Что такое цикл деминга pdca простыми словами

Содержание данной статьи проверено и подтверждено:

Для функционирования в штатном режиме финансовым организациям необходимо реализовать правильную систему защиты информации (далее — система ЗИ).

Контроль за исполнением необходимых требований осуществляют регуляторы в лице Банка России (далее — БР), ФСБ, ФСТЭК, Роскомнадзора и Минцифры.

Регуляторы предоставляют компаниям нормативную базу, позволяющую правильно выстроить систему ЗИ в компании. Требований, необходимых для соблюдения, достаточно много, поэтому к построению системы ЗИ необходимо подходить комплексно.

То, что написано в статье, может казаться очевидным, но именно эти принципы легли в основу международной системы менеджмента качества ISO 9000, которая используется в компаниях всего мира.

Цикл Деминга

Цикл Деминга — это процесс непрерывного контроля качества, совершенствования продукта и процессов. Именно по этой причине ключевое слово здесь — цикл, который выглядит следующим образом:

• Планирование
• Выполнение
• Проверка
• Внедрение

Обычно цикл обозначается аббревиатурой PDCA: Plan-Do-Check-Act.

Классический цикл Деминга

Простыми словами, цикл Деминга — это цикл перманентного контроля качества.

Пример применения цикла Деминга

Рассмотрим пример на примере запуска контекстной рекламы. Для достижения лучшего результата необходимо провести 4 итерации:

1. Планирование: определение целей и инструментов для их достижения.
2. Действие: запуск рекламной кампании.
3. Проверка: оценка результатов и достижение целей.
4. Корректировка: улучшение стратегии на основе результатов.

Применение цикла PDCA

Циклы PDCA повторяются столько раз, сколько необходимо для достижения желаемого результата. Ниже рассмотрим количество итераций для различных процессов.

Сходство с методологией Agile

Принципы и структура методологии Agile, применяемой при разработке программного обеспечения, также имеют сходство с циклом Деминга:

• Планирование спринта.
• Выполнение задач спринта.
• Презентация итогов спринта.
• Пересмотр требований и выбор новой стратегии.

Циклы в Agile

Из-за схожести подходы часто сравнивают, а некоторые утверждают, что цикл Деминга — часть Agile. Но не стоит забывать, что Деминг озвучивал свои теории минимум на полвека раньше первых упоминаний о гибкой методике разработки. Поэтому последняя — лишь вариация на тему разумного, доброго, вечного.

Главный критерий качества

В обеих методиках во главу угла и как главный критерий качества ставится удовлетворенность заказчика: поставьте здесь галочку, мы к этому обязательно вернемся.

Система менеджмента качества на предприятии: зачем она нужна?

29 июля 2022 9:53

Что такое внутренний аудит и как его проводить?

Cертификация систем менеджмента: вопросы и ответы

Аудит на соответствие стандартам качества

Аудит на соответствие стандартам качества

Вопрос внедрения системы менеджмента качества и приведения ее к соответствию требованиям международных стандартов становится с каждым днем все более актуальным. Также становится актуальным и аудит на соответствие стандартам качества.

19 января 2022 19:21

Риски в системе менеджмента качества

Система управления качеством медицинской помощи очень важна

Система управления качеством медицинской помощи очень важна

Качество медицинской помощи – совокупность характеристик, подтверждающих соответствие оказанной медицинской помощи имеющимся потребностям пациента, его ожиданиям, современному уровню медицинской науки, технологиям и стандартам.

14 января 2022 15:15

Проектирование системы менеджмента качества

Контроль качества продуктов питания: система и методы

Система контроля качества – это совокупность взаимосвязанных объектов и субъектов, применяемых методов, а также средств оценки качественных показателей продуктов питания на разных этапах их производства.




История системы менеджмента качества: создание и развитие



СМК и политика в области качества

В менеджменте качества установлена следующая иерархия понятий: видение, миссия, стратегия, цель, политика. При этом политика понимается как набор дополнительных ориентиров для правильного направления деятельности по реализации принятой стратегии.


