Алгоритм процесса решения проблем

Постановка и формулирование проблемы

Анализ проблемы

Сбор данных

Интерпретация данных

Поиск решений

Анализ эффективности решений

Представление результатов

Реализация решения

Анализ проблемы

Результат любого процесса зависит от многочисленных факторов, между которыми существуют отношения типа «причина следствие» (результат). Трудно решить сложные проблемы, не зная той структуры, которая представляет собой цепь причин и результатов.

Для эффективного анализа проблем применяются методы, признанные на практике наиболее подходящими для работы в группе.

● Диаграмма «рыбьи кости » (или иначе она называется причинно-следственной диаграммой Исикавы) была разработана японскими учеными для научно-исследовательской работы, а затем предложена для решения проблем качества на производстве. С помощью этой диаграммы можно определить все причинно-следственные связи, влияющие на проблему.

● Диаграмма шести слов основана на применении формулирования вопросов по известной формуле 5W1H (вопросы со словами Кто? Что? Почему? Где? Когда? Как?).

Использование данной диаграммы позволяет рассмотреть проблему со всех сторон и учесть все акторы, влияющие на нее.

● Диаграмма связей – позволяет установить связи в сложной проблеме, которые трудно рассмотреть при помощи диаграммы «рыбьи кости».

- Диаграмма «рыбьи кости» -

В 1953 году профессор Токийского университета Каору Исикава, обсуждая проблему качества на одном заводе, суммировал мнение инженеров в форме диаграммы причин и результатов (следствия). Считается, что тогда этот подход был применен впервые, но еще раньше сотрудники профессора Исикавы пользовались данным методом для упорядочивания факторов в своей научно-исследовательской работе.

Когда же диаграмму начали применять на практике, она оказалась весьма полезной и скоро стала широко использоваться во многих компаниях Японии и получила название диаграммы Исикавы, которая чаще звучит как диаграмма «рыбьи кости» или диаграмма «причины и следствия».

Названа диаграмма так потому, что в законченном виде она напоминает по форме скелет рыбы. Диаграмма «рыбьи кости» предназначается для отделения причин от следствий и помогает увидеть проблему целиком. При таком способе для многих проблем открываются различные новые перспективы их рассмотрения. В общем виде диаграмма Исикавы представлена на рис. 10 .

Рис. 10. Причинно-следственная диаграмма с разделением причин по уровням (для пояснения «рыбьих костей»):

1 – система причинных факторов; 2 – следствие (формулировка проблемы); А, В, … - главные причины (или причины 1-го уровня); А1, В1, ….. – причины 2-го уровня; А2, В2, … - причины 3-го уровня и т. д.

Как показано на рис. 10, следствие является «хребтом» этого скелета и в то же время результатом различных причин (факторов), причины А, В, С и т.д.

На рисунке они обозначены стрелками, которые называются «большими костями». Эти причины являются в свою очередь, следствием других причин: А1, А2, …(для следствия А); В1, В2, … (для следствия В), обозначенные соответствующими стрелками («средние кости»).

Вторичным причинам могут соответствовать третичные причины и т. д. При построении диаграммы «рыбьи кости» выделяют 5 шагов.

Шаг 1 Перед началом построения диаграммы группе необходимо еще раз убедиться в том, что все участники согласны с формулировкой проблемы. Затем в правой части (по центру) большого листа или доски следует записать формулировку проблемы, обвести ее рамкой и провести к ней по центру листа прямую линию (хребет рыбы).

Шаг 2

Если существует трудность в определении главных ветвей, то можно использовать самые общие заголовки (лучше всего они подходят для проблем, решаемых на производстве).

Персонал (квалификация, опыт работы, обучение, психологический климат и т. д.);

Окружающая среда (условия работы, температурный режим в помещении, наличие

шума, запахов и т. д.);

Методы и технологии (все, что используется при выполнении работы);

Производство (здания, цеха, оборудование в них, компьютерные системы и т. д.);

Оборудование (рабочие инструменты, рабочая одежда, мебель, канцелярские

принадлежности и т. д.);

Материалы (сырье, используемое для переработки в ходе выполнения рабочих

функций).

Например, возможные причины, влияющие на результат неудовлетворенности потребителя (следствие), показаны на рис. 11.

Рис. 11. Причинно-следственная диаграмма для выявления причин неудовлетворенности потребителя

Для обозначения заголовков вписывают их в прямоугольниках и проводят стрелки от них к центральной («хребту рыбы»), как показано на рис. 11.

Шаг 3. На данном шаге проводится сессия мозгового штурма для сортировки всех возможных и существующих причин проблемы по каждой категории главного уровня (ребра рыбы).

Далее необходимо рассмотреть, чем вызываются причины, определенные в процессе мозгового штурма (причины, записанные под заголовками главных уровней). Для этого участники могут задать вопрос «Что могло бы вызвать проблемы в данных областях?» Таким образом анализ углубляется до максимально возможного уровня. Вот так может выглядеть часть диаграммы для выявления причин неудовлетворенности потребителей (рис. 12).

Рис. 12. Причинно-следственная диаграмма причин более низкого уровня относительно диаграммы на рис. 11

Шаг 4. Обеспечить завершенность диаграммы поможет этап «инкубации идей». Сразу после построения диаграммы нельзя ее оценивать. Должен пройти этап обдумывания. Это можно сделать сразу после проведения мозгового штурма (если время позволяет) либо - по истечении нескольких дней. При этом следует поместить диаграмму на видном месте, где все участники смогут ее увидеть и при необходимости вносить в нее добавления.

Затем участники группы могут подкорректировать первичную диаграмму.

Шаг 5. На данном этапе группе следует проанализировать полученную диаграмму. Для этого рассматриваются поочередно идеи под каждым из главных уровней с целью выявления тех из них, которые выходят за рамки обсуждаемой проблемы. Далее группе необходимо определить те причины, которые оказывают наиболее сильное влияния на проблему.

- Диаграмма шести слов -

Изучить причины, вызывающие проблему, можно при помощи обследования, которое заключается в постановке вопросов по рассматриваемой проблеме. Данный метод называется 5W1H по первым английским буквам слов, составляющих вопросы. Это слова:

Why? Почему?

When? Когда?

Суть данного метода заключается в том, что по очереди задаются вопросы о том, когда проблема возникает и когда не возникает – это позволяет всесторонне рассмотреть существо вопроса.

Проведение данного метода состоит из 5 шагов.

Шаг 1. Перед началом построения диаграммы участникам группы еще раз следует убедиться в том, что формулировка не общая, а достаточно конкретно определена. Данную диаграмму рекомендуется использовать при рассмотрении реальных практических ситуаций.

Поскольку группе предстоит рассмотреть проблему по двенадцати формулировкам вопросов, следует заранее подготовить 12 больших листов бумаги, на которых они будут зафиксированы.

Шаг 2.

Перед началом обсуждения необходимо четко сформулировать 12 вопросов на основе полученной ранее формулировки проблемы. Слова в вопросах (почему, что, когда, где, кто, как) должны использоваться дважды: при наличии проблемы и при ее отсутствии.

Вопросы могут быть сформулированы следующим образом:

Когда проблема возникает и когда она не возникает?

Как вы определяете, что данная проблема существует, и как, что она не существует?

Где возникает данная проблема и где она не возникает?

Что является причиной данной проблемы и что означает ситуация «нет проблемы»?

Кто способствует и кто препятствует возникновению данной проблемы?

Почему данная проблема возникла именно сейчас и почему она не возникала раньше?

Формулировать вопросы необходимо таким образом, чтобы они помогали собрать как можно больше информации по рассматриваемой проблеме.

После этого следует записать все 12 вопросов в виде заголовков на отдельных листах бумаги.

Шаг 3. На данном шаге участники группы проводят сессию мозгового штурма по выдвижению идей по каждому вопросу, определенных в виде заголовков.

Руководитель задает тему обсуждения, устанавливая порядок рассмотрения сформулированных вопросов. Рекомендуется придерживаться следующего порядка:

1. Рассматриваются вопросы со словом Когда?

3. Где?

4. Что?

5. Кто?

6. Почему?

Шаг 4. Так же, как и в построении диаграммы «рыбьи кости», необходимо провести «инкубацию идей». Для этого так же следует определить период времени, в течение которого будет происходить обдумывание. Затем лучше всего разместить эти листы в доступном месте, чтобы в течение определенного срока и участники группы и другие сотрудники предприятия могли принять участие в дальнейшем построении диаграммы.

