FAIR (Factor analysis of information risk) - факторный анализ информационных рисков - дополнение практически к любой методики управления информационных рисков . Автор FAIR, Jack A. Jones, опубликовал введение в данную методологию несколько лет назад. Перевод части работы Jack'а есть здесь: часть 1 , часть 2 , часть 3 , часть 4 .
Факторный анализ - метод изучения взаимосвязанных переменных - метод выделения переменных (факторов), оказывающих влияние на тот или иной показатель. Методология FAIR предлагает декомпозировать информационные риски на следующие элементы:
name='more'>
name='more'>
В первую очередь риск зависит от частоты появления инцидента и вероятных потерь от его наступления. Каждый из этих факторов вновь подразделяется.
Частота появления инцидента:
- (Threat Event Frequency) Частота возникновения угрозы
- (Contact) Частота с которой угроза "входит в контакт" с защищаемым активом. Например, если мы рассматриваем угрозу "кража конфиденциальной информации уборщицей из урны", то контакт осуществляется каждый раз, когда она выносит мусор, в котором содержаться документы ограниченного доступа
- (Action) Частота воздействия угрозы. Продолжая нашу аналогию. Воздействие будет осуществлено только когда уборщица начнет разбираться, что за документы содержаться в урне.
- (Vulnarability) Уязвимость, через которую реализуется угроза
- (Control Strength) Эффективность защитных средств. В нашем примере таким защитным средством может быть шредер, который снижает следующий параметр.
- (Threat Capability) "Сила" угрозы. В состоянии ли уборщица из пропущенных через шредер документов (если такой использовался) восстановить исходную информацию.
Потенциальная величина ущерба:
- (Primary Loss Factors)Первичный ущерб
- (Active Loss Factors) Факторы актива, влияющие на ущерб
- (Threat Loss Factors) Факторы угрозы, влияющие на ущерб
- (Secondary Loss Factors) Вторичный ущерб
- (Organizational Loss Factors) Ущерб для организации
- (External Loss Factors) Факторы ущерба со стороны среды функционирования организации
Факторы актива, влияющие на ущерб
- (Value) Ценность актива
- (Critically) Критичность - насколько утрата актива повлияет на эффективность бизнес-процессов в организации
- (Sensitivity) Чувствительность - насколько дорого обойдется то, что защищаемая информация окажется достоянием третьих лиц
- (Cost) Стоимость - сколько стоит утраченный/поврежденный актив
- (Volume) Объем - честно говоря, не совсем понял, что имел ввиду автор. Речь идет о соотношении исследуемого актива с другими активами организации.
Факторы угрозы, влияющие на ущерб
- (Competence) Компетенция злоумышленника. Насколько он хорошо подготовлен для реализации рассматриваемого рода угроз.
- (Action) Характер воздействия
- (Access) Доступ к защищаемому активу
- (Misuse) Некорректное использование актива
- (Disclose) Разглашение защищаемой информации
- (Modify) Модификация актива
- (Deny Access) Блокировка доступа к активу
- (Internal vs. External) Источник угрозы - внутренний/внешний
Факторы влияющие на ущерб для организации
- (Timing) Время воздействия на актив
- (Due Dilligence) "Правильное отношение" к инциденту
- (Responce) Реагирование
- (Containment) Способность локализовать угрозу
- (Remidiation) Устранение последствий угрозы
- (Recovery) Возвращение системы в работоспособное состояние
- (Detection) Идентификация угрозы
Факторы ущерба со стороны среды функционирования организации
- (Detection) Идентификация угрозы (внешними по отношению к организации лицами)
- (Legal and Regulation) Санкции регуляторов/штрафы
- (Competitors) Действия конкурентов
- (Media) Действия СМИ
- (Stakeholders) Действия бизнес-партнеров