Vấn đề: Các phương pháp ISRA hiện tại đa dạng nhưng thiếu khung so sánh toàn diện về quy trình và nhiệm vụ cụ thể.

   - Giải pháp: CURF tổng hợp các nhiệm vụ từ 11 phương pháp ISRA phổ biến, chia thành 3 nhóm chính:

     • Risk Identification (Nhận diện rủi ro)

     • Risk Estimation (Ước lượng rủi ro)

     • Risk Evaluation (Đánh giá rủi ro)

   - Phương pháp phát triển CURF:

     • Dựa trên ISO/IEC 27005:2011 làm khung chuẩn.

     • Áp dụng Design Science Research để xây dựng mô hình.

     • Mỗi nhiệm vụ được đánh giá theo 3 mức: Addressed (2 điểm), Partially (1 điểm), Not addressed (0 điểm).

   - 11 phương pháp ISRA được đánh giá:

     • CIRA, CORAS, CRAMM, FAIR, NSMROS, OCTAVE Allegro, ISO27005, NIST SP 800-30, Risk IT, RAIS, CRDF

   - Kết quả đánh giá:

     • ISO/IEC 27005 là phương pháp đầy đủ nhất (68/102 điểm).

     • FAIR có độ đầy đủ cao nhất ở giai đoạn Risk Estimation.

     • Các phương pháp chuyên biệt như RAIS (privacy) và CRDF (cloud) bổ sung các nhiệm vụ đặc thù.

     • Các nhiệm vụ phổ biến nhất: Threat Identification, Outcome Estimation, Asset Evaluation.

     • Các nhiệm vụ ít được đề cập: Stakeholder Analysis, Opportunity Cost, Black Swan Risk, Model Sensitivity.

   - Phát hiện đáng chú ý:

     • Không có phương pháp nào đề cập đến rủi ro “Black Swan”.

     • Chỉ FAIR cung cấp công cụ định lượng xác suất rủi ro.

     • Các yếu tố động lực con người (incentive, motivation) bị bỏ qua trong hầu hết phương pháp.

     • CURF cho phép mở rộng linh hoạt khi thêm phương pháp mới.

   - Hạn chế:

     • CURF yêu cầu người dùng có kiến thức ISRA để sử dụng hiệu quả.

     • Số lượng phương pháp đánh giá còn hạn chế (11).

     • Chưa có công cụ phần mềm hỗ trợ trực quan hóa CURF.

   - Hướng phát triển:

     • Mở rộng CURF với các phương pháp mới như ISRAM, Attack Tree, Business Model-based ISRA.

     • Phát triển phần mềm hỗ trợ CURF cho cộng đồng ISRA.

     • Áp dụng CURF vào nghiên cứu thực nghiệm để phân tích tác động của từng nhiệm vụ đến kết quả đánh giá rủi ro.