Шаг 5. На данном шаге группа должна провести анализ диаграммы с целью выделения тех идей, на которых в дальнейшем будут сосредоточены усилия по поиску решений.

- Диаграмма связей -

Диаграмма связей – инструмент, позволяющий выявить логические связи между основной идеей, проблемой или различными данными.

Задачей этого инструмента управления является установление соответствия основных причин нарушения процесса, выявленных с помощью диаграммы сродства или диаграммы шести слов, тех проблем, которые требуют решения.

Между диаграммой связей и диаграммой «рыбьи кости» есть некоторое сходство.

Метод диаграммы связей обеспечивает рассмотрение сложно запутанной проблемы в процессе организации выполнения следующих функций:

Диаграмма связей является логическим инструментом.

Принципы построения диаграммы связей показаны на рис. 13.

Рис. 13. Принципы построения диаграммы связей

При построении диаграммы связей могут быть выделены следующие блоки:

- причины , они приводят к каким-либо результатам (т.е. вызывают проблемы определенного уровня);

- причина = результат , выявленное определение является одновременно результатом воздействия некоторой причины и причиной, вызывающей какой-либо результат.

После построения диаграммы и определения всех связей между причинами следует наиболее важные причины обвести жирной линией, а важные причины и результаты соединить жирными стрелками. Процесс построения диаграммы состоит из нескольких шагов.

Шаг 1. Для построения диаграммы связей можно использовать причины, выявленные с помощью диаграммы сродства или диаграммы шести слов.

Руководителю необходимо разместить листы с полученными диаграммами на доске и чистые листы, на которых будет построена диаграмма связей.

В центре листа следует расположить формулировку проблемы (негативное следствие, которое необходимо разрешить, или результат, которого хочет добиться фирма). Далее на этом же листе необходимо разместить основные причины, влияющие на результат.

Родственные причины следует размещать рядом друг с другом, а заголовки тем рядом с формулировкой проблемы для лучшего определения связей.

Шаг 2. На данном шаге группе необходимо с помощью мозгового штурма выявить связи между причинами и результатами.

В случае рассмотрения проблемы, имеющей большое количество причин, следует сначала установить связи между родственными причинами и соответствующим им заголовком, а также между заголовками тем и основной формулировкой проблемы. Затем следует определить связи между заголовками тем и между единичными причинами различных блоков. Все выявленные связи обозначить на диаграмме стрелками.

Шаг 3. После определения всех связей необходимо обозначить графическими объектами:

формулировку проблемы – прямоугольником,

причины – прямоугольником с округленными углами,

причина-результат – овалом.

В качестве примера рассмотрим построенную диаграмму связей (рис. 14) составленную для поиска «никогда не уменьшающегося числа бракованных деталей» на сборочной линии по производству некоторых бытовых приборов.

Рис.14. Диаграмма связей, составленная для поиска причины отказов на сборочной линии

Рассмотрим еще один пример. На рис. 15 показаны части диаграммы связей при решении проблемы, сформулированной как «недостаток понимания служащими компании необходимости продолжения качественных усовершенствований».

Сбор данных

Порядок сбора информации

Для принятия правильного и оптимального решения необходимо собрать наиболее полную информацию о проблеме. Кроме того, данные должны быть четко структурированы и удобны для дальнейшей обработки.

Основным инструментом сбора информации для решения проблем являются контрольные листки.

Контрольный листок (или лист) – это инструмент для сбора данных и автоматического их упорядочения для облегчения дальнейшего использования собранной информации.

Контрольные листки бывают разные: одни используются для контроля контактов с посетителями, другие применяются для учета брака какой-либо детали или устройства на производстве. Они сильно отличаются друг от друга и разрабатываются специально для записи информации определенного типа.

Сбор данных – не самоцель, а средство обнаружения тех фактов, которые стоят за данными. Возьмем выборочное обследование, например – любой продукции. Берем некоторую выборку, проводим на ней измерения, затем решаем, стоит ли принять всю партию или нет. Здесь наше внимание сосредотачивается не на самой выборке, а на качестве всей партии.

Другой пример - управление процессом с помощью контрольной карты.

Цель в данном случае заключается в том, чтобы выяснить, в каком состоянии находится сам процесс.

Примеры заполнения форм контрольных листков:

Ремонтная лаборатория.

В ремонтной лаборатории завода, выпускающего телевизоры, проводили исследование на предмет поломки телевизоров из-за отказа отдельных деталей. Для этого был разработан контрольный листок для фиксирования отказавших деталей. На основании собранных с помощью этих контрольных листков данных заполняют таблицу суммарных отказов.

Продажи по телефону

Работников отдела продаж по телефону одной продовольственной компании часто критиковали за плохое обслуживание покупателей.

Вся проблема заключалась в том, что телефоны были постоянно заняты, и поэтому покупатели не могли дозвониться, чтобы сделать свои заказы, высказывали свои претензии работникам, а те, в свою очередь, становились недружелюбны и даже грубы.

Как видно из данной таблицы, наибольшая нагрузка телефонных звонков была с 9 до 11 утра. Все виды звонков происходили именно в это время.

По результатам анализа контрольных листков рекомендовано было составить расписание звонков, которые поддаются управлению, на более позднюю часть дня, когда нет пиковой нагрузки на телефонные линии (в частности, для звонков оптовых покупателей было выделено определенное время во второй половине дня). Звонки руководителю, личные и одиночные звонки, также рекомендовано отложить на вторую половину дня.

Интерпретация данных

Иногда на основе собранной информации можно сразу сделать выводы о существующей ситуации. Когда это невозможно – нужно обязательно провести анализ данных. Наиболее лучший способ представления данных – визуальный, оформленный в виде построенных по результатам полученных данных графиков и диаграмм. Участникам групп по решению проблем предлагается работы методами: диаграммой Парето и гистограммами .

Диаграмма Парето – помогает определить, какие из имеющихся элементов проблемы оказывают наибольшее влияние на возникновение проблемы.

Гистограммы – помогают увидеть, стабильно ли протекает процесс или работает система, а также в какой степени он подвержен вариабельности. Задачей данных методов является обнаружение в собранной информации определенных закономерностей, помогающих сделать выводы и принять эффективные решения.

В 1897 году экономист В. Парето (1845-1923 гг.) предложил формулу, показывающую, что блага распределяются равномерно. Эта же теория была проиллюстрирована американским экономистом М. Лоренцом в 1907 году на диаграмме. Оба ученых показали, что в большинстве случаев наибольшая доля доходов или благ принадлежит небольшому числу людей. Закон Парето – 80/20 (например, 80 % брака изделий вызвано 20 % причин ).

Диаграмма Парето позволяет распределить усилия для разрешения возникающих проблем и установить основные факторы, с которых нужно начинать действовать с целью преодоления возникающих проблем. Различают два вида диаграмм Парето – по результатам и причинам.

Шаг 1.

Для построения диаграммы необходимо разработать бланк таблицы, в которую заносят:

Типы (признаки) случаев, фактов (данные лучше всего располагать в убывающем порядке – в начале таблицы тип события, имеющий наибольшее количество повторений, в конце таблицы - наименьший);

Количество появлений (повторений) каждого типа;

Накопленная сумма числа каждого типа (с нарастающим итогом: к числу

предыдущего типа прибавляется следующее);

Процент числа по каждому признаку в общей сумме;

Накопленный процент (с нарастающим итогом).

1. Вертикальные оси:

Левая ось с интервалами от 0 до общей суммы количества выявленных случаев;

Правая ось с интервалами от 0 до 100.

2. Горизонтальная ось. Интервалы на ней должны быть одинаковыми и соответствовать числу типов (признаков), указанных в таблице.

Шаг 3. Затем строится столбиковая диаграмма по значениям типов (признаков) случаев и кумулятивная кривая (кривая Парето). На вертикалях, соответствующих правым концам каждого интервала на горизонтальной оси, наносятся точки накопленных сумм (результатов или процентов) и соединяются между собой отрезками прямых.

Практический пример построения диаграммы Парето.

Диаграмма Парето – это способ графического изображения данных, для того, чтобы выявить, какое количество причин, оказывающих наиболее сильное влияние на появление данного следствия, в действительности существует.

Пример взят из практики работы небольшой типографии, которая пыталась установить, какие из стоящих перед ней проблем являются наиболее серьезными и требуют рассмотрения в первую очередь.

