Моделирование на ARIS бизнес-процессов

 

Введение


В 80-х годах прошлого столетия из-за обилия методов, языков, нотаций и процессов моделирования возникло предложение разработать единые стандарты. Многие выступили против этого предложения. Разработчики ARIS-методологии решили объединить (интегрировать) известные и хорошо проявившие себя методологии, установив между ними взаимосвязи и исключив избыточность (повторяемость). При этом они получили возможность с разных точек зрения и сторон описывать бизнес-процессы (БП). Понятно, что чем больше точек зрения и сторон описания, тем точнее модель БП.

Для людей характерно многообразие точек зрения и представлений даже по существу одного и того же предмета или понятия. Поэтому, чтобы понимать друг друга, надо видеть или уметь показать связи между разными точками зрения и разными представлениями. Взаимопонимания следует добиваться не столько путем жесткой унификации и единообразия, сколько с помощью налаживания разветвленной и гибкой сети «мостов» и «дорог», позволяющих легко ориентироваться в сложной предметной области. В этой связи следует отметить, что ARIS-методология помогает передавать идеи от человека к человеку и устанавливать взаимопонимание между людьми, причастными к построению моделей и их использованию. Она не навязывает одну точку зрения, язык, терминологию, форму записи (синтаксис) или семантику, а напротив, помогает выявлять связи, переходить к разным точкам зрения, языкам, терминам, синтаксисам и семантикам.методология в настоящее время уже успешно используется множеством известных компаний различного профиля как в США, Европе так и по всему миру. Количество компаний использующих ARIS в России и Украине заметно растёт с каждым годом, что свидетельствует о признании ARIS, как мирового лидера среди инструментальных средств описания, анализа и совершенствования бизнес-процессов.

В ARIS-методологии не уделено должного внимания требованиям по обеспечению БИ в моделируемых бизнес-процессах. Поэтому в данной дипломной работе предложен способ отображения требований безопасности в методологии ARIS. Смоделирован регламент Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» с учётом требований безопасности, внесены рекомендации по уточнению данного регламента.



1. Постановка задачи дипломного проектирования


1.1 Цель и задача дипломного проектирования


Целями данной дипломной работы являются:

моделирование регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей», с учётом требований безопасности;

внесение предложений по улучшению регламента.

Для достижения поставленных целей в дипломной работе решаются следующие задачи:

изучение ARIS-методологии;

добавление атрибутов, отвечающих за обеспечение БИ;

выбор наиболее подходящих моделей для моделирования.


.2 Актуальность задачи


При анализе проблематики, связанной с безопасностью информации, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что БИ есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения БИ. Следует исходить из того, что необходимо конструировать надежные системы с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

Приведем некоторые цифры. В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет «Компьютерная преступность и безопасность-1999: проблемы и тенденции». В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% опрошенных; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?» ответили «не знаю».

В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения безопасности информации; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и / или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно) [1].

Поэтому при моделировании бизнес-процессов пренебрегать проблемой безопасности информации нельзя. Исходя из этого был предложен способ решения этой проблемы в моделях ARIS при моделировании регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей». Само моделирование регламента позволит:

создать единую базу знаний о ЦСК;

работать с единой базой данных и хранить информацию о деятельности Центра сертификации ключей «в одном месте»;

получать разнообразные отчеты непосредственно из моделей бизнес-процессов (должностные инструкции, регламенты, положения о подразделениях и т.д.);

проводить расчет стоимости бизнес-процессов и моделировать их работу в динамике;

оценивать операционные риски и управлять ими;

определять эффективность бизнес-процессов и создавать систему управления качеством;

эффективно управлять изменениями в структуре ЦСК, повысить качество предоставляемых услуг.



2. Общие сведения


2.1 Основные определения и понятия моделирования процессов


Бизнес-процесс - это логичный, последовательный, взаимосвязанный набор мероприятий, который потребляет ресурсы производителя, создает ценность и выдает результат потребителю. Среди основных причин, побуждающих организацию оптимизировать бизнес-процессы, можно выделить необходимость снижения затрат или длительности производственного цикла, требования, предъявляемые потребителями и государством, внедрение программ управления качеством, слияние компаний, внутриорганизационные противоречия и др.