Оценка эффективности системы менеджмента качества: основные моменты



Оценка результативности системы менеджмента качества


Этапы разработки системы менеджмента качества на промышленном предприятии


Интегрированные системы управления качеством на службе у бизнеса


Система менеджмента качества строительной организации в России


20 июля 2021 15:29

Управление персоналом в системах менеджмента качества


Методы анализа качества на предприятии


Интегрированная система менеджмента


Интегрированная система менеджмента

5 июля 2021 18:04

Интеграция систем менеджмента в управление предприятием


Улучшение системы менеджмента качества как путь к конкурентоспособности


Процессный подход в управлении качеством


Процессный подход в управлении качеством

19 мая 2021 16:11

Разработка СМК на предприятии – три основных этапа


шагов успеха. Советы Генеральному директору


Интегрированные системы менеджмента


Интегрированные системы менеджмента

Интегрированные системы менеджмента (ИСМ) – системы менеджмента, сочетающие в себе одновременно два и более стандартов.

8 февраля 2021 17:55

Планирование в системе менеджмента организации — разработка задач и способов их решения


Система менеджмента качества в колледже позволяет повысить уровень образования


Управление качеством в здравоохранении носит комплексный характер


Управление качеством в здравоохранении носит комплексный характер

2 февраля 2021 16:42

ISO для кофе – принципы и особенности

1 февраля 2021 11:38

Система менеджмента качества испытательной лаборатории

20 января 2021 10:30

Внедрение системы менеджмента качества на предприятии

7 января 2021 12:26

Система менеджмента качества ISO 9001

Что же нужно сделать для того, чтобы с максимальным успехом внедрить на предприятии системы менеджмента качества ISO 9001? Нужно грамотно описать бизнес-процессы.

24 сентября 2020 17:07

Построение СМК в стоматологии

Одним из первых в сфере здравоохранения стоматология обратила внимание и на создание таких систем, как системы менеджмента качества согласно международным стандартам.

9 сентября 2020 13:32

СМК в логистике и транспорте

19 июля 2020 14:24

Документы, необходимые при создании и внедрении СМК

Грамотно составленный комплект документов, описывающих правильное построение системы обеспечения качества, является базовым инструментом и основой успешного функционирования процессов на предприятии.

13 мая 2020 14:02

Формирование системы управления качеством на производстве

Для того чтобы выйти на европейский рынок российским заводам приходится выстраивать и сертифицировать систему управления качеством в обязательном порядке. В противном случае, на европейское сотрудничество можно не рассчитывать.

22 марта 2020 17:20

Эволюция систем управления качеством проходила в несколько этапов

18 марта 2020 17:16

Сертификация систем управления качеством позволяет расширить рынки

15 марта 2020 17:15

СМК – главная составляющая системы управления

2 марта 2020 15:14

ISO 9001 на упаковке – знак качества?

Маркировка ISO 9001 на упаковке означает, что на предприятии, выпустившем продукцию, действует система управления качеством, основанная на международных стандартах ISO серии 9000.

28 января 2020 12:53

СМК в образовании – гарантия качественных специалистов

Внедрение Системы менеджмента качества (СМК) позволяет организации стать более устойчивой и конкурентоспособной, постоянно улучшать свою деятельность, привлекать новых клиентов и удерживать существующих.

26 января 2020 14:23

Международные системы управления качеством на предприятиях

18 января 2020 14:48

Порядок сертификации системы менеджмента качества

Сертификация системы менеджмента организации является одним из средств подтверждения того, что организация разработала и внедрила систему менеджмента в соответствии с требованиями соответствующего международного стандарта.

13 января 2020 16:18

Методы обеспечения качества продукции бывают разными

5 января 2020 18:28

Внедрение ISO 9001 в проектной организации

13 ноября 2019 13:52

СМК в сельском хозяйстве

Создание системы менеджмента качества – одно из основных конкурентных преимуществ и дополнительный стимул к развитию компаний сельскохозяйственной отрасли.

4 ноября 2019 13:45

Сертификация – одно из основных конкурентных преимуществ вузов

28 октября 2019 13:40

18 октября 2019 13:27

Планирование эффективной системы менеджмента качества

11 октября 2019 14:50

Сертификация в фармацевтике должна проводиться обязательно

Товары и системы менеджмента, которые хотя бы в малейшей степени могут повлиять на самочувствие людей и состояние здоровья животных, нуждаются в подтверждении соответствия установленным требованиям (сертификации).

