facebook
twitter
vk
instagram
linkedin
google+
tumblr
akademia
youtube
skype
mendeley
Global international scientific
analytical project
GISAP
GISAP logotip
Перевод страницы
 

УПРАВЛЕНИЕ ПРАВАМИ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ НА ОСНОВЕ АНАЛИЗА ФУНКЦИЙ БИЗНЕС-ПРОЦЕССОВ ПРЕДПРИЯТИЯ

УПРАВЛЕНИЕ ПРАВАМИ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ НА ОСНОВЕ АНАЛИЗА ФУНКЦИЙ БИЗНЕС-ПРОЦЕССОВ ПРЕДПРИЯТИЯ
Зинаида Родионова, старший преподаватель, кандидат технических наук

Новосибирский государственный университет экономики и управления – НИНХ, Россия

Участник первенства: Национальное первенство по научной аналитике - "Россия";

УДК  004.94

 

В статье рассматриваются вопросы управления правами доступа пользователей к ресурсам автоматизированных информационных систем: формирование множества прав доступа с точки зрения их необходимости и достаточности для выполнения пользователем его функций исходя из потребностей бизнес-процесса, а также своевременная корректировка этих прав при внесении изменений в бизнес-процесс.

Ключевые слова: управление правами доступа, процессный подход, бизнес-процесс, модель доступа, информационная система

In this article explore the main aspects of the organization of system that granting access rights to users and the subsequent management of changes based on the analysis of business-processes of the organization.

Keywords: management of access rights, process approach, business-processes, model of access rights, information system.

Эффективность функционирования современных автоматизированных информационных систем (далее АИС) предприятия напрямую зависит от того, насколько соответствуют полномочия пользователя системы его должностным функциям. Признанным фактом является то, что расширение полномочий сверх необходимых приводит к увеличению непреднамеренных ошибок пользователя, росту рисков, связанных с несанкционированным доступом к данным. При недостаточных полномочиях возникают затруднения в выполнении сотрудником своей работы. Ситуация многократно усложняется если на предприятии функционирует несколько АИС, каждая из которых обладает своей системой разграничения доступа.

Формализованные полномочия в виде прав доступа получают свое отражение в настройках системы разграничения доступа АИС (например, Windows Active Directory, «КУБ», Microsoft SQL Server и др.), безопасное построение которых определяется формальной моделью. Существенный вклад в разработку формальных моделей внесли Гайдамакин Н. А., Герасименко В. А., Грушо А. А., Девянин П. Н., Зегжда  П. Д. , Ивашко A. M., Neumann P., Ravi S. Sandhu, Ferraiolo D.  и др. Несмотря на достаточно высокий уровень теоретических исследований в области формальных моделей доступа, их практическая реализация наталкивается на существенные трудности, связанные с формализацией, т. е. обеспечением соответствия абстрактных сущностей и процессов модели реальным объектам и правилам функционирования автоматизированных информационных систем и актуализацией прав доступа ввиду постоянных изменений бизнес-процессов.

В научной литературе выделяют два подхода к управлению правами доступа: на основе решения владельца и на основе должностных инструкций.

В первом случае права доступа определяет владелец процесса исходя из своих личных знаний о деятельности предприятия. Этот подход прост и требует малых затрат при  внедрении, но серьезным недостатком является человеческий фактор: помимо ошибок, которые может допустить владелец процесса, принимая решение о доступе, проблемы  возникают тогда, когда объекты используются на пересечении процессов двух владельцев. Механизм мониторинга изменений слабо формализован и ведется вручную, что создает сложности в его реализации.

Во втором случае права доступа определяются в соответствии с обязанностями, закрепленными в должностной инструкции. Эффективность применения этого подхода напрямую зависит от степени актуализации таких документов в организации. Так же возникают проблемы с мониторингом изменений, а типизированный подход к разработке должностных инструкций может существенно снизить степень корректности интерпретации должностных обязанностей.

С приходом современной модели управления, основанной на применении процессного и системного подходов, процедура формирования должностной инструкции изменилась. Группа стандартов ИСО 9000 содержит требования о том, что должностные инструкции должны рождаться и формализовываться исходя из функций бизнес-процесса. Как правило, должностные инструкции генерируются автоматически на основе модели бизнес-процесса с помощью специализированного программного обеспечения. Таким образом, первоисточником для назначения прав доступа фактически становятся функции бизнес-процесса. Должностные инструкции утрачивают здесь свою определяющую роль, превращаясь в промежуточный фиксирующий документ. Руководство утверждает права доступа посредством утверждения описания бизнес-процесса. Такой подход основывается на самой сути деятельности предприятия, ее бизнес-процессах.

