Книга: Ценность ваших данных
Назад: Глава 14. Обеспечение доступности и обслуживание данных: развитие
Дальше: Глава 16. Организационные аспекты управления данными
Глава 15. Базовая поддержка жизненного цикла данных
В рамочной структуре функций управления данными в привязке к их жизненному циклу, которая обсуждалась в главе 9 (рис. 9.4), выделено три направления деятельности по непосредственному управлению жизненным циклом данных:
1) планирование и проектирование данных;
2) обеспечение доступности и обслуживание данных;
3) практическое использование данных и расширение возможностей их применения для достижения целей организации.
В главах 11–14 мы рассмотрели области знаний (функции) по управлению данными, относящиеся к первым двум направлениям. Эти функции создают необходимые условия для осуществления деятельности на завершающей фазе жизненного цикла данных, включающей практическое использование данных и расширение возможностей их применения. Однако, прежде чем начать обсуждение этой фазы, следует остановиться еще на одной группе областей знаний, не менее важной для ее реализации. Как отмечалось в главе 9, в эту группу входят базовые функции, которые формируют основу для управления данными на протяжении всего их жизненного цикла. К ним относятся:
1) управление безопасностью данных;
2) управление метаданными;
3) управление качеством данных.
В главе 7, проводя сравнение элементов референтной модели управления цепями поставок (SCOR-модели) с цепочкой поставок данных, мы отметили, что перечисленные функции (вместе с функцией «Руководство данными») соотносятся с группой процессов «Предоставлять возможность». Поэтому, в отличие от глав 11, 12 и 14, в этой главе (как и в главе 10 «Руководство данными») нет специальных подразделов, посвященных анализу влияния обсуждаемых функций на ценность данных. Это влияние достаточно очевидно и состоит в первую очередь в максимальном содействии увеличению эффективности остальных функций, повышающих ценность данных на отдельных этапах их жизненного цикла.
15.1. Управление безопасностью данных
Специфика обеспечения безопасности данных (например, в отношении того, какие данные необходимо защищать) различается в разных отраслях и странах. Но цель соответствующих практик одна и та же: защитить информационные активы в соответствии с требованиями регулирующих органов и организаций, договорными обязательствами и бизнес-требованиями по безопасности и конфиденциальности.
15.1.1. Определение области знаний «Безопасность данных»
Область знаний «Безопасность данных» охватывает планирование, разработку и осуществление политик и процедур, обеспечивающих надлежащую аутентификацию, авторизацию и доступ пользователей, а также аудит данных и информационных активов.
В различного рода регламентирующих документах, связанных с безопасностью, вместо термина «безопасность данных» гораздо чаще используется термин «информационная безопасность». Для более полного описания рассматриваемой области приведем некоторые определения из ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
Под информационной безопасностью (ИБ) (information security) понимается сохранение конфиденциальности, целостности и доступности информации (этот термин может включать в себя и другие дополнительные свойства, такие как подлинность, подотчетность, неотказуемость и достоверность).
Отмеченные выше виды деятельности и свойства, характеризующие ИБ, определяются следующим образом:
● аутентификация (authentication) – обеспечение гарантии того, что заявленные характеристики субъекта и объекта являются подлинными;
● аудит (audit) – систематический, независимый и задокументированный процесс, предназначенный для получения свидетельств аудита и объективной оценки аудиторами степени соблюдения критериев аудита;
● конфиденциальность (confidentiality) – недоступность для неавторизованных лиц объектов или процессов;
● целостность (integrity) – свойство сохранения правильности и полноты активов;
● доступность (availability) – свойство, определяющее возможность использования объекта авторизованным субъектом по запросу;
● подлинность (authenticity) – свойство, определяющее, что фактический субъект или объект совпадает с заявленным;
● неотказуемость (non-repudiation) – способность удостоверять имевшее место событие или действие, которые в дальнейшем не могут быть поставлены под сомнение;
● достоверность (reliability) – свойство соответствия предусмотренному поведению и результатам.
В ГОСТ Р ИСО/МЭК 27000-2021 отмечается, что организации всех типов и размеров:
● собирают, обрабатывают, хранят и передают информацию;
● осознают, что информация и связанные с ней процессы, системы, сети и персонал являются важными активами для достижения целей, стоящих перед организацией;
● сталкиваются с рядом рисков, которые могут оказывать воздействие на функционирование активов организации;
● принимают меры в отношении предполагаемого воздействия рисков, осуществляя внедрение мер обеспечения ИБ.
Вся информация, хранящаяся и обрабатывающаяся организацией, подвержена угрозам компьютерных атак, ошибкам, стихийным бедствиям (например, наводнению или пожару), а также это объект влияния уязвимостей, присущих ее использованию. Термин «информационная безопасность» связан с информацией, которую рассматривают как актив, представляющий собой ценность и требующий соответствующей защиты, например, от потери доступности, конфиденциальности и целостности. Обеспечение возможности санкционированного своевременного получения точной и полной информации способствует повышению эффективности бизнеса.
Защита информационных активов посредством определения, достижения, поддержания и улучшения ИБ необходима, чтобы обеспечить достижение намеченных организацией целей, а также поддерживать и повышать уровень соответствия законодательным нормам и репутацию организации. Эти скоординированные действия, направленные на внедрение соответствующих мер обеспечения информационной безопасности и обработку недопустимых рисков в области ИБ, широко известны как элементы менеджмента ИБ.
Так как риски ИБ и эффективность мер обеспечения ИБ меняются в зависимости от обстоятельств, организациям необходимо:
● контролировать и оценивать эффективность внедренных мер обеспечения ИБ и процедур;
● идентифицировать появляющиеся риски для их обработки;
● выбирать, внедрять и совершенствовать должным образом соответствующие меры обеспечения ИБ.
Чтобы установить взаимосвязи и скоординировать действия в рамках системы менеджмента информационной безопасности, каждая организация должна установить свою политику и цели для этой системы и эффективно достигать поставленных целей при ее функционировании.
15.1.2. Цели и бизнес-драйверы
Деятельность по управлению информационной безопасностью направлена на достижение следующих целей:
● обеспечение санкционированного доступа и исключение возможности несанкционированного доступа к информационным активам организации;
● обеспечение соблюдения нормативно-правовых требований и политик в отношении защиты информации о частной жизни, персональных и конфиденциальных данных;
● обеспечение соблюдения требований всех заинтересованных сторон в отношении защиты информации о частной жизни, персональных и конфиденциальных данных.
Требования по обеспечению ИБ обусловлены следующими факторами (рис. 15.1).
