Основные вопросы по теме:
Управленческие проблемы и причины их возникновения
Решение проблем
Методы принятия решения и их реализация
1. Управленческие проблемы и причины их возникновения
Управленческая проблема представляет собой сложный вопрос, задачу, требующую своего уяснения, изучения, оценки и решения.
Проблемы всегда имеют определенное содержание, возникают в свое время и на своем месте, вокруг них всегда есть круг лиц или организаций, их порождающих, однако предприятие не останавливается из-за этого в развитии. Меняется соотношение его внутренних переменных, изменяется внешнее окружение, и в результате, естественно, возникают сложные вопросы, которые необходимо решать.
Здесь имеется причинно-следственная связь. Например, изменились ставки налогов, устарела технология и т. д.
Чтобы уяснить причины возникновения проблем, необходим причинно-следственный анализ. В ходе его проведения можно обнаружить истинные причины, отсеять побочные, неглавные, сопутствующие, уяснить, глубоко изучить и оценить ситуацию. Тем самым будет подготовлена предпосылка к принятию необходимого решения.
Управленческие проблемы классифицируется по следующим признакам:
степень важности и срочности . Как правило, самые важные проблемы являются и наиболее срочными;
масштабы последствий , в случаях принятия или непринятия решений, и численность организаций и лиц , которых затрагивают данные проблемы;
возможность решения проблемы с наименьшими затратами и в оптимальные сроки;
степень риска , связанного с решением данной проблемы, и возможность возникновения новых проблем на этой основе;
степень структуризации и формализации , возможность выражать проблему в количественных и качественных показателях и т. д.
Кроме того, проблемы могут различаться по способам их разработки: 1) безальтернативный, когда путь решения проблем только один, других вариантов решения нет; 2) бинарный и многовариантный, когда проблему можно решить двумя и более способами; 3) в случаях, когда ни один из способов не может дать положительного ответа на вопрос, как разрешить проблему, применяют комбинационный способ. Он заключается в том, что проводится комбинирование отдельных частей и способов решения проблем, не противоречащих друг другу. В целом это основа для последующего поэтапного решения проблемы.
Отдельно рассматривается вопрос о сроках решения проблем.
Виды проблем рассматриваются по следующим критериям:
Стратегические, направленные на формирование базы стратегических данных, их уяснение, изучение, оценку и практическое использование;
Тактические, разрешение которых происходит в более короткие сроки, чем стратегические;
Долгосрочные, среднесрочные и краткосрочные, текущие;
По уровням руководства - высшего, среднего и низового звеньев управления.
Каждый менеджер в любой организации или на предприятии с первых шагов в своей деятельности сразу же встречается с массой проблем. Они могут быть маленькими и большими, разрешимыми или неразрешимыми, крайне опасными или не очень. Причина их возникновения кроется в самой работе людей. Управленческие проблемы возникают вследствие нежелательных явлений внутреннего или внешнего свойства, получения результатов работы, отличающегося от запланированного, ошибочных действий руководства и рядовых исполнителей.
К основным причинам возникновения управленческих проблем следует отнести:
Изначально ошибочные цели организации, способы и сроки их достижения;
Неверные принципы и методы деятельности работников;
Ошибочные критерии оценки возможностей предприятия и сотрудников;
Умышленные нарушения в технике, технологии, финансах, поставках и т. д.;
Изменения в политике и экономике государства;
Природные катаклизмы и стихийные бедствия (пожар, наводнение и др.).
В статье рассматриваются типичные проблемы, связанные с целостностью данных, и показывается, какие средства дает Analysis Services 2005 для решения этих проблем.
Проблемы, связанные с целостностью данных, типичны для реляционных баз данных, особенно для оперативных (OLTP) систем. Эти проблемы обычно исправляются с помощью job"ов ETL (Extraction, Transformation и Load - извлечение, трансформация и загрузка), которые загружают данные в хранилище данных. Однако даже в хранилище данных проблемы с целостностью данных - не редкость.
SQL Server 2005 Analysis Services поддерживает кубы, построенные напрямую из оперативных хранилищ данных, и предлагает сложные элементы управления для обеспечения управления проблемами целостности данных, присущими таким системам. Администраторы баз данных могут сильно упростить свои задачи по управлению кубами, используя эти элементы.
Типы проблем, связанных с целостностью данных
В этой главе мы определим основные проблемы целостности данных. Для рассмотрения этих проблем мы будем использовать следующую реляционную модель:
Таблица фактов sales имеет внешний ключ product_id, который указывает на первичный ключ product_id в таблице измерений product.
Таблица измерений product имеет внешний ключ product_class_id, который указывает на первичный ключ product_class_id в таблице измерений product_class.
Рис.1. Реляционная модель
Ссылочная целостность
Проблемы ссылочной целостности (Referential integrity, RI) являются наиболее типичными проблемами целостности данных в реляционных базах данных. Ошибка RI - это по существу нарушение ограничения первичный ключ-внешний ключ. Например:
Таблица фактов sales имеет запись с таким значением product_id, которое не существует в таблице измерений product.
Таблица измерений product имеет такое значение product_class_id, которое не существует в таблице измерений product_class.
Значения NULL
Хотя значения NULL обычны и даже приветствуются в реляционных базах данных, они требуют особой обработки в Analysis Services. Например:
Таблица фактов sales имеет запись со значением NULL в столбцах store_sales, store_cost и unit_sales. Это может быть интерпретировано или как транзакция с нулевыми продажами, или как несуществующая транзакция. Результаты запроса MDX (NON EMPTY) будут различаться в зависимости от интерпретации.
Таблица фактов sales имеет запись со значением NULL в столбце product_id. Хотя это и не является ошибкой ссылочной целостности в реляционной базе данных, эту проблему целостности данных Analysis Services должен обрабатывать.
Таблица product имеет запись со значением NULL в столбце product_name. Так как этот столбец передает ключи и имена товаров в Analysis Services, то значение NULL может быть оставлено как есть, сконвертировано в пустую строку, и т.д.
Ошибки в связях
Analysis Services позволяет определять связи между атрибутами измерений. Например, измерение Product может иметь отношение "многие-к-одному" между столбцами brand_name и product_class_id. Рассмотрим две записи в таблице product со следующими значениями столбцов:
product_id |
product_class_id |
brand_name |
product_name |
Best Choice Chocolate Cookies |
|||
Best Choice Potato Chips |
Это нарушение связи "многие-к-одному", так как значение столбца brand_name "Best Choice" имеет два связанных с ним значения столбца product_class_id.
Элементы управления целостностью данных
В этой главе мы рассмотрим различные элементы управления, которые предлагает Analysis Services администраторам баз данных для решения проблемам целостности данных. Заметьте, что эти элементы не являются полностью независимыми. Например, Null Processing (обработка Null) зависит от Unknown Member (неизвестный элемент), а Error Configuration (обработка ошибок) зависит от Null Processing и Unknown Member.
