Факторный анализ информационного риска
Факторный анализ информационного риска ( FAIR ) — это таксономия факторов , которые способствуют риску, и того, как они влияют друг на друга. В первую очередь он касается установления точных вероятностей частоты и величины событий потери данных . Это не методология проведения оценки рисков предприятия (или отдельного человека). [1]
FAIR — это также система управления рисками, разработанная Джеком А. Джонсом, которая может помочь организациям понимать, анализировать и измерять информационные риски согласно Whitman & Mattord (2013) .
Ряд методологий занимается управлением рисками в ИТ-среде или ИТ-рисками , связанными с управления информационной безопасностью системами и стандартами , такими как серия ISO/IEC 27000 .
FAIR дополняет другие методологии, предоставляя возможность создавать последовательные и обоснованные утверждения о риске. [2]
Хотя базовая таксономия и методы доступны для некоммерческого использования по лицензии Creative Commons, сама FAIR является собственностью. Использование FAIR для анализа чужого риска с целью получения коммерческой выгоды (например, путем консультирования или в составе программного приложения) требует лицензии от RMI. [3]
Документация
[ редактировать ]Основным документом FAIR является «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г.; [4]
Содержимое этого технического документа и сама платформа FAIR выпущены под лицензией Creative Commons Attribution-Noncommercial-Share Alike 2.5. В документе сначала определяется, что такое риск. В разделе «Риски и анализ рисков» обсуждаются концепции рисков и некоторые реалии, связанные с анализом рисков и вероятностями. Это обеспечивает общую основу для понимания и применения FAIR. В разделе «Компоненты ландшафта рисков» кратко описаны четыре основных компонента, составляющих любой сценарий риска. Эти компоненты имеют характеристики (факторы), которые в сочетании друг с другом создают риск. Факторинг риска начинает разлагать информационный риск на его фундаментальные части. Полученная в результате таксономия описывает, как факторы в совокупности приводят к риску, и закладывает основу для остальной части системы FAIR.
В разделе «Элементы управления» кратко представлены три измерения ландшафта элементов управления. В книге «Измерение риска» кратко обсуждаются концепции и проблемы измерения, а затем проводится общее обсуждение измерений факторов риска.
Основные понятия
[ редактировать ]FAIR подчеркивает, что риск — это неопределенное событие, и следует сосредотачиваться не на том, что возможно, а на том, насколько вероятно данное событие. Этот вероятностный подход применяется к каждому анализируемому фактору. Риск – это вероятность потери, связанной с активом . В FAIR риск определяется как « вероятная частота и вероятная величина будущих потерь ». [5] FAIR дополнительно декомпозирует риск, разбивая различные факторы, составляющие вероятную частоту и вероятные потери, которые можно измерить в количественном выражении. К этим факторам относятся: частота событий угрозы, частота контактов, вероятность действия, уязвимость, потенциал угрозы, сложность, частота событий потерь, величина первичных потерь, частота событий вторичных потерь, величина вторичных потерь и вторичный риск.
Объект
[ редактировать ]Потенциал потерь актива . обусловлен ценностью, которую он представляет, и/или обязательствами, которые он накладывает на организацию [4] Например, информация о клиентах представляет ценность благодаря своей роли в получении дохода для коммерческой организации. Эта же информация также может повлечь за собой ответственность для организации, если существует юридическая обязанность защищать ее или если клиенты ожидают, что информация о них будет надлежащим образом защищена.
FAIR определяет шесть видов потерь: [4]
- Производительность – способность организации эффективно производить товары или услуги с целью создания стоимости.
- Реагирование – ресурсы, затраченные на действия после неблагоприятного события.
- Замена – расходы на замену/ремонт затронутого актива.
- Штрафы и судебные решения (F/J) – стоимость всей юридической процедуры, возникающей в результате неблагоприятного события.
- Конкурентное преимущество (CA) – упущенные возможности из-за инцидента безопасности.
- Репутация – упущенные возможности или продажи из-за ухудшения корпоративного имиджа после мероприятия.
FAIR определяет стоимость/обязательство как: [4]
- Критический – влияние на производительность организации.
- Стоимость – чистая стоимость актива, стоимость замены скомпрометированного актива.
- Чувствительность – затраты, связанные с раскрытием информации, которые далее подразделяются на:
- Смущение – в раскрытии говорится о ненадлежащем поведении руководства компании.
- Конкурентное преимущество – потеря конкурентного преимущества, связанная с раскрытием информации.
- Юридические/нормативные – затраты, связанные с возможными нарушениями закона.
- Общие – другие потери, связанные с конфиденциальностью данных.
Угроза
[ редактировать ]Агенты угроз могут быть сгруппированы по сообществам угроз — подмножествам общей популяции агентов угроз, которые имеют общие ключевые характеристики. Сообщества угроз должны быть точно определены, чтобы эффективно оценить эффект (величину потерь).
Агенты угроз могут действовать по-разному на активе : [4]
- Доступ – чтение данных без надлежащего разрешения.
- Неправильное использование – использование актива без разрешения и/или не по назначению.
- Раскрывать — агент позволяет другим людям получать доступ к данным.
- Изменить – изменить актив (модификация данных или конфигурации).
- Запретить доступ — агент угрозы не позволяет законным предполагаемым пользователям получить доступ к активу.
Эти действия могут по-разному влиять на разные активы: эффект варьируется в зависимости от характеристик актива и его использования. Некоторые активы имеют высокую критичность, но низкую чувствительность: отказ в доступе имеет гораздо больший эффект, чем раскрытие информации о таких активах. С другой стороны, актив с высокочувствительными данными может иметь низкий эффект на производительность, если он недоступен, но может вызвать смущение и юридические последствия, если эти данные будут раскрыты: например, доступность данных о здоровье бывших пациентов не влияет на производительность организации здравоохранения, но влияет на ее раскрытие информации может стоить организации миллионы долларов. [6] Одно событие может затрагивать разные активы: [кража ноутбука] влияет на доступность самого ноутбука, но может привести к потенциальному раскрытию хранящейся на нем информации.
Сочетание характеристик актива и типа действий против этого актива, определяющее фундаментальный характер и степень потерь.
См. также
[ редактировать ]- Управление информационной безопасностью
- ИСАКА
- ИСО/МЭК 27001
- Управление рисками
- Уязвимость (вычисления)
Примечания и ссылки
[ редактировать ]- ^ Таксономия технических стандартов рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
- ^ Техническая стандартная таксономия рисков, раздел 1.5. ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
- ^ «Открытая группа – Управление рисками» . Открытая группа . 2019.
- ^ Jump up to: а б с д и «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г.
- ^ Фройнд, Джек; Джонс, Джек (2015). Измерение и управление информационным риском . Уолтем, Массачусетс: Баттерворт-Хайнеманн. ISBN 9780127999326 .
- ^ Фридман, Терри (27 января 2009 г.). «VA заплатит 20 миллионов долларов для урегулирования иска по поводу украденных данных ноутбука» . CNN . Проверено 1 февраля 2022 г.
Цитируемые работы
[ редактировать ]- Уитмен, Майкл Э.; Матторд, Герберт Дж. (18 октября 2013 г.). Управление информационной безопасностью . Cengage Обучение. ISBN 978-1-305-15603-6 .