정보 위험 요소 분석

Factor analysis of information risk

정보 위험의 요인 분석(FAIR)은 위험에 기여하는 요인과 그 요인들이 서로 어떻게 영향을 미치는지에 대한 분류법이다. 주로 데이터 손실 사건의 빈도와 규모에 대한 정확한 확률을 설정하는 것과 관련이 있다. 기업(또는 개인) 위험 평가를 수행하기 위한 방법론이 아니다.[1]

FARE는 잭 A가 개발한 리스크 관리 프레임워크이기도 하다. Jones, 그리고 Whitman & Mattord (2013) 오류:(에 따라 정보 위험을 이해하고 분석하고 측정하는 데 도움을 줄 수 있다.

ISO/IEC 27000 시리즈와 같은 정보보안 관리 시스템 및 표준과 관련된 IT 환경이나 IT 리스크에서의 리스크 관리를 다루는 많은 방법론이 있다.

FARE는 그들을 평가하려고 한다.[1][clarification needed]

기본적인 분류법과 방법은 창조적 공유 면허에 따라 비상업적으로 사용할 수 있도록 만들어졌지만, FARE 자체는 독점이다. 다른 사람의 상업적 이익에 대한 위험을 분석하기 위해 FAI를 이용하려면(예: 컨설팅을 통해 또는 소프트웨어 애플리케이션의 일부로) RMI의 라이센스가 필요하다.[2]

문서화

FAIR의 주요 문서는 "정보 위험 요소 분석(FAIR)", Risk Management Insight LLC, 2006년 11월이다.[3]

이 백서와 FARE 프레임워크의 내용은 Creative Commons Attribution-Non-commercial-Share Elikes 2.5 라이센스에 따라 공개된다. 그 문서는 먼저 위험이 무엇인지 정의한다. 위험 및 위험 분석 섹션에서는 위험 개념과 위험 분석 및 확률을 둘러싼 일부 현실에 대해 논의한다. 이는 FAIR을 이해하고 적용할 수 있는 공통 기반을 제공한다. 위험 상황 구성요소 섹션에는 위험 시나리오를 구성하는 4가지 주요 구성요소가 간략하게 설명된다. 이러한 구성요소는 서로 결합하여 위험을 유발하는 특성(요인)을 가지고 있다. Risk Factoring은 정보 위험을 그것의 기본적인 부분으로 분해하기 시작한다. 결과 분류법은 요인이 어떻게 결합하여 위험을 유발하는지를 설명하고, FAIR 프레임워크의 나머지 부분에 대한 기초를 확립한다.

Controls 섹션은 제어장치의 3차원을 간략히 소개한다. 위험 측정은 측정 개념과 과제에 대해 간략하게 설명한 후 위험 요소 측정에 대한 높은 수준의 논의를 제공한다.

주요개념

FARE는 위험이 불확실한 사건이며 무엇이 가능한지에 초점을 맞추지 말고 주어진 사건이 얼마나 가능성이 있는가에 초점을 맞춰야 한다고 강조한다. 이 확률론적 접근법은 분석되는 모든 요소에 적용된다. 위험은 자산에 묶인 손실의 확률이다. FAIR에서 위험은 "가능 빈도미래 손실의 가능한 규모"[4]로 정의된다. FARE는 정량화할 수 있는 숫자로 측정할 수 있는 발생 빈도와 발생 가능한 손실을 구성하는 다양한 요소를 분해함으로써 위험을 더욱 분해한다. 이러한 요소에는 다음이 포함된다. 위협 이벤트 빈도, 접촉 빈도, 조치 확률, 취약성, 위협 능력, 어려움, 손실 이벤트 빈도, 1차 손실 규모, 2차 손실 이벤트 빈도, 2차 손실 규모 및 2차 위험.

자산

자산의 손실 가능성은 자산이 나타내는 가치 및/또는 자산이 조직에 도입하는 부채에서 비롯된다.[3] 예를 들어, 고객 정보는 상업적 조직의 수익을 창출하는 역할을 통해 가치를 제공한다. 또한 그러한 정보는 보호해야 할 법적 의무가 존재하거나 고객이 자신에 대한 정보가 적절히 보호될 것으로 기대하는 경우에 조직에 책임을 물을 수 있다.