Шаг 1. В результате предварительной работы группы были определены типы проблем, по причине которых типография терпела убытки, затем в течение определенного времени были собраны соответствующие данные. Все собранные данные расположили в таблице, в порядке убывания их значений.

Затем на основании данных таблицы построили столбиковую диаграмму, наглядно иллюстрирующую количество случаев, возникающих по различным причинам. Для этого по горизонтальной оси были отложены сами проблемы, по вертикальной оси – количество случаев, соответствующих каждой проблеме.

Шаг 2 Для построения диаграммы Парето (а строится она по накопленным значениям причин) добавим колонки в таблицу – накопленную сумма значений (нарастающий итог количества случаев) и накопленный процент.

Шаг 3. На данном шаге по данным таблицы построили кумулятивную кривую – диаграмму Парето. Для этого начертили 3 основные оси для построения графика.

Верхний предел вертикальной оси слева определяется общей суммой собранных данных, в нашем примере это 85.

Провели пунктирную прямую от 80 % процентной оси на линию накопленных значений. Там, где эта прямая пересекает диаграмму, на горизонтальной оси определили, какая часть соответствует данному значению. В идеале она должна соответствовать 20 %.

Как видно из законченной диаграммы, первые три проблемы (число которых соответствует 30 % первоначального списка из 10 категорий случаев) возникли примерно в 75 % случаях. Диаграмма Парето в данном формате высвечивает ключевые области и помогает группам установить приоритеты в своей деятельности.

Рис. 16. Диаграмма Парето накопленных случаев различных проблем типографии

- Гистограммы -

Одним из наиболее распространенных методов, помогающих интерпретировать данные по исследуемой проблеме, является гистограмма.

Большая часть всех совокупностей данных подчиняется так называемому «нормальному» распределению. Однако в действительности невозможно сохранять постоянство всех факторов. Несмотря на стремление удержать на постоянном уровне условия, подлежащие изменениям, в показателях все-таки наблюдается рассеивание значений. Даже те несколько факторов, которые считаются постоянными, на самом деле будут изменяться.

Построение диаграммы производится в несколько шагов. Рассмотрим построение гистограммы на конкретном примере.

Шаг 1 Необходимо по собранным данным вычислить величину выборочного размаха. Для этого следует выбрать наименьшее и наибольшее значения измеряемых величин. Исходные данные представлены в таблице. Для исследования распределения диаметров стальных осей, изготовленных на токарном станке, были измерены диаметры 90 осей.

Шаг 2

Далее необходимо разделить выборочный размах на интервалы равной ширины: обычно делят от 5 до 20 интервалов. При числе наблюдений 11 и более используют более узкий интервал, при 99 наблюдениях и меньше – более широкий. Теперь требуется по иному распределить данные, для этого готовят новую таблицу, куда заносят диапазон значений каждого интервала, среднюю точку, подсчет количества (частот) и саму частоту попаданий данных в соответствующий интервал.

Шаг 3

Далее следует определить границы интервалов таким образом, чтобы они включали в себя наименьшее и наибольшее значения. После этого следует убедиться в том, что первый интервал включает в себя наименьшее значение и что его граничное значение приходится на середину принятой единицы измерения (т. е. число 5 в следующем десятичном разряде).

Далее, продолжая прибавлять выбранный интервал к предыдущему значению для получения второй границы, затем третьей и т. д., необходимо удостовериться, что последний интервал включает в себя максимальное значение.

Для получения частот надо подсчитать, какое количество значений из табл. Попадает внутрь каждого из интервалов, и записать частоты, приходящиеся на каждый интервал, используя наклонные черточки, сгруппированные по пять, и записать в таблицу.

Шаг 4. На данном шаге строится диаграмма. На листе в клеточку необходимо нанести горизонтальную ось, выбрать масштаб и нанести соответствующие интервалы. Далее строится вертикальная ось, на которой также выбирается масштаб в соответствии с максимальным значением частот.

Шаг 5

Теперь необходимо проанализировать полученную гистограмму. Данная гистограмма подчиняется нормальному распределению. То есть, предварительно можно сказать, что такой процесс встречается чаще всего.

Не все данные подчиняются закону нормального распределения Есть и другие типичные варианты распределения, по которым мы можем судить о ходе процесса.

Рис.18. Варианты распределения данных

Шаг 6

С учетом всех данных, группа должна ответить на следующий вопрос:

«Почему данные имеют именно такое распределение, и что полезного мы можем извлечь из этого для решения рассматриваемой проблемы?»

Построение гистограммы включает в себя 6 шагов:

1. Записать данные, выявите максимальное и минимальное значения, распределите в

порядке убывания.

2. Разделить диапазон значений на несколько равных частей и соотнесите имеющиеся данные с той или иной частью диапазона.

3. Определить границы интервалов.

4. Построить гистограмму.

5. Проанализировать гистограмму.

6. Задать вопрос: «Почему распределение именно такое , и о чем это нам говорит?»

Диаграммы Парето и гистограммы - два метода, которые очень часто применяют группы для интерпретации собранных данных.

Поиск решений

Многие возможные решения проблем не будут реалистичными, поскольку либо у сотрудников, либо у организации недостаточно ресурсов для реализации принятых решений.

Кроме того, причиной проблемы могут быть находящиеся внутри организации силы, – например законы, которые руководство или специалисты не властны изменить. функционирования данной организации.

Рассмотрим наиболее общие ограничения для различных организаций:

Неадекватность имеющихся средств,

Недостаточное число работников, имеющих требуемую квалификацию и опыт,

Неспособность закупить ресурсы по приемлемым ценам,

Потребность в технологии, еще не разработанной или чересчур дорогой,

Наличие острой конкуренции,

Законы и этические соображения.

После того необходимо сформулировать набор альтернативных решений проблемы.

Это, собственно, и есть основная цель данного этапа. В идеале, группам желательно выявить все возможные действия, которые могли бы устранить причины проблемы и, тем самым, дать возможность организации достичь своих целей.

Для поиска решений могут быть использованы методы, основанные на принципах мозгового штурма (метод «бритвы Оккама», диаграмма сродства, древовидная диаграмма).

После того как определены все возможные варианты решений, необходимо их предварительно оценить. Для этого участникам коллективного решения проблем следует воспользоваться наиболее удобными методами:

анализ силового поля, модифицированный метод Дельфи, матричная диаграмма, обмен мнениями, коллажи и фантазии .

Каждый из этих методов применяется для рассмотрения вариантов решения различных видов проблем.

● Анализ силового поля – применяется при рассмотрении проблемы как баланс двух противоположно направленных сил (силы и факторы содействующие решению проблемы и препятствующие ее решению).

● Модифицированный метод Дельфи – это процесс, в результате которого участники группы приходят к согласию относительно выбора решения проблемы, не прибегая к открытой дискуссии.

● Матричная диаграмма – служит для выявления важности различных связей между данными, характеризующими варианты решения проблемы.

●Обмен мнениями – предназначен для конструктивного обсуждения вариантов решения проблем, когда участники распадаются на два противостоящих лагеря, каждый из которых твердо придерживаются своего варианта решения проблем.

● Коллажи и фантазии – метод используется в случаях, когда проблемы и мнения участников группы о них очень сложно сформулировать словами.

- Анализ силового поля –

Анализ силового поля был разработан Куртом Левиным для того, чтобы проблемы могли быть представлены наглядно.

Этот метод опирается главным образом на аналитическое мышление.

Он применяется при рассмотрении множества ситуаций и должен находиться в арсенале всех групп, решающих проблемы.

Данный метод представляет каждую проблему как баланс двух противоположно направленных систем сил.

Силы одной из этих систем пытаются изменить текущую ситуацию в лучшую сторону и называются движущими .

Противостоящие им силы стремятся изменить ситуацию в худшую сторону и называются сдерживающими .

На диаграмме это выглядит следующим образом.

Рис. 19. Диаграмма сил и факторов, содействующих и препятствующих решению проблемы

Анализ силового поля состоит из шести шагов:

Шаг 1. Группа должна определить наихудшую и идеальную из возможных ситуаций, касающихся данной проблемы. Для этого следует записать на отдельных больших листах наилучший и наихудший сценарии развития ситуации и поместить их на левом и правом краях поля из трех больших листов, разлинованного как показано ниже в таблице.