Моделирование бизнес-процессов позволяет не только определить, как компания работает в целом, как взаимодействует с внешними организациями, заказчиками и поставщиками, но и как организована деятельность на каждом рабочем месте. Моделирование бизнес-процессов - это эффективное средство поиска путей оптимизации деятельности компании, средство прогнозирования и минимизации рисков, возникающих на различных этапах реорганизации предприятия. Этот метод позволяет дать стоимостную оценку каждому отдельному процессу и всем бизнес-процессам организации в совокупности [2,3].

Под методологией (нотацией) создания модели (описания) бизнес процесса понимается совокупность способов, при помощи которых объекты реального мира и связи между ними представляются в виде модели. Любая методология (методика) включает три основные составляющие:

теоретическая база;

описание шагов, необходимых для получения заданного результата;

рекомендации по использованию как отдельно, так и в составе группы методик.

Основное в методологии - дать пользователю последовательность шагов, которые приводят к заданному результату. Способность получать результат с заданными параметрами и характеризует ее эффективность. Важнейшими понятиями любого метода моделирования бизнес-процессов являются понятия объекта и связи. Каждый объект модели отражает некоторый реальный объект так называемой предметной области (организации). При создании моделей процессов объектами могут быть функции, люди, документы, машины и оборудование, программное обеспечение и т.д. Как правило, в рамках одного метода объекты модели, отражающие различные сущности реального мира, также являются разными. Связи предназначены для описания взаимоотношений объектов друг с другом. К числу таких взаимоотношений могут относиться: последовательность выполнения во времени, связь при помощи потока информации, использование другим объектом и т.д. [2,4]


2.2 История развития методологий моделирования бизнес-процессов


Основу многих современных методологий моделирования бизнес-процессов составили методология SADT (Structured Analysis and Design Technique - метод структурного анализа и проектирования) и алгоритмические языки, применяемые для разработки программного обеспечения.

В сжатом виде история развития методологий моделирования бизнес-процессов представлена в таблице 1. Для наглядности параллельно приведена история развития подходов к управлению качеством.


Таблица 1

ПериодМетодология моделирования бизнес-процессовМетодология (стандарты) управления качеством40-60-е гг.Появление алгоритмических языков описанияНациональные стандарты60-е гг.Появление методологии SADTРазвитие стандартов в различных областях, в частности в области контроля качества продукции70-80-е гг.Появление методологий серии IDEF (IDEF0, IDEF3, IDEF1X), DFD, ERDПринятие МС ИСО серии 9000 версии 1988 г.90-е гг.Появление методологий ARIS, UML, методологий компаний Oracle, Baan, Rational и др.Принятие МС ИСО серии 9000 версии 1994 г. (в стандартах закладываются основы процессного подхода)2000 г.Принятие МС ИСО серии 9000 версии 2000 г. Чёткое определение процессного подхода к управлению организацией

2.3 Основные типы методологий моделирования и анализа бизнес-процессов


В настоящее время для описания, моделирования и анализа бизнес-процессов используются несколько типов методологий. К числу наиболее распространенных типов относятся следующие методологии:

моделирования бизнес-процессов (Business Process Modeling);

описания потоков работ (Work Flow Modeling);

описания потоков данных (Data Flow Modeling).


2.3.1 Методологии моделирования бизнес-процессов (Business Process Modeling)

Наиболее широко используемая методология описания бизнес-процессов - стандарт США IDEF0. С момента разработки стандарт не претерпел существенных изменений. В настоящее время развитие методологии IDEF0 сопряжено с совершенствованием поддерживающих ее инструментов - программных продуктов для моделирования бизнес-процессов (например, BPWin 4.0, ProCap, IDEF0/EM Tool и др.). Методология IDEF0 предоставляет аналитику широкие возможности для описания бизнеса организации на верхнем уровне с акцентом на управление процессами. Нотация позволяет отражать в модели процесса обратные связи различного типа - по информации, управлению, движению материальных ресурсов. Продуманные механизмы декомпозиции модели процесса в IDEF0 существенно упрощают работу аналитика. Следует отметить, что модели в нотации IDEF0 предназначены для высокоуровневого описания бизнеса компании. Их основное преимущество состоит в возможности описывать управление процессами организации [3].