FARE는 6가지 종류의 손실을 정의한다.[3]

  1. 생산성 – 가치를 창출하기 위해 재화나 서비스를 효과적으로 생산하기 위한 조직의 감소
  2. 대응 – 부작용 발생 후 조치를 취하는 동안 사용된 리소스
  3. 교체 – 영향을 받는 자산의 교체/수리 비용
  4. 벌금 및 판결(F/J) – 불리한 사건에서 도출된 전체 법적 절차 비용
  5. 경쟁 우위(CA) - 보안 문제로 인해 기회를 놓침
  6. 평판 – 이벤트 이후 기업 이미지가 저하되어 기회 또는 매출 손실

FARE는 가치/부채성을 다음과 같이 정의한다.[3]

  1. 중요 – 조직 생산성에 미치는 영향
  2. 비용 – 자산의 맨 비용, 손상된 자산을 교체하는 비용
  3. 민감도 – 정보 공개와 관련된 비용은 다음과 같이 추가로 구분된다.
    1. 당혹감 – 회사 경영진의 부적절한 행동에 대한 공개
    2. 경쟁 우위 – 공개와 관련된 경쟁 우위의 손실
    3. 법률/규제 – 가능한 법률 위반과 관련된 비용
    4. 일반 – 데이터의 민감도와 관련된 기타 손실

위협

위협 에이전트는 주요 특성을 공유하는 전체 위협 에이전트 집단의 하위 집합인 위협 커뮤니티별로 그룹화할 수 있다. 효과(손실 규모)를 효과적으로 평가하려면 위협 커뮤니티를 정확하게 정의해야 한다.

위협 에이전트는 자산에 대해 다음과 같이 다르게 행동할 수 있다.[3]

  • 액세스 – 적절한 권한 없이 데이터 읽기
  • 오용 – 승인 없이 또는 의도된 사용과 다른 자산 사용
  • 공개 – 에이전트가 다른 사용자가 데이터에 액세스할 수 있도록 허용
  • 수정 – 자산 변경(데이터 또는 구성 수정)
  • 액세스 거부 – 위협 에이전트는 의도된 합법적인 사용자가 자산에 액세스하도록 허용하지 않음

이러한 조치는 다양한 방식으로 다른 자산에 영향을 미칠 수 있다. 즉, 그 영향은 자산의 특성과 그 사용량에 따라 달라진다. 일부 자산은 중요도는 높지만 민감도는 낮다. 접근 거부는 그러한 자산에 대한 공시보다 훨씬 더 높은 영향을 미친다. 반면에 매우 민감한 데이터를 가진 자산은 이용할 수 없다면 낮은 생산성 효과를 가질 수 있지만, 예를 들어 이전 환자 의료 데이터의 가용성은 의료기관의 생산성에 영향을 미치지 않지만 그 공개로 인해 조직에 수백만 달러의 비용이 들 수 있다.s. 단일 사건에는 서로 다른 자산이 포함될 수 있다. [노트북 도난]은 랩톱 자체의 가용성에 영향을 미치지만, 노트북에 저장된 정보의 잠재적 공개로 이어질 수 있다.

자산의 특성과 손실 정도를 결정하는 그 자산에 대한 행동 유형을 결합한 것이다.

참고 항목

참고 및 참조

  1. ^ a b 기술표준위험분류법 ISBN1-931624-77-1 문서 번호: C081 The Open Group에서 발행, 2009년 1월.
  2. ^ "The Open Group - Risk Management". The Open Group. 2019.
  3. ^ a b c d e "정보 위험 요소 분석(FAIR)", 리스크 관리 Insight LLC, 2006년 11월
  4. ^ Freund, Jack; Jones, Jack (2015). Measuring and Managing Information Risk. Waltham, MA: Butterworth-Heinemann. ISBN 9780127999326.
  5. ^ Friedman, Terry (27 January 2009). "VA will pay $20 million to settle lawsuit over stolen laptop's data". CNN. Retrieved 1 February 2022.

외부 링크