Шаг 2. Далее группа обсуждает и согласовывает сдерживающие силы, препятствующие движению группы к идеалу и изменяющие ситуацию в худшую сторону. Когда все такие силы будут выявлены, группа должна проранжировать их по важности, используя шкалу, приведенную ниже:

Эти оценки должны быть записаны в соответствующей колонке таблицы анализа силового поля, приведенной выше.

Шаг 3. Повторяются действия шага 2, но на этот раз внимание должно быть сосредоточено на движущих силах.

Шаг 4 Группа должна рассмотреть эти две совокупности сил и обсудить, насколько легко они поддаются изменению. И снова необходимо использовать систему оценок. Она устроена следующим образом.

:

Та же самая система оценки должна быть использована при заполнении графы «Группа», в которой оценивается способность самой группы влиять на данную силу. Аналогично заполняется графа «Другие», в которой оценивается способность других людей оказывать влияние на рассматриваемую силу. Обе графы должны быть заполнены по всем силам до перехода к следующему шагу.

Шаг 5. На этом этапе группе необходимо оценить, на каких силах следует сосредоточить свое внимание. Это может быть сделано с помощью цифр: суммированием оценок важности и способности оказывать влияние на конкретную силу (группы или других людей). После этого группе необходимо выявить высшие оценки, поскольку они обозначают одновременно как важность силы, так и возможность легко повлиять на нее либо самой группой, либо другими людьми.

Шаг 6. Чтобы составить эффективный план действий, группа должна ответить на несколько вопросов, которые помогут определить конкретные шаги, направленные на уменьшение/устранение сдерживающих сил и усиление движущих сил. В большинстве случаев лучше начать с составления плана действий по уменьшению или устранению сдерживающих сил, так как это наиболее эффективный путь решения проблемы.

Следующие вопросы помогут обеспечить эффективное планирование действий:

Что именно нужно сделать?

Кто будет это делать?

Где это будет делаться?

Как это будет распространяться и поддерживаться?

- Модифицированный метод Дельфи -

«Дельфи», «дельфийский метод», «метод дельфийского оракула» происходят от названия местечка Дельфи, где жили оракулы-прорицатели при храме бога Аполлона (Древняя Греция). Слово главного оракула принималось за истину в последней инстанции.

Метод Дельфи в современном понимании – это процесс, в результате которого участники группы (или независимые эксперты) приходят к консенсусу относительно каких-то событий, не прибегая к дискуссии лицом к лицу.

Метод Дельфи способствует выработке независимости мышления членов группы, препятствует непосредственной конфронтации участников процесса и лишает их возможности отстаивать свои идеи. Кроме того, поиск решений проблемы данным методом позволяет учитывать мнение меньшинства, и в отдельных случаях оно может стать решающим.

Существует много различных модификаций метода Дельфи, используемых в различных сферах деятельности. Рассмотрим реализацию метода Дельфи.

Шаг 1

Руководитель или координатор группы предлагает ее участникам составить перечень возможных решений проблемы, записать их каждому на своем отдельном листе бумаги. В данном случае каждый работает самостоятельно. Данный шаг может быть организован либо во время проведения собрания группы, либо членам группы предлагается выполнить это задание между собраниями.

Руководитель собирает все листки и составляет общий список идей. Повторяющиеся предложения считаются как одно, и ничто не должно указывать, что какая-либо идея была высказана несколькими людьми. Как только общий список идей будет составлен, руководитель группы должен оформить весь список предложенных решений отдельно для каждого участника.

Шаг 2

После того как сформулирован полный список вариантов решения данной проблемы, каждого участника группы просят оценить важность предложенных идей и записать свои оценки в таблице. Можно воспользоваться двумя способами оценки при проведении данного метода.

1 балл – наиболее важное решение;

3 балла – скорее важное, чем нет;

5 баллов – несущественное влияние;

7 баллов – скорее не важное, чем важное;

10 баллов – совершенно неважное решение.

2 способ . Если вариантов решения меньше 10, то можно проранжировать их в порядке важности для того, чтобы оценить их следующим образом. Например, предложено для рассмотрения 7 вариантов решений. В этом случае 1 балл приписывается наиболее значимому решению, 2 балла – второму по степени важности и т. д. до 7. Одна оценка (1, 2, 3, 4, 5, 6 или 7) может соответствовать только одному варианту решения.

В данной графе указывается два числа через дробь: первая показывает весомость оценки (ее значение)

Решение проблем - это важная часть роли управленца. Авторы, писавшие исключительно на эту тему, полностью разделяли мнение, что принятие успешных решений зависит от реализации ключевых этапов системного подхода. В этой статье рассматриваются различные типы проблем как в общих чертах, и с точки зрения различных подходов к их решению, а также этапы решения и использование методик, которые могут дать более высокий результат. Современные авторы также обращают внимание на необходимость создания организационной культуры и климата, благоприятного для решения вопросов инновационного характера, что особенно важно, когда организация подвергается коренным изменениям.

Типы проблем

Его классификация типов проблем, с которыми обычно сталкиваются люди, по Фрэнсису (Francis, 1990):

1. Таинственность - необъяснимость отклонения от ожидаемого результата, упор делается на недостаточности объяснения случившегося, неясности причины, из-за которой ожидания не оправдались.

2. Назначение задания - проблема возникает, когда задание индивидууму выдает другое лицо, когда происходит своего рода соглашение между начальником и подчиненным. Договорные отношения должны быть понятны, ясны, достижимы и согласованны.

3. Трудность - проблема возникает, когда чего-то сложно достичь из-за незнания, как управлять сложившейся ситуацией, или недостатка ресурсов.

4. Возможность - ситуация, которая обещает потенциальную выгоду.

5. Головоломка - неясно, какой ответ верный, а какой ошибочный. Чтобы прийти к верному ответу, запутанность и неопределенность должны быть разрешены. Некоторые головоломки могут никогда не разрешиться.

6. Дилемма - имеются по крайней мере два варианта действия, они оба примерно одинаково привлекательны или непривлекательны, и требуется проявить рассудительность, чтобы выбрать из них более верный.

Те или иные этапы в процессе решения в зависимости от типа проблемы становятся приоритетными.

Этапы решения проблемы

Разница между хорошим и плохим менеджером состоит в том, насколько они способны применять системный подход к решению проблемы. Уилсон (Wilson, 1993) приводит сравнение между различными ранее разработанными моделями решения. Все модели основываются на том, что необходимо идентифицировать и объяснить проблему, используя правое полушарие мозга, чтобы накопить информацию и идеи. Затем наступает фаза более узконаправленного обдумывания для анализа собранных данных и определения направления дальнейших действий. Уилсон заметил, что каждая из культур требует своего количества времени на различных стадиях решения проблем. На Востоке, к примеру в Японии, требуется намного больше времени для генерации творческих идей, чем в западных культурах, где решение приходит гораздо быстрее, но и времени на реализацию идей тратится больше. В большинстве моделей акценты сделаны на следующих ключевых этапах:

1. Анализ проблемы - на этой стадии собирается информация для определения реальности существования проблемы и причин ее возникновения, а также оценивается ее важность.

2. Постановка цели и определение критериев успеха - здесь нужно иметь ясное представление о цели и о том, как и с помощью каких показателей будет оцениваться успех в ее достижении.

3. Накопление информации - на данном этапе требуется собрать данные и выдвинуть идеи, из которых затем можно будет выбрать варианты и оценить их сравнительную полезность.

4. Принятие решения - после оценки принимается решение в пользу наилучшего направления деятельности.

5. Реализация, осуществление - планируется все то, что нужно сделать, и выполняется план действий.

6. Рассмотрение достигнутых успехов - дается оценка тому, что прошло хорошо, что менее хорошо, и высказываются замечания на будущее (это исключительно важная стадия, которая часто опускается).

Методы решения проблем

Существуют множество методик успешного решения проблем. Многие из них включают оценку ситуации и анализ важности полученных результатов. Задаются четыре ключевых вопроса:

1. Почему проблема является важной?
2. Насколько важен результат решения проблемы в сравнении с другими вещами, также требующими внимания?
3. Кто будет участвовать в решении проблемы?
4. С каким реальным давлением и ограничениями придется столкнуться?

Мозговой штурм (brainstorming), метод «рыбий скелет», диаграммы Парето и гистограммы - все это относится к методам накопления информации или анализа.

Технология мозгового штурма была разработана Алексом Осборном (Alex Osborn) в 1950-х гг. с целью стимулировать творческие начинания в генерировании идей. Идея должна излагаться свободно и сразу записываться в таблицу. Люди должны ощущать свободу в действиях и раскрытии идей. Обсуждение не производится до того момента, пока не приступят к этапу оценки этих идей.

