Модель Гордона – Леба - Gordon–Loeb model
В Модель Гордона – Леба математический экономическая модель анализ оптимального уровня инвестиций в информационная безопасность.
Инвестиции в защиту данных компании связаны с расходами, которые, в отличие от других инвестиций, обычно не приносят прибыли. Однако это помогает предотвратить дополнительные расходы. Таким образом, важно сравнить, насколько дорого обходится защита определенного набора данных с потенциальными потерями в случае кражи, потери, повреждения или повреждения этих данных. Чтобы разработать эту модель, компания должна обладать знанием трех параметров:
- сколько стоят данные;
- насколько данные подвержены риску;
- вероятность того, что атака на данные будет успешной.
Этот последний параметр Гордон и Лоеб определили как уязвимость.
Эти три параметра умножаются, чтобы получить среднюю потерю денег без вложений в безопасность.[1]
Из модели мы можем сделать вывод, что сумма денег, которую компания тратит на защиту информации, в большинстве случаев должна составлять лишь небольшую часть прогнозируемых потерь (например, ожидаемое значение потери после Нарушение безопасности ). В частности, модель показывает, что инвестировать в безопасность информатики (включая информационная безопасность или же компьютерная безопасность сопутствующие виды деятельности) на суммы, превышающие 37% от прогнозируемого убытка. Модель Гордона-Леба также показывает, что для определенного уровня потенциальных убытков количество ресурсов, которые нужно инвестировать для защиты набора информации, не всегда увеличивается с увеличением уязвимость указанного набора. Таким образом, компании могут получить большую экономическую прибыль, инвестируя в деятельность по кибербезопасности / информационной безопасности, направленную на повышение безопасности наборов данных со средним уровнем уязвимости. Другими словами, инвестиции в защиту данных компании снижают уязвимость за счет уменьшения дополнительной прибыли.
Пример:
Предположим, что оценочное значение данных €1,000,000, с вероятностью атаки 15%, и 80% шанс, что атака будет успешной.
В этом случае потенциальная потеря определяется продуктом €1,000,000 × 0.15 × 0.8 = €120,000.
По мнению Гордона и Леба, инвестиции компании в безопасность не должны превышать €120,000 × 0.37 = €44,000.
Модель Гордона – Леба была впервые опубликована Лоуренс А. Гордон и Мартин П. Леб в своей статье 2002 г., в ACM-транзакции по информационной и системной безопасностипод названием «Экономика инвестиций в информационную безопасность»[2] Статья переиздана в книге 2004 г. Экономика информационной безопасности.[3] Гордон и Лоеб оба профессора в Университет Мэриленда с Школа бизнеса Роберта Х. Смита.
Модель Гордона – Леба - одна из наиболее широко распространенных аналитических моделей экономики кибербезопасности. Модель широко упоминается в академической и практической литературе.[4][5][6][7][8][9][10][11][12] Модель также была протестирована эмпирически в нескольких различных условиях. Исследования математиков Марка Леларжа[13] и Юлий Барышников[14] обобщил результаты модели Гордона – Леба.
Модель Гордона – Леба была представлена в популярной прессе, например в Журнал "Уолл Стрит[15] и The Financial Times.[16]
Рекомендации
- ^ Д'Акусто, Джузеппе; Нальди, Маурицио (2017). Большие данные и конфиденциальность по дизайну [Большие данные и конфиденциальность по дизайну] (на итальянском). Джаппичелли. ISBN 978-88-921-6264-8.
- ^ Гордон, Лоуренс; Лоеб, Мартин (ноябрь 2002 г.). «Экономика инвестиций в информационную безопасность». ACM-транзакции по информационной и системной безопасности. 5 (4): 438–457. Дои:10.1145/581271.581274. S2CID 1500788.
- ^ Кэмп, Л. Жан; Льюис, Стивен, ред. (2004). Экономика информационной безопасности. Бостон: Kluwer Academic Publishers. ISBN 978-1-4020-8089-0.
- ^ Мацуура, Канта (23 апреля 2008 г.). «Производственное пространство информационной безопасности в расширении инвестиционной модели Гордона-Леба» (PDF). Получено 30 октября 2014.
- ^ «О модели Гордона и Леба для инвестиций в информационную безопасность». CiteSeerX 10.1.1.60.9931. Цитировать журнал требует
| журнал =
(помощь) - ^ Виллемсон, янв (2010). «Расширение модели Гордона и Леба для инвестиций в информационную безопасность». Расширение модели Гордона-Леба для инвестиций в информационную безопасность. ieeexplore.ieee.org. С. 258–261. Дои:10.1109 / ARES.2010.37. ISBN 978-1-4244-5879-0. S2CID 11526162.
- ^ Джонсон, Э. (2009). Управление информационными рисками и экономика безопасности. Springer-Verlag. п. 99. ISBN 9780387097626. Получено 30 октября 2014.
- ^ «Обобщенная инвестиционная модель Гордона-Леба: зависящие от времени множественные угрозы и убытки от нарушений в течение инвестиционного периода». BibSonomy. Получено 30 октября 2014.
- ^ Су, Сяомэн (15 июня 2006 г.). «Обзор экономических подходов к управлению информационной безопасностью» (PDF). Получено 30 октября 2014.
- ^ Бёме, Райнер (29 августа, 2010 г.). «Метрики безопасности и модели инвестиций в безопасность» (PDF). Международный институт компьютерных наук, Беркли, Калифорния. Архивировано из оригинал (PDF) 17 мая 2014 г.. Получено 30 октября 2014.
- ^ Е, Жуй (2014). «Экономическая модель инвестиций в информационную безопасность». repository.ust.hk. Институциональный репозиторий HKUST. Получено 30 октября 2014.
- ^ Курамицу, Кимио. 最適 投資 モ デ ル に 基 づ く セ キ シ ス テ 事例 研究 [Дизайн безопасной системы на основе оптимальной инвестиционной модели и практического примера]. ci.nii.ac.jp (на японском языке). CiNii. ISSN 0913-5685. Получено 30 октября 2014.
- ^ Леларж, Марк (декабрь 2012 г.). «Координация в играх сетевой безопасности: монотонный сравнительный статический подход». Журнал IEEE по избранным областям коммуникаций. 30 (11): 2210–2219. arXiv:1208.3994. Bibcode:2012arXiv1208.3994L. Дои:10.1109 / jsac.2012.121213. S2CID 672650. Получено 13 мая 2014.
- ^ Барышников, Юлий (24 февраля 2012 г.). "Инвестиции в ИТ-безопасность и Gordon-Loeb's1⁄е Правило " (PDF). Получено 30 октября 2014.
- ^ Гордон, Лоуренс; Лоеб, Мартин (26 сентября 2011 г.). "Возможно, вы ведете неправильные битвы за безопасность". Журнал "Уолл Стрит. Получено 9 мая 2014.
- ^ Пэйлин, Адам (30 мая 2013 г.). «Профессора Мэриленда взвешивают киберриски». Financial Times. Получено 9 мая 2014.