2.3.2 Методологии описания потоков работ (Work Flow Modeling)

Вторая важнейшая методология описания процессов - IDEF3, предназначенная для описания рабочих процессов или, иными словами, потоков работ. Стандарт IDEF3 близок к алгоритмическим методам построения схем процессов и стандартным средствам создания блок-схем. Основу методологии IDEF3 составляет построение моделей процессов по принципу последовательно выполняемых во времени работ (функций, операций).


.3.3 Методологии описания потоков данных (Data Flow Modeling)

Еще одна группа методологий, активно используемых на практике, - нотации DFD (Data Flow Diagramming), предназначенные для описания потоков данных. Они позволяют отразить последовательность работ, выполняемых по ходу процесса, и потоки информации, циркулирующие между этими работами. Кроме того, нотация DFD предоставляет возможность описывать потоки документов (документооборот) и материальных ресурсов (например, движение материалов от одной работы к другой). Методология DFD может эффективно использоваться для описания процессов при внедрении процессного подхода к управлению организацией, так как позволяет максимально снизить субъективность описания бизнес-процессов. С помощью схемы процессов в DFD выявляют основные потоки данных, что важно для последующего создания моделей структуры данных и разработки требований к информационной системе организации [3].



3. Особенности методологии ARIS


.1 Предназначение системы


Разработчиком данного продукта является германская фирма IDS Prof. Scheer, которая считается мировым лидером в области разработок инструментальных средств для анализа и реорганизации бизнес-процессов, а также хорошо известна в мире как консалтинговая фирма, занимающаяся реорганизацией бизнеса. Изначально, фирма IDS Prof. Scheer существовала как отделение Института Информационных Систем германского Университета Саарланд. Данный институт является одним из наиболее известных германских исследовательских центров в области информационных систем [5].

Исследовательская работа директора института информационных систем и основателя фирмы IDS - профессора Августа-Вильгельма Шера - характеризуется наличием тесной связи между теорией информационных систем и практикой их применения в конкретных условиях. Методология рассматриваемого продукта - ARIS Toolset - основывается на разработанной профессором Шером теории «Построения Интегрированных Информационных Систем», определяющей принципы визуального отображения всех аспектов функционирования анализируемых компаний. На счету профессора множество книг по теории обработки информации и анализа бизнеса, большинство из которых переведены на английский язык.

Система ARIS предназначена для визуального представления принципов и условий функционирования различного рода компаний, а также для анализа их деятельности по различным показателям с целью определения идеальных характеристик деятельности компании, реорганизации ее организационной структуры, целей и функций, бизнес-процессов, используемых данных. В рамках методологии ARIS имеется также возможность определить требования к автоматизированной системе управления и провести ее проектирование [5,6].


3.2 Примеры успешного использования инструментальной среды ARIS


Клиенты фирмы IDS могут быть найдены по всему миру, специалисты по работе с системой ARIS охотно принимаются на работу в крупные и средние организации различного профиля деятельности. Круг компаний, использующих интегрированную инструментальную среду ARIS, достаточно широк. Это могут быть компании, занимающиеся консалтинговой деятельностью, использующие ARIS как средство анализа деятельности фирм-клиентов. Пять из шести крупнейших в мире консалтинговых фирм используют систему ARIS в качестве инструментария для моделирования и анализа своей деятельности. Также, данный продукт может быть использован фирмами-разработчиками программного обеспечения для обеспечения процесса проектирования информационных систем. Более того, система ARIS может успешно применяться различного рода компаниями, занимающимися как производством продукции, так и предоставлением услуг, для анализа и реорганизации собственной деятельности и поддержании внутренних процессов компании в соответствии с изменяющимися условиями рынка, целями функционирования и прочими условиями.

