这是计算风险管理中保障措施价值的正确方法吗?
这是计算风险管理中保障措施价值的正确方法吗?
提问于 2018-10-08 10:17:21
信息安全部门的一项调查显示,修复被黑客破坏的网站的成本约为Rs。每次事故200 K。现有的记录(在过去十年中)显示,类似的黑客活动在此期间发生了大约五次类似的业务。您被要求评估一个安全解决方案,该解决方案由.两个应用程序级防火墙组成(成本为Rs )。每个20k ),·一个IPS/IDS设备(成本为Rs )。每人10k )。该解决方案的预期寿命为5年--成本在5年内资本化。所有安全系统每年为“安装、支持、维护和管理”承担20%的简化费用(占总成本的20%)。
如果建议的安全解决方案将每一次事故造成的损失降低70%,我需要找到对公司的保障措施的价值。因此,我计算如下:
SLE('Single Loss Expectancy’) : 200K
ARO('Annualised Rate of Occurrence') : 0.5 per year
ALE('Annualised Loss Expectancy') : 100k (200k * 0.5)
ALE(Before) : 100k
ALE(After) : 30K
Controls cost : 2 firewalls + 1 IDS + maintenance = 50k + 50k = 100k (for five years)
Annualised cost : 100k / 5 = 20k
Value of safeguard to the company: 100 - 30 - 20 = 50K回答 1
Security用户
回答已采纳
发布于 2018-10-08 15:39:06
您所计算的是传统的“成本效益分析”(CBA)。计算结果如下:
CBA = ALE(prior) – ALE(post) – ACSACS是按年度计算的保障成本。
这用于确定CBA是否为正数,并用于估计证券投资的预期回报(ROSI)。如果是积极的,那么你就知道保障措施将提供比其成本更多的保护。ROSI有助于限制这种针对其他保障措施的保障措施,并权衡可能也需要考虑的其他非货币成本。
这并不是严格意义上的“价值”,因为你在你的问题,但它可能是理解的方式。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/195297
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号