8 октября 2019 12:50

О том, как внедрить СМК

Внедрение системы менеджмента качества – это требование ныне существующего рынка, необходимый шаг к успеху в бизнесе. Внедрить СМК – значит выйти на новый уровень ведения бизнеса, получить новые возможности.

27 сентября 2019 18:28

Процессная система организационного управления – особенности

30 августа 2019 12:09

Сертификат соответствия СМК: как предприятию его получить?

Сертификация систем управления предприятия способствует повышению конкурентоспособности на отечественном и зарубежном рынке. Наличие у компании сертификата соответствия СМК является показателем качества и безопасности выпускаемой продукции.

27 августа 2019 17:59

Сколько стоит СМК – разработка и внедрение

22 июля 2019 19:17

Показатели результативности СМК и их анализ

10 июля 2019 10:44

СМК для пищевой промышленности — показатель качества продукции

Для обеспечения безопасности и качества пищевой продукции в данной области промышленности наиболее популярными являются системы, основанные на следующих мировых и отечественных стандартах — ISO 9001, HACCP, ISO 22000, FSSC 22000 и ряд других.

24 июня 2019 11:57

Организационная структура СМК

7 июня 2019 9:39

Планирование в системе менеджмента и его смысл

Планирование на предприятии – экономический метод управления, представляет собой процесс проектирования, желаемого будущего, а также эффективных путей его достижения.

4 июня 2019 18:53

Проверка системы менеджмента качества на предприятиях

6 мая 2019 9:34

Мебельная фабрика и СМК

Мебельная фабрика, СМК которой соответствует стандарту ISO 9001, имеет право получить сертификат, подтверждающий, что все технологические и бизнес-процессы, направленные на неизменное улучшение качества продукции, являются эффективными.

23 апреля 2019 19:20

Порядок разработки СМК состоит из нескольких этапов

Международный стандарт ISO 9001 устанавливает требования к системе менеджмента качества (СМК). Настоящий стандарт позволяет организации применять процессный подход в сочетании с циклом PDCA.

17 апреля 2019 17:37

Процесс закупок регламентирует поставки сырья

3 апреля 2019 17:28

Система управления качеством гостиничных услуг

31 января 2019 16:32

ISO 9001 для малых предприятий

21 января 2019 16:19

ISO 9001 для тендера – увеличит шансы на победу

17 января 2019 16:16

Моделирование систем менеджмента – с чего начать?

21 февраля 2018 15:16

Построение системы менеджмента качества: как оно происходит?

23 декабря 2015 18:59

• По стр.

Эффективное планирование как залог успеха цикла Деминга

Как и во многих методологиях управления процессами, самое главное в PDCA подходе — планирование. Неверно поставленные цели сводят на нет всю остальную работу.

При планировании нам на помощь придут основы целеполагания: рекомендуется придерживаться принципов SMART-целей:

• Specific — конкретная.

• Measurable — измеримая.

• Achievable — достижимая.

• Relevant — адекватная.

• Time bound — ограниченная во времени.

Какими должны быть SMART-цели

Итак, цели должны быть:

1. Конкретными. Не на уровне идеи, а на уровне концепции. Плохо: нам нужно сделать сайт. Хорошо: нужно сделать сайт интернет-магазина детских товаров на 10 000 артикулов с системой доставки и оплаты, CMS — «Битрикс».

2. Измеримыми. Плохо: нужно увеличить продажи. Хорошо: нужно увеличить продажи на 25 %.

3. Достижимыми. Боль тех же продажников — план, который заведомо невозможно выполнить. А зачем пытаться его выполнять и расходовать ресурсы, если толку все равно не будет? Плохо: увеличить продажи на 1 000 %. Хорошо: увеличить продажи на 15 %.

4. Актуальными и адекватными. Продолжим пример с продажами. Продажи на миллион из месяца в месяц — не самая хорошая идея. Всегда есть сезонные колебания спроса, праздники и пики продаж. Это касается почти любых товаров, даже повседневных. Поэтому от цикла к циклу цели нужно актуализировать.

