Понятие угрозы, уязвимости, риска, определение эффективности сзи через риск
где 
- величина
остаточных рисков до реализации контрмеры, 
- величина остаточных рисков после
реализации контрмеры. То есть если уровень снижения риска при внедрении контрмеры
С1 равен DR1, а при внедрении
С2 равен DR2, то С1
эффективнее С2, если DR1>DR2
Эффективность контрмеры с учетом затратной составляющей можно определить через коэффициент возврата инвестиций ROI.
где СКонтрмеры – величина затрат на реализацию контрмеры. Большему ROI соответствуют более эффективные контрмеры.
Более правильно - 
Введение меры риска позволяет также ставить перед специалистами по ИБ различные оптимизационные задачи, разрабатывать соответствующие им стратегии управления рисками. Например:
- выбрать вариант подсистемы информационной безопасности, оптимизированной по критерию «стоимость-эффективность» при заданном уровне остаточных рисков;
- выбрать вариант подсистемы информационной безопасности, при котором минимизируются остаточные риски при фиксированной стоимости подсистемы безопасности;
- выбрать архитектуру подсистемы ИБ с минимальной стоимостью владения на протяжении жизненного цикла при установленном уровне остаточных рисков.
предыдущаяследующая