Фирма Mercedes-Benz использует ARIS Toolset с 1995 года для анализа и совершенствования своей деятельности в области производства легковых автомобилей. Поводом для приобретения послужила возрастающая в то время конкуренция на рынке легковых автомобилей и острая необходимость в повышении конкурентоспособности предприятия. Использование данной системы позволило перейти на качественно новый уровень в организации производства. По словам самих сотрудников фирмы Mercedes-Benz, работающих в подразделении планирования, ARIS помог им более глубоко понять принципы стратегического планирования развития производства, а также технологию перехода от стратегических планов к их эффективной реализации. В настоящее время это подразделение успешно разрабатывает стратегические планы и консультирует большинство заводов фирмы, занимающихся производством легковых автомобилей как в самой Германии, так и за ее пределами. Другая автомобилестроительная компания Volkswagen, успешно использовала систему ARIS для реализации эффективной программы лизинга, осуществляемой ее двумя дочерними подразделениями - Volkswagen Leasing и Volkswagen Bank. Разработанная программа лизинга, названная «LEASIS» в настоящий момент контролирует порядка 99 процентов всего лизингового рынка Германии. Подобные примеры можно привести и для других крупных и средних компаний, занимающихся производством товаров и предоставлением услуг [5,6].

В Украине лидером по внедрению технологий описания и совершенствования внутренних бизнес-процессов на базе инструментальной среды ARIS являются компания «Квазар-Микро». Её услугами уже воспользовались такие банки как: ЗАО «Первый украинский международный банк», «Ощадбанк» и др. На российском рынке лидером является компания «IDS Scheer/Логика бизнеса». «Логика бизнеса» осуществляет продажу программных продуктов семейства ARIS, являясь эксклюзивным партнером компании IDS Scheer AG на территории СНГ и стран Балтии. Среди клиентов компании - ОАО «Альфа-Банк», ЗАО «ДаймлерКрайслер Автомобили Рус», ЗАО «ЛУКОЙЛ-Нефтехим», ОАО «НЗХК», ОАО «Пермская ГРЭС», ГК «РОСМЭН», РУСАЛ, АКБ «Сбербанк РФ», Сибнефть, СУАЛ, АКБ «Укрсоцбанк» (Украина), ЮКОС, Овергаз (Болгария), AVON\Russia, Оскольский электрометаллургический комбинат, ОАО «МРСК Центра и Северного Кавказа», ООО «Русский Стандарт Водка» и многие другие. Использование инструментальной среды ARIS при моделировании и совершенствовании внутренних бизнес-процессов в этих компаниях дало следующие результаты:

время и стоимость выполнения процессов уменьшилась в среднем на 12%;

идентифицирован и описан ряд существующих бизнес-процессов, проведен анализ их эффективности с точки зрения влияния на ключевые показатели компании, разработаны принципы и направления совершенствования изучаемых бизнес-процессов, и спроектированы новые процессы, удовлетворяющие заданным требованиям.

руководство компаний получило возможность более эффективно и быстро анализировать существующие бизнес-процессы, производственные и информационные связи;

управление компанией стало более гибким и эффективным за счёт качественной перестройки бизнес-процессов;

классифицирован и описан ряд предметных областей деятельности компании для создания и распространения во внутренней системе компании единых понятийных стандартов (описание продуктов / услуг, определение терминологии);

создана методологическая основа для построения базы знаний компании, включающей, помимо всего вышеуказанного, описания информационных систем, организационной структуры, региональной сети, используемых документов, накопленных знаний, полномочий сотрудников и т.п.


3.3 Примеры решение конкретных задач


.3.1 Документирование организационной структуры

Организационная структура наиболее легко поддается перенесению на ARIS, поскольку она, как правило, четко определена и не требует предварительной аналитической проработки. С использованием детального описания организационной структуры можно проанализировать количество уровней иерархии, выявить наличие слишком большого или слишком малого количества подчиненных у одного руководителя, подчинения одних и тех же сотрудников различным руководителями и т.п. - одним словом, провести элементарную проверку. Организационная структура подвержена частым изменениям, для поддержания ее описания в актуальном состоянии потребуются дополнительные ресурсы. С учетом того, что семантика ARIS достаточно сложна, эти дополнительные ресурсы будут значительны. Имеет смысл также предварительно формализовать процесс документирования организационной структуры и оформить его в виде регламента [2,5,6].

