Количественная оценка киберрисков

Количественная оценка киберрисков предполагает применение методов количественной оценки рисков к рискам кибербезопасности организации. Количественная оценка киберрисков — это процесс оценки выявленных киберрисков, а затем проверка, измерение и анализ имеющихся киберданных с использованием методов математического моделирования для точного представления среды кибербезопасности организации таким образом, чтобы их можно было использовать для обоснованных инвестиций в инфраструктуру кибербезопасности. и решения о передаче рисков. Количественная оценка киберрисков является вспомогательной деятельностью по управлению рисками кибербезопасности; Управление рисками кибербезопасности является компонентом управления рисками предприятия и особенно важно для организаций и предприятий, которые информационных технологий в своей бизнес-операции сильно зависят от сетей и систем (ИТ).

Одним из методов количественной оценки киберрисков является метод стоимости риска (VaR), который обсуждался на заседании Всемирного экономического форума в январе 2015 года . ^[1] На этой встрече VaR был изучен и исследован и признан жизнеспособным методом количественной оценки киберрисков.

Практические реализации

Количественная оценка киберрисков использовалась в различных практических приложениях, в том числе:

Киберстрахование ^[2]
Возврат инвестиций в кибербезопасность ^[3]^[4]
Затраты на смягчение последствий программного обеспечения ^[5]
Оценка рисков кибербезопасности ^[6]

Математическое определение

Математическое определение киберриска выглядит следующим образом:

Кибер-риск = 1 – Кибер-уверенность

«Кибер-уверенность» — это фактически пройденные тесты. Это значение можно преобразовать в статистическую вероятность и рассчитать соответствующий кибер-риск:

Пример 1. Выполнено и пройдено «определенное количество» тестов. Давайте представим, что это дает уверенность в отсутствии дефектов 97,43%. Ответ: Киберриск = 2,57%.
Пример 2. Подтверждено, что все 65 536 TCP-портов и 65 536 UDP-портов не работают или неактивны на активе; насколько он устойчив к проникновению? Ответ: Кибер-уверенность = 99,83%, Кибер-риск = 0,17%.

Обычно эта форма оценки кибер-уверенности и/или кибер-рисков называется проверкой , потому что:

Его можно применять для оценки количества тестов, необходимых для любого желаемого уровня киберуверенности.
Его можно применять для оценки киберуверенности (и киберриска) на основе количества тестов, которые фактически были выполнены и пройдены.

См. также

Ссылки

^ «Новая система, которая поможет компаниям рассчитать риск кибератак» . Архивировано из оригинала 28 сентября 2016 года.
^ Орландо, Альбина (2021). «Количественная оценка киберрисков: исследование роли киберценностей, подвергающихся риску» . Риски . 9 (10): 184. doi : 10.3390/risks9100184 . hdl : 10419/258268 .
^ Альсалех, Мохаммед Нораден; Хусари, Гейт; Аль-Шаер, Эхаб (2016). «Оптимизация рентабельности инвестиций в снижение киберрисков» . 2016 12-я Международная конференция по управлению сетями и услугами (CNSM) . стр. 223–227. дои : 10.1109/CNSM.2016.7818421 . S2CID 16037703 .
^ Альсалех, Мохаммед Нораден; Аль-Шаер, Эхаб; Хусари, Гейт (2017). «Снижение киберрисков на основе рентабельности инвестиций с использованием соответствия требованиям хоста и конфигурации сети» . Журнал сетевого и системного управления . 25 (4): 759–783. дои : 10.1007/s10922-017-9428-x . S2CID 20994581 .
^ Де Корньер, Александр; Тейлор, Грег (август 2021 г.). «Модель информационной безопасности и конкуренции» . ССНН 3928754 . Архивировано из оригинала 26 октября 2021 года.
^ «Руководство по оценке рисков NIST» . www.securityscientist.net . Ученый по безопасности. 7 марта 2023 г. . Проверено 10 марта 2023 г.

Внешние ссылки

Всемирный экономический форум: Партнерство в целях киберустойчивости – к количественной оценке киберугроз

[1] «Новая система, которая поможет компаниям рассчитать риск кибератак» . Архивировано из оригинала 28 сентября 2016 года.

[2] Орландо, Альбина (2021). «Количественная оценка киберрисков: исследование роли киберценностей, подвергающихся риску» . Риски . 9 (10): 184. doi : 10.3390/risks9100184 . hdl : 10419/258268 .

[3] Альсалех, Мохаммед Нораден; Хусари, Гейт; Аль-Шаер, Эхаб (2016). «Оптимизация рентабельности инвестиций в снижение киберрисков» . 2016 12-я Международная конференция по управлению сетями и услугами (CNSM) . стр. 223–227. дои : 10.1109/CNSM.2016.7818421 . S2CID 16037703 .

[4] Альсалех, Мохаммед Нораден; Аль-Шаер, Эхаб; Хусари, Гейт (2017). «Снижение киберрисков на основе рентабельности инвестиций с использованием соответствия требованиям хоста и конфигурации сети» . Журнал сетевого и системного управления . 25 (4): 759–783. дои : 10.1007/s10922-017-9428-x . S2CID 20994581 .

[5] Де Корньер, Александр; Тейлор, Грег (август 2021 г.). «Модель информационной безопасности и конкуренции» . ССНН 3928754 . Архивировано из оригинала 26 октября 2021 года.

[6] «Руководство по оценке рисков NIST» . www.securityscientist.net . Ученый по безопасности. 7 марта 2023 г. . Проверено 10 марта 2023 г.

[1]

[2]

[3]

[4]

[5]

[6]