Factor Analysis of Information Risk (FAIR™) when assessing the Information Security

Abstract

The aim of the thesis is to assist top management in making correct and balanced decisions regarding information security risks and investments in information security measures by ensuring the consistency and quality of risk analysis results.

In order to achieve the purpose proposed, key features of a reliable information risk analysis methodology were analyzed and established, the structure and theoretical concept of the Factor Analysis of Information Risk approach (FAIR) was reviewed, the possibility of using this approach within ISO/IEC 27005 (Information Technology. Security Techniques. Information Security Risk Management) and NIST (Cyber Security Framework) was examined, as well as differences in the terminology used, and finally, several risk scenarios were analyzed with the application of this information risk analysis methodology to identify eventual problems and difficulties or, conversely, possible factors, which may simplify the risk analysis process. The concept was also elaborated and presented, which can be used for the development of the information risk analysis tool within enterprises, which have a serious attitude towards risks and financial decision-making.

During the application of this concept by analyzing the real risks in practice, it has been demonstrated, that the risk analysis becomes simpler and faster once certain input values were entered in the database. These values are part of some factors such as primary and secondary loss, and can easily be reused in different scenarios without consulting a subject matter expert opinion.

Scopul lucrării este de a ajuta managementul de top în luarea deciziilor corecte și echilibrate legate de riscurile de securitate informațională și de investițiile în măsurile de securitate informațională prin asigurarea consistenței și calității rezultatelor analizei riscurilor.

Pentru a atinge scopul propus, s-au analizat și s-au stabilit caracteristici cheie ale unei metodologii fiabile de analiză a riscurilor informaționale, a fost revizuită structura și conceptul teoretic al abordării de analiză a factorilor riscului informațional (FAIR™), s-a analizat posibilitatea utilizării acestei abordări în cadrul ISO/IEC 27005 (Tehnologia informației. Tehnici de securitate. Managementul riscului securității informației) și NIST (Cadrul de Securitate Cibernetică), la fel și diferențele în terminologia utilizată, și, într-un final, s-au analizat câteva scenarii de risc cu aplicarea acestei metodologii de analiză a riscului informațional pentru identificarea eventualelor probleme și dificultăți sau, invers, eventualelor factori, care pot simplifica procesul de analiză a riscurilor. La fel s-a elaborat și s-a prezentat conceptul, ce poate fi utilizat pentru dezvoltarea instrumentului de analiză a riscului informațional în cadrul întreprinderilor, care manifestă o atitudine serioasă față de riscuri și luarea deciziilor financiare.

Pe parcursul aplicării acestui concept prin analiza riscurilor reale din practică, s-a demonstrat, că analiza riscurilor devine mai simplă și mai rapidă odată cu înregistrarea anumitor valori de intrare în bază de date. Aceste valori sunt părți componente ale anumitor factori (de exemplu a pierderilor primare și pierderilor secundare) și ușor pot fi reutilizate în diferite scenarii fără a se adresa către un expert în materie.