Фактор риска (вычисления)

В информационной безопасности фактор риска – это собирательное название обстоятельств, влияющих на вероятность или влияние риска безопасности .

Определения

СПРАВЕДЛИВЫЙ

Факторный анализ информационного риска (FAIR) посвящен анализу различных факторов, влияющих на ИТ-риск . Он разлагается на различных уровнях, начиная с первого уровня: частота событий потерь и вероятная величина потерь, продолжая изучение актива , возможностей агента угрозы по сравнению с уязвимостью (вычисления) и силой контроля безопасности (также называемой контрмерами ), вероятность того, что агент вступает в контакт и фактически действует против актива, способности организации реагировать на событие и воздействия на заинтересованные стороны.

ИСАКА

Факторы риска — это факторы, которые влияют на частоту и/или влияние сценариев риска на бизнес; они могут иметь различную природу и могут быть разделены на две основные категории: ^[1]

Экологические, далее подразделяются на:
- Факторы внутренней среды в значительной степени находятся под контролем предприятия, хотя их не всегда легко изменить.
- Факторы внешней среды в значительной степени находятся вне контроля предприятия.
Возможности организации, дополнительно подразделяемые на:
- Возможности управления ИТ-рисками . Насколько предприятие зрело в выполнении процессов управления рисками, определенных в ИТ-рисков. структуре
- Возможности ИТ. Насколько хорошо предприятие выполняет ИТ-процессы, определенные в COBIT.
- Бизнес-возможности, связанные с ИТ (или управление стоимостью). Насколько тесно деятельность предприятия по управлению стоимостью соответствует деятельности, выраженной в Val . ИТ- процессах

Рисковый сценарий

Сценарий ИТ-риска риска — это описание события, связанного с ИТ, которое может привести к последствиям для бизнеса, когда и если оно должно произойти.

Факторы риска также можно интерпретировать как причинные факторы реализующегося сценария или как уязвимости или слабости. Эти термины часто используются в системах управления рисками. ^[1]

Рисковый сценарий характеризуется: ^[1]

Субъектом угрозы может быть:
- Внутренний по отношению к организации (сотрудник, подрядчик)
- Внешний по отношению к организации (конкурент, деловой партнер, регулирующий орган, стихийное бедствие)
Тип угрозы:
- злонамеренный,
- Случайный
- Отказ
- Естественный
Событие
- Раскрытие информации
- Модификация
- Кража
- Разрушение
- Плохой дизайн
- Неэффективное исполнение
- Ненадлежащее использование
Актив или ресурс
- Люди и организация
- Процесс
- Инфраструктура или удобства
- ИТ-инфраструктура
- Информация
- Приложение
Время
- Продолжительность
- Время возникновения (критическое или нет)
- Время для обнаружения
- Время реагировать

В структуре сценария риска различаются события убытков (события, вызывающие негативное воздействие), события уязвимостей или уязвимостей (события, способствующие величине или частоте возникновения событий убытков) и события угроз (обстоятельства или события, которые могут вызвать события убытков). Важно не путать эти риски и не объединять их в один большой список рисков. ^[2]

См. также

Ссылки

[RISKIT-1] Jump up to: ^а ^б ^с ISACA THE RISK IT FRAMEWORK (требуется регистрация)

[FAIR-2] «Введение в факторный анализ информационного риска (FAIR)», Risk Management Insight LLC, ноябрь 2006 г. Архивировано 18 ноября 2014 г. в Wayback Machine ;

[1]

[2]