Unknown Member (неизвестный элемент)
Объект Dimension имеет свойство UnknownMember, которое принимает три возможных значения - None, Hidden и Visible. Когда UnknownMember=Hidden/Visible, Analysis Server автоматически создает специальный элемент, называемый Unknown Member (неизвестный элемент) в каждом атрибуте измерения. UnknownMember=Hidden показывает, что неизвестный элемент будет скрыт для результатов запроса и наборов строк схемы. Значение по умолчанию для свойства UnknownMember - None.
Свойство UnknownMemberName может использоваться для определения имени неизвестного элемента. Свойство UnknownMemberTranslations может быть использовано для определения локализованных заголовков неизвестного элемента.
На рис.2 показано измерение Product с UnknownMember=Visible и UnknownMemberName="Invalid Product".
Рис.2. Измерение Product
Null Processing (обработка Null)
Объект DataItem используется в Analysis Services DDL для определения метаданных о любом скалярном элементе данных. Он включает:
Ключевой столбец (столбцы) атрибута
Имя столбца атрибута
Столбец-источник атрибута
Объект DataItem содержит много свойств, включая следующие:
Свойство NullProcessing определяет, какое действие должен предпринять сервер, когда он обнаруживает значение NULL. Это свойство может принимать пять возможных значений:
ZeroOrBlank - сообщает серверу, чтобы он сконвертировал значение NULL в нулевое значение (для числовых элементов данных) или в пустую строку (для строковых элементов данных). Так обрабатывает значения NULL Analysis Services 2000.
Preserve - сообщает серверу, чтобы он оставил значения NULL. Сервер может хранить NULL, как любое другое значение.
Error - сообщает серверу, что значение NULL запрещено в этом элементе данных. Сервер сгенерирует ошибку целостности данных и проигнорирует эту запись.
UnknownMember - сообщает серверу обработать значение NULL как неизвестный элемент. Сервер так же сгенерирует ошибку целостности данных. Эта опция применима только для ключевых столбцов атрибутов.
Default - условное значение по умолчанию. Оно подразумевает использование ZeroOrBlank для измерений и кубов, и UnknownMember для структур добычи данных (mining structures) и моделей.
Заметьте, что опции NullProcessing - Error и UnknownMember, генерируют ошибки целостности данных, а другие опции - нет.
На следующем рисунке показан редактор DataItem для ключевых столбцов атрибута измерения.
Рис.3. Редактор DataItem Collection.
Список ошибок
Перед рассмотрением элемента управления обработки ошибок Error Configuration нам нужно четко определить различные типы ошибок целостности данных, с которыми может встретиться сервер. Мы уже узнали о двух из них в предыдущей главе об обработке Null. Ниже приведен полный список:
NullKeyNotAllowed - эта ошибка генерируется, когда встречается запрещенное значение NULL и запись игнорируется (когда NullProcessing = Error).
NullKeyConvertedToUnknown - эта ошибка генерируется, когда ключевое значение NULL обрабатывается как неизвестный элемент (когда NullProcessing = UnknownMember).
KeyDuplicate - эта ошибка генерируется только во время обработки измерений, когда ключ атрибута встречается больше одного раза. Так как ключи атрибутов должны быть уникальными, сервер проигнорирует повторяющиеся записи. В большинстве случаев такая ошибка допустима. Но иногда она указывает на недостатки в дизайне измерений, что может привести к несогласующимся связям между атрибутами.
KeyNotFound - это классическая ошибка ссылочной целостности в реляционных базах данных. Она может встретиться как при обработке партиций, так и при обработке измерений.
Error Configuration (обработка ошибок)
Объект ErrorConfiguration является центральным в управлении ошибками целостности данных. Сервер имеет конфигурацию ошибок по умолчанию (в конфигурационном файле msmdsrv.ini). Конфигурация ошибок также может быть определена в базе данных, измерении, кубе, группе измерений и партиции. Кроме того, конфигурирование ошибок также может быть задействовано для команд Batch и Process.
Объект ErrorConfiguration определяет, как сервер должен обрабатывать четыре типа ошибок целостности данных. Объект имеет следующие свойства:
StopProcessing - сообщает серверу, чтобы он прервал обработку.
StopLogging - сообщает серверу, чтобы он продолжил обработку, но остановил логирование дальнейших ошибок.
ConvertToUnknown - сообщает серверу, чтобы он обработал неправильное значение ключа как неизвестный элемент.
DiscardRecord - сообщает серверу, чтобы он проигнорировал эту запись. Так Analysis Services 2000 обрабатывает ошибки KeyNotFound.
IgnoreError - сообщает серверу, чтобы он продолжал обработку до достижения предела количества ошибок без логирования ошибок.
ReportAndContinue - сообщает серверу, чтобы он продолжал обработку до достижения предела количества ошибок с логированием ошибок.
ReportAndStop - сообащает серверу, чтобы он логировал ошибку и прервал обработку немедленно (вне зависимости от предела количества ошибок).
KeyErrorLogFile - это файл, в который сервер логирует ошибки целостности данных.
KeyErrorLimit (по умолчанию = 0) - максимальное количество ошибок целостности данных, которые сгенерируются на сервере до прерывания обработки. Значение -1 показывает, что ограничений нет.
KeyErrorLimitAction (по умолчанию = StopProcessing) - это действие, которое предпримет сервер, когда будет достигнут предел количества ошибок. Это свойство имеет две опции:
KeyErrorAction (по умолчанию = ConvertToUnknown) - это действие, которое должен выполнить сервер, когда возникает ошибка KeyNotFound. Свойство имеет две опции:
NullKeyNotAllowed (по умолчанию = ReportAndContinue)
NullKeyConvertedToUnknown (по умолчанию = IgnoreError)
KeyDuplicate (по умолчанию = IgnoreError)
KeyNotFound (по умолчанию = ReportAndContinue) - действие, которое должен выполнить сервер, когда возникает ошибка целостности данных этого типа. Свойство имеет три опции:
Заметьте, что сервер всегда выполняет правила NullProcessing перед правилами ErrorConfiguration для каждой записи. Это важно, так как обработка NULL может приводить к ошибкам целостности данных, которые потом должны обработать правила ErrorConfiguration.
На следующем рисунке показаны свойства ErrorConfiguration для куба в панели свойств.
Рис.4. Панель свойств
Сценарии
В этой главе мы рассмотрим разные сценарии, включающие в себя проблемы целостности данных, и рассмотрим, как элементы управления, представленные в предыдущей главе, могут быть использованы для решения этих проблем. Мы также продолжим использовать определенную ранее реляционную схему.