Технология «рыбий скелет» была разработана Ишикавой (Ishikawa) и широко используется при решении проблем в процессе управления качеством. Эта методика помогает в понимании связи причин и результата.

Диаграммы Парето и гистограммы используются для отображения числовой информации о возможных причинах возникновения проблемы. Они названы так в честь итальянского экономиста, который, в частности, установил принцип 80/20 (работы, важность которых составляет для организации 80%, требуют 20% усилий руководства, а работы, важность которых не превышает 20%, требуют 80% усилий. Искусство руководителя - отделять и исполнять важнейшие работы)..

Анализ силовых полей - также полезная технология при оценке факторов. Шаги, которые требуется предпринять:

1. Ясное определение желаемого результата.
2. Выявление благоприятных и неблагоприятных действующих сил.
3. Установление путей снижения силы неблагоприятных воздействий или их устранения, определение возможностей для проявления благоприятных факторов.
4. Выбор действий, направленных на достижение желаемых изменений, которые могут быть предприняты.

Методики, рассмотренные выше, могут быть использованы индивидуально, но они более эффективно работают в команде, особенно в тех случаях, где требуется творческое мышление.

Решение проблем в составе команды

Хотя модель и методы решения проблем известны, сам процесс работы в команде требует управления для активизации ее участников. Команды на собственном опыте определяют, какие трудности могут помешать эффективному решению проблемы, если их не преодолеть. По ходу командной работы выявляется, какие участники команды более эффективны на стадии внесения идей, а какие - на стадии их развития и проработки.

Белбин (Belbin, 1981 ) провел исследования в колледже управления Хенли с целью определения характеристик успешных команд. Он выявил девять ролей для участников и соответствующее им поведение, которое будет способствовать успеху в команде. У каждой роли есть своя партия в игре для успешного решения проблем. Среди членов команды одни генерируют идеи, оценивают их полезность, другие доводят их до решения, которое может быть реализовано в трудовой среде. Третьи нужны для поддержки эффективной совместной командной работы и для обеспечения завершения задач.

Робсон (Robson, 1988 ) определил три ключевые проблемы, лежащие за пределами групповых решений, на которые стоит обратить внимание. Так, иногда проблема, которая была задана группе для разрешения, просто исчезает. И наоборот, люди могут неохотно присоединяться к группе, разрешающей проблему, из-за страха продемонстрировать незнание либо группы могут восприниматься другими служащими с подозрением.

Робсон придает большое значение как внутренним проблемам, связанным с использованием времени, межличностными трудностями, недостатком соответствующих навыков и мотивации, так и проблемам, связанным с процессом принятия решения командой.

Согласно этой концепции, когда команда превращается в связанную общность, из нее исключаются люди с противоречащими общему мнению взглядами, а остаются те, кто выражает согласие со взглядами большинства. Участники команды, принимая решения в группе, становятся такими уверенными, что иногда рискуют даже больше по сравнению с вариантом индивидуального принятия решения, поскольку самым важным в такой команде считается поддержание гармонии.

Решение проблем, возникающих в процессе труда

Имеется сколько угодно способов решения проблем, возникающих в процессе труда, многим из которых можно научиться у японцев, имеющих опыт решения таких важных сегодня организационных задач, как достижение и сохранение конкурентного преимущества. Приведем ссылку на подход кайзен (kaizen), в котором использованы многофункциональные команды и кружки качества.

Философия кайзен(кайдзен), созданная в Японии и описанная Уолкером (Walker, 1993), признана как основа конкурентного успеха страны на мировом рынке. Она сейчас широко применяется в производстве даже в компаниях, не имеющих связей с Японией. Кайзен - это технология обеспечения долговременного развития за счет создания системы, предусматривающей постоянное внесение множества небольших изменений непосредственно на каждом рабочем месте. Система реализует так называемый «клиенто-ориентированный» подход, в рамках которого клиенты, внешние (покупатели) и внутренние (сотрудники), воспринимаются как наиболее важное достояние организации. Это требует атмосферы вовлеченности, ответственности и открытости.

Бесконечный цикл усовершенствований является мощной технологией, применяемой в этом подходе, и включает:

План - обследование/понимание/определение.

Дело - адекватные действия.

Проверка - подтверждение эффекта/оценка.

Акт - обратная связь с первоисточником.

Его можно назвать циклом ПДПА. Часто говорится, что японские менеджеры тратят 80% рабочего времени на планирование, в то время как на Западе столько же - на деятельность. Японские менеджеры стремятся к быстрому прохождению цикла ПДПА, особенно на первых двух этапах. Они дотошны в стандартизации и проверке каждой стадии развития системы.

Стефанс (Stephens, 1988) подчеркнул важность организационного климата как стимула или барьера на пути к эффективному решению проблемы. Множество организаций в творческом решении задач попадали в прошлом в провалы, поскольку преобладающим стилем управления на пути принятия рискованных решений было создание людям препятствий. Успешные организации поддерживали риски, принимая неудачу как реализованную возможность и вознаграждая за инновационные идеи. Авторитарный, критический стиль управления заставляет людей приспосабливаться к стратегии низкого уровня риска. Менеджеры, делегирующие решение проблем персоналу, дают возможность процессу выйти на такой уровень, где люди получают необходимую им информацию и принимают на себя обязательства за рекомендации.

В последующие десять лет решение проблем будет связано с преодолением не только функциональных, но и культурных границ и границ между компаниями. Так как бизнес становится все более глобальным, люди будут вынуждены развивать свои навыки в разрешении самых разных вопросов в условиях множества культур Их успешность будет зависеть от используемых методов и выявления тех разнообразных сил, происхождение которых зависит от принадлежности людей к той или иной культуре.

Что бы вас ни беспокоило: выбор нового гаджета, отношения с партнёром или завышенные требования нового начальника - у вас есть четыре способа избавиться от этого чувства:

• изменить себя и своё поведение;
• изменить ситуацию;
• выйти из ситуации;
• изменить своё отношение к ситуации.

Несомненно, есть ещё вариант оставить всё как есть, но это точно не про разрешение проблемы.

Всё, перечень закончился. Больше, как ни старайся, ничего не придумать. И если вы хотите поразмышлять над тем, как поступить, то предлагаю проделать следующие шаги.

Алгоритм действий

1. Сформулируйте проблему от первого лица

Проблемы «В мире ещё не создали гаджет, который мне нужен», «Он обо мне не заботится» и «Начальник - зверь, требует невозможного» неразрешимы. Зато проблемы «Я не могу найти гаджет, соответствующий моим критериям», «Я чувствую себя несчастной из-за того, что партнёр обо мне не заботится» и «Я не могу сделать то, что требует от меня начальник» вполне себе рабочие.

2. Проанализируйте свою проблему

Исходите из четырёх способов решения, представленных выше:

Возможно, вы поймёте, что хотели бы совместить несколько из них, например изменить своё отношение к ситуации и затем изменить своё поведение. А может быть, вы для начала будете рассматривать несколько способов на выбор. Это нормально.

4. Выбрав один, два или даже три способа, устройте себе мозговой штурм

Возьмите лист бумаги и ручку. Для каждого способа напишите как можно больше вариантов решения проблемы. На этом этапе отбросьте все фильтры («неприлично», «невозможно», «некрасиво», «стыдно» и прочие) и записывайте всё, что приходит в голову.

Например:

Изменить себя и своё поведение
Я не могу найти гаджет, соответствующий моим критериям	Я чувствую себя несчастной из-за того, что партнёр обо мне не заботится	Я не могу сделать то, что требует от меня начальник
Изменить критерии. Сделать тайм-аут в поиске. Написать разработчикам	Попросить проявить заботу. Рассказать, как бы я хотела, чтобы он проявлял заботу. Благодарить, когда заботится	Научиться делать это. Объяснить, почему я не могу этого сделать. Попросить кого-то сделать это

Для вдохновения:

• Представьте себе человека, которого вы уважаете и который обязательно смог бы вам помочь. Какие варианты решения проблемы он бы предложил?
• Попросите о помощи друзей и знакомых: мозговой штурм в компании проходит веселее.

Выберите наиболее подходящий для вас в данной ситуации.