1. Заинтересованные стороны. Организации должны выявлять и учитывать потребности в защите информации о частной жизни, персональных данных и конфиденциальных данных всех заинтересованных сторон, к которым могут относиться (в зависимости от типа и характера организации) клиенты, пациенты, студенты, граждане, поставщики, деловые партнеры и др. Все сотрудники организации несут ответственность за соблюдение требований, касающихся безопасности данных2.
2. Нормативно-правовое регулирование. Речь идет о нормативно-правовом регулировании различных аспектов безопасности данных и интересов определенных заинтересованных сторон. Законы и правительственные постановления могут преследовать различные цели: одни ограничивают доступ к определенным данным, другие, напротив, призваны обеспечить открытость, прозрачность и подотчетность3.
3. Охрана интеллектуальной собственности и коммерческой тайны. В каждой организации имеются данные, которые можно расценивать в качестве предмета ее интеллектуальной собственности или коммерческой тайны. Такие данные нуждаются в защите. К примеру, клиентские базы данных помогают организации эффективно вести бизнес и получать преимущество перед конкурентами. В случае кражи, взлома системы хранения или уничтожения данных это преимущество будет сразу же утерян4..
4. Потребности в санкционированном доступе к данным. Защита данных не должна ограничивать законный доступ к данным тех лиц, которые имеют на него право согласно действующему законодательству, равно как и санкционированный доступ к ним с целью использования, обслуживания, сопровождения, упорядочения и обработки в рамках бизнес-процессов5.
5. Договорные обязательства. Договорные обязательства и условия соглашений о неразглашении данных также сказываются на требованиях по обеспечению ИБ. Например, стандарт безопасности индустрии платежных карт требует от платежных систем, банков-эмитентов и коммерческих предприятий строго определенных мер по защите данных (например, обязательного шифрования паролей).
* DAMA. DAMA-DMBOK: Data Management Body of Knowledge: 2nd Edition. Technics Publications, 2017. (Русский перевод: DAMA-DMBOK: Свод знаний по управлению данными. Второе издание / Dama International. – М.: Олимп-Бизнес, 2020.)
Эффективные политики и процедуры в области безопасности данных гарантируют доступ к данным. При этом доступ предоставляется только тем, кому это положено в соответствии с их правами и обязанностями, а вот возможность несанкционированного доступа или изменения данных исключена.
Особую роль здесь играет тот факт, что обеспечение понимания и соблюдения потребностей и интересов всех сторон в отношении безопасности информации о частной жизни, персональных и конфиденциальных данных – важнейший аспект деятельности любой организации, поскольку ее отношения с клиентами, поставщиками и прочими заинтересованными сторонами строятся на доверии, ключевая составляющая которого – ответственное обращение с данными.
Основным драйвером работ по обеспечению ИБ выступает стремление минимизировать риски и обеспечить устойчивый рост бизнеса. Эффективное обеспечение безопасности данных снижает риски и дает дополнительные конкурентные преимущества. Безопасность данных можно рассматривать в качестве ценного актива организации.
Риски в области безопасности данных связаны с нормативно-правовыми требованиями, ответственностью руководства и/или владельцев перед компаниями, репутацией, исполнением юридических и моральных обязательств перед сотрудниками, партнерами и клиентами в части неразглашения их личных сведений, конфиденциальных данных и прочей нежелательной для раскрытия (чувствительной – sensitive) информации. С организаций могут взыскиваться крупные штрафы за несоблюдение установленных законом норм или неустойки за нарушение договорных обязательств. Утечки данных могут повлечь непоправимый репутационный ущерб и утрату доверия клиентов.
Рост бизнеса включает формулировку и достижение целей. Проблемные вопросы безопасности, утечки данных, равно как и необоснованные ограничения доступа к ним сотрудников, могут напрямую помешать успешному решению текущих задач.
Цели минимизации рисков и роста бизнеса могут быть согласованы и взаимно дополнять друг друга, если они объединены в комплексную стратегию управления информацией и обеспечения информационной безопасности.
15.1.3. Серия стандартов ИСО/МЭК 27XXX
Наиболее распространенным и общепризнанным в мире сборником рекомендаций в сфере обеспечения ИБ является комплекс международных стандартов серии ИСО/МЭК 27XXX, известный как семейство стандартов системы менеджмента информационной безопасности (СМИБ).
В состав семейства стандартов СМИБ входят взаимосвязанные стандарты, которые:
● определяют требования к СМИБ и к органам, сертифицирующим такие системы;
● обеспечивают непосредственную поддержку, содержат подробные рекомендации и интерпретацию общего процесса разработки, внедрения, поддержки и совершенствования СМИБ;
● содержат руководства по СМИБ для конкретных отраслей;
● содержат указания по оценке соответствия СМИБ.
Семейство стандартов СМИБ включает несколько ключевых структурных компонентов. К числу этих компонентов относятся прежде всего стандарты, определяющие:
● требования к СМИБ (ИСО/МЭК 27001);
● требования к органам по сертификации, осуществляющим сертификацию на соответствие ИСО/МЭК 27001 (ИСО/МЭК 27006);
● дополнительные требования, связанные с внедрением СМИБ в конкретных отраслях (ИСО/МЭК 27009).
Остальные стандарты предоставляют рекомендации по различным аспектам внедрения СМИБ, в том числе по общему процессу и управлению, а также специальные руководства для конкретных отраслей.
Базовый подход к управлению информационной безопасностью определяется двумя взаимосвязанными стандартами: ИСO/МЭК 27001 и ИСО/МЭК 27002 (рис. 15.2). Основную роль здесь играет стандарт ИСO/МЭК 27001, содержащий рекомендации по менеджменту ИБ в организации на основе широко используемого в корпоративной среде цикла управления качеством PDCA (Plan, Do, Check, Act). Стандарт ИСО/МЭК 27002 имеет скорее справочный характер, описывая набор возможных мер защиты информации, из которых организация может выбрать необходимые именно ей.
Стандарт ИСO/МЭК 27001 дает рекомендации по функционированию СМИБ как комплексной системы, направленной на защиту информационных активов организации от угроз и, следовательно, минимизацию рисков. С точки зрения бизнеса СМИБ представляет собой одну из множества систем организации, к которой предъявляются определенные требования и которая должна оправдать ожидания и вернуть вложенные в нее средства.
В соответствии с рекомендациями стандарта, СМИБ включает в себя полный комплекс направлений деятельности по обеспечению информационной безопасности, в том числе организацию деятельности и управление рисками, а также непосредственное применение мер защиты информации. Выбирать те или иные способы защиты информации следует на основе оценки рисков ИБ: размера возможного ущерба от реализации угроз конфиденциальности, целостности и доступности информации. А также исходя из необходимости выполнения нормативных обязательств перед государством, партнерами и другими заинтересованными сторонами.
Таким образом, предлагаемый подход позволяет применять стандарт для реализации СМИБ в организациях любого масштаба и уровня нормативного регулирования.