Проблемы целостности данных в таблице фактов
Таблица фактов sales имеет записи с product_id, которые не существуют в таблице измерений product. Сервер выдаст ошибку KeyNotFound во время обработки. По умолчанию ошибки KeyNotFound логирутся и ведется их подсчет до предела количества ошибок, который по умолчанию равен нулю. Поэтому обработка прервется на первой же ошибке.
Решением является изменение ErrorConfiguration для группы измерений. Ниже показаны две альтернативы:
Установить KeyNotFound = IgnoreError.
Установить KeyErrorLimit равным достаточно большому числу.
По умолчанию обработка ошибок KeyNotFound заключается в постановке записи из таблицы фактов в соответствие неизвестному элементу. Другой альтернативой является установка KeyErrorAction равным DiscardRecord, чтобы проигнорировать эту запись из таблицы фактов.
Проблемы целостности данных в таблице измерений SnowFlaked
Таблица измерений product имеет записи с product_class_id, которых не существует в таблице измерений product_class. Эта проблема обрабатывается таким же образом, как и в предыдущей главе, кроме необходимости модификации ErrorConfiguration для измерения.
Внешние ключи со значением NULL в таблице фактов
Таблица фактов sales имеет записи, в которых product_id равен NULL. По умолчанию все значения NULL конвертируются в ноль, и уже нулевое значение ищется в таблице product. Если существует product_id, равный нулю, то соответствующие данные таблицы фактов соотносятся с этим значением product (возможно, это не то, что Вы хотели). В противном случае выдается ошибка KeyNotFound. По умолчанию ошибки KeyNotFound логируются и производится подсчет количества таких ошибок до предела количества ошибок, который по умолчанию равен нулю. Поэтому обработка прервется после первой же ошибки.
Решением является изменение NullProcessing в свойстве группы измерений. Ниже показаны две альтернативы:
Установить NullProcessing = ConvertToUnknown. Эта установка сообщает серверу, чтобы он поставил записи со значениями NULL в соответствие неизвестному элементу "Invalid Product". При этом также генерируются ошибки NullKeyConvertedToUnknown, которые по умолчанию игнорируются.
Установить NullProcessing = Error. Эта установка сообщает серверу, чтобы он игнорировал записи со значением NULL. При этом также генерируются ошибки NullKeyNotAllowed, которые по умолчанию логируются и их количество подсчитывается до достижения предела количества ошибок. Это можно регулировать с помощью изменения ErrorConfiguration в группе измерений.
Рис.5. Диалоговое окно Edit Bindings
Заметьте, что свойство NullProcessing должно быть установлено у KeyColumn свойства группы измерений. Во вкладке Dimension Usage дизайнера кубов отредактируйте отношение между измерением и группой измерений. Нажмите кнопку Advanced, выберите свойство масштабируемости и установите NullProcessing.
NULL в таблице измерений Snowflaked
Таблица измерений product имеет записи, в которых product_class_id имеет значение NULL. Эта проблема обрабатывается таким же образом, как и в предыдущей главе, кроме необходимости установки NullProcessing у KeyColumn в DimensionAttribute (в панели Properties дизайнера измерений).
Несогласованные отношения в таблице измерений
Как было описано ранее, несогласованные отношения в таблице измерений приводят к задвоению ключей. В примере, описанном ранее, brand_name со значением "Best Choice" появляется дважды с разными значениями product_class_id. Это приводит к ошибке KeyDuplicate, которая по умолчанию игнорируется, а сервер игнорирует задвоенную запись.
В качестве альтернативы можно установить KeyDuplicate = ReportAndContinue/ReportAndStop, что приведет к логированию ошибок. Этот лог можно будет потом исследовать для определения потенциальных недостатков в дизайне измерений.
Заключение
Решение проблем целостности данных может оказаться нелегкой задачей для администраторов баз данных. SQL Server 2005 Analysis Services предоставляет сложные элементы управления, такие, как Unknown Member (неизвестный элемент), Null Processing (обработка Null) и Error Configuration (конфигурирование ошибок), которые сильно упрощают задачи управления кубами.
Решение проблем - это важная часть роли управленца. Авторы, писавшие исключительно на эту тему, полностью разделяли мнение, что принятие успешных решений зависит от реализации ключевых этапов системного подхода. В этой статье рассматриваются различные типы проблем как в общих чертах, и с точки зрения различных подходов к их решению, а также этапы решения и использование методик, которые могут дать более высокий результат. Современные авторы также обращают внимание на необходимость создания организационной культуры и климата, благоприятного для решения вопросов инновационного характера, что особенно важно, когда организация подвергается коренным изменениям.Типы проблем
Его классификация типов проблем, с которыми обычно сталкиваются люди, по Фрэнсису (Francis, 1990):
1. Таинственность - необъяснимость отклонения от ожидаемого результата, упор делается на недостаточности объяснения случившегося, неясности причины, из-за которой ожидания не оправдались.
2. Назначение задания - проблема возникает, когда задание индивидууму выдает другое лицо, когда происходит своего рода соглашение между начальником и подчиненным. Договорные отношения должны быть понятны, ясны, достижимы и согласованны.
3. Трудность - проблема возникает, когда чего-то сложно достичь из-за незнания, как управлять сложившейся ситуацией, или недостатка ресурсов.
4. Возможность - ситуация, которая обещает потенциальную выгоду.
5. Головоломка - неясно, какой ответ верный, а какой ошибочный. Чтобы прийти к верному ответу, запутанность и неопределенность должны быть разрешены. Некоторые головоломки могут никогда не разрешиться.
6. Дилемма - имеются по крайней мере два варианта действия, они оба примерно одинаково привлекательны или непривлекательны, и требуется проявить рассудительность, чтобы выбрать из них более верный.
Те или иные этапы в процессе решения в зависимости от типа проблемы становятся приоритетными.
Этапы решения проблемы
Разница между хорошим и плохим менеджером состоит в том, насколько они способны применять системный подход к решению проблемы. Уилсон (Wilson, 1993) приводит сравнение между различными ранее разработанными моделями решения. Все модели основываются на том, что необходимо идентифицировать и объяснить проблему, используя правое полушарие мозга, чтобы накопить информацию и идеи. Затем наступает фаза более узконаправленного обдумывания для анализа собранных данных и определения направления дальнейших действий. Уилсон заметил, что каждая из культур требует своего количества времени на различных стадиях решения проблем. На Востоке, к примеру в Японии, требуется намного больше времени для генерации творческих идей, чем в западных культурах, где решение приходит гораздо быстрее, но и времени на реализацию идей тратится больше. В большинстве моделей акценты сделаны на следующих ключевых этапах:
1. Анализ проблемы - на этой стадии собирается информация для определения реальности существования проблемы и причин ее возникновения, а также оценивается ее важность.
2. Постановка цели и определение критериев успеха - здесь нужно иметь ясное представление о цели и о том, как и с помощью каких показателей будет оцениваться успех в ее достижении.
