Когато става дума за система за управление на сигурността на информацията (СУСИ), една от по-опростените представи за такава система е, че системата е "направена" от процеси, процедури и механизми за контрол (защити) за управление на конкретни за дадения случай/бизнес рискове, ориентирани по специфични за този случай контекст, страни, обхват, политики и зададени цели по сигурността.
Няма смисъл от СУСИ, ако тя не е резултатна и ефикасна. Даже неефикасната СУСИ може да е голяма беда, ако е сертифицирана (т.е. призната) и така стане причина за успиване и фалшиво успокоение. ISO/IEC 27004 е фокусиран над процеси и мерки за установяване на резултатност и ефикасност при СУСИ, създадена според ISO/IEC 27001.
При четене на стандарта възниква двуумение, водещо до заблуда от рода "Не е врат, а е шия".
Причината - борави се едновременно с понятията "ефикасност" и "резултатност".
Причината - борави се едновременно с понятията "ефикасност" и "резултатност".
Стандартът опитва с пояснителни текстове да посочи разлика ...
"Докато ефикасността засяга степента, до която са реализирани планираните дейности и са постигнати планираните резултати, мерките за резултатност трябва да се отнасят за степента, до която са били внедрени процесите и механизмите за контрол на сигурността на информацията".
При резултатност, търсим отговора на "Доколко са внедрени процесите и защитите на СУСИ?"
При ефикасност, въпросът е "Доколко са изпълнени задействаните планове във вече установена, т.е. с известна резултатност, СУСИ? "
При резултатност, търсим отговора на "Доколко са внедрени процесите и защитите на СУСИ?"
При ефикасност, въпросът е "Доколко са изпълнени задействаните планове във вече установена, т.е. с известна резултатност, СУСИ? "
В опит да се обяснят нещата стандартът дава и по два примера за едното и за другото, но тези примери май не извеждат добре на преден план същността и различията в двете понятия.
Търсейки тези същност и различия много биха могли да помогнат разни "странични" примери, не непременно свързани с материята "сигурност на информацията".
Пример
1
Резултатност
– степен, в която млад шахматист е запознат и е запомнил правилата и тактиките.
Ефикасност
– степен, в която шахматистът постига победи (брой точки от изиграни мачове)
(Планирано е участие на този шахматист в турнир и е поставена цел за класиране в десятката)
Ефикасността да се побеждава тук има числов измерител. Ако се е класирал на 1-во място, то ефикасността му е 100%, ако е на 2-ро - 90%, на 3-то - 80% и т.н. Лесно се измерва...
Пример
2
Резултатност
– степен, в която музикант владее техниките, за да подготвя нови произведения
Ефикасност
– степен, в която е постигната точност и виртуозна височина в изпълнението
(Планирано е участие на престижен конкурс и е поставена цел за челна позиция на класиране)
Дали си ефикасен като виртуоз се оценява само от признати експерти и може да е качествено.
Не е точно по темата, но се знае, че на някои музикални конкурси състезателите свирят зад завеса и имат номера. Така се избягва евентуална субективност в оценките на журито...
Не е точно по темата, но се знае, че на някои музикални конкурси състезателите свирят зад завеса и имат номера. Така се избягва евентуална субективност в оценките на журито...
В посока на изнасилване на практиката, в някои случаи може да се търсят количествени мерки. Например, може да има норма за изпълнение на "Перпетуум мобиле" от Паганини. Това "парче" се свири бързо, в Allegro vivace, и в точен синхрон с другите музиканти. Ако музикантът го изсвири за време над нормата, или пък се размине с другите си колеги, той не е виртуоз.
По-просто би било ефикасността да се мери в степен или числово, ако журито на конкурса е от поне трима експерти. Тогава може да имаме ефикасност 100% или 66%, или 33%, или 0%.
По-просто би било ефикасността да се мери в степен или числово, ако журито на конкурса е от поне трима експерти. Тогава може да имаме ефикасност 100% или 66%, или 33%, или 0%.
Пример 3
Резултатност - степен, в която боец познава устройството и начина на ползване на оръжие
Ефикасност - Степен, в която боецът постига точност при стрелба точно с това оръжие
(Поставена е цел за подготовка на боеца като снайперист)
Резултатност - боецът може да разглобява и сглобява оръжието за зададено нормирано време.
Ефикасност - има числов, но може да има и качествен измерител.
Ефикасност - има числов, но може да има и качествен измерител.
Ако е числов - от 100 изстрела в мишена колко са в 10, в 9 и т.н. Мярката е 80 попадения над 8.
Ако е качествен - от 100 изстрела 80 са в групата 8, 9, 10. Стрелбата е "много добра".
(Групите в последния случай са четири - "център" (10), "много добра" (8, 9, 10), "добра" (5, 6, 7), "периферия" (1, 2, 3, 4)
(Групите в последния случай са четири - "център" (10), "много добра" (8, 9, 10), "добра" (5, 6, 7), "периферия" (1, 2, 3, 4)
В заключение... Може би е така, че ...
"Резултатност" са най-вече действия от типа за пълноценно създаване, цялостно изграждане, пълно комплектоване, изчерпателно познаване, пълно овладяване и други, отнасящи се до СУСИ.
Накратко - степен на изграждане на системата.
Накратко - степен на изграждане на системата.
"Ефикасност" е постигане на планирани (обикновено - върхови, но може да се каже просто "такива, каквито трябва") резултати, като някои от тях може да са зададени като цели в СУСИ за постигане - бързодействие, незабавна реакция, точност, коректност, сигурна блокировка, пълна проходимост, ефикасна защита, надеждно съхранение ... и др.
Накратко - степен на изпълнение на планове, засягащи системата.
Ако така написаното е вярно, вече ще знаем кое е врат и кое е шия... :)
Няма коментари:
Публикуване на коментар