Faktorenanalyse des Informationsrisikos (FAIR)
FAIR (Faktorenanalyse des Informationsrisikos) ist ein Risikomanagement-Framework, das speziell dafür entwickelt wurde, Informationsrisiken in finanziellen Begriffen zu verstehen, zu analysieren und zu quantifizieren. Es unterscheidet sich von traditionellen qualitativen Risikobewertungsmethoden und konzentriert sich auf die Risikobewertung in Bezug auf die wahrscheinliche Häufigkeit und das wahrscheinliche Ausmaß zukünftiger Verluste.
Fordern Sie eine Demo der Secureframe Custom Frameworks anDefinition und Zweck
FAIR bietet ein Modell zum Verständnis, zur Analyse und zur Quantifizierung von Cyberrisiken und Betriebsrisiken in einer Sprache, die Geschäftsleiter verstehen - Geld. Der Zweck des FAIR-Frameworks besteht darin, Organisationen zu helfen, fundierte Entscheidungen über Sicherheits- und Betriebsrisiken zu treffen, die auf einem soliden Verständnis der Häufigkeit und des Einflusses von Risikoevents basieren.
Leitungsorgan
Das FAIR-Framework wurde ursprünglich von Jack Jones entwickelt und wird nun vom FAIR Institute, einer Experten-Non-Profit-Organisation, die darauf abzielt, Wissen und Best Practices des FAIR-Modells zu verbreiten, gepflegt und gefördert.
Zuletzt aktualisiert
Das FAIR-Framework wurde 2005 entwickelt. Das FAIR Institute entwickelt und verfeinert weiterhin unterstützende Leitlinien und Schulungsmaterialien.
Anwendbarkeit
FAIR ist branchenunabhängig und kann in verschiedenen Sektoren angewendet werden. Es ist für jede Organisation von Vorteil, die Informationsrisiken verstehen, analysieren und quantifizieren muss. Dies schließt, aber ist nicht beschränkt auf: Finanzdienstleistungen, Gesundheitswesen, Fertigung, Einzelhandel und staatliche Einrichtungen.
Kontrollen und Anforderungen
FAIR hat keine traditionelle Kontrollliste, sondern konzentriert sich auf die Faktoren, die Risiken beeinflussen. Bei der Durchführung einer FAIR-Analyse würden Sie typischerweise die folgenden Faktoren definieren, messen und analysieren:
- Häufigkeit von Bedrohungsereignissen: Wie oft Bedrohungsereignisse wahrscheinlich auftreten werden.
- Kontaktfrequenz: Die Interaktion zwischen Bedrohungen und Vermögenswerten.
- Wahrscheinlichkeit einer Handlung: Die Wahrscheinlichkeit, dass eine Bedrohungshandlung zu einem Verlust führt.
- Verwundbarkeit: Die Wahrscheinlichkeit, dass ein Vermögenswert nicht in der Lage ist, den Aktionen eines Bedrohungsereignisses zu widerstehen.
- Verlustumfang: Die potenziellen Auswirkungen oder Verluste aus einem Bedrohungsereignis, die sowohl Primär- als auch Sekundärverluste umfassen können.
Bitte verweisen Sie auf die offizielle Dokumentation des FAIR-Instituts für Details zu Kontrollen und Anforderungen.
Audittype, Häufigkeit und Dauer
Audits im Kontext von FAIR umfassen eine Bewertung der Risikomanagementprozesse einer Organisation, insbesondere wie Risiken identifiziert, analysiert und quantifiziert werden. Die Häufigkeit von FAIR-Bewertungen basiert typischerweise auf der Risikomanagementrichtlinie der Organisation, Änderungen im Geschäftsumfeld oder als Reaktion auf Vorfälle.
Die Dauer einer FAIR-Bewertung kann stark variieren, je nach Umfang der analysierten Risikoszenarien und der Komplexität der Abläufe der Organisation.