3. Накопление информации - на данном этапе требуется собрать данные и выдвинуть идеи, из которых затем можно будет выбрать варианты и оценить их сравнительную полезность.
4. Принятие решения - после оценки принимается решение в пользу наилучшего направления деятельности.
5. Реализация, осуществление - планируется все то, что нужно сделать, и выполняется план действий.
6. Рассмотрение достигнутых успехов - дается оценка тому, что прошло хорошо, что менее хорошо, и высказываются замечания на будущее (это исключительно важная стадия, которая часто опускается).
Методы решения проблем
Существуют множество методик успешного решения проблем. Многие из них включают оценку ситуации и анализ важности полученных результатов. Задаются четыре ключевых вопроса:
1. Почему проблема является важной?
2. Насколько важен результат решения проблемы в сравнении с другими вещами, также требующими внимания?
3. Кто будет участвовать в решении проблемы?
4. С каким реальным давлением и ограничениями придется столкнуться?
Мозговой штурм (brainstorming), метод «рыбий скелет», диаграммы Парето и гистограммы - все это относится к методам накопления информации или анализа.
Технология мозгового штурма была разработана Алексом Осборном (Alex Osborn) в 1950-х гг. с целью стимулировать творческие начинания в генерировании идей. Идея должна излагаться свободно и сразу записываться в таблицу. Люди должны ощущать свободу в действиях и раскрытии идей. Обсуждение не производится до того момента, пока не приступят к этапу оценки этих идей.
Технология «рыбий скелет» была разработана Ишикавой (Ishikawa) и широко используется при решении проблем в процессе управления качеством. Эта методика помогает в понимании связи причин и результата.
Диаграммы Парето и гистограммы используются для отображения числовой информации о возможных причинах возникновения проблемы. Они названы так в честь итальянского экономиста, который, в частности, установил принцип 80/20 (работы, важность которых составляет для организации 80%, требуют 20% усилий руководства, а работы, важность которых не превышает 20%, требуют 80% усилий. Искусство руководителя - отделять и исполнять важнейшие работы)..
Анализ силовых полей - также полезная технология при оценке факторов. Шаги, которые требуется предпринять:
1. Ясное определение желаемого результата.
2. Выявление благоприятных и неблагоприятных действующих сил.
3. Установление путей снижения силы неблагоприятных воздействий или их устранения, определение возможностей для проявления благоприятных факторов.
4. Выбор действий, направленных на достижение желаемых изменений, которые могут быть предприняты.
Методики, рассмотренные выше, могут быть использованы индивидуально, но они более эффективно работают в команде, особенно в тех случаях, где требуется творческое мышление.
Решение проблем в составе команды
Хотя модель и методы решения проблем известны, сам процесс работы в команде требует управления для активизации ее участников. Команды на собственном опыте определяют, какие трудности могут помешать эффективному решению проблемы, если их не преодолеть. По ходу командной работы выявляется, какие участники команды более эффективны на стадии внесения идей, а какие - на стадии их развития и проработки.
Белбин (Belbin, 1981 ) провел исследования в колледже управления Хенли с целью определения характеристик успешных команд. Он выявил девять ролей для участников и соответствующее им поведение, которое будет способствовать успеху в команде. У каждой роли есть своя партия в игре для успешного решения проблем. Среди членов команды одни генерируют идеи, оценивают их полезность, другие доводят их до решения, которое может быть реализовано в трудовой среде. Третьи нужны для поддержки эффективной совместной командной работы и для обеспечения завершения задач.
Робсон (Robson, 1988 ) определил три ключевые проблемы, лежащие за пределами групповых решений, на которые стоит обратить внимание. Так, иногда проблема, которая была задана группе для разрешения, просто исчезает. И наоборот, люди могут неохотно присоединяться к группе, разрешающей проблему, из-за страха продемонстрировать незнание либо группы могут восприниматься другими служащими с подозрением.
Робсон придает большое значение как внутренним проблемам, связанным с использованием времени, межличностными трудностями, недостатком соответствующих навыков и мотивации, так и проблемам, связанным с процессом принятия решения командой.
Согласно этой концепции, когда команда превращается в связанную общность, из нее исключаются люди с противоречащими общему мнению взглядами, а остаются те, кто выражает согласие со взглядами большинства. Участники команды, принимая решения в группе, становятся такими уверенными, что иногда рискуют даже больше по сравнению с вариантом индивидуального принятия решения, поскольку самым важным в такой команде считается поддержание гармонии.
Решение проблем, возникающих в процессе труда
Имеется сколько угодно способов решения проблем, возникающих в процессе труда, многим из которых можно научиться у японцев, имеющих опыт решения таких важных сегодня организационных задач, как достижение и сохранение конкурентного преимущества. Приведем ссылку на подход кайзен (kaizen), в котором использованы многофункциональные команды и кружки качества.
Философия кайзен(кайдзен), созданная в Японии и описанная Уолкером (Walker, 1993), признана как основа конкурентного успеха страны на мировом рынке. Она сейчас широко применяется в производстве даже в компаниях, не имеющих связей с Японией. Кайзен - это технология обеспечения долговременного развития за счет создания системы, предусматривающей постоянное внесение множества небольших изменений непосредственно на каждом рабочем месте. Система реализует так называемый «клиенто-ориентированный» подход, в рамках которого клиенты, внешние (покупатели) и внутренние (сотрудники), воспринимаются как наиболее важное достояние организации. Это требует атмосферы вовлеченности, ответственности и открытости.
Бесконечный цикл усовершенствований является мощной технологией, применяемой в этом подходе, и включает:
План - обследование/понимание/определение.
Дело - адекватные действия.
Проверка - подтверждение эффекта/оценка.
Акт - обратная связь с первоисточником.
Его можно назвать циклом ПДПА. Часто говорится, что японские менеджеры тратят 80% рабочего времени на планирование, в то время как на Западе столько же - на деятельность. Японские менеджеры стремятся к быстрому прохождению цикла ПДПА, особенно на первых двух этапах. Они дотошны в стандартизации и проверке каждой стадии развития системы.
Стефанс (Stephens, 1988) подчеркнул важность организационного климата как стимула или барьера на пути к эффективному решению проблемы. Множество организаций в творческом решении задач попадали в прошлом в провалы, поскольку преобладающим стилем управления на пути принятия рискованных решений было создание людям препятствий. Успешные организации поддерживали риски, принимая неудачу как реализованную возможность и вознаграждая за инновационные идеи. Авторитарный, критический стиль управления заставляет людей приспосабливаться к стратегии низкого уровня риска. Менеджеры, делегирующие решение проблем персоналу, дают возможность процессу выйти на такой уровень, где люди получают необходимую им информацию и принимают на себя обязательства за рекомендации.
