Факторный анализ информационного риска - Factor analysis of information risk
Факторный анализ информационного риска (ЯРМАРКА) является таксономией факторы которые способствуют риску и как они влияют друг на друга. Это в первую очередь связано с установлением точных вероятностей частоты и величины потеря данных События. Это не методология оценки рисков предприятия (или отдельных лиц).[1]
FAIR - это также структура управления рисками, разработанная Джеком А. Джонсом, и она может помочь организациям понять, проанализировать и измерить информационный риск в соответствии с Уитмен и Мэтторд (2013) .
Ряд методологий рассматривают управление рисками в ИТ-среде или IT риск, относится к системы менеджмента информационной безопасности и стандарты, такие как ISO / IEC серии 27000.
ЯРМАРКА стремится их проф.[1]
Хотя основная таксономия и методы были доступны для некоммерческого использования по лицензии Creative Commons, сама FAIR является частной собственностью. Для использования FAIR для анализа чужого риска с целью получения коммерческой выгоды (например, посредством консультирования или как часть программного приложения) требуется лицензия от RMI.[2]
Документация
Главный документ FAIR - «Введение в факторный анализ информационных рисков (FAIR)», Risk Management Insight LLC, ноябрь 2006 г .;[3]
Содержание этого официального документа и сама структура FAIR выпущены под лицензией Creative Commons Attribution-Noncommercial-Share Alike 2.5. Документ сначала определяет, что такое риск. В разделе «Риск и анализ рисков» обсуждаются концепции рисков и некоторые реалии, связанные с анализом и вероятностями рисков. Это обеспечивает общую основу для понимания и применения FAIR. В разделе «Компоненты ландшафта рисков» кратко описаны четыре основных компонента, составляющих любой сценарий риска. Эти компоненты обладают характеристиками (факторами), которые в сочетании друг с другом создают риск. Факторинг риска начинает раскладывать информационный риск на его основные части. Полученная таксономия описывает, как факторы объединяются, чтобы управлять рисками, и закладывают основу для остальной части структуры FAIR.
В разделе «Средства управления» кратко представлены три измерения ландшафта средств контроля. «Измерение риска» кратко обсуждаются концепции и проблемы измерения, а затем дается общее обсуждение измерений факторов риска.
Основные концепции
FAIR подчеркивает, что риск - это неопределенное событие, и следует сосредоточивать внимание не на том, что возможно, а на том, насколько вероятно данное событие. Этот вероятностный подход применяется к каждому анализируемому фактору. Риск - это вероятность убытка, связанного с актив. В FAIR риск определяется как «вероятная частота и вероятная величина будущих убытков.”[4] FAIR дополнительно разбивает риск, разбивая различные факторы, составляющие вероятную частоту и вероятные убытки, которые можно измерить количественно. Эти факторы включают в себя: частоту событий, связанных с угрозами, частоту контактов, вероятность действий, уязвимость, возможность угрозы, сложность, частоту событий с потерями, величину первичных потерь, частоту событий с вторичными потерями, величину вторичных потерь и вторичный риск.
Актив
An актив Потенциал убытков проистекает из ценности, которую он представляет, и / или ответственности, которую он несет для организации.[3] Например, информация о клиентах обеспечивает ценность благодаря своей роли в получении дохода для коммерческой организации. Та же самая информация также может повлечь за собой ответственность организации, если существует юридическая обязанность по ее защите или если клиенты ожидают, что информация о них будет надлежащим образом защищена.
FAIR определяет шесть видов потерь:[3]
- Производительность - сокращение организации эффективного производства товаров или услуг с целью создания стоимости.
- Ответ - ресурсы, потраченные во время действий после неблагоприятного события
- Замена - расходы на замену / ремонт поврежденного актива
- Штрафы и судебные решения (F / J) - стоимость всей юридической процедуры, вытекающей из неблагоприятного события.
- Конкурентное преимущество (CA) - упущенные возможности из-за инцидента безопасности
- Репутация - упущенные возможности или продажи из-за ухудшения корпоративного имиджа после мероприятия
FAIR определяет стоимость / ответственность как:[3]
- Критический - влияние на продуктивность организации
- Стоимость - чистая стоимость актива, стоимость замены скомпрометированного актива
- Чувствительность - затраты, связанные с раскрытием информации, которые подразделяются на:
- Смущение - в раскрытии говорится о ненадлежащем поведении руководства компании.
- Конкурентное преимущество - потеря конкурентного преимущества, связанная с раскрытием информации
- Юридические / нормативные - расходы, связанные с возможными нарушениями закона
- Общие - прочие потери, связанные с конфиденциальностью данных
Угроза
Угроза Агенты могут быть сгруппированы по сообществам угроз, подмножествам общей популяции агентов угроз, которые имеют общие ключевые характеристики. Необходимо точно определить угрожающие сообщества, чтобы эффективно оценивать эффект (величину потерь).
Угроза агенты могут по-разному действовать на актив:[3]
- Доступ - читать данные без авторизации
- Неправильное использование - использование ресурса без разрешения и / или не по назначению.
- Раскрыть - агент разрешает другим людям доступ к данным
- Изменить - изменить актив (изменение данных или конфигурации)
- Запретить доступ - агент угрозы не позволяет законным предполагаемым пользователям получить доступ к активу.
Эти действия могут влиять на разные активы по-разному: эффект зависит от характеристик актива и его использования. Некоторые активы имеют высокую критичность, но низкую чувствительность: отказ в доступе имеет гораздо больший эффект, чем раскрытие таких активов. С другой стороны, актив с высокочувствительными данными может иметь низкий эффект производительности, если он недоступен, но может вызвать затруднения и юридические последствия, если эти данные будут раскрыты: например, доступность данных о здоровье бывших пациентов не влияет на производительность медицинской организации, но может в случае раскрытия обойдется в миллионы долларов.[5] Одно событие может включать в себя разные активы: [кража ноутбука] влияет на доступность самого ноутбука, но может привести к потенциальному раскрытию информации, хранящейся на нем.
Комбинация характеристик актива и типа действий в отношении этого актива, определяющая фундаментальный характер и степень убытков.
Смотрите также
- Управление информационной безопасностью
- ISACA
- ISO / IEC 27001
- Управление рисками
- Уязвимость (вычисления)
Примечания и ссылки
- ^ а б Техническая стандартная таксономия рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликован Open Group, январь 2009 г.
- ^ «Открытая группа - управление рисками». Открытая группа. 2019.
- ^ а б c d е «Введение в факторный анализ информационных рисков (FAIR)», ООО «Инсайт управления рисками», ноябрь 2006 г.
- ^ Фройнд, Джек; Джонс, Джек (2015). Измерение и управление информационными рисками. Уолтем, Массачусетс: Баттерворт-Хайнеманн. ISBN 9780127999326.
- ^ Статья CNN о коллективном иске за украденный ноутбук ветеранского дела