Важно, что ИСO/МЭК 27001 совместим с другими стандартами систем менеджмента, такими как ИСO 9001, ИСO 14000, ИСO 31000, ИСO/МЭК 38500, ИСO/МЭК 20000, ИСO/МЭК 22301. Это позволяет использовать единый подход и принципы, общую терминологию, реализовать интегрированные процессы по направлениям контроля качества выпускаемой продукции, охраны окружающей среды, стратегического управления и управления ИТ-сервисами, обеспечения непрерывности деятельности организации, и, наконец, информационной безопасности. Что, в свою очередь, дает возможность построить структурированную и прозрачную систему менеджмента организации и повысить общую эффективность соответствующих процессов.
15.1.4. Система менеджмента информационной безопасности
Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы, мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов.
Эта система обеспечивает системный подход к созданию, внедрению, функционированию, мониторингу, анализу, поддержке и усилению ИБ организации для достижения бизнес-целей. Она основывается на оценке рисков и уровнях принятия рисков организацией, предназначенных для эффективной обработки рисков и управления ими. Анализ требований по защите информационных активов и применение соответствующих мер, обеспечивающих необходимую защиту этих активов, способствуют успешному внедрению СМИБ.
Для успешного внедрения СМИБ организации должны соблюдать следующие основные принципы:
● понимание необходимости использования СМИБ;
● назначение ответственности за обеспечение ИБ;
● обеспечение баланса между обязательствами руководства и потребностями заинтересованных сторон;
● повышение социальной значимости;
● оценивание рисков, чтобы применять необходимые меры обеспечения ИБ для достижения допустимых уровней рисков;
● обеспечение безопасности неотъемлемых элементов информационных сетей и систем;
● активное предупреждение и выявление инцидентов ИБ;
● применение комплексного подхода к менеджменту ИБ;
● регулярную переоценку уровня ИБ и внесение соответствующих изменений.
15.1.5. Разработка и сопровождение СМИБ
Организация должна предпринимать следующие шаги по разработке, мониторингу, поддержке и улучшению своей СМИБ:
1) определение информационных активов и связанных с ними требований ИБ;
1) оценка рисков ИБ и их обработка;
2) выбор и внедрение соответствующих мер обеспечения ИБ в отношении неприемлемых рисков;
3) мониторинг, поддержка и повышение эффективности мер обеспечения информационной безопасности, связанных с информационными активами организации.
Для гарантии эффективной непрерывной зашиты информационных активов организации с помощью СМИБ необходимо постоянно повторять шаги 1–4, чтобы выявлять изменения в рисках, стратегии организации или бизнес-целях.
1. Определение информационных активов и связанных с ними требований ИБ
В рамках общей стратегии и бизнес-целей организации, ее размера и географического расположения требования ИБ можно сформулировать на основе анализа следующих факторов:
● идентифицированные информационные активы и их ценность;
● потребности бизнеса в обработке, обмене и хранении информации;
● юридические, нормативные и договорные требования.
Проведение систематической оценки рисков, связанных с информационными активами организации, включает в себя анализ угроз, уязвимостей, анализ потенциального воздействия любого инцидента ИБ и вероятности возникновения угрозы информационным активам, а также анализ потенциального воздействия любого инцидента ИБ на информационные активы. Расходы на соответствующие меры обеспечения ИБ будут пропорциональны предполагаемому влиянию риска на бизнес.
2. Оценка рисков ИБ и их обработка
Менеджмент риска ИБ требует должной оценки риска и метода его обработки. Это в свою очередь предполагает оценку затрат и преимуществ, законных требований, социальных, экономических и экологических аспектов, переменных, проблем заинтересованных сторон, приоритетов и других входных данных.
Оценка рисков должна выявлять, количественно оценивать и приоритизировать риски в сопоставлении с критериями принятия рисков и целями, представляющими важность для организации. Результаты оценки должны служить ориентиром и определять соответствующие управленческие меры и приоритеты для управления рисками ИБ и для внедрения мер обеспечения ИБ, выбранных для защиты от этих рисков.
Оценка риска должна включать в себя:
● систематический подход к оценке величины рисков (анализ рисков);
● процесс сравнения оцениваемых рисков с критериями риска для определения значимости рисков (оценка рисков).
Оценку рисков следует проводить регулярно. Это нужно, чтобы учитывать новые требования к ИБ, следить за ситуацией с рисками, например, в отношении активов, угроз, уязвимостей, воздействий, оценки рисков, а также в случае существенных изменений требований к ИБ. И, конечно, подобная оценка должна осуществляться по специальной методике, обеспечивающей сопоставимые и воспроизводимые результаты.
Чтобы оценка рисков ИБ была эффективной, она должна иметь четко определенную область применения и при необходимости проводиться совместно с оценкой рисков в других областях.
Стандарт ИСО/МЭК 27005 предоставляет рекомендации по менеджменту рисков ИБ, в том числе по оценке, обработке, принятию, мониторингу и проверке рисков, а также по связанным с рисками коммуникациям. Он также содержит примеры методик оценки рисков.
Прежде чем рассматривать вопрос, связанный с обработкой рисков, организация должна определить критерии, устанавливающие возможность принятия или непринятия риска. Риск может быть принят, если, например, определено, что он невысок, или не принят, если стоимость его обработки экономически нецелесообразна для организации. Такие решения следует документировать.
После оценки рисков необходимо принять решение об их обработке. Ниже перечислены возможные подходы к обработке рисков:
● применить соответствующие меры обеспечения ИБ, позволяющие снизить риски;
● сознательно и объективно принять риски при условии, что они четко соответствуют политике организации и критериям такого принятия;
● избегать рисков путем запрета действий, которые могут привести к возникновению рисков;
● распределить риски с другими сторонами, например, со страховщиками или поставщиками.
По тем рискам, в отношении которых было решено применить меры обеспечения ИБ, необходимо выбрать соответствующие меры и внедрить их.
3. Выбор и внедрение мер обеспечения ИБ
После определения требований ИБ, определения и оценки рисков ИБ для выявленных информационных активов и принятия решений по обработке рисков необходимо выбрать и внедрить меры обеспечения ИБ для снижения рисков.
Применяемые меры обеспечения ИБ должны способствовать снижению рисков до приемлемого уровня исходя из:
● требований и ограничений национального и международного законодательства и нормативных актов:
● целей организации;
● эксплуатационных требований и ограничений;
● стоимости их внедрения и эксплуатации с учетом снижения рисков при сохранении соразмерности требованиям и ограничениям организации;
● задач по мониторингу, оценке и повышению эффективности и действенности мер обеспечения ИБ в соответствии с целями организации;
● необходимости обеспечения баланса между инвестициями во внедрение и поддержку мер обеспечения ИБ и потерями, возможными в результате инцидентов ИБ.