В последующие десять лет решение проблем будет связано с преодолением не только функциональных, но и культурных границ и границ между компаниями. Так как бизнес становится все более глобальным, люди будут вынуждены развивать свои навыки в разрешении самых разных вопросов в условиях множества культур Их успешность будет зависеть от используемых методов и выявления тех разнообразных сил, происхождение которых зависит от принадлежности людей к той или иной культуре.
Способ 1.
Четко сформулируйте суть задачи.
Как правильно поставленный вопрос можно считать половиной ответа, так и четко сформулированную задачу можно считать наполовину решенной. А когда вы напрягаете свои извилины, чтобы по другому посмотреть а ситуацию, что тревожит вас, переосмыслить ее, и стараетесь все это четко определить, внутри вас возникает новое понимание. А в жизни перед вами открываются новые возможности.
Способ 2. Отстраните себя и посмотрите со стороны.
Очень часто люди ярко и эмоционально реагируют на любые трудности, испытывая страх, злость, обиду и другие сильные негативные чувства. Все это не позволяет правильно увидеть ситуацию, рассмотреть открывающиеся перспективы и оценить их. Представьте себя зрителем в цирке, на арене которого разыгрывается представление по вашей ситуации. Так, со стороны, вы сможете увидеть больше возможностей.
Способ 3.
Упростите проблему.
Людям свойственно усложнять вещи и ситуации, искать сложные пути и сложные решения. Легкий путь считается недостойным сильного человека: “лучше в гору я пойду, чем ее я обойду”. На самом деле, жизнь – проста. И чем проще что-то происходит, тем это правильнее и лучше. Самое простое решение чаще всего является самым лучшим.
Способ 4.
Сфокусируйтесь на решении.
На чем сфокусируешься, то и притянется в твою жизнь. Фокусировка на трудностях только усугубит ситуацию, увеличит ваше беспокойство. И все вам будет казаться значительно сложнее, чем на самом деле. Если же верить, что решение существует и сосредоточить все внимание на поиске путей решения, то ваша задача всегда будет решена. Наше Подсознание может само найти решение и выдать готовый ответ.
Способ 5.
Отыщите нужную информацию.
Часто проблема кажется неподъемной только из-за того, что у человека нет каких-то определенных знаний. Тогда надо внимательно осмотреться и понять, что же вам нужно еще знать или чему еще нужно научиться, чтобы разрешить эту трудность. Если вы не можете ясно сформулировать свою проблему, то данное решение часто является самым лучшим из того, что вы можете сделать.
Способ 6.
Найдите эксперта.
Если же получить необходимые знания не предоставляется возможным или поджимают сроки, то лучшим вариантом будет поиск эксперта по данному вопросу. Очень редко перед человеком возникают трудности, с которыми никто еще не сталкивался. Скорее всего, ваша ситуация уже была когда-то кем-то разрешена. И ни один раз. Просто найдите этих людей.
Способ 7. Используйте мозговой штурм.
Мозговой штурм является лучшим способом поиска решений. Хорошо для этого подключить своих друзей или тех же экспертов. Чем больше новых идей будет сгенерировано, тем больше шанс найти верное решение. Ничего не отбрасывайте сразу. Соберите все и хорошо проанализируйте.
— Как быстро найти решение проблемы.
1) Дерево принятия решений.
Инструмент, поддерживающий принятие решений. Чаще всего он применяется при анализе данных и в статистике, но может использоваться и в обычной жизни. Дерево решений имеет «ствол», «ветки» и «листья». Ствол – это проблема, на ветках отображаются ее атрибуты, а на листьях – из значения. Среди достоинств метода следует выделить простоту его понимания и интерпретации, отсутствие необходимости в подготовке данных, возможность работать с интервалами и категориями, возможность оценки при помощи статических тестов, надежность и возможность обрабатывать большие потоки информации без подготовительных процедур.
2) Метод «Колесо».
Позволяет относительно быстро найти решение проблемы и произвести его оценку. Состоит из восьми шагов: сначала во всех деталях описывается проблемная ситуация, затем осуществляется поиск конкретных фактов и устанавливается недостающая информация, после этого проблема формулируется в позитивном ключе. Далее проводится мозговой штурм для создания поля идей для решения проблемы, производится оценка найденных вариантов на реалистичность, продумывается сценарий практического осуществления, составляется подробный план действий. На последнем этапе выполняются действия, после чего оценивается их эффективность.
3) Метод «Три сундука».
Предназначен для еще более быстрого поиска решений проблем. В процессе необходимо наполнить информацией три «сундука». В первый кладутся ответы на вопрос: «Какие негативные последствия ждут нас, если мы пойдем по этому пути?». Для наполнения второго оценивается реальная угроза рисков, содержащихся в первом сундуке. Третий сундук наполняется возможными «противоядиями» от угроз второго сундука, которые находятся методом мозгового штурма. В результате находятся решения, реализуются на практике и оцениваются.
4) Метод последовательных приближений.
По сути, это метод проб и ошибок. Предпочтительно применять его тогда, когда мало информации по проблеме. Суть состоит в том, что последовательно выдвигаются и рассматриваются варианты решений. Неудачные идеи отбрасываются, а вместо них предлагаются новые, и опять проверяются. Никаких особых правил для поиска и оценки здесь нет – все решается субъективно, а эффективность метода зависит от того, насколько разбираются в вопросе люди (или человек), решающие проблему. При использовании метода важно учитывать элемент случайности.
5) Матрица идей Буша.
Это метод анализа проблемных ситуаций и определения поля поиска решений. Чтобы его реализовать, нужно построить матрицу двусторонних отношений, для чего нужно ответить на вопросы: «Что?», «Кто?», «Где?», «Как?», «Зачем?», «Чем?» и «Когда?». Отвечая на них, человек получает всю информацию о проблеме. Если же вопросы скомбинировать, можно получить большую эвристическую подсказку для решения.
6)
Популярнейший инструмент поиска решений, применяемый обычными людьми и специалистами по всему миру. Смысл матрицы в том, чтобы научить человека оптимально распределять нагрузку, отличать важное и срочное, сокращать время на бессмысленные занятия. Матрица представляет собой четыре квадранта с двумя осями – важностью и срочностью. В каждый из них заносятся дела и задачи, и в результате человек получает объективную картину приоритетных задач.
7) Квадрат Декарта.
Очень простая техника принятия решений, на применение которой уходит совсем немного времени. Техника помогает выявить основные критерии выбора и дать оценку последствиям принимаемых решений. Для использования техники нужно нарисовать квадрат и разделить его на четыре части. В каждой части пишется вопрос: «Что будет, если это случится?», «Что будет, если этого не случится?», «Чего не будет, если это случится?» и «Чего не будет, если это не случится?». Эти вопросы являются пунктами наблюдения за проблемой. Именно с этих позиций и нужно ее рассматривать. Ответив на все вопросы, человек получает объективную картину положения дел и возможность оценить перспективы.