Серьезное преимущество ARIS перед другими инструментами заключается в том, что в ARIS хорошо развиты графические средства представления сформированных моделей.


3.3.2 Формирование отчетов на базе построенной модели

ARIS позволяет вывести в отчетный документ любую информацию, содержащуюся в базе данных проекта, как то описание моделей, описание объектов, взаимосвязи объектов, графические представления. Процесс создания отчетов в ARIS полностью автоматизирован, используются скрипты на VBasic и ARIS Basic Language Capability. «Себестоимость» этих отчетов достаточно высока, поскольку перед формированием отчета потребуется занести на ARIS детальные описания процессов и структуру организации. Одним словом отчеты - мощное, но вспомогательное средство - использовать ARIS только как средство для формирования отчетов крайне нецелесообразно. В отличие от ARIS в ERwin/BPwin репрезентативные функции развиты слабо [2,5,6].


3.3.3 Документирование (регламентация) бизнес-процессов, создание базы данных описаний бизнес-процессов

С использованием ARIS могут быть составлены точные структурированные описания бизнес - процессов, которые будут храниться в единой базе данных, что обеспечит интеграцию разнообразных моделей. Существуют два подхода к документированию бизнес - процессов: целевая документация отдельных бизнес-процессов и документация всех бизнес - процессов организации. Считается, что ARIS предназначен для «сплошной» документации бизнес - процессов организации. Затруднения, которые поджидают организацию на этом пути, описаны выше. При использовании ARIS для документирования отдельных бизнес-процессов, потребуется предварительное моделирование, а именно: выявление значимых для решения поставленной задачи процессов, иными словами, выделение и предварительное структурирование предметной области, соответствующей поставленной задаче.

Для полномасштабного документирования бизнес - процессов средних размеров организации (до 1000 сотрудников) необходимо по самым скромным оценкам 5 человеко-лет, в работе приводятся менее оптимистичные оценки. Вследствие постоянных изменений в структуре бизнес - процессов потребуется дополнительный ресурс для поддержания описания в адекватном состоянии. Использование ARIS целесообразно в организациях со значительным оборотом (поскольку расходы на внедрение ARIS достаточно высоки - $1500 за одно рабочее место) [2,6].

Следует подчеркнуть, что для некоторых процессов в силу их специфики чрезмерная формализация не только малоэффективна, но и просто вредна, как это уже было отмечено несколько в ином контексте. В качестве важного примера можно привести инновационные процессы в организации, которые едва ли могут быть перенесены в ARIS. Другим примером являются те составляющие бизнес-деятельности, которые напрямую связаны с творческими решениями малопрогнозируемых проблем, возникающих в ходе этой деятельности. Необходимо упомянуть, что те функции документирования бизнес-процессов в ARIS, которые существенно выходят за рамки возможностей BPwin, требуют существенных затрат, о которых уже сказано выше.


3.3.4 Динамическое моделирование

Модуль имитационного моделирования ARIS Simulation используется в тех случаях, когда необходимо проанализировать поведение во времени разработанных моделей бизнес-процессов. Цель динамического моделирования - определение узких мест в реализации процессов (несогласованность параллельно выполняемых процессов, нехватка ресурсов для эффективного выполнения процессов и т.д.). Возможно проведение динамического эксперимента с использованием ARIS - прогона процессов во времени при заданных характеристиках. Для реализации всего вышеперечисленного потребуется формализовать точные временные характеристики исследуемых бизнес - процессов [5,6].

Следует отметить, что в качестве менее тяжеловесной альтернативы ARIS для решения конкретных задач может быть использован программный комплекс MATLAB/SUMULINK, разработанный специально для моделирования динамических систем.


