իրազեկվածության մակարդակի բարձացումն է։ Տեղեկատվական անվտանգության միջոցառումների շրջանակում սա ստանդարտ գործառույթ է, սակայն մարդակենտրոն անվտանգության մեթոդաբանությունը ենթադրում է աշխատակիցների ավելի լայն իրավունքների ու ազատությունների վստահություն, ինչը նշանակում է, որ ընկերությունում “թվային հիգիենայի” վարքագծային կանոններն ու պայմանները պետք է լինել գիտակցական ամենաբարձր մակարդակի վրա։ Աշխատակիցները պետք է հասկանան ինչպես ճիշտ աշխատել տեղեկատվության հետ, ինչպիսի վտանգներ և ռիսկեր գոյություն ունեն, ու՞մ պետք է դիմեն տեղեկատվական անվտանգության հետ կապված միջադեպերի առկայության դեպքում և այլն։ Ըստ էության, տեղեկատվական անվտանգության աշխատակիցները պետք է բիզնեսի համար լինեն խորհրդատուներ, անձնակազմի վստահված անձիք։

Հավաքված տեղեկատվության և շահառու կողմերի հետ քննարկումների ու վերլուծության արդյունքում ՏԱ բաժինը ներկայացնում է աշխատակիցների վարքագծային չափորոշիչները և սահմանում անձնական պատասխանատվության սահմանները, մշակում է ուսումնամեթոդաբանական նյութեր և ձեռնարկներ:

Ուսուցման առավելագույն արդյունավետությունն ապահովելու համար, ուսումնամեթոդաբանական ձեռնարկները պետք է լինեն․

  • Արդիական
  • Օգտակար
  • Նպատակահարմար
  • Մատչելի և հեշտ ընկալելեի
  • Հիմնավորված
  • Թափանցիկ
  • Ամբողջական

Մարդակենտրոն անվտանգության մոդելի ներդման հինգերորդ հենասյունը՝ աշխատակիցների վարքագծի մոնիթորինգն է։ Այդ գործառույթը կարող են իրականացնել ստանդարտ DLP, SIEM համակարգերը, որոնք կարող են նույնիսկ կարգաբերվել այնպես, որ կոնֆենդենցիալ կամ կոմերցիոն գաղտնիք պարունակող հաղորդագրություն կամ փաստաթուղ ուղարկելիս կամ արտաքին կրիչի վրա պատճենելիս ժամանակվորապես արգելափակեն սկսված գործառույթը և ավոտմատ կերպով մոտավորապես հետևյալ բովանդակության զգուշացում ուղարկեն աշխատակցին․ “Վստա՞հ եք, որ ցանկանում ես կատարել սույն գործողությունը”։ Հաղորդագրությունը պետք է հնարավորություն ունենա նաև հաստատելու կամ չեղարկելու սկսած գործողությունը։

Որպես վերջաբան, փորձենք համեմատել People-Centric Security և Data-Centric Security մոդելների հիմնական առանձնահատկությունները․

Պատրաստեց
Վահագն Նավասարդյան

Սկզբնաղբյուրներ
Lessons in How to Implement People-Centric Security

Have You Ever Considered a People-Centric Security Strategy?

Facebook calls for a more people-centric security industry