5. Ограниченными во времени. Попросту срок выполнения задачи. Плохо: увеличить продажи. Хорошо: увеличить продажи в первом квартале.

Коротко о главном

• Цикл Деминга-Шухарта — это методология для непрерывного улучшения процессов.

• Модель можно использовать практически в любой сфере: промышленности, маркетинге и разработке, продажах.

• Цикл представляет собой повторяющиеся действия: планирование — выполнение — проверка — внедрение. Обычно цикл обозначается в виде аббревиатуры PDCA: Plan-Do-Check-Act.

• Количество циклов зависит от специфики процессов и того, насколько они растянуты во времени.

• Плюсы PDCA: гибкость, универсальность, возможность применения как к работе в целом, так и к отдельным ее участками. Минусы — не подходит для срочных задач, линейность.

• Ключевое значение при PDCA имеет планирование, при этом рекомендуется ставить SMART-цели: конкретные, измеримые, достижимые, актуальные и ограниченные во времени.

Сколько циклов нужно одному проекту

Глобально случаев будет 2.

Разовая работа с конечным и измеримым результатом

Это относится к случаям, когда нужно произвести любой продукт, товар или услугу, для заказчика. В формате «у вас заказали, вы сделали и отдали». Примерно можно приводить сколько угодно: это может быть разработка сайта или мобильного приложения, запуск интернет-магазина и многое другое.

В этом случае циклов будет ровно столько, сколько нужно для удовлетворения заказчика за определенный промежуток времени. Продукт совершенствуется до тех пор, пока клиент не скажет заветное «ок». Если вы профессионал, это может быть всего одна-две итерации. Сделали хорошо с первого раза — очень хорошо, потратите меньше ресурсов.

Постоянная работа, повторяющаяся во времени

Совсем другое дело, если мы сталкиваемся с регулярной и цикличной историей. Здесь речь о таких процессах, как работа рекламного агентства, целого производства, ведение социальных сетей. Все это тоже можно улучшить и оптимизировать при помощи цикла Деминга.

Объясним на примере. Допустим, мы хотим оптимизировать работу отдела продаж на предприятии или в агентстве интернет-маркетинга. Скажите, как долго ее можно оптимизировать? Правильно, до бесконечности. Даже если сегодня все работает идеально или почти идеально, завтра появятся новые тренды и подходы, которые нужно внедрять, чтобы опередить конкурентов или хотя бы быть с ними наравне.

План продаж по сотрудникам

Логично, что и циклов Деминга в этом случае будет бесконечное количество и на дистанции жизненного цикла компании. Нужно постоянно тестировать новые гипотезы, выявлять ошибки и слабые места, вовремя внедрять новшества.

Нормативная база

Документ, на который необходимо обратить внимание в первую очередь — это Стандарт БР СТО БР ИББС-1.0-2014.

Данный документ является базовым, поэтому в нем подробно описаны все процессы, которые необходимо реализовать в организации для обеспечения информационной безопасности (далее – ИБ).

Стандартом определяются необходимые требования для следующих областей системы ЗИ:

• Назначение и распределение ролей

• Управление доступом

• Регистрация действий

• Антивирусная защита

• Поддержка ИБ на стадиях жизненного цикла автоматизированной банковской системы (далее – ЖЦ АБС)

• Ресурсы Интернета

• Использование средств криптографической защиты информации (далее – СКЗИ)

• Банковские платежные и технологические процессы

Список областей системы ЗИ необходимо расширять согласно потребностям своей организации и возможным рискам

Например, в документе ГОСТ Р 57580.1 количество областей защиты больше.

Помимо приведенных выше он выделяет области:

• Защита вычислительных сетей

• Контроль целостности и защищенности информационной инфраструктуры

• Предотвращение утечек информации

• Управление инцидентами

• Защита среды виртуализации

• Защита информации при осуществлении удаленного доступа с использованием мобильных устройств

Многие требования данных документов дублируют друг друга, но ГОСТ содержит в себе четкие меры, выполнение которых обязательно.