— Все получится, если…
1) Собрать достаточно информации о сути проблемы;
2) Проанализировать информацию;
3) Выработать как можно больше вариантов решения проблемы;
4) Правильно сопоставить ваши варианты относительно стоимости, доступности и времени;
5) Взвесить все «за» и «против»;
6) Обдумать все возможности и вероятность успеха;
7) Быть уверенным в том, что это и есть решение проблемы.
Также читайте статью « «
Материал подготовлен Дилярой специально для сайт
Видео:
07.09.2009 Валерий Коржов
Новые законы оказывают определенное влияние как на рынок средств ИТ, так и на предлагаемые на нем технологические решения. Например, одним из наиболее влиятельных документов в области информационной безопасности до недавнего времени был закон "Об ЭЦП", настолько жестко регламентировавший использование технологии цифровой подписи, что многим клиентам приходилось сознательно выходить из-под его действия, чтобы использовать средства защиты, принятые во всем цивилизованном мире.
Новые законы оказывают определенное влияние как на рынок средств ИТ, так и на предлагаемые на нем технологические решения. Например, одним из наиболее влиятельных документов в области информационной безопасности до недавнего времени был закон «Об ЭЦП», настолько жестко регламентировавший использование технологии цифровой подписи, что многим клиентам приходилось сознательно выходить из-под его действия, чтобы использовать средства защиты, принятые во всем цивилизованном мире. Проанализируем, каким образом необходимость соответствия федеральному закону «О персональных данных», вступающему в силу 1 января 2010 года, повлияет на рынок информационной безопасности и что ИТ-компании будут вынуждены сделать, чтобы ему соответствовать.
Архитектура
В любой информационной системе современной компании всегда присутствуют персональные данные: телефонные книги, ведомости бухгалтерской отчетности, списки сотрудников и т.п.
В соответствии с законом все эти данные должны быть теперь защищены, однако для этого можно использовать разные уровни защиты. Подзаконные акты Федеральной службы по техническому и экспортному контролю РФ и ФСБ выделяют четыре категории персональных данных (К4-К1) – от обезличенных до наиболее ценных для индивида (сведения о здоровье, религиозных взглядах или особенностях личной жизни). Данные самой высокой категории, предоставляемые в Пенсионный фонд, имеются в любой компании (ведомости о зарплате с указанием ФИО, сведения о социальном положении сотрудника, наличие инвалидности, семейное положение, количество детей и др.).
Чем выше категория персональных данных, тем более сложные механизмы требуются для их защиты. Для самой низкой категории – К4 – достаточно обеспечить только целостность данных, причем подбор технологических решений остается на совести компании. Данные категории К1 необходимо в том числе, защитить от утечек по визуальным и звуковым каналам, а также по побочному электромагнитному излучению, что организовать довольно сложно, поскольку потребуется специальное помещение и компьютерное оборудование, а используемые для защиты решения должны иметь соответствующие сертификаты ФСТЭК и ФСБ. Последнее ведомство контролирует использование криптографии, однако без шифрования в системе такого уровня вряд ли удастся обойтись. К тому же при использовании сертифицированных ФСБ криптобиблиотек нужно еще иметь заключение на корректность их встраивания в продукт.
Существенные различия в требованиях защиты персональных данных для разных категорий информации неизбежно приведут к необходимости вносить изменения в имеющиеся архитектуры ИТ-систем, однако это относительно просто выполнить лишь для небольших баз данных, но не для всей системы целиком. Как следствие, компаниям придется выделять отдельные системы, отвечающие за работу с персональными данными высоких категорий, а для экономии средств защиту остальной информации обеспечивать на других, относительно недорогих конфигурациях. В результате могут потребоваться изменения архитектуры в таких системах, как CRM, центры обработки телефонных вызовов и т. д., требующих вынесения персональных данных контрагентов в отдельную базу данных с высоким уровнем защиты.
Архитектура решения должна позволять выносить персональные данные не только в отдельный сегмент сети, но и вообще во внешнюю компанию, поскольку, скорее всего, защитой этих баз будут заниматься специализированные компании, имеющие необходимый набор лицензий на разработку, продажу и предоставление услуг в области шифрования. Возможно, что организации просто не захотят самостоятельно выполнять требования закона и подзаконных актов, а будут передавать защиту своих данных на аутсорсинг. При этом используемые в компаниях программные продукты, такие как CRM, телефонные справочники и т. д., которые содержат персональные данные клиентов и партнеров, скорее всего, придется модифицировать.
Впрочем, сейчас появляются отечественные продукты, не требующие изменения приложений, например решение eToken SafeData компании Aladdin, которое осуществляет защиту СУБД путем выборочного шифрования строк и столбцов в таблицах. Однако необходимые механизмы криптозащиты таблиц и отдельных полей могут быть предусмотрены и в штатных СУБД – их только нужно правильно настроить.
Защита
Компании, собирающие персональные данные, обязаны защищать собранные сведения от модификации и разглашения. За соблюдением нормативных требований следит «Роскомнадзор» – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ведущая реестр операторов персональных данных (pd.rsoc.ru). Сотрудники этого ведомства могут проверить любую компанию на соблюдение требований по защите персональных данных – регулярными проверками они будут заниматься после 1 января 2010 года, а пока реагируют на жалобы граждан. Если окажется, что в компании недостаточно заботятся о защите персональных данных, то ведомство вправе потребовать от оператора в трехдневный срок исправить все недочеты или уничтожить персональные данные. Чтобы этого избежать, лучше заранее позаботиться о классификации персональных данных и обеспечении их защиты в соответствии с требованиями подзаконных актов.
Фактически подзаконные акты ФСТЭК и ФСБ требуют от операторов построения современной системы защиты с использованием антивирусных решений, межсетевых экранов, систем предотвращения вторжений, управления идентификацией пользователей и контроля доступа, шифрования, защиты от утечек, системы управления событиями безопасности и других защитных механизмов, перечисленных в руководящем документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Этот документ формулирует общую методику построения защиты информационных систем и требует классифицировать данные, определить их места хранения, построить для них модель угроз и модель нарушителя и уже на основе этих данных выбирать средства защиты, которые могли бы предотвратить реализацию угроз из подготовленного списка. Рассмотрим более подробно список продуктов защиты и перечень предотвращаемых ими угроз.
Базовые инструменты
Защиту персональных данных можно обеспечить только в той информационной системе, где злоумышленник не может вмешаться в работу ее базовых элементов – сетевых устройств, операционных систем, приложений и СУБД.
Антивирусы. Защита от вирусов является одним из средств предотвращения утечек конфиденциальной информации, в том числе и персональных данных, – вирусы, черви и другие вредоносные программы часто занимаются воровством информации и организуют скрытые каналы утечки. Современные антивирусные решения включают в себя не только сигнатурную защиту, но и более современные средства, такие как поведенческий анализ программ, экраны уровня приложений, контроль целостности критических для операционной системы данных и другие методы защиты рабочих мест и серверов.