6. Ответьте себе на следующие вопросы

• Что мне необходимо сделать, чтобы претворить это решение в жизнь?
• Что мне может помешать и как я смогу преодолеть это?
• Кто мне может помочь сделать это?
• Что я сделаю в ближайшие три дня, чтобы начать решать свою проблему?

7. Действуйте!

Без реальных действий все эти размышления и анализ - пустая трата времени. У вас всё обязательно получится! И помните:

Безвыходная ситуация - это ситуация, очевидный выход из которой вам не нравится.

Олавление

Программа создания, становления и развития комплексной кооперации образования, практики и проектирования в инновационном технопарке «Жигулевская долина». 3

Регламент проектно-аналитической сессии. 6

Списки групп. 7

Андрейченко Н.Ф. Установка на ПАС. День 1. 8

Макин А. Доклад «Тренды в IT». День 1. 9

Даниил Талянский. Тренды в управлении проектами. День 1. 12

И. Епанешников. Аналитика. День 2. 14

А. Макин. ТЗ ККОППу от RedmadRpbot. День 2. 14

Талянский Д. Аналитика. День 3. 15

Андрейченко Н.Ф. Установка на сборку. День 3. 16

Группа «Система управления КОПП». 17

Группа «Инфраструктура ККОПП». 18

Группа «Идеология ККОПП». 19

Группа «Финансы». 20

Группа «Реальные бизнес-проекты» (1) 21

Группа «Реальные бизнес-проекты» (2) 22

Группа «Маркетинг». 23

ПРОГРАММА СОЗДАНИЯ, СТАНОВЛЕНИЯ И РАЗВИТИЯ

КОМПЛЕКСНОЙ КООПЕРАЦИИ ОБРАЗОВАНИЯ, ПРАКТИКИ И ПРОЕКТИРОВАНИЯ

В ИННОВАЦИОННОМ ТЕХНОПАРКЕ «ЖИГУЛЕВСКАЯ ДОЛИНА»

ПОСТАНОВКА ПРОБЛЕМЫ

Мировым трендом в настоящее время является параллельное, кооперированное и распределенное выполнение сложных и продолжительных комплексов работ, выводящих на общий результат, к заданному сроку и в рыночных форматах. Необходимые для дела исследования в мире сегодня ведут совместно и университеты, и компании в своих научных центрах, и технопарки. Проектирование технологий и опытно-конструкторские работы – совместное дело инжиниринговых компаний, университетов, производственных фирм и частных лиц. Элементы образовательной инфраструктуры рассредоточены по Интернету, телевидению, университетам, колледжам и школам, корпоративным университетам корпораций, тренинговым и рекрутинговым фирмам, службам по работе с персоналом фирм, и даже, по развлекательным центрам. Решение бизнес задач, включая создание инновационного бизнеса (Start-up, Spin-up, Spin-out) производится и корпорациями, и фирмами, и технопарками, и университетами. Профилированные на определенной общественной функции структуры быстро транслируют способы своей работы (которыми они, естественно, владеют лучше своих партнеров) кооперантам для взаимопонимания и успешного взаимодействия.

Все это происходит в контексте технологизации и цифровой трансформации управленческой, да и вообще, интеллектуальной деятельности всех видов, инженерной, исследовательской, и т.д. Происходит в условиях тектонического сдвига от логоцентрической цивилизации (ориентированной на слово и текст) к инфографической (ориентированной на “цифру”, знак и схему). Например, не образование, или бизнес интегрируется в цифровой мир, а цифровой мир стремительно интегрирует и переструктурирует все, не спрашивая ни у кого согласия.

В отечественной практике указанные выше работы до сих пор выполняются по отдельности, последовательно и в административных формах соорганизации, вплоть до ручного управления. Опыт комплексной кооперации образования, проектирования и практики для решения городских, региональных, отраслевых или народнохозяйственных задач, скуден, до невозможности. В этих условиях, проблема цифрового выхода в мировой интеллектуальный мейн-стрим, как и включения в международное разделение функций, может и должна быть поставлена и решена не только в масштабе страны, но и в локальном, например, городском. Создание “форпоста” будущего мира как инструмента обеспечения перемен в масштабе города – реализуемая и достойная задача.

СПОСОБ РЕШЕНИЯ (СНЯТИЯ) ПРОБЛЕМЫ

Это организация и локализация в подходящем месте:

1. нерешенных инфраструктурных, хозяйственных и бизнес-задач;

2. прорывов в проектировании;

3. трансферта мировых технологий (в первую очередь, интеллектуальных);

4. цифровой переориентации локальной системы образования с “Начал”, “Основ”, и “Введений”, на “Вызовы”, “Пределы”, “Проблемы” и программы развития;

5. подготовки людей “цифрового” поколения без привязки к конкретным учебным заведениям, а с опорой на “живой” интеллектуальный ресурс сферы образования, совместно с бизнесом.

Наиболее подходящим местом в Тольятти для этого является инновационный технопарк «Жигулевская долина», заинтересованный в создании проектно-образовательного сервиса резидентов.

07.09.2009 Валерий Коржов

Новые законы оказывают определенное влияние как на рынок средств ИТ, так и на предлагаемые на нем технологические решения. Например, одним из наиболее влиятельных документов в области информационной безопасности до недавнего времени был закон "Об ЭЦП", настолько жестко регламентировавший использование технологии цифровой подписи, что многим клиентам приходилось сознательно выходить из-под его действия, чтобы использовать средства защиты, принятые во всем цивилизованном мире.

Новые законы оказывают определенное влияние как на рынок средств ИТ, так и на предлагаемые на нем технологические решения. Например, одним из наиболее влиятельных документов в области информационной безопасности до недавнего времени был закон «Об ЭЦП», настолько жестко регламентировавший использование технологии цифровой подписи, что многим клиентам приходилось сознательно выходить из-под его действия, чтобы использовать средства защиты, принятые во всем цивилизованном мире. Проанализируем, каким образом необходимость соответствия федеральному закону «О персональных данных», вступающему в силу 1 января 2010 года, повлияет на рынок информационной безопасности и что ИТ-компании будут вынуждены сделать, чтобы ему соответствовать.

Архитектура

В любой информационной системе современной компании всегда присутствуют персональные данные: телефонные книги, ведомости бухгалтерской отчетности, списки сотрудников и т.п.
В соответствии с законом все эти данные должны быть теперь защищены, однако для этого можно использовать разные уровни защиты. Подзаконные акты Федеральной службы по техническому и экспортному контролю РФ и ФСБ выделяют четыре категории персональных данных (К4-К1) – от обезличенных до наиболее ценных для индивида (сведения о здоровье, религиозных взглядах или особенностях личной жизни). Данные самой высокой категории, предоставляемые в Пенсионный фонд, имеются в любой компании (ведомости о зарплате с указанием ФИО, сведения о социальном положении сотрудника, наличие инвалидности, семейное положение, количество детей и др.).

Чем выше категория персональных данных, тем более сложные механизмы требуются для их защиты. Для самой низкой категории – К4 – достаточно обеспечить только целостность данных, причем подбор технологических решений остается на совести компании. Данные категории К1 необходимо в том числе, защитить от утечек по визуальным и звуковым каналам, а также по побочному электромагнитному излучению, что организовать довольно сложно, поскольку потребуется специальное помещение и компьютерное оборудование, а используемые для защиты решения должны иметь соответствующие сертификаты ФСТЭК и ФСБ. Последнее ведомство контролирует использование криптографии, однако без шифрования в системе такого уровня вряд ли удастся обойтись. К тому же при использовании сертифицированных ФСБ криптобиблиотек нужно еще иметь заключение на корректность их встраивания в продукт.

Существенные различия в требованиях защиты персональных данных для разных категорий информации неизбежно приведут к необходимости вносить изменения в имеющиеся архитектуры ИТ-систем, однако это относительно просто выполнить лишь для небольших баз данных, но не для всей системы целиком. Как следствие, компаниям придется выделять отдельные системы, отвечающие за работу с персональными данными высоких категорий, а для экономии средств защиту остальной информации обеспечивать на других, относительно недорогих конфигурациях. В результате могут потребоваться изменения архитектуры в таких системах, как CRM, центры обработки телефонных вызовов и т. д., требующих вынесения персональных данных контрагентов в отдельную базу данных с высоким уровнем защиты.

