BÀI TẬP CHƯƠNG 4: QUẢN LÝ RỦI RO

Bài 3.
SLE: Dự báo tổn thất đơn lẻ
ARO: Tần suất của tấn công trong năm
ALE: Dự báo tổn thất hàng năm
ALE = SLE*ARO
XYZ Software Company (Asset value: $1,200,000 in projected revenues)
Threat Cost per Frequency of ARO ALE
Category Incident Occurrence (trước ks)
(SLE) ($) ($)
Programmer 5,000 1 per week 52 260,000
mistakes
Loss of 75,000 1 per year 1 75,000
intellectual
property
Software piracy 500 1 per week 52 26,000
Theft of 2,500 1 per quarter 4 10,000
information
(hacker)
Theft of 5,000 1 per 6 months 2 10,000
information
(employee)
Web 500 1 per month 12 6,000
defacement
Theft of 5,000 1 per year 1 5,000
equipment
Viruses, worms, 1,500 1 per week 52 78,000
Trojan horses
Denial-of 2,500 1 per quarter 4 10,000
service attack
Earthquake 250,000 1 per 20 years 0.05 12,500
Flood 250,000 1 per 10 years 0.1 25,000
Fire 500,000 1 per 10 years 0.1 50,000

Bài 4.
- Có thể công ty đã thực hiện phân tích lợi ích – chi phí để đạt được các giá trị trong bảng
chi phí - sự cố.
 Chi phí cho mỗi sự cố (SLE) được xác định bằng công thức:
SLE = AV*EF
Trong đó:
AV: Giá trị của tài sản
EF: Tỷ lệ thiệt hại kỳ vọng
- Đối với mỗi mục trong bảng, chi phí cho mỗi sự cố và tần suất xảy ra có thể đạt được
thông qua một số phương pháp khác nhau. Các doanh nghiệp thường sử dụng phương
pháp Baselining, Benchmarking, Best practices để xác định giá trị chi phí cho mỗi sự cố
và tần suất xảy ra.
Bài 5.
- Phân tích lợi ích – chi phí (CBA):
CBA = ALE(trước kiểm soát) – ALE(sau kiểm soát) – ACS
ACS: Chi phí thường niên của thủ tục kiểm soát
XYZ Software Company (Asset value: $1,200,000 in projected revenues)
Threat Cost Frequency of ARO Cost of ALE CBA Type of
Category per Occurrence Control (sau ks) Control
Inciden s (ACS) ($)
t (SLE) ($)
($)
Programme 5,000 1 per month 12 20,000 60,000 180,000 Training
r mistakes
Loss of 75,000 1 per 2 years 0.5 15,000 37,500 22,500 Firewall/IDS
intellectual
property
Software 500 1 per month 12 30,000 6,000 -10,000 Firewall/IDS
piracy
Theft of 2,500 1 per 6 months 2 15,000 5,000 -10,000 Firewall/IDS
information
(hacker)
Theft of 5,000 1 per year 1 15,000 5,000 -10,000 Physical
information security
(employee)
Web 500 1 per quarter 4 10,000 2,000 -6,000 Firewall
defacement
Theft of 5,000 1 per 2 years 0.5 15,000 2,500 -12,500 Physical
equipment security
Viruses, 1,500 1 per month 12 15,000 18,000 45,000 Antivirus
worms,
Trojan
horses
Denial-of 2,500 1 per 6 months 2 10,000 5,000 -5,000 Firewall
service
attack
Earthquake 250,000 1 per 20 years 0.05 5,000 12,500 -5,000 Insurance/
backups
Flood 50,000 1 per 10 years 0.1 10,000 5,000 10,000 Insurance/
backups
Fire 100,000 1 per 10 years 0.1 10,000 10,000 30,000 Insurance/
backups

- Một số giá trị đã thay đổi trong cột Chi phí cho mỗi sự cố (SLE) và Tần suất xảy
ra(ARO) vì: Chiến lược kiểm soát: chuyển giao rủi ro đã được sử dụng để giảm chi phí
cho lũ lụt và hỏa hoạn. Những rủi ro này đã được chuyển sang bảo hiểm và kiểm soát dự
phòng.
+ Đối với lũ lụt: ALE trước kiểm soát là $250,000 và ALE sau kiểm soát giảm còn
$50,000 do công ty đầu tư $10,000 vào bảo hiểm và dự phòng.
+ Đối với hỏa hoạn: ALE trước kiểm soát là $500,000 và ALE sau kiểm soát giảm còn
$100,000 do công ty đầu tư $10,000 vào bảo hiểm và dự phòng.
Hai mối đe dọa này có cùng tần suất xảy ra trước và sau nên không ảnh hưởng đến Phân
tích Chi phí-Lợi ích. Do đó, việc đầu tư 10.000 USD vào lũ lụt và kiểm soát hỏa hoạn đã
giúp công ty tiết kiệm được chi phí thiệt hại nếu không mua bảo hiểm.
- Một biện pháp kiểm soát có thể ảnh hưởng đến cái này mà không ảnh hưởng đến cái kia
do các biện pháp kiểm soát chỉ ảnh hưởng đến một số thành phần nhất định của công thức
CBA. Biện pháp kiểm soát ảnh hưởng đến công thức này là Giảm thiểu rủi ro/Phòng thủ
và Chuyển giao.
+ Kiểm soát phòng thủ chỉ ảnh hưởng đến ARO vì ARO là tần suất một cuộc tấn công
vượt qua và kiểm soát phòng thủ cố gắng giảm rủi ro bằng cách loại bỏ các điểm yếu
trong tài sản. Cơ quan kiểm soát phòng thủ không đề cập đến những việc cần làm khi một
cuộc tấn công thành công nên nó không thể ảnh hưởng đến SLE.
+ Việc chuyển giao và giảm thiểu, nhằm mục đích giảm thiểu mức độ thiệt hại xảy ra với
tài sản đó bằng cách chuyển một số rủi ro đó sang tài sản khác hoặc sử dụng các kế hoạch
ứng phó sự cố, kế hoạch ứng phó thảm họa hoặc kế hoạch kinh doanh liên tục để giảm
thiệt hại cho tài sản đó nhưng không làm gì để bảo vệ tài sản.
- Các biện pháp kiểm soát được đề xuất xứng đáng với chi phí bỏ ra gồm:
+ Programmer mistakes - Training
+ Loss of intellectual property - Firewall/IDS
+ Viruses, worms, Trojan horses – Antivirus
+ Flood - Insurance/ backups
+ Fire - Insurance/ backups
- Các biện pháp kiểm soát được đề xuất KHÔNG xứng đáng với chi phí bỏ ra gồm:
+ Software piracy – Firewall/IDS
+ Theft of information (hacker) – Firewall/IDS
+ Theft of information (employee) – Physical security
+ Web defacement – Firewall
+ Theft of equipment – Physical security
+ Denial-of service attack – Firewall
+ Earthquake - Insurance/ backups