Подход на основе анализа бизнес-процессов позволяет выйти на более формальный уровень принятия решения о предоставлении прав доступа  и обеспечить следующие преимущества:

  • снижение человеческого фактора при определении доступа к информации, так как права доступа определяются исходя из требований процесса, а не из должностных инструкций (часто устаревших) и / или личного мнения руководителя подразделения;

  • возможность оперативного внесения изменений в права доступа при изменении бизнес-процессов предприятия;

  • возможность выявления и устранения узких мест процесса с точки зрения безопасности информации;

  • снижение рисков за счет выявления возможных проблем процесса до настройки прав доступа в СРД.

Важность применения именно процессного подхода для создания и эксплуатации системы управления информационной безопасностью предприятия, неотъемлемой частью которой является процесс управления правами доступа, подчеркивает и международный стандарт ISO/IEC 27001:2005 «Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования» (раздел 0.2 «Процессный подход»).

Для реализации возможности управления правами доступа в условиях систем разграничения доступа, функционирующих на основе различных формальных моделей (ролевой – RBAC, дискреционной – DAC, мандатной – MAC), разработана обобщенная модель разграничения прав доступа (далее – обобщенная модель) [1]. Данная модель описывает структуру, принципы действия различных моделей доступа. При разработке обобщенной модели было учтено главное требование современных АИС – наличие механизма администрирования прав доступа. Основой обобщенной модели является административная ролевая модель, которая так же позволяет эмулировать мандатный и дискреционный доступ. Проверка корректности обобщенной модели разграничения прав доступа проведена путем последовательного изъятия из нее элементов и отношений, не входящих в две из трех формальных моделей и доказательства того, что оставшиеся элементы функционируют в соответствии с правилами данной модели разграничения прав доступа.

Этапы управления правами доступа на основе анализа функций бизнес-процессов предприятия можно представить в следующем виде (Рис. 1).

Рис. 1. Этапы управления правами доступа на основе анализа функций бизнес-процессов предприятия.

Для реализации первого этапа по описанию бизнес-процессов предприятия практическую значимость имеют методологии организационного, функционального и информационного моделирования. Организационная модель определяет «где» исполняется бизнес-процесс и самое главное «кто» его исполняет, функциональная отвечает на вопрос «как?», информационная «с помощью чего?».

Анализ угроз и уязвимостей бизнес-процессов позволяет оценить информационные риски и определить меры по противодействию, тем самым повысив безопасность функционирования системы на организационном уровне. Подобный алгоритм построения модели угроз каждая организация определяет самостоятельно исходя из специфики своего функционирования и принятой политики безопасности либо на основе законодательно утвержденных нормативно-методических документов.

Процесс анализа бизнес-процессов можно производить автоматически (например, с помощью языка XML), извлекая все необходимые данные из среды бизнес – моделирования. Алгоритм извлечения данных можно представить в общем виде, как схему потоков (Рис. 2).

Рис. 2. Схема извлечения данных

Постоянно меняющиеся окружение, стремление получить конкурентные преимущества заставляют предприятие перестраивать свою деятельность, что в свою очередь неизменно отражается на правах пользователей информационных систем. Для организации непрерывного и эффективного процесса актуализации прав доступа такие изменения необходимо отслеживать и интерпретировать на изменение прав доступа к ресурсам АИС.

Разработана классификация, нацеленная на определение сущности и параметров изменения деятельности предприятия в контексте их влияния на управление правами доступа к ресурсам АИС (Рис. 3). Основой для данной классификации послужили категории данных, необходимые для формализации и актуализации прав доступа, которые содержатся в обобщенной модели. Данная классификация не претендует на полноту и может быть расширена с учетом особенностей функционирования отдельно взятого предприятия.

Рис. 3. Классификация изменений деятельности предприятия в контексте актуализации прав доступа пользователей к ресурсам АИС

В заключение хотелось бы еще раз подчеркнуть, что предлагаемый подход с одной стороны характеризуется выделением пользователей, ролей, их иерархии и объектов доступа на основе анализа бизнес-процесса, с другой стороны ассоциацией действий и событий бизнес-процесса с совершением доступа. Для промышленного использования предложенного подхода была разработана инфомрационная система формализации и актуализации прав доступа [2, 3].

Литература:

1. Родионова З.В., Пестунова Т.М. Алгоритм автоматизированного формирования элементов обобщенной модели разграничения прав доступа на основе модели бизнес-процессов предприятия // Свидетельство о регистрации электронного ресурса Объединенного фонда электронных ресурсов «Наука и образование» № 16615 от 13.01.2011.

2.  Родионова З.В., Пестунова Т.М. Программа для ЭВМ. Информационная система формализации и актуализации прав доступа «BusinessProcessSecurity» // Свидетельство об официальной регистрации  РОСПАТЕНТ РФ № 2011615409 от 19.10.2011.