Меры обеспечения ИБ, приведенные в стандарте ИСО/МЭК 27002, признаны передовой практикой, применимой к большинству организаций, и легко адаптируются к организациям различного размера и сложности. Другие стандарты из семейства стандартов СМИБ предоставляют рекомендации по выбору и применению мер обеспечения ИБ из ИСО/МЭК 27002 для СМИБ.
Меры обеспечения ИБ необходимо учитывать на этапе разработки требований к проектам и системам. В противном случае это может увеличить затраты и снизить эффективность решений, а в худшем случае – сделать невозможным достижение адекватного уровня безопасности. Меры обеспечения информационной безопасности могут быть выбраны из ИСО/МЭК 27002 или из других подходящих наборов мер обеспечения ИБ. Кроме того, для удовлетворения конкретных потребностей организации могут быть разработаны новые специальные меры обеспечения ИБ. Необходимо признать, что не все меры обеспечения информационной безопасности подходят для применения в информационных системах или средах и практической реализации во всех организациях
В отдельных случаях для внедрения выбранного набора мер обеспечения ИБ требуется определенное время, и в течение этого времени уровень риска может быть выше допустимого в долгосрочной перспективе. Критерии риска должны охватывать допустимость рисков в краткосрочной перспективе, в период реализации мер обеспечения ИБ. Следует проинформировать заинтересованные стороны об уровнях риска, которые оцениваются и ожидаются в различные моменты времени, по мере постепенного внедрения данных мер обеспечения информационной безопасности.
Следует учитывать, что ни один набор мер обеспечения ИБ не может гарантировать полную ИБ. Необходимо внедрить дополнительные управленческие меры по мониторингу, оценке и повышению эффективности и действенности мер обеспечения ИБ в соответствии с целями организации.
Выбор и внедрение мер обеспечения информационной безопасности должны быть задокументированы.
4. Мониторинг, поддержка и повышение эффективности СМИБ
Организация должна поддерживать работоспособность и улучшать СМИБ посредством мониторинга и оценки эффективности в соответствии с политикой и целями организации, а также информировать руководство о полученных результатах для проверки. Цель такой проверки – удостовериться, что СМИБ включает в себя определенные меры обеспечения ИБ, применимые для обработки охватываемых ею рисков. Кроме того, на основе отчетов об этих областях мониторинга можно получить доказательства проверки и отслеживания корректирующих и предупреждающих мер, а также мер по улучшению ситуации.
Основная цель постоянного улучшения СМИБ – повышение вероятности достижения целей, связанных с сохранением конфиденциальности, доступности и целостности информации. Основная задача в этой сфере – поиск путей для совершенствования; не следует думать, что используемая практика управления ИБ достаточна или максимально эффективна.
Список мероприятий по улучшению весьма обширный:
● анализ и оценка существующей ситуации для выявления областей, нуждающихся в совершенствовании;
● постановка задач по совершенствованию;
● поиск возможных решений для достижения поставленных целей,
● оценка этих решений и выбор;
● внедрение выбранного решения;
● измерение, верификация, анализ и оценка результатов внедрения, чтобы определить, насколько достигнуты поставленные цели;
● официальное оформление изменений.
Полученные результаты перепроверяют по мере необходимости, чтобы наметить дальнейшие пути улучшения. Таким образом, улучшение – непрерывный процесс, действия повторяются с определенной частотой. Чтобы выявлять возможности улучшения, можно также использовать отзывы клиентов и других заинтересованных сторон, результаты аудитов и проверок СМИБ.
15.1.6. Контекстная диаграмма области знаний и уровни зрелости функции «Безопасность данных»
Контекстная диаграмма области знаний «Безопасность данных» представлена на рисунке 15.3.
Как и в случае с другими аспектами управления данными, лучше всего рассматривать информационную безопасность как корпоративную инициативу и делать это на протяжении всего жизненного цикла данных. Без скоординированных усилий бизнес-подразделения будут создавать различные индивидуальные решения для удовлетворения своих потребностей в области ИБ, что приведет к увеличению общих затрат при одновременном потенциальном снижении безопасности из-за несогласованной защиты. Неэффективная архитектура или процессы обеспечения безопасности могут дорого обойтись организациям из-за нарушений и потери производительности. Единая стратегия безопасности, которая согласована в масштабах всей организации и должным образом финансируется, снизит эти риски.
* DAMA. DAMA-DMBOK: Data Management Body of Knowledge: 2nd Edition. Technics Publications, 2017. (Русский перевод: DAMA-DMBOK: Свод знаний по управлению данными. Второе издание / Dama International. – М.: Олимп-Бизнес, 2020.)
На рисунке 15.4 отражено распределение деятельности в области управления ИБ по этапам жизненного цикла данных.
На рисунке 15.5 представлены обобщенные характеристики уровней зрелости функции «Безопасность данных».
* Sebastian-Coleman L. Navigating the Labyrinth: An Executive Guide to Data Management, First Edition. Technics Publications, 2018.
* Smith P., Edge J., Parry S., Wilkinson, D. Crossing the Data Delta: Turn the data you have into the information you need. Entity Group Limited, 2016.
15.2. Управление метаданными
Внутри организации на разных уровнях и в различных подразделениях работает множество сотрудников, у каждого из них собственный набор представлений о данных, которыми располагает организация, но никто не имеет и не может иметь исчерпывающего и достоверного представления о всей их совокупности. Поэтому требуется точный и подробный учет данных. Без ведения соответствующей документации организация рискует перестать понимать саму себя. Главным средством регистрации, формализации и упорядочения знаний о данных, имеющихся у организации, служат метаданные.
15.2.1. Определение области знаний «Метаданные»
Согласно ГОСТ Р ИСО/МЭК 11179-1-2010 «Информационная технология. Регистры метаданных. Часть 1. Основные положения» метаданные – это данные, которые определяют и описывают другие данные. Это означает, что данные, используемые подобным образом, становятся метаданными. Это происходит при конкретных обстоятельствах, для конкретных целей, с определенными перспективами, без которых данные не являются метаданными. Набор обстоятельств, целей или перспектив, для которых некоторые данные используются как метаданные, называют контекстом. Таким образом, метаданные являются данными о данных в некотором контексте.
В реальности к метаданным можно отнести очень широкий спектр сведений, включая информацию о технологических и бизнес-процессах, правила обработки данных, ограничения и определения логической и физической структуры данных.
