Модель Гордона – Леба - Gordon–Loeb model

В Модель Гордона – Леба математический экономическая модель анализ оптимального уровня инвестиций в информационная безопасность.

Инвестиции в защиту данных компании связаны с расходами, которые, в отличие от других инвестиций, обычно не приносят прибыли. Однако это помогает предотвратить дополнительные расходы. Таким образом, важно сравнить, насколько дорого обходится защита определенного набора данных с потенциальными потерями в случае кражи, потери, повреждения или повреждения этих данных. Чтобы разработать эту модель, компания должна обладать знанием трех параметров:

  1. сколько стоят данные;
  2. насколько данные подвержены риску;
  3. вероятность того, что атака на данные будет успешной.

Этот последний параметр Гордон и Лоеб определили как уязвимость.

Эти три параметра умножаются, чтобы получить среднюю потерю денег без вложений в безопасность.[1]

Идеальный уровень инвестиций в компьютерную безопасность компании с учетом снижения дополнительной прибыли

Из модели мы можем сделать вывод, что сумма денег, которую компания тратит на защиту информации, в большинстве случаев должна составлять лишь небольшую часть прогнозируемых потерь (например, ожидаемое значение потери после Нарушение безопасности ). В частности, модель показывает, что инвестировать в безопасность информатики (включая информационная безопасность или же компьютерная безопасность сопутствующие виды деятельности) на суммы, превышающие 37% от прогнозируемого убытка. Модель Гордона-Леба также показывает, что для определенного уровня потенциальных убытков количество ресурсов, которые нужно инвестировать для защиты набора информации, не всегда увеличивается с увеличением уязвимость указанного набора. Таким образом, компании могут получить большую экономическую прибыль, инвестируя в деятельность по кибербезопасности / информационной безопасности, направленную на повышение безопасности наборов данных со средним уровнем уязвимости. Другими словами, инвестиции в защиту данных компании снижают уязвимость за счет уменьшения дополнительной прибыли.

Пример:

Предположим, что оценочное значение данных €1,000,000, с вероятностью атаки 15%, и 80% шанс, что атака будет успешной.

В этом случае потенциальная потеря определяется продуктом €1,000,000  ×  0.15  ×  0.8 = €120,000.

По мнению Гордона и Леба, инвестиции компании в безопасность не должны превышать €120,000  ×  0.37 = €44,000.

Модель Гордона – Леба была впервые опубликована Лоуренс А. Гордон и Мартин П. Леб в своей статье 2002 г., в ACM-транзакции по информационной и системной безопасностипод названием «Экономика инвестиций в информационную безопасность»[2] Статья переиздана в книге 2004 г. Экономика информационной безопасности.[3] Гордон и Лоеб оба профессора в Университет Мэриленда с Школа бизнеса Роберта Х. Смита.

Модель Гордона – Леба - одна из наиболее широко распространенных аналитических моделей экономики кибербезопасности. Модель широко упоминается в академической и практической литературе.[4][5][6][7][8][9][10][11][12] Модель также была протестирована эмпирически в нескольких различных условиях. Исследования математиков Марка Леларжа[13] и Юлий Барышников[14] обобщил результаты модели Гордона – Леба.

Модель Гордона – Леба была представлена ​​в популярной прессе, например в Журнал "Уолл Стрит[15] и The Financial Times.[16]

Рекомендации

  1. ^ Д'Акусто, Джузеппе; Нальди, Маурицио (2017). Большие данные и конфиденциальность по дизайну [Большие данные и конфиденциальность по дизайну] (на итальянском). Джаппичелли. ISBN  978-88-921-6264-8.
  2. ^ Гордон, Лоуренс; Лоеб, Мартин (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность». ACM-транзакции по информационной и системной безопасности. 5 (4): 438–457. Дои:10.1145/581271.581274. S2CID  1500788.
  3. ^ Кэмп, Л. Жан; Льюис, Стивен, ред. (2004). Экономика информационной безопасности. Бостон: Kluwer Academic Publishers. ISBN  978-1-4020-8089-0.
  4. ^ Мацуура, Канта (23 апреля 2008 г.). «Производственное пространство информационной безопасности в расширении инвестиционной модели Гордона-Леба» (PDF). Получено 30 октября 2014.
  5. ^ «О модели Гордона и Леба для инвестиций в информационную безопасность». CiteSeerX  10.1.1.60.9931. Цитировать журнал требует | журнал = (помощь)
  6. ^ Виллемсон, янв (2010). «Расширение модели Гордона и Леба для инвестиций в информационную безопасность». Расширение модели Гордона-Леба для инвестиций в информационную безопасность. ieeexplore.ieee.org. С. 258–261. Дои:10.1109 / ARES.2010.37. ISBN  978-1-4244-5879-0. S2CID  11526162.
  7. ^ Джонсон, Э. (2009). Управление информационными рисками и экономика безопасности. Springer-Verlag. п. 99. ISBN  9780387097626. Получено 30 октября 2014.
  8. ^ «Обобщенная инвестиционная модель Гордона-Леба: зависящие от времени множественные угрозы и убытки от нарушений в течение инвестиционного периода». BibSonomy. Получено 30 октября 2014.
  9. ^ Су, Сяомэн (15 июня 2006 г.). «Обзор экономических подходов к управлению информационной безопасностью» (PDF). Получено 30 октября 2014.
  10. ^ Бёме, Райнер (29 августа, 2010 г.). «Метрики безопасности и модели инвестиций в безопасность» (PDF). Международный институт компьютерных наук, Беркли, Калифорния. Архивировано из оригинал (PDF) 17 мая 2014 г.. Получено 30 октября 2014.
  11. ^ Е, Жуй (2014). «Экономическая модель инвестиций в информационную безопасность». repository.ust.hk. Институциональный репозиторий HKUST. Получено 30 октября 2014.
  12. ^ Курамицу, Кимио. 最適 投資 モ デ ル に 基 づ く セ キ シ ス テ 事例 研究 [Дизайн безопасной системы на основе оптимальной инвестиционной модели и практического примера]. ci.nii.ac.jp (на японском языке). CiNii. ISSN  0913-5685. Получено 30 октября 2014.
  13. ^ Леларж, Марк (декабрь 2012 г.). «Координация в играх сетевой безопасности: монотонный сравнительный статический подход». Журнал IEEE по избранным областям коммуникаций. 30 (11): 2210–2219. arXiv:1208.3994. Bibcode:2012arXiv1208.3994L. Дои:10.1109 / jsac.2012.121213. S2CID  672650. Получено 13 мая 2014.
  14. ^ Барышников, Юлий (24 февраля 2012 г.). "Инвестиции в ИТ-безопасность и Gordon-Loeb's1е Правило " (PDF). Получено 30 октября 2014.
  15. ^ Гордон, Лоуренс; Лоеб, Мартин (26 сентября 2011 г.). "Возможно, вы ведете неправильные битвы за безопасность". Журнал "Уолл Стрит. Получено 9 мая 2014.
  16. ^ Пэйлин, Адам (30 мая 2013 г.). «Профессора Мэриленда взвешивают киберриски». Financial Times. Получено 9 мая 2014.