3.3.5 Управление операционными рисками

С использованием ARIS можно создавать самые разнообразные классификаторы, в том числе и классификаторы операционных рисков. В ARIS предлагается два метода оценки рисков:

·стандартный метод, при использовании которого во внимание принимаются вероятность риска и средний размер потерь на одно событие,

·процессно-ориентированный метод, при котором учитывается частота выполнения процессов за период времени, вероятность наступления данного события (риска) при выполнении определенного бизнес - процесса (последовательности процессов).позволяет получить аналитическую отчетность, структурированную по ряду признаков, например, по доле риска в технологическом процессе или по размеру потерь на структурное подразделение. ARIS является подходящим инструментом для детальной классификации, структурирования и наглядного представления операционных рисков [2,6].


3.3.6 Анализ и оптимизация моделей бизнес-процессов

Оптимизация деятельности в ARIS сводится к выделению, формализации и структурированию бизнес - процессов с целью формирования на их основе «сквозного» представления процессов организации.

Разработанные модели могут быть проанализированы по определенным правилам, которые задаются в специально разработанных алгоритмах - скриптах (модуль ARIS Analysis). В среде ARIS существуют стандартные алгоритмы анализа:

·классификация функций в зависимости от значений их атрибутов,

·затраты времени и средств на выполнение процесса,

·необходимые организационные изменения в процессах,

·анализ движения информации внутри процесса,

·анализ использования элементов автоматизированной системы.

Методики оптимизации, предлагаемые ARIS, представляют собой только первый шаг в оптимизации бизнес - процессов, что является неизбежным следствием их универсальности. Предлагаемые стандартные алгоритмы анализа достаточно просты и могут быть реализованы и без использования ARIS [2,5].

Не имеет смысла рассматривать ARIS как инструмент, предназначенный исключительно для оптимизации бизнеса, поскольку оптимизация в нем ограничена некой универсальной постановкой задачи, что не дает возможности полноценно учесть специфику работы организации. Однако, если бизнес-процессы уже задокументированы в ARIS, их анализ может быть полезен, особенно, с учетом репрезентативных свойств ARIS.


3.3.7 Проведение функционально-стоимостного анализа деятельности

Модуль ARIS ABC реализует анализ стоимости процессов, при котором структура расходов полностью прозрачна, в отличие от метода установленных нормативами коэффициентов, который применялся до ARIS.

При использовании данного модуля значительно увеличится число операций по описанию отдельного бизнес - процесса в ARIS, поддержание описания в актуальном состоянии также потребует дополнительного времени. При использовании модуля ARIS ABC себестоимость продукции (услуг) точно определяется и структурируется, однако для некоторых видов затрат подобная степень детализации нереализуема вовсе или может быть достигнута путем чрезмерного усложнения модели. Следует отметить, что в отличие от ARIS, в BPwin/ERwin довольно ограниченные возможности для проведения стоимостного анализа [2,5,6].


3.3.8 Стратегическое планирование и управление

ARIS BSC - инструмент, помогающий построить модель стратегии организации. Кроме того, ARIS позволяет сформировать модель структуры организации в виде многоуровневой иерархии, в которую включено детальное распределение полномочий сотрудников. С помощью ARIS BSC формируется специальное представление - карта стратегии компании, выделяются и структурируются ключевые показатели эффективности деятельности организации, детализируется влияние различных факторов и их значимость. Однако, вследствие универсальности модуля BSC формируется чрезмерно упрощенная структура стратегии организации, не позволяющая учесть специфические нюансы функционирования конкретной организации. Структура стратегии, сформированная подобным образом, удобна для представления руководству и презентаций, однако предлагаемые управленческие решения, что называется, «лежат на поверхности» и могут быть найдены без использования ARIS [2,5,6].