Метаданные могут описывать не только данные как таковые (базы данных, элементы данных, модели данных), но и представляемые ими объекты (бизнес-процессы, системы и приложения, элементы ИТ-инфраструктуры), а также связи (отношения) между данными и объектами. Стоит отметить, что именно метаданные помогают организации правильно понимать смысл имеющихся в ее распоряжении данных, функционирование систем, структуру и содержание рабочих процессов. Они позволяют проводить оценку качества данных и неразрывно связаны с управлением базами данных и приложениями. Таким образом, метаданные необходимы для обеспечения возможности обработки, сопровождения, интеграции, хранения, защиты, проверки и контроля всех прочих данных организации.
Как и любые другие данные, метаданные нуждаются в управлении. С ростом способности организаций собирать и накапливать колоссальные массивы данных роль метаданных в сфере управления данными неуклонно возрастает. Чтобы быть «управляемой на основе данных» (data-driven), организация должна быть «управляемой на основе метаданных» (metadata-driven).
15.2.2. Цели и бизнес-драйверы
К основным целям управления метаданными относятся:
● управление задокументированными на уровне организации знаниями о данных в привязке к бизнес-терминологии с целью обеспечения единообразной трактовки данных всеми, кто их использует;
● сбор и интеграция метаданных из различных источников с целью обеспечения понимания пользователями сходств и различий между данными, поступающими из различных частей организации;
● обеспечение качества, согласованности, актуальности и защищенности метаданных;
● предоставление стандартных каналов доступа к метаданным всем потребителям данных (пользователям, системам, приложениям и процессам);
● выработка и утверждение собственных или контроль соблюдения предписываемых стандартов технических метаданных с целью обеспечения возможности обмена данными.
В качестве главного бизнес-драйвера деятельности в области управления метаданными выступают преимущества, которые обеспечивают для организации надежные и качественно управляемые метаданные. Здесь можно выделить:
● повышение доверия к данным за счет предоставления их контекста и поддержки возможности измерения качества данных;
● повышение ценности стратегической информации (в частности, основных данных) за счет ее многоцелевого использования;
● повышение эффективности работы информационных систем через выявление и устранение избыточных данных и процессов;
● своевременное выявление и отбраковку устаревших или неверных данных;
● оптимизацию планирования и проведения статистических исследований;
● лучшее взаимопонимание между потребителями данных и специалистами по ИТ;
● точность вводных данных, используемых для аналитического прогнозирования последствий, что способствует минимизации риска провала проектов;
● ускорение внедрения за счет сокращения времени, уходящего на разработку систем;
● снижение затрат на обучение и негативные последствия текучки кадров за счет исчерпывающей документации данных, включая контекст, источники и историю;
● выполнение требований действующего законодательства и надзорных органов.
Метаданные также способствуют согласованности и непротиворечивости данных и единообразному представлению информации, оптимизации потоков данных и рабочих процессов, надлежащей защите чувствительной информации, что особенно важно для отраслей с повышенными нормативно-правовыми требованиями.
При этом нужно понимать, что чем выше качество данных, тем выше их ценность для организации. В свою очередь, качество данных зависит от руководства данными. И вот тут на первый план выходят метаданные, без которых невозможно понимание данных в контексте функционирования организации. По сути, метаданные являются путеводителем по всем данным, имеющимся в распоряжении организации. Следовательно, управление метаданными должно быть безупречным. Плохо управляемые метаданные приводят к следующим негативным последствиям:
● появление избыточных данных и бессмысленных процессов управления ими;
● дублирующие друг друга, избыточные, устаревшие или вовсе не используемые словари, репозитории и иные хранилища метаданных;
● противоречивые определения объектов и элементов данных;
● неверные и противоречивые оценки рисков, соответствующих различным категориям данных, в том числе проистекающих от их нецелевого использования или утечки;
● конфликтующие между собой источники и версии метаданных и, как следствие, подрыв доверия пользователей к любым определениям данных, используемых в организации.
Хорошо организованное управление метаданными обеспечивает полное и согласованное представление об информационных ресурсах организации и способствует эффективному налаживанию взаимодействия между организациями при проведении совместной разработки приложений,.
15.2.3. Виды метаданных
Метаданные можно разделить на три основные категории:
● бизнес-метаданные;
● технические метаданные;
● операционные метаданные.
Бизнес-метаданные описывают содержание и состояние данных, а также детали, необходимые для реализации функций распоряжения данными.
Примеры бизнес-метаданных:
● определения и описания наборов, таблиц и столбцов данных;
● бизнес-правила, правила преобразований, расчетные и логические формулы;
● модели данных;
● правила и результаты измерения показателей качества данных;
● расписания обновления данных;
● первоисточники и происхождение данных;
● стандарты данных;
● условные обозначения, используемые в системе записи и учета элементов данных;
● ограничения по допустимым значениям;
● контактная информация ответственных (например, владельцев или распорядителей данных);
● классы секретности и конфиденциальности данных;
● известные проблемы с данными;
● примечания по использованию данных.
Технические метаданные детально описывают всевозможные технические характеристики данных, систем их хранения и процессов перемещения данных между системами. Например:
● названия таблицы и столбцов таблицы, используемые в физической модели данных;
● свойства столбца;
● свойства объекта БД;
● права доступа;
● правила создания, замены, обновления и удаления записей (create, replace, update and delete; CRUD);
● физические модели данных, включая имена таблиц данных, ключи и индексы;
● задокументированные связи между моделями данных и физическими ресурсами;
● детализация операций по извлечению, передаче или загрузке данных (ETL);
● определения схем данных в файловых форматах;
● карты соотнесения данных между системами-источниками и адресатами;
● документация, описывающая происхождение данных, включая влияние изменений на информацию выше и ниже по потоку обработки;
● названия и описания используемых программ и приложений;
● расписания заданий по загрузке или обновлению контента и зависимостей между ними;
● правила резервного копирования и восстановления данных из резервных копий;
● права доступа, группы и роли пользователей.
Операционные метаданные детально описывают процессы обработки данных и управления доступом к ним. Например:
● журналы выполнения заданий пакетной обработки данных;
● история и результаты выгрузки выборок данных;
● сбои в расписаниях;
● результаты аудита, балансировки и контрольных измерений;
● журналы ошибок;
● структура, частота и время, скорость обработки запросов данных и отчетов;
● планы-графики исправлений, обновлений и выпуска новых версий и степень их соблюдения;
● правила резервного копирования, периодичности и сроков хранения резервных копий, порядок активации плана аварийного восстановления;
● требования и условия соглашений об уровнях обслуживания;
● схемы регистрации и распределения потоковой нагрузки;
● правила архивирования данных, сроки хранения архивов, правила обеспечения связности архивных данных;
● критерии окончательного удаления (утилизации) архивных данных;
● правила совместного доступа к данным;
● технические роли и обязанности, контактные данные.
Отметим, что на практике в процессе использования метаданных грани между описанными видами оказываются довольно размытыми и не столь существенными,.