Архитектура решения должна позволять выносить персональные данные не только в отдельный сегмент сети, но и вообще во внешнюю компанию, поскольку, скорее всего, защитой этих баз будут заниматься специализированные компании, имеющие необходимый набор лицензий на разработку, продажу и предоставление услуг в области шифрования. Возможно, что организации просто не захотят самостоятельно выполнять требования закона и подзаконных актов, а будут передавать защиту своих данных на аутсорсинг. При этом используемые в компаниях программные продукты, такие как CRM, телефонные справочники и т. д., которые содержат персональные данные клиентов и партнеров, скорее всего, придется модифицировать.

Впрочем, сейчас появляются отечественные продукты, не требующие изменения приложений, например решение eToken SafeData компании Aladdin, которое осуществляет защиту СУБД путем выборочного шифрования строк и столбцов в таблицах. Однако необходимые механизмы криптозащиты таблиц и отдельных полей могут быть предусмотрены и в штатных СУБД – их только нужно правильно настроить.

Защита

Компании, собирающие персональные данные, обязаны защищать собранные сведения от модификации и разглашения. За соблюдением нормативных требований следит «Роскомнадзор» – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, ведущая реестр операторов персональных данных (pd.rsoc.ru). Сотрудники этого ведомства могут проверить любую компанию на соблюдение требований по защите персональных данных – регулярными проверками они будут заниматься после 1 января 2010 года, а пока реагируют на жалобы граждан. Если окажется, что в компании недостаточно заботятся о защите персональных данных, то ведомство вправе потребовать от оператора в трехдневный срок исправить все недочеты или уничтожить персональные данные. Чтобы этого избежать, лучше заранее позаботиться о классификации персональных данных и обеспечении их защиты в соответствии с требованиями подзаконных актов.

Фактически подзаконные акты ФСТЭК и ФСБ требуют от операторов построения современной системы защиты с использованием антивирусных решений, межсетевых экранов, систем предотвращения вторжений, управления идентификацией пользователей и контроля доступа, шифрования, защиты от утечек, системы управления событиями безопасности и других защитных механизмов, перечисленных в руководящем документе ФСТЭК «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных». Этот документ формулирует общую методику построения защиты информационных систем и требует классифицировать данные, определить их места хранения, построить для них модель угроз и модель нарушителя и уже на основе этих данных выбирать средства защиты, которые могли бы предотвратить реализацию угроз из подготовленного списка. Рассмотрим более подробно список продуктов защиты и перечень предотвращаемых ими угроз.

Базовые инструменты

Защиту персональных данных можно обеспечить только в той информационной системе, где злоумышленник не может вмешаться в работу ее базовых элементов – сетевых устройств, операционных систем, приложений и СУБД.

Антивирусы. Защита от вирусов является одним из средств предотвращения утечек конфиденциальной информации, в том числе и персональных данных, – вирусы, черви и другие вредоносные программы часто занимаются воровством информации и организуют скрытые каналы утечки. Современные антивирусные решения включают в себя не только сигнатурную защиту, но и более современные средства, такие как поведенческий анализ программ, экраны уровня приложений, контроль целостности критических для операционной системы данных и другие методы защиты рабочих мест и серверов.

Межсетевые экраны. Корпоративная сеть целиком и каждое отдельное рабочее место должны быть защищены не только от массовых атак с помощью вирусов, но и от целенаправленных сетевых атак. Для этого достаточно поставить систему блокировки неиспользуемых сетевых протоколов и сервисов, что и делает межсетевой экран. Часто к функциональности межсетевых экранов добавляют и средства организации виртуальных частных сетей – VPN.

В некоторых антивирусных решениях класса Internet Security (например, «Лаборатории Касперского», Symantec, Eset, McAfee и Trend Micro) уже встроены персональные межсетевые экраны, фиксирующие атаки по сетевым протоколам и попытки сетевых червей проникнуть на защищаемую машину. Кроме того, межсетевые экраны должны быть активированы на шлюзовом маршрутизаторе (такой функционал, как правило, имеется в сетевых устройствах), что позволит создать так называемую демилитаризованную зону (DMZ) для внешних Web-приложений и систем электронной почты. Собственно, в DMZ, для доступа к которой в межсетевом экране используются более жесткие правила, размещаются сетевые ресурсы, доступные извне, и защитные механизмы для них.

Системы предотвращения вторжений. Системы предотвращения вторжений (Intrusion Prevention System, IPS) устанавливаются в разрыв сети и служат для выявления в проходящем трафике признаков нападения и для блокировки обнаруженной наиболее популярной атаки. В отличие от шлюзовых антивирусов, IPS анализируют не только содержимое IP-пакетов, но и используемые протоколы и корректность их использования. Спектр атак, от которых могут защитить системы предотвращения вторжений, несколько шире, чем у шлюзовых антивирусов. Системы IPS производят как компании, специализирующиеся на сетевой защите, такие как Check Point и McAfee (продукт Network Security Platform), так и производители сетевого оборудова-ния – Juniper и Cisco.

Сканеры уязвимостей. К общим средствам защиты относятся также сканеры уязвимостей, которые проверяют информационную систему на наличие различных «брешей» в операционных системах и программном обеспечении. Как правило, это отдельные программы или устройства, тестирующие систему путем посылки специальных запросов, имитирующих атаку на протокол или приложение. Наиболее популярными продуктами этого класса являются MaxPatrol, семейство продуктов IBM ISS, Symantec и McAfee (Vulnerability Manager). Впрочем, сейчас появляются пассивные сканеры, которые просто контролируют сетевой трафик и выявляют в нем наличие тех или иных признаков уязвимости. Такие сканеры только появились и еще не завоевали достаточно большой доли рынка. Сканеры уязвимостей можно использовать для проведения внутреннего аудита защиты, который предусмотрен в требованиях ФСТЭК.

Упомянутые средства защиты являются общими для всей сети и не связаны непосредственно с защитой собственно персональных данных, однако в требованиях ФСТЭК их наличие специально оговаривается, поэтому эти базовые средства должны быть у каждого оператора персональных данных, причем даже для минимального уровня К4, где выбор средств защиты предоставляется самому оператору.

Защита от утечек

Набор средств для защиты конфиденциальных данных от утечек находится сейчас в стадии формирования. Имеется три класса таких продуктов: системы контроля над периферийными устройствами, системы защиты от утечек (Data Leak Prevention, DLP) и средства шифрования, причем каждый из производителей считает, что именно его продукт защищает от утечек. Скорее всего, для полной безопасности имеет смысл сочетать все три типа продуктов, но пока таких комплексных решений на рынке нет. Продукты для предотвращения утечек конфиденциальной информации можно использовать не только для защиты персональных данных, но и для предотвращения разглашения любых критических для работы предприятия сведений. С помощью этих средств компания может не только формально удовлетворить требования ФСТЭК по защите персональных данных, но и попутно решить задачи по защите других видов конфиденциальной информации.

Контроль над устройствами. Нередко утечка данных происходит через съемные носители информации и несанкционированные каналы связи: флэш-память, USB-диски, Bluetooth или Wi-Fi, поэтому контроль за использованием USB-портов и другого периферийного оборудования также является одним из способов контроля утечек. На рынке имеется несколько решений этого класса, например от компаний SmartLine и SecureIT.

DLP. Системы защиты от утечек позволяют с помощью специальных алгоритмов выделить из потока данных конфиденциальные и заблокировать их несанкционированную передачу. В DLP-системах предусмотрены механизмы контроля разнообразных каналов передачи информации: электронной почты, мгновенных сообщений, Web-почты, печати на принтере, сохранения на съемном диске и др. Причем модули DLP блокируют утечку только конфиденциальных данных, поскольку имеют встроенные механизмы для определения того, насколько та или иная информация является секретной.
В этом случае используется три технологии: по ключевым словам и регулярным выражениям, по отпечаткам эталонных конфиденциальных документов или по меткам секретности. Продукты разных производителей до недавнего времени использовали один из этих методов, однако в последнее время ведутся разработки комплексного механизма контроля конфиденциальности, который использовал бы несколько перечисленных методов.