Межсетевые экраны. Корпоративная сеть целиком и каждое отдельное рабочее место должны быть защищены не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран. Часто к функциональности межсетевых экранов добавляют и средства организации виртуальных частных сетей – VPN.
В некоторых антивирусных решениях класса Internet Security (например, «Лаборатории Касперского», Symantec, Eset, McAfee и Trend Micro) уже встроены персональные межсетевые экраны, фиксирующие атаки по сетевым протоколам и попытки сетевых червей проникнуть на защищаемую машину. Кроме того, межсетевые экраны должны быть активированы на шлюзовом маршрутизаторе (такой функционал, как правило, имеется в сетевых устройствах), что позволит создать так называемую демилитаризованную зону (DMZ) для внешних Web-приложений и систем электронной почты. Собственно, в DMZ, для доступа к которой в межсетевом экране используются более жесткие правила, размещаются сетевые ресурсы, доступные извне, и защитные механизмы для них.
Системы предотвращения вторжений. Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливаются в разрыв сети и служат для выявления в проходящем трафике признаков нападения и для блокировки обнаруженной наиболее популярной атаки. В отличие от шлюзовых антивирусов, IPS анализируют не только содержимое IP-пакетов, но и используемые протоколы и корректность их использования. Спектр атак, от которых могут защитить системы предотвращения вторжений, несколько шире, чем у шлюзовых антивирусов. Системы IPS производят как компании, специализирующиеся на сетевой защите, такие как Check Point и McAfee (продукт Network Security Platform), так и производители сетевого оборудова-ния – Juniper и Cisco.
Сканеры уязвимостей. К общим средствам защиты относятся также сканеры уязвимостей, которые проверяют информационную систему на наличие различных «брешей» в операционных системах и программном обеспечении. Как правило, это отдельные программы или устройства, тестирующие систему путем посылки специальных запросов, имитирующих атаку на протокол или приложение. Наиболее популярными продуктами этого класса являются MaxPatrol, семейство продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Впрочем, сейчас появляются пассивные сканеры, которые просто контролируют сетевой трафик и выявляют в нем наличие тех или иных признаков уязвимости. Такие сканеры только появились и еще не завоевали достаточно большой доли рынка. Сканеры уязвимостей можно использовать для проведения внутреннего аудита защиты, который предусмотрен в требованиях ФСТЭК.
Упомянутые средства защиты являются общими для всей сети и не связаны непосредственно с защитой собственно персональных данных, однако в требованиях ФСТЭК их наличие специально оговаривается, поэтому эти базовые средства должны быть у каждого оператора персональных данных, причем даже для минимального уровня К4, где выбор средств защиты предоставляется самому оператору.
Защита от утечек
Набор средств для защиты конфиденциальных данных от утечек находится сейчас в стадии формирования. Имеется три класса таких продуктов: системы контроля над периферийными устройствами, системы защиты от утечек (Data Leak Prevention, DLP) и средства шифрования, причем каждый из производителей считает, что именно его продукт защищает от утечек. Скорее всего, для полной безопасности имеет смысл сочетать все три типа продуктов, но пока таких комплексных решений на рынке нет. Продукты для предотвращения утечек конфиденциальной информации можно использовать не только для защиты персональных данных, но и для предотвращения разглашения любых критических для работы предприятия сведений. С помощью этих средств компания может не только формально удовлетворить требования ФСТЭК по защите персональных данных, но и попутно решить задачи по защите других видов конфиденциальной информации.
Контроль над устройствами. Нередко утечка данных происходит через съемные носители информации и несанкционированные каналы связи: флэш-память, USB-диски, Bluetooth или Wi-Fi, поэтому контроль за использованием USB-портов и другого периферийного оборудования также является одним из способов контроля утечек. На рынке имеется несколько решений этого класса, например от компаний SmartLine и SecureIT.
DLP. Системы защиты от утечек позволяют с помощью специальных алгоритмов выделить из потока данных конфиденциальные и заблокировать их несанкционированную передачу. В DLP-системах предусмотрены механизмы контроля разнообразных каналов передачи информации: электронной почты, мгновенных сообщений, Web-почты, печати на принтере, сохранения на съемном диске и др. Причем модули DLP блокируют утечку только конфиденциальных данных, поскольку имеют встроенные механизмы для определения того, насколько та или иная информация является секретной.
В этом случае используется три технологии: по ключевым словам и регулярным выражениям, по отпечаткам эталонных конфиденциальных документов или по меткам секретности. Продукты разных производителей до недавнего времени использовали один из этих методов, однако в последнее время ведутся разработки комплексного механизма контроля конфиденциальности, который использовал бы несколько перечисленных методов.
Шифрование. Защита данных от утечек так или иначе использует механизмы шифрования, а эта отрасль всегда контролировалась ФСБ, и все требования по сертификации систем шифрования публикуются и проверяются этим ведомством. Следует отметить, что шифровать нужно не только сами базы персональных данных, но и их передачу по сети, а также резервные копии баз данных. Можно использовать механизмы шифрования, встроенные в базы данных, однако для их законного применения требуется интегрировать в них российские алгоритмы шифрования, что не всегда возможно, поэтому некоторые российские компании разрабатывают собственные продукты, в частности уже упоминавшийся продукт Aladdin eToken SafeData. Впрочем, для защиты персональных данных можно шифровать целые разделы файловой системы, которые используются для хранения данных, такие решения предлагаются в России несколькими компаниями. Наиболее активны в этой сфере Aladdin, SecureIT, InfoWatch и «Физтех-Софт», однако на больших базах данных продукты этих компаний могут сильно замедлять производительность, поэтому для них можно либо использовать специализированные продукты, либо выделять их в отдельные базы, которые шифруются отдельно.
Шифрование используется и при передаче персональных данных по сети в распределенной системе. С этой целью можно применять предлагаемые различными разработчиками продукты класса VPN, которые, как правило, базируются на шифровании, однако подобные системы должны быть сертифицированы и тесно интегрированы с базами данных, в которых хранятся персональные данные.
RMS (Right Managemеnt System). Системы данного класса базируются на алгоритмах шифрования, однако управляют не процессом шифрования документов, а ключами дешифрации. Эти ключи хранятся на центральном сервере системы, и доступ к ним разрешается после прохождения процедуры строгой аутентификации пользователя, что означает – расшифровать документ может только тот пользователь, у которого есть на это права. Решения класса RMS предлагают пока в основном зарубежные компании – Microsoft (Microsoft RMS), Oracle (Oracle IRM) и ряд других, поэтому при использовании в российских условиях этих продуктов могут возникнуть проблемы с сертификацией в ФСБ. Кроме того, в существующих продуктах права доступа к ключам определяют авторы документов, что не позволяет защититься от внутренних угроз, как это делается в DLP-системах. Поэтому пока системы RMS не получили должного распространения в качестве средств защиты от утечек информации.