15.2.4. Архитектура метаданных
Как и другие данные, метаданные имеют свой жизненный цикл. Поэтому все решения по управлению метаданными включают следующие архитектурные уровни, соответствующие различным фазам жизненного цикла метаданных:
● создание или получение метаданных;
● хранение метаданных в одном или нескольких репозиториях;
● интеграция метаданных;
● доставка метаданных потребителям;
● использование метаданных;
● контроль и управление метаданными.
Для подключения к источникам, а также для сбора, хранения, интеграции и сопровождения метаданных и управления доступом к ним могут использоваться различные архитектурные подходы,.
● Централизованный: централизованная архитектура предусматривает единое хранилище метаданных, копируемых из различных источников. Организациям с ограниченными ИТ-ресурсами, как и стремящимся к максимально возможной автоматизации управления метаданными, такой вариант архитектуры, как правило, не подходит. В то же время организации, стремящиеся к согласованности метаданных, извлекают максимальную пользу от хранения их в централизованном хранилище.
● Распределенный: полностью распределенная архитектура предусматривает единую точку доступа к метаданным через портал, обеспечивающий извлечение запрашиваемых данных из систем-источников в режиме, близком к реальному времени. Центральное хранилище при такой архитектуре отсутствует. Вместо него в среде портала управления метаданными ведутся каталоги данных, содержащихся в системах-источниках, и действуют общие правила оптимизации обработки запросов. Обращение непосредственно к системам-источникам осуществляется посредством протоколов, используемых промежуточным ПО.
● Гибридный: гибридная архитектура сочетает в себе элементы, свойства и характеристики как централизованной, так и распределенной архитектур. Метаданные все так же поступают в центральный репозиторий непосредственно из систем-источников, но сохраняются они там выборочно. Обычно система управления таким хранилищем предусматривает сохранение критически важных стандартизованных элементов метаданных из систем-источников и последующее добавление дополнительных элементов по запросу пользователей, в том числе в ручном режиме из сторонних источников.
15.2.5. Контекстная диаграмма области знаний и уровни зрелости функции «Метаданные»
Контекстная диаграмма области знаний «Метаданные» представлена на рисунке 15.6.
На рисунке 15.7 отражено распределение деятельности в области управления метаданными по этапам их жизненного цикла.
На рисунке 15.8. представлены обобщенные характеристики уровней зрелости функции «Метаданные».
* DAMA. DAMA-DMBOK: Data Management Body of Knowledge: 2nd Edition. Technics Publications, 2017. (Русский перевод: DAMA-DMBOK: Свод знаний по управлению данными. Второе издание / Dama International. – М.: Олимп-Бизнес, 2020.)
15.3. Управление качеством данных
Одна из трудностей управления качеством данных заключается в том, что ожидания в отношении качества данных не всегда известны. Бывает, что потребители просто неспособны их сформулировать. А порой случается и так: люди, отвечающие за управление данными, не отдают себе отчета в том, что к этим данным могут быть применимы какие-то специфические требования.
Поскольку ни одна организация не может похвастаться безупречностью технологических и бизнес-процессов, а также практик управления данными, проблемы с качеством данных неизбежны. Однако в организациях, где реализована формальная система управления качеством данных, проблемы возникают реже и решаются проще, чем в организациях, где качество данных – дело случая.
15.3.1. Определение области знаний «Качество данных»
Термин качество данных (Data Quality, DQ) распространяется как на характеристики, связанные с высоким качеством данных, так и на процессы измерения или повышения качества данных.
Следует разделять эти два варианта использования термина и пояснять, что понимается под данными высокого качества.
Данные можно считать высококачественными в той мере, в которой они соответствуют потребностям и ожиданиям потребителей. То есть данные обладают высоким или низким качеством, если они, соответственно, пригодны или непригодны к использованию по назначению. Следовательно, качество данных зависит от контекста и потребностей потребителей данных.
Формальное управление качеством данных выстраивается по аналогии с непрерывным управлением качеством других продуктов. Качество данных контролируется на всех фазах их жизненного цикла посредством определения стандартов и встраивания механизмов обеспечения и контроля их соблюдения в процессы создания, преобразования и хранения данных, включая наборы измеримых показателей соответствия данных стандартам качества на всех этапах. Для внедрения комплексного подхода к обеспечению качества данных обычно требуется команда по реализации программы качества данных (data quality program team). Она отвечает за привлечение к участию и координацию действий профессионалов в области управления данными со стороны бизнеса и технических подразделений при проведении работ, обеспечивающих последовательное применение методов, которые гарантировали бы пригодность любых данных для использования по назначению. Более того, команде программы качества данных, вероятно, потребуется принять участие в серии проектов, прежде чем она сможет внедрить в организации устойчивые процессы с использованием передовых практик непрерывного управления качеством данных. Параллельно должны приниматься экстренные меры по устранению неотложных проблем.
Поскольку управление качеством данных предполагает управление их жизненным циклом, программа качества данных неизбежно накладывает определенные требования и ограничения на использование данных и предусматривает ответственность за обеспечение их соблюдения при осуществлении операционной деятельности. В обязанности участников команды программы качества данных может входить, например, составление отчетности об уровнях качества данных; участие в анализе данных и сборе статистики; выявление и приоритизация проблем с данными.
Помимо этого, команда программы качества данных отвечает за взаимодействие с потребителями данных при решении вопросов, касающихся обеспечения их потребностей, а с теми, кто задействован в создании, обновлении или удалении данных, – вопросов обеспечения соблюдения правил обращения с данными. Качество данных зависит от всех, кто с ними работает, а не только от профессионалов в области управления данными.
Так же как руководство и управление данными в целом, управление качеством данных осуществляется именно как систематическая программа, а не разовый проект. При этом программа качества данных включает и работы, проводящиеся на проектной основе, и плановую деятельность по сопровождению информационных систем и ресурсов, а также обеспечение эффективных коммуникаций и обучение.
15.3.2. Цели и бизнес-драйверы
Программы качества данных преследуют следующие цели:
● выработка управляемого подхода к обеспечению соответствия данных нуждам их потребителей;
● определение стандартов и спецификаций механизмов контроля качества данных как составной части жизненного цикла данных;
● определение и внедрение процессов измерения, мониторинга и учета уровня качества данных;
● выявление и поддержка использования возможностей по повышению качества данных посредством внесения изменений в системы и процессы, а также осуществление деятельности по проведению измеримых улучшений качества данных на основе требований их потребителей.
Бизнес-драйверы, обусловливающие необходимость наличия формализованной программы качества данных:
● повышение ценности данных и информационных ресурсов организации и реальной отдачи от их использования;
● снижение рисков и издержек, обусловленных низким качеством данных;
● повышение эффективности и производительности в масштабах организации;
● защиту и укрепление репутации организации.