Стандарт БР СТО БР ИББС-1.0-2014, в отличие от таких документов как: ГОСТ Р 57580.1, 1, 719-П, 757-П, 683-П, 802-П, 747-П, 779-П, 787-П, не является обязательным для исполнения документом.

Он носит рекомендательный характер, позволяя специалистам компании самостоятельно построить систему защиты информации и произвести самооценку соответствия ИБ.

Также помимо этих документов есть различные Положения, Приказы, Рекомендации от регуляторов, требования которых необходимо принимать во внимание и выполнять.

Пример применения цикла Деминга

Приведем еще один пример, в котором можно с успехом применять цикл Деминга PDCA. Возьмем случай с отделом продаж. Известная история, что планы продаж для отделов и конкретных отдельно взятых сотрудников постоянно растут. Именно на этом участке и можно применить подход Деминга.

1. Планирование. Мы хотим увеличить план продаж на 25 %. Для этого будет использовать несколько инструментов: обучение сотрудников новым скриптам, повышение среднего чека путем продажи дополнительных товаров, а также привлечение новых покупателей и увеличение базы.

2. Реализация. Пока внедряем все и сразу: скрипты, дополнительные продажи и другие инструменты, которые придумали на предыдущем этапе.

3. Оценка результата. А вот здесь все интереснее. Поскольку мы внедрили все новшества, очевидно, что первые будут работать лучше, вторые — хуже, а третьи не заработают вовсе или вовсе принесут больше вреда, чем пользы. Например, дополнительные продажи пошли на ура, а вот со скриптами все плохо: на этапе разговора с менеджером по продажам стало отваливаться еще больше покупателей.

4. Корректировка и внедрение. Рефлексируем и оцениваем все, что произошло на стадии оценки результата. Без сомнения можно сразу внедрять то, что принесло положительный результат: доппродажи и привлечение новых покупателей. А вот неудачные скрипты внедрять не будем, их нужно доработать.

Далее цикл повторяется по-новой: планирование (с переделкой существующих скриптов и обучением им сотрудников), тестирование гипотезы, оценка результата и внедрение. И так далее, пока работает наш отдел продаж. Завтра хотим повысить продажи еще на 10 % — проделываем тоже самое. Появился новый продукт — опять, и так до бесконечности.

Сертификации, декларации

Руководство предприятия определило свои основные приоритеты управления качеством и безопасностью продукции в Политике в области качества и безопасности пищевой продукции. Принятая Политика – это свод правил и требований, охватывающий деятельность каждого работника и дающий представление о целях предприятия в области качества и безопасности пищевой продукции.

В 2004 году ЗАО «Кировский молочный комбинат» получил свой первый сертификат, подтверждающий соответствие системы менеджмента качества требованиям ГОСТ Р ИСО 9001-2001 (ИСО 9001:2000), в дальнейшем с интервалом в 3 года на предприятии проводилась ресертификация системы менеджмента качества на соответствие требованиям ISO 9001 применительно к разработке, производству, хранению и поставке молока и молочной продукции.

В сентябре 2013 года была начата работа по разработке и внедрению на предприятии и в его районных отделениях системы менеджмента безопасности пищевой продукции.

В октябре 2014 года Кировмолкомбинат прошел сертификацию на соответствие требованиям ISO 22000 и получил Сертификат соответствия, удостоверяющий, что система менеджмента безопасности пищевой продукции применительно к разработке, производству и поставке молока и молочных продуктов соответствует требованиям ISO 22000:2005.

С целью сокращения противоречий между действующими на предприятии системой менеджмента качества и системой менеджмента безопасности пищевой продукции, сокращения дублирования функций, целостного подхода к управлению производственными рисками и проведению аудитов было принято решение разработать и внедрить на предприятии интегрированную систему менеджмента, соответствующую требованиям ISO 9001 и ISO 22000.

В 2015 году вышла новая редакция ISO 9001:2015, а в 2018 году – ISO 22000:2018, стандарты предусматривают применение процессного подхода, риск-ориентированного мышления цикла Шухарта-Деминга.

