Jump to content

Факторный анализ информационного риска

Факторный анализ информационного риска ( FAIR ) — это таксономия факторов , которые способствуют риску, и того, как они влияют друг на друга. В первую очередь он касается установления точных вероятностей частоты и величины событий потери данных . Это не методология проведения оценки рисков предприятия (или отдельного человека). [1]

FAIR — это также система управления рисками, разработанная Джеком А. Джонсом, которая может помочь организациям понимать, анализировать и измерять информационные риски согласно Whitman & Mattord (2013) .

Ряд методологий занимается управлением рисками в ИТ-среде или ИТ-рисками , связанными с управления информационной безопасностью системами и стандартами , такими как серия ISO/IEC 27000 .

FAIR дополняет другие методологии, предоставляя возможность создавать последовательные и обоснованные утверждения о риске. [2]

Хотя базовая таксономия и методы доступны для некоммерческого использования по лицензии Creative Commons, сама FAIR является собственностью. Использование FAIR для анализа чужого риска с целью получения коммерческой выгоды (например, путем консультирования или в составе программного приложения) требует лицензии от RMI. [3]

Документация

[ редактировать ]

Основным документом FAIR является «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г.; [4]

Содержимое этого технического документа и сама платформа FAIR выпущены под лицензией Creative Commons Attribution-Noncommercial-Share Alike 2.5. В документе сначала определяется, что такое риск. В разделе «Риски и анализ рисков» обсуждаются концепции рисков и некоторые реалии, связанные с анализом рисков и вероятностями. Это обеспечивает общую основу для понимания и применения FAIR. В разделе «Компоненты ландшафта рисков» кратко описаны четыре основных компонента, составляющих любой сценарий риска. Эти компоненты имеют характеристики (факторы), которые в сочетании друг с другом создают риск. Факторинг риска начинает разлагать информационный риск на его фундаментальные части. Полученная в результате таксономия описывает, как факторы в совокупности приводят к риску, и закладывает основу для остальной части системы FAIR.

В разделе «Элементы управления» кратко представлены три измерения ландшафта элементов управления. В книге «Измерение риска» кратко обсуждаются концепции и проблемы измерения, а затем проводится общее обсуждение измерений факторов риска.

Основные понятия

[ редактировать ]

FAIR подчеркивает, что риск — это неопределенное событие, и следует сосредотачиваться не на том, что возможно, а на том, насколько вероятно данное событие. Этот вероятностный подход применяется к каждому анализируемому фактору. Риск – это вероятность потери, связанной с активом . В FAIR риск определяется как « вероятная частота и вероятная величина будущих потерь ». [5] FAIR дополнительно декомпозирует риск, разбивая различные факторы, составляющие вероятную частоту и вероятные потери, которые можно измерить в количественном выражении. К этим факторам относятся: частота событий угрозы, частота контактов, вероятность действия, уязвимость, потенциал угрозы, сложность, частота событий потерь, величина первичных потерь, частота событий вторичных потерь, величина вторичных потерь и вторичный риск.

Потенциал потерь актива . обусловлен ценностью, которую он представляет, и/или обязательствами, которые он накладывает на организацию [4] Например, информация о клиентах представляет ценность благодаря своей роли в получении дохода для коммерческой организации. Эта же информация также может повлечь за собой ответственность для организации, если существует юридическая обязанность защищать ее или если клиенты ожидают, что информация о них будет надлежащим образом защищена.

FAIR определяет шесть видов потерь: [4]

  1. Производительность – способность организации эффективно производить товары или услуги с целью создания стоимости.
  2. Реагирование – ресурсы, затраченные на действия после неблагоприятного события.
  3. Замена – расходы на замену/ремонт затронутого актива.
  4. Штрафы и судебные решения (F/J) – стоимость всей юридической процедуры, возникающей в результате неблагоприятного события.
  5. Конкурентное преимущество (CA) – упущенные возможности из-за инцидента безопасности.
  6. Репутация – упущенные возможности или продажи из-за ухудшения корпоративного имиджа после мероприятия.

FAIR определяет стоимость/обязательство как: [4]

  1. Критический – влияние на производительность организации.
  2. Стоимость – чистая стоимость актива, стоимость замены скомпрометированного актива.
  3. Чувствительность – затраты, связанные с раскрытием информации, которые далее подразделяются на:
    1. Смущение – в раскрытии говорится о ненадлежащем поведении руководства компании.
    2. Конкурентное преимущество – потеря конкурентного преимущества, связанная с раскрытием информации.
    3. Юридические/нормативные – затраты, связанные с возможными нарушениями закона.
    4. Общие – другие потери, связанные с конфиденциальностью данных.

Агенты угроз могут быть сгруппированы по сообществам угроз — подмножествам общей популяции агентов угроз, которые имеют общие ключевые характеристики. Сообщества угроз должны быть точно определены, чтобы эффективно оценить эффект (величину потерь).

Агенты угроз могут действовать по-разному на активе : [4]

  • Доступ – чтение данных без надлежащего разрешения.
  • Неправильное использование – использование актива без разрешения и/или не по назначению.
  • Раскрывать — агент позволяет другим людям получать доступ к данным.
  • Изменить – изменить актив (модификация данных или конфигурации).
  • Запретить доступ — агент угрозы не позволяет законным предполагаемым пользователям получить доступ к активу.

Эти действия могут по-разному влиять на разные активы: эффект варьируется в зависимости от характеристик актива и его использования. Некоторые активы имеют высокую критичность, но низкую чувствительность: отказ в доступе имеет гораздо больший эффект, чем раскрытие информации о таких активах. С другой стороны, актив с высокочувствительными данными может иметь низкий эффект на производительность, если он недоступен, но может вызвать смущение и юридические последствия, если эти данные будут раскрыты: например, доступность данных о здоровье бывших пациентов не влияет на производительность организации здравоохранения, но влияет на ее раскрытие информации может стоить организации миллионы долларов. [6] Одно событие может затрагивать разные активы: [кража ноутбука] влияет на доступность самого ноутбука, но может привести к потенциальному раскрытию хранящейся на нем информации.

Сочетание характеристик актива и типа действий против этого актива, определяющее фундаментальный характер и степень потерь.

См. также

[ редактировать ]

Примечания и ссылки

[ редактировать ]
  1. ^ Таксономия технических стандартов рисков ISBN   1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
  2. ^ Техническая стандартная таксономия рисков, раздел 1.5. ISBN   1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
  3. ^ «Открытая группа – Управление рисками» . Открытая группа . 2019.
  4. ^ Jump up to: а б с д и «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г.
  5. ^ Фройнд, Джек; Джонс, Джек (2015). Измерение и управление информационным риском . Уолтем, Массачусетс: Баттерворт-Хайнеманн. ISBN  9780127999326 .
  6. ^ Фридман, Терри (27 января 2009 г.). «VA заплатит 20 миллионов долларов для урегулирования иска по поводу украденных данных ноутбука» . CNN . Проверено 1 февраля 2022 г.

Цитируемые работы

[ редактировать ]
[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 606707b120012c3051b54e9cf8430b16__1701890940
URL1:https://arc.ask3.ru/arc/aa/60/16/606707b120012c3051b54e9cf8430b16.html
Заголовок, (Title) документа по адресу, URL1:
Factor analysis of information risk - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)