4. Особенности моделирования в среде BPWin/ERWin


BPwin/ERwin - средство функционального / концептуального моделирования, реализующее методологию IDEF0-IDEF3.- наиболее известная и распространенная методика моделирования бизнес-процессов. Она принята в качестве стандарта в нескольких международных организациях, в том числе в НАТО и МВФ, является официальным федеральным стандартом США. IDEF0 можно использовать для моделирования широкого класса систем. Для новых систем она применяется с целью определения требований и функций для последующей разработки системы, отвечающей поставленным требованиям и реализующей выделенные функции. Применительно к уже существующим системам методология IDEF0 может быть использована для анализа функций, осуществляемых системой, и отображения механизмов, посредством которых эти функции выполняются [7,8].- вторая важнейшая методология (после IDEF0), предназначенная для описания потоков работ (Work Flow Modeling). Она широко используется для создания моделей бизнес-процессов организации на нижнем уровне - при описании работ, выполняемых в подразделениях и на рабочих местах. Методология IDEF3 позволяет графически описать и составить исчерпывающую документацию процессов, фокусируя внимание на ходе их выполнения и на отношениях процессов и важных объектов, являющихся частями этих процессов.



5. Сравнительный анализ нотаций ARIS еEPC И IDEF3


В таблице 2. приводится сравнение нотаций IDEF3 и ARIS eEPC. Нотация ARIS eEPC является более новой с точки зрения времени ее появления, но фактически она - расширение IDEF3 за счет использования объекта «Событие» (Event) [4].


Таблица 2

№ п.п.Критерии сравненияНотацияARIS eEPCIDEF31Принцип построения диаграммыВременная последовательность выполнения процедурВременная последовательность выполнения процедур2Описание процедуры процессаОбъект на диаграммеОбъект на диаграмме3Входящий документИспользуется отдельный объект для описания типа Document. Могут быть использованы другие объектыИспользуется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)4Входящая информацияИспользуется отдельный объект для описания типа Cluster и Technical termИспользуется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)5Исходящий документИспользуется отдельный объект для описания типа Document. Могут использоваться другие объектыИспользуется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)6Исходящая информацияИспользуется отдельный объект для описания типа Cluster и Technical termИспользуется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)7Исполнитель процедурыИспользуется отдельный объект для описания типа Position, Organizational unit и др.Нет (Может быть отражен в модели только привязкой объекта ссылки)8Используемое оборудованиеИспользуется отдельный объект для описанияНет (может быть отражен в модели только привязкой объекта ссылки)9Связь диаграмм при декомпозицииДля привязки к другим диаграммам используется объект Process interfaceДля привязки к другим диаграммам используется объект ссылки10Визуальное восприятие диаграмм процессовИнтуитивно понятные, легко читаемые диаграммыСложно воспринимаются11Стандартная форма представления диаграммы процесса при документированииНе регламентирована. Нет рекомендаций по форматированию моделей ARIS еЕРС при документированииРегламентирована. Рамка IDEF0. Развитая система обозначений на диаграмме12Ограничения по количеству объектов на диаграмме процессаКоличество объектов не ограниченоРекомендовано не более шести. Общее количество не ограничено

Строго говоря, формально нотации ARIS еЕРС и IDEF3 не отличаются друг от друга, так как базируются на одних и тех же принципах моделирования потоков работ (Work Flow), предполагающих использование символов логики («перекрестков» в IDEF3). При помощи этих символов отображаются ветвления и слияния потоков работ в рамках бизнес-процесса.

Возможность моделирования событий в ARIS еЕРС позволяет создавать более корректные и подробные описания процессов. При этом, однако, существенно повышается сложность и трудоемкость описания. Дополнительные преимущества ARIS еЕРС заключаются в возможности визуального отображения входящих / исходящих документов, информации, используемой инфраструктуры и т.п. при помощи специальных объектов. К сожалению, на практике наличие таких широких возможностей по описанию процесса в ARIS еЕРС часто приводит к отрицательным результатам - модели становятся слишком сложными и громоздкими, неудобными для документирования. С формальной точки зрения нотация ARIS еЕРС является наиболее применимой для детального описания процессов. С ее помощью можно эффективно описывать процессы уровня рабочих мест с целью разработки должностных и рабочих инструкций [4,8].

6. Способ отображения требований безопасности в методологии ARIS


Перед тем как перейти к непосредственному моделированию регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» необходимо дать ответ на следующие вопросы:

что мы понимаем под понятиями «информация», «информационная система», «безопасность информации»?

какими свойства можно охарактеризовать БИ?

каким способом реализовать данные свойства в инструментальной среде ARIS?