Основываясь на данные требования разработанные системы менеджмента качества и безопасности пищевой продукции были успешно сертифицированы в 2021 году на соответствие требованиям ISO 9001:2015 и ISO 22000:2018.

Это означает, что планомерная и стабильная работа коллектива предприятия, целостный подход к управлению управленческими и производственными рисками гарантирует потребителям, что на всех этапах производства, хранения, перевозки и реализации молочной продукции обеспечено её качество и безопасность.

В 2022 году ЗАО «Кировский молочный комбинат» не остановился на достигнутом, продолжив совершенствовать свои системы менеджмента и прошел сертификацию "Производства (включая разработку, хранение) сухого молока, масла сливочного, топленого масла по схеме сертификации FSSC 22 000 версии 5.1

В апреле 2023 года вышла 6-я версия дополнительных требований в схеме сертификации FSSC 22000. Комбинат активно включился в изучение и внедрение новых требований.

Идут годы, меняются версии международных стандартов, а комбинат постоянно улучшает деятельность в области качества и безопасности производимой продукции.

Как и где использовать цикл Деминга

Ключевое преимущества подхода — предельная гибкость. Это позволяет применять подход PDCA в любых проектах: на производстве, в IT и digital, торговле, сфере услуг и других сферах.

А еще — цикл можно внедрить как для каждого участка и процесса в отдельности, так и для компании в целом. Просто на разных уровнях им будут заниматься разные специалисты: топ-менеджеры, руководители отделов, рядовые сотрудники.

Для того, чтобы внедрить подход, работа разбивается на участки, для каждого из которых разрабатывается свой цикл улучшений по алгоритму «планирование — выполнение — проверка — внедрение».

Если упростить, все будет выглядеть приблизительно так:

1. Ставим цели и планируем организацию процесса, определяем необходимый для этого инструментарий и исполнителей.

2. Делаем работу.

3. Смотрим, что получилось и насколько результат соответствует ожиданиям.

4. Разбираем допущенные ошибки и корректирует процессы.

План построения системы защиты информации

Перед началом построения системы ЗИ необходимо узнать, какую информацию нужно защищать, то есть определить активы и бизнес-процессы компании.

После чего следует разработать модель угроз и нарушителей, которые будут описывать возможные источники угроз, уязвимости, риски и ущерб. Затем на основе этой информации возможно приступить к созданию самой системы.

Систему ЗИ условно можно разделить на две составляющие.

Первая включает в себя документы, которые будут описывать абсолютно все процессы ЗИ, происходящие в компании. Например, СТО БР ИББС -1.0-2014 ссылается на документ РС БР ИББС-2.0, в котором содержатся методические рекомендации по документам в области ИБ.

Правильно написанные документы позволяют донести всем сотрудникам организации правила и порядок защиты информации.

Существует четыре уровня организационно-распорядительной документации (далее – ОРД):

1. Первый уровень (Политика ИБ)

2. Второй уровень (Частная политика ИБ)

3. Третий уровень (Порядок, Регламент)

4. Четвертый уровень (Акты, Приказы, Журналы)

Важно, чтобы требования ОРД были:

1. Обязательны, а не рекомендательными

2. Выполнимы и контролируемы работниками компании

3. Адекватными и непротиворечивыми

Вторая составляющая – это технические решения, позволяющие реализовать защиту информации.

К выбору технических средств защиты информации (далее – СЗИ) стоит подходить исходя из финансовых возможностей организации, угроз ИБ, учитывая рекомендации регуляторов.

Например, вышеописанные документы рекомендуют устанавливать антивирусы разных производителей на серверном оборудовании, АРМ и межсетевых экранов. Поэтому обойтись одним средством не получится.

Особое внимание стоит уделить информационным системам (далее – ИС),которые функционируют в компании, так как их ИБ должна реализовываться на всех стадиях жизненного цикла (далее – ЖЦ).

• Процесс создания технического задания

• Проектирование

• Создание и проверку

• Утверждение и развертывание

• Эксплуатацию

• Сопровождение и изменения

• Снятие с эксплуатации

Все это достаточно сложные процессы, поэтому ЦБ приводит документ РС БР ИББС-2.6-2014, в котором содержатся рекомендации по обеспечению ИБ на стадиях ЖЦ АБС.