Организации, стремящиеся получать полноценную отдачу от имеющихся данных, прекрасно понимают, что высококачественные данные ценнее данных низкого качества. К тому же некачественные данные чреваты ущербом репутации, штрафами, упущенной прибылью, оттоком клиентов и негативными отзывами в СМИ. Обеспечивать высокое качество данных нередко предписывают также нормативно-правовые документы и отраслевые регламенты. Ну и наконец, некачественные данные влекут за собой и всевозможные прямые убытки. Приведем лишь некоторые примеры негативных последствий:
● ошибки в выставленных счетах;
● увеличение числа обращений в службу поддержки клиентов при одновременном снижении способности разрешать возникшие проблемы;
● упущенные возможности и, как следствие, падение оборота и выручки;
● задержка интеграции в процессе слияний и поглощений;
● повышенная уязвимость перед угрозой мошенничеств и злоупотреблений;
● убытки вследствие ошибочных бизнес-решений, сделанных на основе неверных данных;
● потеря бизнеса и/или клиентуры из-за неспособности подтвердить свою репутацию и/или кредитоспособность.
Однако высокое качество данных – не самоцель, а средство обеспечения организационного успеха. Достоверные данные не только снижают риски и издержки, но и повышают эффективность. Работая с надежными данными, сотрудники более оперативно и согласованно находят ответы на текущие вопросы и тратят меньше времени на поиск нужной информации и оценку ее пригодности, что оставляет им больше времени на глубокое осмысление данных с целью взвешенного принятия решений и качественного обслуживания клиентов.
15.3.3. Измерения качества данных
Измерениями качества данных (data quality dimension) называют измеримые свойства или характеристики данных, находящиеся в прямой связи с их качеством. Термин «измерение» сразу же приводит к ассоциативной аналогии с мерами свойств физических тел (таких как длина, ширина, высота). Измерения качества данных служат также источником терминологии, используемой для определения требований к качеству данных. Их же можно использовать для описания результатов как первичной оценки, так и текущих измерений качества данных. Для оценки качества данных организации нужно определить такие измерения, которые одновременно важны и для бизнес-процессов (и потому заслуживают рассмотрения) и поддаются объективной оценке. Измерения также служат базисной системой координат при определении правил оценки, которые, в свою очередь, напрямую соотносятся с потенциальными рисками, присущими критически важным процессам.
Часто выделяют следующие шесть ключевых измерений качества данных.
1. Полнота: отношение фактически имеющегося в хранилище объема данных к потенциально доступному (0–100 %).
2. Уникальность: ни одному реально существующему экземпляру предмета описания (объекта) не должно соответствовать более одной записи в рамках идентификации описываемых предметов/объектов.
3. Актуальность: степень отражения данными реального положения вещей на текущий момент.
4. Годность: определяется синтаксическим соответствием данных определениям (по формату, типу или диапазонам значений).
5. Соответствие: Степень соответствия данных реальным объектам или событиям, которые ими описываются.
6. Согласованность: отсутствие противоречий между различными представлениями одного и того же (согласно определениям) предмета или сущности.
Иногда рассматриваются и другие важные характеристики, влияющие на качество данных.
● Полезность: насколько понятны, доходчивы, релевантно определены, доступны и точны данные?
● Своевременность реагирования (в дополнение к актуальности): поддерживается ли возможность оперативного изменения данных без потери стабильности?
● Гибкость: насколько данные совместимы и сопоставимы с другими данными? Допускают ли группировку, классификацию и перепрофилирование? Достаточно ли просты в обращении?
● Надежность: организованы ли процессы руководства данными и обеспечения безопасности данных? Какова репутация данных, чем или как она подтверждается или удостоверяется?
● Ценность: имеется ли экономическое обоснование с анализом рентабельности или окупаемости затрат на управление данными? Оптимально ли используются данные? Все ли в порядке с защитой персональных, личных и конфиденциальных данных? Не допускается ли предприятием каких-то неправомерных действий или нарушений? Соответствует ли его деятельность корпоративному имиджу?
Единой универсальной классификации измерений качества данных до сих пор не выработано, однако вышеописанные формулировки содержат общие идеи. Измерения включают часть характеристик, оцениваемых по вполне объективно измеримым показателям (например, полнота, действительность, соответствие формату), и часть, которая в значительной степени зависит от контекста или субъективной интерпретации (полезность, надежность источника, репутация). Какие бы названия измерений ни использовались, основными аспектами качества данных являются: полнота (отсутствие недостающих данных); правильность (корректность, точность, достоверность); непротиворечивость (согласованность, целостность, уникальность), актуальность (своевременность обновления или реагирования); доступность; возможность использования (годность); безопасность (защищенность),,,.
15.3.4. Жизненный цикл повышения качества данных
Большинство методологических подходов к повышению качества данных позаимствованы из теории управления качеством на производстве. В рамках такой парадигмы любые данные считаются конечным продуктом комплекса технологических процессов по переработке информационного сырья. Процесс создания данных может быть простым и одношаговым (сбор или получение), а может быть многоэтапным и включать целый ряд последовательных информационно-технологических операций: сбор данных, включение и накопление в хранилище, обобщение в витрине данных. На каждом этапе данные и их качество подвергаются риску: при сборе возможны ошибки; при передаче из системы в систему – потери, дублирования или искажения; при интеграции и накоплении, анализе или обобщении – методологические ошибки и технические проблемы. Для повышения качества данных необходимо располагать возможностью оценки соответствия выходных данных ожиданиям, которые определяются, с одной стороны, фактическим содержанием входных данных, а с другой – требованиями к технологическим процессам. Поскольку выходные данные отдельно взятого процесса служат исходными данными для других процессов, требования по обеспечению качества данных должны определяться на уровне всей цепочки передачи данных и согласованным образом предъявляться ко всем ИТ-процессам, задействованным в их переработке.
Общий подход к повышению качества данных должен предусматривать реализацию классического цикла Шухарта – Деминга (рис. 15.9) в той или иной вариации. Будучи основанным на методологии точных наук, этот четырехфазный цикл задает модель решения задачи методом последовательных приближений: планирование – реализация – проверка – корректировка – планирование – …
Усовершенствования внедряются через строго определенную последовательность шагов. Применительно к программе качества данных это подразумевает следующий алгоритм действий: состояние данных подлежит контролю на предмет соответствия стандартам; если стандарты не соблюдены, требуется доработка, которая начинается с поиска и выявления корневых причин несоответствия данных стандартам с переходом на фазы планирования и реализации мер по устранению первопричин несоответствий, которые могут быть обусловлены технологическими, методологическими, организационными и человеческим факторами. После внесения всех необходимых исправлений и работы над ошибками система управления качеством данных продолжает функционировать в режиме мониторинга систем и контроля текущих данных на предмет выявления возможных новых нарушений стандартов.