Перечисленные продукты предотвращают утечки в том числе и персональных данных, хотя их можно использовать и для защиты другой критической для компании информации, однако следует помнить, что для выполнения требований закона «О персональных данных» надо пользоваться сертифицированными средствами защиты и при их установке следует проверить наличие сертификата ФСТЭК, а на средства шифрования
и сертификата от ФСБ.
Защита по-большому
Следует отметить, что в подзаконных актах ФСТЭК имеется разделение на небольшие, средние и распределенные базы данных, требования к защите которых сильно различаются. Так, для защиты распределенных баз, как правило, нужны дополнительные инструменты защиты, что и понятно – распределенная база должна иметь каналы связи между своими частями, которые также необходимо защищать. Вообще, для защиты больших информационных систем есть несколько продуктов, позволяющих централизованно контролировать крупные установки защитных продуктов.
Управление правами доступа. В большой информационной системе главной проблемой для администратора является правильная организация доступа сотрудников к различным ресурсам – от корректной настройки прав доступа часто зависит сохранность конфиденциальных данных, поэтому система управления правами доступа должна быть включена в систему защиты крупной информационной системы. Такая система обычно позволяет ввести ролевое управление правами доступа и контролирует соблюдение этих прав. Система также блокирует попытки изменить права доступа без разрешения администратора безопасности, что обеспечивает защиту от локальных администраторов. Типичными представителями этого семейства продуктов являются Oracle IAM и IBM Tivoli Access Manager, но можно назвать также и McAfee Unified Secure Access Solution. Следует отметить, что методика защиты персональных данных предполагает управление правами доступа в системах любых размеров, обрабатывающих такую информацию, однако в небольших базах данных достаточно ручного управления правами доступа.
Корреляция событий. Крупная система защиты может генерировать множество сообщений о потенциальных нападениях, которые лишь потенциально способны привести к реализации той или иной угрозы. Часто такие сообщения являются лишь предупреждениями, однако у администраторов безопасности большой системы должен быть инструмент, который позволил бы им разобраться в сущности происходящего. Таким инструментом анализа может стать система корреляции событий, позволяющая связать несколько сообщений от устройств защиты в единую цепь событий и комплексно оценить опасность всей цепочки. Это позволяет привлечь внимание администраторов безопасности к наиболее опасным событиям. Примерами подобных систем являются Cisco MARS или netForensics, однако аналогичные модули есть и в Tivoli Security Operations Manager (TSOM).
Управление безопасностью. Системы централизованного управления защитными механизмами позволяют полностью контролировать все события, связанные с безопасностью информационной системы. Продукты этого уровня могут обнаруживать защитные механизмы, установленные на предприятии, управлять ими и получать от них отчеты о происходящих событиях. Эти же продукты могут автоматизировать решение наиболее простых проблем или помогать администраторам быстро разобраться в сложных атаках. Это, например, уже названный IBM TSOM, LANDesk Security Suite или McAfee Network Security Manager.
Все перечисленные продукты не являются обязательными для защиты крупных информационных систем, однако они позволяют автоматизировать большинство задач, решаемых администраторами безопасности, и минимизировать количество сотрудников, необходимых для защиты большой системы.
Фактически закон «О персональных данных» требует от компаний – участников рынка информационной безопасности построения современной системы защиты, которая может пригодиться не только для сохранения персональных данных, но и для полного контроля за всей информационной системой, предотвращения утечек конфиденциальной информации или других видов тайн, предотвращения вывода из строя наиболее важных частей информационной системы. Поскольку в той или иной форме персональные данные имеются у всех компаний, этот закон можно воспринимать как требования государства по информационной защите любого вида деятельности и не следует игнорировать требования этого закона. К тому же большинство компаний уже выполнили часть работы по защите персональных данных, так как невозможно пользоваться Сетью без установки какого-либо антивируса и межсетевого экрана.
Однако соблюдение всех требований закона, а точнее подзаконных актов чиновников из ФСТЭК и ФСБ, может оказаться делом довольно сложным, справиться с которым компании до 1 января 2010 года, похоже, не сумеют. На этой почве открывается большое поле деятельности для предприятий, способных оперативно построить корпоративную систему защиты информации и подготовить необходимый пакет документов для проверяющих органов. Другим вариантом решения проблемы соответствия закону «О персональных данных» является передача функции защиты персональных данных сторонним организациям, и такие компании-аутсорсеры уже начинают появляться в России. Тем не менее этот вариант может быть связан с изменением ИТ-архитектуры и потребует времени
и дополнительных расходов.
Валерий Коржов () – обозреватель Computerworld Россия (Москва).
Как защититься от утечек
В приведены методы защиты конфиденциальной информации, из которых первые пять обеспечивают единичные сценарии защиты конфиденциальных данных от утечки, а подход 6 позволяет получать финансово значимый результат уже в первые недели после внедрения системы. Подход 7 требует кропотливого внедрения и отладки (от одного до трех лет). Подходы 8-10 дополняют DLP-системы за счет снижения рисков утечки в результате кражи/потери ноутбуков или дисков. Подходы 11-12 в той или иной степени используются во всех компаниях и могут косвенно повлиять на снижение рисков утечки информации.
Терминальные решения
Серьезную проблему для защиты персональных данных представляют современные децентрализованные информационные системы -- выполнить требования защиты для всех персональных компьютеров намного сложнее, чем для отдельных серверов. Поэтому одним из возможных вариантов снижения сложности проекта по защите персональных данных является внедрение классического терминального решения, в котором данные не покидают пределов сервера, а на рабочие места пользователей устанавливаются бездисковые терминальные станции.
Одним из возможных вариантов построения подобной системы является решение, разработанное совместно компаниями Sun Microsystems и «Свемел», состоящее из защищенного сервера с операционной системой «Циркон-10», сервера терминального доступа «Циркон-Т», а также набора терминалов Sun Ray 2, Sun Ray 2FS или Sun Ray 270, производимых компанией Sun по техническим требованиям «Свемел». Операционная система «Циркон-10» представляет собой специализированную версию ОС Solaris 10 со встроенной системой защиты Trusted Extension, исходные коды которой сертифицированы ФСТЭК на отсутствие программных закладок и надежность контроля доступа. Система может работать как на платформе SPARC, так и на серверах x86, позволяя запускать весь набор приложений для Solaris 10.
Особенностью терминалов Sun Ray является аутентификация пользователей с помощью смарт-карт, что более надежно, чем пароли. При этом канал связи между терминалом и сервером также защищается с помощью шифрования. Пользователи могут с одного рабочего места работать либо с ресурсами защищенной либо открытой рабочей среды – выбор осуществляется с помощью специальных смарт-карт. Таким образом, решение «Свемел» позволяет создать защищенную среду обработки персональных данных.