FAIR (Factor Analysis of Information Risk)
Что такое FAIR (Factor Analysis of Information Risk)?
FAIR (Factor Analysis of Information Risk)Открытый международный стандарт количественной оценки информационных и киберрисков в финансовом выражении путём декомпозиции риска на факторы частоты потерь и величины потерь.
FAIR поддерживается FAIR Institute и стандартизирован The Open Group (O-RA, O-RT) и является наиболее распространённой количественной моделью киберриска. Он раскладывает риск на частоту событий потерь (частота событий угрозы × уязвимость) и величину потерь (первичные и вторичные), а подфакторы оценивают калиброванными диапазонами. Инструменты вроде FAIR-U и коммерческих платформ обычно запускают симуляции Монте-Карло и выдают распределения потерь, включая ALE и кривые превышения. FAIR используют для приоритизации инвестиций в безопасность, диалога с советом директоров и регуляторами, установления аппетита к риску и андеррайтинга киберстрахования; он дополняет ISO 31000, NIST RMF и подходы ERM.
● Примеры
- 01
FAIR-анализ компрометации деловой переписки (BEC) для обоснования инвестиций в продвинутую защиту почты.
- 02
Ежеквартальный отчёт о топ-рисках на основе FAIR для аудиторского комитета.
● Частые вопросы
Что такое FAIR (Factor Analysis of Information Risk)?
Открытый международный стандарт количественной оценки информационных и киберрисков в финансовом выражении путём декомпозиции риска на факторы частоты потерь и величины потерь. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает FAIR (Factor Analysis of Information Risk)?
Открытый международный стандарт количественной оценки информационных и киберрисков в финансовом выражении путём декомпозиции риска на факторы частоты потерь и величины потерь.
Как работает FAIR (Factor Analysis of Information Risk)?
FAIR поддерживается FAIR Institute и стандартизирован The Open Group (O-RA, O-RT) и является наиболее распространённой количественной моделью киберриска. Он раскладывает риск на частоту событий потерь (частота событий угрозы × уязвимость) и величину потерь (первичные и вторичные), а подфакторы оценивают калиброванными диапазонами. Инструменты вроде FAIR-U и коммерческих платформ обычно запускают симуляции Монте-Карло и выдают распределения потерь, включая ALE и кривые превышения. FAIR используют для приоритизации инвестиций в безопасность, диалога с советом директоров и регуляторами, установления аппетита к риску и андеррайтинга киберстрахования; он дополняет ISO 31000, NIST RMF и подходы ERM.
Как защититься от FAIR (Factor Analysis of Information Risk)?
Защита от FAIR (Factor Analysis of Information Risk) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия FAIR (Factor Analysis of Information Risk)?
Распространённые альтернативные названия: FAIR, Анализ FAIR.
● Связанные термины
- compliance№ 889
Количественный анализ рисков
Подход, при котором вероятность и последствия выражаются в числах — обычно в виде вероятностей и распределений денежных потерь — для принятия решений на основе данных.
- compliance№ 705
Симуляция рисков методом Монте-Карло
Вычислительный метод оценки риска, при котором проводятся тысячи случайных сценариев из заданных входных распределений вероятностей и получают распределение возможных исходов.
- compliance№ 935
Оценка рисков
Структурированная деятельность в рамках управления рисками, в ходе которой выявляются угрозы, уязвимости и последствия для конкретных активов и определяется итоговый рейтинг риска для принятия решений по обработке.
- compliance№ 936
Управление рисками
Скоординированный процесс выявления, анализа, оценки, обработки, мониторинга и коммуникации рисков для удержания их в пределах установленной организацией толерантности.
- compliance№ 383
Корпоративное управление рисками (ERM)
Интегрированный подход к идентификации, управлению и обработке стратегических, финансовых, операционных, комплаенс- и киберрисков в масштабе всей организации, согласованный с её целями.
- compliance№ 733
NIST Risk Management Framework
Семишаговый процесс NIST, определённый в SP 800-37, который интегрирует управление рисками безопасности, приватности и цепочки поставок в жизненный цикл системы.