* Sebastian-Coleman L. Navigating the Labyrinth: An Executive Guide to Data Management, First Edition. Technics Publications, 2018.
Внедрение цикла управления качеством данных для набора данных, который ранее не отслеживался в рамках вышеописанной модели непрерывного совершенствования, начинается с выявления данных, не соответствующих стандартам или нуждам потребителей, и проблемных данных или процессов, препятствующих успешному решению стоящих перед бизнесом задач. Таким образом, данные нужно проверять на соответствие не только стандартам качества по всем ключевым параметрам, но и всем известным бизнес-требованиям. Далее нужно устанавливать корневые причины несоответствий, чтобы все заинтересованные стороны могли объективно и взвешенно оценить затратность устранения недоработок и уровень риска в случае их сохранения. Эта часть работы обычно осуществляется совместно с распорядителями данных и иными заинтересованными лицами.
На стадии планирования команда качества данных составляет список текущих задач и проблем, сортирует их по масштабности и приоритетности, оценивает и сравнивает различные варианты решений. План должен строиться на прочном фундаменте анализа корневых причин. Без знания первопричин и последствий имеющихся проблем невозможны ни анализ полезности или эффективности затрат, ни определение приоритетов, а без этого ни о каком планировании говорить не приходится.
На стадии реализации команда качества данных руководит работами по устранению корневых причин имеющихся проблем, параллельно планируя показатели и средства последующего контрольного мониторинга данных. Если корневые причины носят нетехнический характер, команда качества данных совместно с владельцами процессов прорабатывают возможные процедурные изменения и порядок их осуществления. В случае проблем технического характера команда качества данных совместно с соответствующими инженерно-техническими службами обеспечивает надлежащую реализацию требуемых технических изменений и проверяет полученные результаты на предмет возможных ошибок.
На стадии проверки осуществляется активный мониторинг качества данных по заданным параметрам соответствия требованиям. Пока данные стабильно укладываются в контрольные допуски, дополнительных действий не требуется, а процессы считаются контролируемыми и соответствующими бизнес-требованиям. Но как только качество данных опускается ниже допустимого порогового уровня, необходимо принимать дополнительные меры по возвращению ситуации к норме.
Стадия корректировки включает работы по оперативному устранению текущих проблем с данными по мере их выявления системами контроля качества. Как только объем или характер текущих проблем выходят за рамки таких возможностей, цикл возобновляется и начинается поиск первопричин, а затем – проработка возможных решений.
Непрерывность обеспечения качества данных достигается за счет перезапуска цикла управления качеством данных в случае возникновения любой из перечисленных ниже ситуаций:
● выход текущих результатов измерений контрольных показателей за пределы допусков;
● появление новых наборов данных;
● изменение действующих или появление дополнительных требований к имеющимся наборам данных;
● изменение бизнес-правил, стандартов или ожиданий.
Сделать наборы данных правильными изначально – дешевле, чем исправлять неправильные наборы данных. Встроить процессы управления качеством данных в процессы оперативного управления данными с самого начала – на порядок дешевле, чем последующее исправление. Обеспечивать стабильно высокое качество данных на протяжении всего их жизненного цикла – менее рискованно, чем пытаться повышать качество данных в рамках существующих процессов. Перестройки на ходу достаточно тяжело бьют по организации. Определение критериев качества данных до начала планирования нового процесса или системы – признак зрелости организации в области управления данными и отличное средство укрепления административной дисциплины и налаживания плодотворного сотрудничества между функциональными подразделениями,.
* DAMA. DAMA-DMBOK: Data Management Body of Knowledge: 2nd Edition. Technics Publications, 2017. (Русский перевод: DAMA-DMBOK: Свод знаний по управлению данными. Второе издание / Dama International. – М.: Олимп-Бизнес, 2020.)
15.3.5. Контекстная диаграмма области знаний и уровни зрелости функции «Качество данных»
Контекстная диаграмма области знаний «Качество данных» представлена на рисунке 15.10.
На рисунке 15.11 отражено распределение деятельности в области управления качеством данных по этапам их жизненного цикла.
На рисунке 15.12 представлены обобщенные характеристики уровней зрелости функции «Качество данных». Для каждого уровня, помимо характеристик зрелости практик управления качеством данных в целом, отдельно приведены характеристики деятельности по измерению качества.
* Sebastian-Coleman L. Navigating the Labyrinth: An Executive Guide to Data Management, First Edition. Technics Publications, 2018.
* Sebastian-Coleman L. Navigating the Labyrinth: An Executive Guide to Data Management, First Edition. Technics Publications, 2018.
* Smith P., Edge J., Parry S., Wilkinson, D. Crossing the Data Delta: Turn the data you have into the information you need. Entity Group Limited, 2016.
ПРАКТИЧЕСКИЙ ПРИМЕР
Вернемся к герою рубрики «Практический пример» – компании «Телеком Дубль». Говоря о базовой поддержке жизненного цикла данных, следует заметить, что особую роль здесь играет безопасность. Хороший пример – обеспечение требований Федерального закона № 152 «О персональных данных». Имея в арсенале централизованную модель данных с описанием клиента компании, «Телеком Дубль» может определять системы, которые используют сведения о клиентах, маркировать «чувствительные» данные и, исходя из этого, ограничить доступ к ним со стороны тех систем, для которых не предусмотрена работа с защищенной информацией.В части управления метаданными компания инициировала важные работы по созданию бизнес-глоссария и внедрению каталога технических метаданных.Наконец, был сделан важнейший шаг по обеспечению базовой поддержки жизненного цикла информационных ресурсов «Телеком Дубль» – проведение мероприятий по разработке стратегии и рамочной модели системы обеспечения качества данных.
Литература к главе 15
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
• ГОСТ Р ИСО/МЭК 11179-1-2010. Информационная технология. Регистры метаданных (РМД). Часть 1. Основные положения.
• ГОСТ Р 56214-2014/ISO/TS8000-1:2011. Качество данных. Часть 1. Обзор.
• ГОСТ Р ИСО 8000-2-2019. Качество данных. Часть 2. Словарь.
• ГОСТ Р ИСО/МЭК 27001-2021. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
• ГОСТ Р ИСО/МЭК 27002-2021. Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности.
• ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности.
• ГОСТ ISO/IEC 29100-2021. Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных.
• Smith P., Edge J., Parry S., Wilkinson, D. Crossing the Data Delta: Turn the data you have into the information you need. Entity Group Limited, 2016.
• Van Gils B. Data Management: a Gentle Introduction: Balancing Theory and Practice. Van Haren Publishing, 2020.
Назад: Глава 14. Обеспечение доступности и обслуживание данных: развитие
Дальше: Глава 16. Организационные аспекты управления данными