Шифрование. Защита данных от утечек так или иначе использует механизмы шифрования, а эта отрасль всегда контролировалась ФСБ, и все требования по сертификации систем шифрования публикуются и проверяются этим ведомством. Следует отметить, что шифровать нужно не только сами базы персональных данных, но и их передачу по сети, а также резервные копии баз данных. Можно использовать механизмы шифрования, встроенные в базы данных, однако для их законного применения требуется интегрировать в них российские алгоритмы шифрования, что не всегда возможно, поэтому некоторые российские компании разрабатывают собственные продукты, в частности уже упоминавшийся продукт Aladdin eToken SafeData. Впрочем, для защиты персональных данных можно шифровать целые разделы файловой системы, которые используются для хранения данных, такие решения предлагаются в России несколькими компаниями. Наиболее активны в этой сфере Aladdin, SecureIT, InfoWatch и «Физтех-Софт», однако на больших базах данных продукты этих компаний могут сильно замедлять производительность, поэтому для них можно либо использовать специализированные продукты, либо выделять их в отдельные базы, которые шифруются отдельно.

Шифрование используется и при передаче персональных данных по сети в распределенной системе. С этой целью можно применять предлагаемые различными разработчиками продукты класса VPN, которые, как правило, базируются на шифровании, однако подобные системы должны быть сертифицированы и тесно интегрированы с базами данных, в которых хранятся персональные данные.

RMS (Right Managemеnt System). Системы данного класса базируются на алгоритмах шифрования, однако управляют не процессом шифрования документов, а ключами дешифрации. Эти ключи хранятся на центральном сервере системы, и доступ к ним разрешается после прохождения процедуры строгой аутентификации пользователя, что означает – расшифровать документ может только тот пользователь, у которого есть на это права. Решения класса RMS предлагают пока в основном зарубежные компании – Microsoft (Microsoft RMS), Oracle (Oracle IRM) и ряд других, поэтому при использовании в российских условиях этих продуктов могут возникнуть проблемы с сертификацией в ФСБ. Кроме того, в существующих продуктах права доступа к ключам определяют авторы документов, что не позволяет защититься от внутренних угроз, как это делается в DLP-системах. Поэтому пока системы RMS не получили должного распространения в качестве средств защиты от утечек информации.

Перечисленные продукты предотвращают утечки в том числе и персональных данных, хотя их можно использовать и для защиты другой критической для компании информации, однако следует помнить, что для выполнения требований закона «О персональных данных» надо пользоваться сертифицированными средствами защиты и при их установке следует проверить наличие сертификата ФСТЭК, а на средства шифрования
и сертификата от ФСБ.

Защита по-большому

Следует отметить, что в подзаконных актах ФСТЭК имеется разделение на небольшие, средние и распределенные базы данных, требования к защите которых сильно различаются. Так, для защиты распределенных баз, как правило, нужны дополнительные инструменты защиты, что и понятно – распределенная база должна иметь каналы связи между своими частями, которые также необходимо защищать. Вообще, для защиты больших информационных систем есть несколько продуктов, позволяющих централизованно контролировать крупные установки защитных продуктов.

Управление правами доступа. В большой информационной системе главной проблемой для администратора является правильная организация доступа сотрудников к различным ресурсам – от корректной настройки прав доступа часто зависит сохранность конфиденциальных данных, поэтому система управления правами доступа должна быть включена в систему защиты крупной информационной системы. Такая система обычно позволяет ввести ролевое управление правами доступа и контролирует соблюдение этих прав. Система также блокирует попытки изменить права доступа без разрешения администратора безопасности, что обеспечивает защиту от локальных администраторов. Типичными представителями этого семейства продуктов являются Oracle IAM и IBM Tivoli Access Manager, но можно назвать также и McAfee Unified Secure Access Solution. Следует отметить, что методика защиты персональных данных предполагает управление правами доступа в системах любых размеров, обрабатывающих такую информацию, однако в небольших базах данных достаточно ручного управления правами доступа.

Корреляция событий. Крупная система защиты может генерировать множество сообщений о потенциальных нападениях, которые лишь потенциально способны привести к реализации той или иной угрозы. Часто такие сообщения являются лишь предупреждениями, однако у администраторов безопасности большой системы должен быть инструмент, который позволил бы им разобраться в сущности происходящего. Таким инструментом анализа может стать система корреляции событий, позволяющая связать несколько сообщений от устройств защиты в единую цепь событий и комплексно оценить опасность всей цепочки. Это позволяет привлечь внимание администраторов безопасности к наиболее опасным событиям. Примерами подобных систем являются Cisco MARS или netForensics, однако аналогичные модули есть и в Tivoli Security Operations Manager (TSOM).

Управление безопасностью. Системы централизованного управления защитными механизмами позволяют полностью контролировать все события, связанные с безопасностью информационной системы. Продукты этого уровня могут обнаруживать защитные механизмы, установленные на предприятии, управлять ими и получать от них отчеты о происходящих событиях. Эти же продукты могут автоматизировать решение наиболее простых проблем или помогать администраторам быстро разобраться в сложных атаках. Это, например, уже названный IBM TSOM, LANDesk Security Suite или McAfee Network Security Manager.

Все перечисленные продукты не являются обязательными для защиты крупных информационных систем, однако они позволяют автоматизировать большинство задач, решаемых администраторами безопасности, и минимизировать количество сотрудников, необходимых для защиты большой системы.

Фактически закон «О персональных данных» требует от компаний – участников рынка информационной безопасности построения современной системы защиты, которая может пригодиться не только для сохранения персональных данных, но и для полного контроля за всей информационной системой, предотвращения утечек конфиденциальной информации или других видов тайн, предотвращения вывода из строя наиболее важных частей информационной системы. Поскольку в той или иной форме персональные данные имеются у всех компаний, этот закон можно воспринимать как требования государства по информационной защите любого вида деятельности и не следует игнорировать требования этого закона. К тому же большинство компаний уже выполнили часть работы по защите персональных данных, так как невозможно пользоваться Сетью без установки какого-либо антивируса и межсетевого экрана.

Однако соблюдение всех требований закона, а точнее подзаконных актов чиновников из ФСТЭК и ФСБ, может оказаться делом довольно сложным, справиться с которым компании до 1 января 2010 года, похоже, не сумеют. На этой почве открывается большое поле деятельности для предприятий, способных оперативно построить корпоративную систему защиты информации и подготовить необходимый пакет документов для проверяющих органов. Другим вариантом решения проблемы соответствия закону «О персональных данных» является передача функции защиты персональных данных сторонним организациям, и такие компании-аутсорсеры уже начинают появляться в России. Тем не менее этот вариант может быть связан с изменением ИТ-архитектуры и потребует времени
и дополнительных расходов.

Валерий Коржов () – обозреватель Computerworld Россия (Москва).

Как защититься от утечек

В приведены методы защиты конфиденциальной информации, из которых первые пять обеспечивают единичные сценарии защиты конфиденциальных данных от утечки, а подход 6 позволяет получать финансово значимый результат уже в первые недели после внедрения системы. Подход 7 требует кропотливого внедрения и отладки (от одного до трех лет). Подходы 8-10 дополняют DLP-системы за счет снижения рисков утечки в результате кражи/потери ноутбуков или дисков. Подходы 11-12 в той или иной степени используются во всех компаниях и могут косвенно повлиять на снижение рисков утечки информации.

Терминальные решения

Серьезную проблему для защиты персональных данных представляют современные децентрализованные информационные системы -- выполнить требования защиты для всех персональных компьютеров намного сложнее, чем для отдельных серверов. Поэтому одним из возможных вариантов снижения сложности проекта по защите персональных данных является внедрение классического терминального решения, в котором данные не покидают пределов сервера, а на рабочие места пользователей устанавливаются бездисковые терминальные станции.

Одним из возможных вариантов построения подобной системы является решение, разработанное совместно компаниями Sun Microsystems и «Свемел», состоящее из защищенного сервера с операционной системой «Циркон-10», сервера терминального доступа «Циркон-Т», а также набора терминалов Sun Ray 2, Sun Ray 2FS или Sun Ray 270, производимых компанией Sun по техническим требованиям «Свемел». Операционная система «Циркон-10» представляет собой специализированную версию ОС Solaris 10 со встроенной системой защиты Trusted Extension, исходные коды которой сертифицированы ФСТЭК на отсутствие программных закладок и надежность контроля доступа. Система может работать как на платформе SPARC, так и на серверах x86, позволяя запускать весь набор приложений для Solaris 10.

Особенностью терминалов Sun Ray является аутентификация пользователей с помощью смарт-карт, что более надежно, чем пароли. При этом канал связи между терминалом и сервером также защищается с помощью шифрования. Пользователи могут с одного рабочего места работать либо с ресурсами защищенной либо открытой рабочей среды – выбор осуществляется с помощью специальных смарт-карт. Таким образом, решение «Свемел» позволяет создать защищенную среду обработки персональных данных.