Факторный анализ информационного риска
Структура управления рисками

Факторный анализ информационного риска ( FAIR ) — это таксономия факторов , которые способствуют риску, и того, как они влияют друг на друга. Он в первую очередь касается установления точных вероятностей частоты и масштабов событий потери данных . Это не методология для проведения оценки риска предприятия (или отдельного лица). [1]

FAIR — это также структура управления рисками, разработанная Джеком А. Джонсом, которая может помочь организациям понимать, анализировать и измерять информационный риск, согласно Уитмену и Мэтторду (2013).

Ряд методологий посвящен управлению рисками в ИТ-среде или ИТ-рискам , связанным с системами управления информационной безопасностью и стандартами, такими как серия ISO/IEC 27000 .

FAIR дополняет другие методологии, предоставляя способ создания последовательных, обоснованных утверждений о риске. [2]

Хотя базовая таксономия и методы были доступны для некоммерческого использования по лицензии Creative Commons, сам FAIR является собственностью компании. Использование FAIR для анализа чужого риска в коммерческих целях (например, посредством консультирования или как части программного приложения) требует лицензии от RMI. [3]

Документация

Основной документ FAIR — «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г.; [4]

Содержание этого технического документа и сама структура FAIR выпускаются по лицензии Creative Commons Attribution-Noncommercial-Share Alike 2.5. Сначала в документе определяется, что такое риск. В разделе «Риск и анализ риска» обсуждаются концепции риска и некоторые реалии, окружающие анализ риска и вероятности. Это обеспечивает общую основу для понимания и применения FAIR. В разделе «Компоненты ландшафта риска» кратко описываются четыре основных компонента, из которых состоит любой сценарий риска. Эти компоненты обладают характеристиками (факторами), которые в сочетании друг с другом приводят к риску. Факторизация риска начинает разлагать информационный риск на его основные части. Полученная таксономия описывает, как факторы объединяются для управления риском, и устанавливает основу для остальной части структуры FAIR.

Раздел «Контроли» кратко знакомит с тремя измерениями ландшафта контроля. В разделе «Измерение риска» кратко обсуждаются концепции и проблемы измерения, а затем дается общее обсуждение измерений факторов риска.

Основные понятия

FAIR подчеркивает, что риск — это неопределенное событие, и следует фокусироваться не на том, что возможно, а на том, насколько вероятно данное событие. Этот вероятностный подход применяется к каждому анализируемому фактору. Риск — это вероятность убытка, связанного с активом . В FAIR риск определяется как « вероятная частота и вероятная величина будущих убытков ». [5] FAIR далее разлагает риск, разбивая различные факторы, составляющие вероятную частоту и вероятные убытки, которые можно измерить в количественном выражении. К этим факторам относятся: частота событий угроз, частота контактов, вероятность действия, уязвимость, способность к угрозе, сложность, частота событий потерь, величина первичных убытков, частота событий вторичных убытков, величина вторичных убытков и вторичный риск.

Объект

Потенциал потерь актива вытекает из ценности, которую он представляет, и/или ответственности, которую он налагает на организацию. [4] Например, информация о клиентах представляет ценность благодаря своей роли в получении дохода для коммерческой организации. Та же информация также может налагать ответственность на организацию, если существует юридическая обязанность защищать ее или если клиенты ожидают, что информация о них будет надлежащим образом защищена.

FAIR определяет шесть видов потерь: [4]

  1. Производительность – сокращение организации для эффективного производства товаров или услуг с целью создания стоимости.
  2. Реакция – ресурсы, затраченные на действия после неблагоприятного события.
  3. Замена – расходы на замену/ремонт поврежденного актива.
  4. Штрафы и судебные решения (F/J) – стоимость всей юридической процедуры, вытекающей из неблагоприятного события
  5. Конкурентное преимущество (КП) — упущенные возможности из-за инцидента безопасности
  6. Репутация – упущенные возможности или продажи из-за ухудшения корпоративного имиджа после события

FAIR определяет ценность/ответственность как: [4]

  1. Критический – влияние на производительность организации
  2. Стоимость – чистая стоимость актива, стоимость замены скомпрометированного актива.
  3. Конфиденциальность – стоимость, связанная с раскрытием информации, которая далее делится на:
    1. Смущение – в раскрытии информации говорится о ненадлежащем поведении руководства компании.
    2. Конкурентное преимущество – потеря конкурентного преимущества, связанная с раскрытием информации.
    3. Правовые/нормативные – расходы, связанные с возможными нарушениями закона.
    4. Общие – прочие потери, связанные с конфиденциальностью данных

Угроза

Агенты угроз могут быть сгруппированы по Сообществам угроз, подмножествам общей популяции агентов угроз, которые разделяют ключевые характеристики. Сообщества угроз должны быть точно определены для эффективной оценки эффекта (величины потерь).

Агенты угроз могут по-разному воздействовать на актив : [4]

  • Доступ – чтение данных без надлежащего разрешения.
  • Неправомерное использование — использование актива без разрешения или иным образом, чем предполагалось.
  • Раскрыть – агент позволяет другим людям получать доступ к данным.
  • Изменить – изменить актив (изменение данных или конфигурации)
  • Запретить доступ – источник угрозы не позволяет законным предполагаемым пользователям получить доступ к активу.

Эти действия могут по-разному влиять на различные активы: эффект варьируется в зависимости от характеристик актива и его использования. Некоторые активы имеют высокую критичность, но низкую чувствительность: отказ в доступе имеет гораздо более сильный эффект, чем раскрытие таких активов. С другой стороны, актив с высокочувствительными данными может иметь низкий эффект производительности, если они недоступны, но смущать и иметь юридические последствия, если эти данные раскрыты: например, доступность данных о здоровье бывших пациентов не влияет на производительность организации здравоохранения, но их раскрытие может стоить организации миллионы долларов. [6] Одно событие может включать различные активы: [кража ноутбука] влияет на доступность самого ноутбука, но может привести к потенциальному раскрытию информации, хранящейся на нем.

Сочетание характеристик актива и типа действий в отношении этого актива, определяющее фундаментальный характер и степень убытка.

Смотрите также

Примечания и ссылки

  1. ^ Технический стандарт таксономии рисков ISBN  1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
  2. ^ Технический стандарт таксономии рисков, раздел 1.5 ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г. 
  3. ^ "The Open Group - Управление рисками". The Open Group . 2019.
  4. ^ abcde «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г.
  5. ^ Фройнд, Джек; Джонс, Джек (2015). Измерение и управление информационными рисками . Уолтем, Массачусетс: Butterworth-Heinemann. ISBN 9780127999326.
  6. ^ Фридман, Терри (27 января 2009 г.). «VA заплатит 20 миллионов долларов, чтобы урегулировать судебный процесс по поводу украденных данных с ноутбука». CNN . Получено 1 февраля 2022 г.

Цитируемые работы

  • Уитмен, Майкл Э.; Мэтторд, Герберт Дж. (18 октября 2013 г.). Управление информационной безопасностью. Cengage Learning. ISBN 978-1-305-15603-6.
  • Понимание управления рисками
  • FAIR Базовое руководство по оценке риска
  • Таксономия риска FAIR
  • Заявка на патент
  • Открытая сертификация FAIR
Взято с "https://en.wikipedia.org/w/index.php?title=Факторный_анализ_информационного_риска&oldid=1188668585"