3.  Родионова З.В. [и др.] Информационная система управления правами доступа на основе анализа бизнес-процессов / Т.М. Пестунова, З.В. Родионова // Доклады Томского государственного университета систем управления и радиоэлектроники. –2010. –№ 2 (22). –Ч.2.  –С. 253 - 256.

0
Ваша оценка: Нет Средняя: 4.7 (11 голосов)
Комментарии: 6

Исаева Людмила Евгеньевна

Обсуждение процесса создания и эксплуатации системы управления информационной безопасностью предприятия, способствует принятию решений о представлении прав доступа. Проблема весьма актуальна и публикация данной работы целесообразна.

Таратин Вячеслав Викторович

Статья по разграничению прав доступа на основе модели бизнес-процессов предприятия безусловно представляет интерес для специалистов в оласти автоматизированных информационных систем. Статья интересна и позновательны и для специалистов в других областях, так как мы постоянно в нашей повседневной деятельности сталкиваемся и контактируем с с АИС. Хотелось бы узнать. Описанный метод - это разработка автора статьи или автор доробатывает, развивает этот метод? Реализован ли метод где-либо? Есть ли какие то оценочные результаты по проверке его функционирования? Буду благодарен за пояснения. С уважением, Вячеслав Викторович Таратин

Родионова Зинаида Валерьевна

Идея для методики не новая, она очевидна любому специалисту в области информационной безопасности, а вот реализация моя. Эта методика была детально описана, на ее основе разработана информационная система, которая внедрена на некоторых предприятиях города Новосибирска.

Таратин Вячеслав Викторович

Спасибо за информацию! Желаю дальнейших успехов! С уважением Вячеслав Таратин.

Игнатова Анна Михайловна

скажите а как вы считаете ваши предложения могут повлиять на производительность труда? если могут то каким образом? не будет ли такая иерархия причиной бюрократических проблем?

Родионова Зинаида Валерьевна

Использование данного подхода в совокупности с соответствующей информационной системой напрямую влияют на производительность труда. По результатам проведенного функционально-стоимостного анализа и имитационного моделирования, внедрение информационной системы формализации и актуализации прав доступа позволяет сократить финансовые затраты на управление доступом в 3,5–8 раз, временные в 1,5-2 раза, что подтвердили и результаты внедрения системы в рабочий процесс ряда предприятий города Новосибирска. Данный подход направлен на снижение потока бумажных документов, связанных с управлением правами доступа.
Комментарии: 6

Исаева Людмила Евгеньевна

Обсуждение процесса создания и эксплуатации системы управления информационной безопасностью предприятия, способствует принятию решений о представлении прав доступа. Проблема весьма актуальна и публикация данной работы целесообразна.

Таратин Вячеслав Викторович

Статья по разграничению прав доступа на основе модели бизнес-процессов предприятия безусловно представляет интерес для специалистов в оласти автоматизированных информационных систем. Статья интересна и позновательны и для специалистов в других областях, так как мы постоянно в нашей повседневной деятельности сталкиваемся и контактируем с с АИС. Хотелось бы узнать. Описанный метод - это разработка автора статьи или автор доробатывает, развивает этот метод? Реализован ли метод где-либо? Есть ли какие то оценочные результаты по проверке его функционирования? Буду благодарен за пояснения. С уважением, Вячеслав Викторович Таратин

Родионова Зинаида Валерьевна

Идея для методики не новая, она очевидна любому специалисту в области информационной безопасности, а вот реализация моя. Эта методика была детально описана, на ее основе разработана информационная система, которая внедрена на некоторых предприятиях города Новосибирска.

Таратин Вячеслав Викторович

Спасибо за информацию! Желаю дальнейших успехов! С уважением Вячеслав Таратин.

Игнатова Анна Михайловна

скажите а как вы считаете ваши предложения могут повлиять на производительность труда? если могут то каким образом? не будет ли такая иерархия причиной бюрократических проблем?

Родионова Зинаида Валерьевна

Использование данного подхода в совокупности с соответствующей информационной системой напрямую влияют на производительность труда. По результатам проведенного функционально-стоимостного анализа и имитационного моделирования, внедрение информационной системы формализации и актуализации прав доступа позволяет сократить финансовые затраты на управление доступом в 3,5–8 раз, временные в 1,5-2 раза, что подтвердили и результаты внедрения системы в рабочий процесс ряда предприятий города Новосибирска. Данный подход направлен на снижение потока бумажных документов, связанных с управлением правами доступа.
Партнеры
 
 
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
image
Would you like to know all the news about GISAP project and be up to date of all news from GISAP? Register for free news right now and you will be receiving them on your e-mail right away as soon as they are published on GISAP portal.