Когато става дума за система за управление на сигурността на информацията (СУСИ), една от по-опростените представи за такава система е, че системата е "направена" от процеси, процедури и механизми за контрол (защити) за управление на конкретни за дадения случай/бизнес рискове, ориентирани по специфични за този случай контекст, страни, обхват, политики и зададени цели по сигурността.
Няма смисъл от СУСИ, ако тя не е резултатна и ефикасна. Даже неефикасната СУСИ може да е голяма беда, ако е сертифицирана (т.е. призната) и така стане причина за успиване и фалшиво успокоение. ISO/IEC 27004 е фокусиран над процеси и мерки за установяване на резултатност и ефикасност при СУСИ, създадена според ISO/IEC 27001.
При четене на стандарта възниква двуумение, водещо до заблуда от рода "Не е врат, а е шия".
Причината - борави се едновременно с понятията "ефикасност" и "резултатност".
Причината - борави се едновременно с понятията "ефикасност" и "резултатност".
Стандартът опитва с пояснителни текстове да посочи разликата ...
"Докато ефикасността засяга степента, до която са реализирани планираните дейности и са постигнати планираните резултати, мерките за резултатност трябва да се отнасят за степента, до която са били внедрени процесите и механизмите за контрол на сигурността на информацията".
Значи, говорейки за резултатност, трябва да отговорим на въпроса "Доколко са внедрени елементите на СУСИ?"
А говорейки за ефикасност, въпросът е "Доколко са изпълнени задействаните планове в една вече установена СУСИ? "
Значи, говорейки за резултатност, трябва да отговорим на въпроса "Доколко са внедрени елементите на СУСИ?"
А говорейки за ефикасност, въпросът е "Доколко са изпълнени задействаните планове в една вече установена СУСИ? "
В опит да се обяснят нещата стандартът дава и по два примера за едното и за другото, но тези примери май не извеждат на преден план същността и различията в двете понятия.
Търсейки тези същност и различия много биха могли да помогнат разни "странични" примери, не непременно свързани с материята "сигурност на информацията".
Пример
1
Резултатност
– степен, в която млад шахматист е запознат и е запомнил правилата
Ефикасност
– степен, в която шахматистът постига победи (брой точки от изиграни мачове)
(Планирано е участие на този шахматист в турнир и е поставена цел за класиране в десятката)
Ефикасността да се побеждава тук има числов измерител. Ако се е класирал на 1-во място, то ефикасността му е 100%, ако е на 2-ро - 90%, на 3-то - 80% и т.н. Лесно се измерва...
Пример
2
Резултатност
– степен, в която музикант е подготвил всички части на едно ново произведение
Ефикасност
– степен, в която е постигната виртуозна височина в изпълнението
(Планирано е участие на престижен конкурс и е поставена цел за челна позиция на класиране)
Дали си ефикасен като виртуоз се оценява само от признати експерти и може да е качествено.
Не е точно по темата, но се знае, че на някои музикални конкурси състезателите свирят зад завеса и имат номера. Така се избягва евентуална субективност в оценките на журито...
Не е точно по темата, но се знае, че на някои музикални конкурси състезателите свирят зад завеса и имат номера. Така се избягва евентуална субективност в оценките на журито...
В посока на изнасилване на практиката, в някои случаи може да се търсят количествени мерки. Например, може да има норма по време за изпълнение на "Перпетуум мобиле" от Паганини. Ако музикантът го изсвири за време над нормата, той не е виртуоз. Боже, пази от такива мерки.
По-просто би било ефикасността да се мери в степен или числово, ако журито на конкурса е от поне трима експерти. Тогава може да имаме ефикасност 100% или 66%, или 33%, или 0%.
По-просто би било ефикасността да се мери в степен или числово, ако журито на конкурса е от поне трима експерти. Тогава може да имаме ефикасност 100% или 66%, или 33%, или 0%.
Пример 3
Резултатност - степен, в която боец познава устройството и начина на ползване на оръжие
Ефикасност - Степен, в която боецът постига точност при стрелба точно с това оръжие
(Поставена е цел за подготовка на боеца като снайперист)
Резултатност - боецът може да разглобява и сглобява оръжието за зададено нормирано време.
Ефикасност - има числов, но може да има и качествен измерител.
Ефикасност - има числов, но може да има и качествен измерител.
Ако е числов - от 100 изстрела в мишена колко са в 10, в 9 и т.н. Мярката е 80 попадения над 8.
Ако е качествен - от 100 изстрела 80 са в групата 8, 9, 10. Стрелбата е "много добра".
(Групите в последния случай са четири - "център" (10), "много добра" (8, 9, 10), "добра" (5, 6, 7), "периферия" (1, 2, 3, 4)
(Групите в последния случай са четири - "център" (10), "много добра" (8, 9, 10), "добра" (5, 6, 7), "периферия" (1, 2, 3, 4)
В заключение... Може би е така, че ...
"Резултатност" са най-вече действия от типа цялостно изграждане, пълноценно създаване, пълно комплектоване, изчерпателно запознаване, пълно овладяване. И други неща от този род.
"Ефикасност" е постигане на планирани (обикновено - върхови, но може да се каже просто "такива, каквито трябва") резултати, като някои от тях може да са зададени като цели в СУСИ за постигане - бързодействие, незабавна реакция, точност, коректност, сигурна блокировка, пълна проходимост, ефикасна защита, надеждно съхранение ... и др.
"Ефикасност" е постигане на планирани (обикновено - върхови, но може да се каже просто "такива, каквито трябва") резултати, като някои от тях може да са зададени като цели в СУСИ за постигане - бързодействие, незабавна реакция, точност, коректност, сигурна блокировка, пълна проходимост, ефикасна защита, надеждно съхранение ... и др.
Ако така написаното е вярно, вече ще знаем кое е врат и кое е шия... :)
Няма коментари:
Публикуване на коментар