Жизненный цикл системы защиты информации

Важно понимать, что недостаточно просто построить систему ЗИ, ее необходимо постоянно поддерживать. Для этого существует система менеджмента ИБ (далее – СМИБ).

Основной идеей СМИБ является реализация цикла Деминга для каждого процесса системы ЗИ.

То есть, каждая область системы должна проходить четыре стадии:

1. Планирование

2. Реализация

3. Контроль

4. Совершенствование

Планирование подразумевает под собой определение области системы ЗИ и ее возможную корректировку.

Реализация заключается в выполнении требований, определенных этапом планирования. Стоит отметить, что данная стадия предполагает обучение и повышение осведомленности персонала компании в области ИБ, а также обнаружение и реагирование на инциденты ИБ.

Стадия контроля обозначает проведение проверок системы ЗИ на правильность функционирования учитывая существующие угрозы.

Процесс совершенствования определяет стратегические улучшения системы ЗИ.

Best practices

Следует подчеркнуть существование такого подхода как «best practices». Данный подход подразумевает под собой применение лучших практик при построении системы ЗИ.

Суть подхода заключается в использовании методов ЗИ, которые наилучшим образом проявили себя в деле, то есть подход основывается не на стандартах, которые предлагает нам регулятор, а на основе опыта специалистов ИБ.

В качестве примера «best practices» можно привести использование программы для инвентаризации машинных носителей информации (далее – МНИ).

Многие компании осуществляют контроль за МНИ вручную, посредством бумажного журнала, так как регулятор не указывает как конкретно необходимо вести контроль за МНИ.

Использование бумажного журнала – это очень трудоемкий процесс, который требует время на запись и поиск, также он не позволяет хранить много доступной информации о носителе.

Поэтому специалисты советуют приобрести программу для инвентаризации машинных носителей информации. Кроме того, инвентаризация не защищает МНИ в полном объеме, поэтому эксперты согласно «best practices» советуют полностью исключить физический доступ рядовых пользователей к носителям.

Плюсы и минусы PCDA

• Гибкость. Подход можно применить для любого процесса или его части.

• Универсальность. Как мы уже писали, PDCA можно применять практически везде — от промышленного производства до IT и digital.

• Модернизация. Позволяет непрерывно улучшать процессы.

• Парцелляция. Позволяет разбить большую задачу на небольшие части. Это помогает оптимизировать работу и эффективнее назначать ответственных сотрудников.

• Линейность. Если возникает проблема, обнаружить ее можно только на этапе оценки результата, когда все уже спланировано и реализовано. Соответственно, потрачены ресурсы на постановку целей, подбор инструментов и внедрение.

• Не всем подходит. В частности, цикл Шухарта-Деминга не годится для проектов, сильно ограниченных во времени, где тестировать гипотезы попросту некогда.

• Не подходит для проектов с результатом, который невозможно изменить. Просто пример — строительство дома. После того, как здание уже стоит, мы не можем откатить назад и внедрить что-то другое: новый кирпич, раствор или другую бригаду. Здесь больше подойдет водопадная модель проектирования Waterfall, где бОльшее внимание уделяется проектированию.

Заключение

Построение системы ЗИ можно свести к следующему плану действий:

1. Определение активов и бизнес-процессов

2. Построение модели угроз

3. Анализ рисков

4. Создание ОРД

5. Применение и использование технических средств защиты информации

6. Контроль и управление

7. Совершенствование разработанной системы

В заключение стоит отметить, что ОРД компании должна быть не только разработана согласно иерархии, но и соответствовать требованиям законодательства РФ, БР и других регуляторов.

К тому же применяемые меры защиты информации должны быть адекватны требованиям внутренних документов.

Построение системы ЗИ это трудоемкий процесс, который следует постоянно поддерживать в дальнейшем.

Именно поэтому в организации необходимо наличие отдела ИБ, где квалифицированные кадры смогут в полной мере реализовывать все требования регуляторов.

Также можно обратиться к сторонним специализированным компаниям, сотрудники которых имеют достаточный опыт и помогут построить систему согласно подходу «best practices».