6.1 Основные определения и понятия в области безопасности информации


В контексте данной дипломной работы под информацией понимается совокупность фактов, явлений и событий, которые представляют интерес, регистрируются и обрабатываются. Информация - это единственный неубывающий экономический ресурс, более того, ее объем постоянно возрастает. Особенно ярко это стало проявляться с середины 20-го века. В 70-е годы прошлого века объем информации удваивался каждые 5 - 7 лет. В 80-е годы удвоение происходило уже за 20 месяцев, а в 90-е - ежегодно. В начале 21-го века информация стала товаром первой необходимости, а высказывание: «Кто владеет информацией, тот владеет миром» лишь подтверждает это.

Информационная система - совокупность аппаратных и программных средств, обеспечивающая ввод, редактирование и хранение информации.

Под безопасностью информации (БИ) понимают - состояние информации, в котором обеспечивается сохранение определенных политикой безопасности свойств информации. К свойствам БИ принято относить конфиденциальность, доступность, целостность, а также наблюдаемость.

Согласно [9], конфиденциальность (англ. confidentiality) информации - это свойство информации, которое заключается в том, что информация не может быть получена неавторизованным пользователем и / или процессом.

Целостность (англ. integrity) информации - это свойство системы, которое заключается в том, что каждый ее компонент не может быть устранен, модифицирован или прибавлен с нарушением политики безопасности.

Доступность (англ. availability) - это свойство ресурса информации, которое заключается в том, что пользователь и / или процесс, который владеет соответствующими полномочиями, может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного (малого) промежутка времени, т.е. когда он находится в виде, необходимом пользователю, в месте, необходимом пользователю, и в то время, когда он ему необходим.

Также определённый интерес представляет такой компонент как категория доступа (англ. security clearance).


6.2 Способ добавления новых атрибутов


Задача добавления атрибутов безопасности (доступность, целостность, конфиденциальность, категория доступа) решается с помощью встроенных средств самой среды ARIS. Модуль ARIS Configuration позволяет корректировать методы и объекты ARIS, приспосабливая их к требованиям конкретных пользователей или специфических задач [5,6,10].

В нотации ARIS определены так называемые Free attributes, с помощью которых можно добавить новые атрибуты. Добавление атрибутов происходит следующим образом:

. Создается новая группа атрибутов Security (безопасность). Это происходит путём переименования любой группы Free attribute type group в закладке Attribute type groups (рис. 1).


Рисунок 1. Создание группы атрибутов


. Создание новых атрибутов происходит аналогичным образом в закладке Attribute types. Существуют следующие типы Free attributes: Boolean, Date, Duration, Float, Integer, Point in time, Text, Time, Values. Для решения нашей задачи наиболее подходящим является тип Values. При использовании типа Values выбор уровня происходит в выпадающем меню, причем уровни задаются в момент создания атрибута и являются одинаковыми для всех элементов использующих данный атрибут. Для удобства использования созданные атрибуты помещаем в группу Security. На 2 рисунке показано создание атрибута Confidentiality (конфиденциальность) используя тип Values [10].



Рисунок 2. Атрибут Confidentiality (конфиденциальность) - тип Values


Рисунок 3. Окно Attributes элемента Function модели ARIS eEPC


В результате создана группа Security с атрибутом Confidentiality (рис. 3). Аналогичным образом можно добавить атрибуты Integrity (целостность) и Availability (доступность) и другие. Новая группа атрибутов будет доступна для использования во всех моделях ARIS и может быть применена к любому объекту. Используем пятиуровневую шкалу задания уровня требований безопасности (рис. 3) [10].

Таким образом, в среде ARIS мы определили атрибуты безопасности.

7. Моделирование регламента ЦСК


.1 Общие характеристики регламента


Регламент - это детальное изложение практики центра сертификации и всего того, что потенциально необходимо для понимания и принятия во внимание абонентами и пользователями сертификатов. Регламент может принимать форму подробного изложения той системы и практики, которых придерживается центр сертификации. Регламент должен быть совершенно понятным, чётким документом, описывающим сервисы и процедуры управления жизненным циклом сертификатов [11].

Регламент Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» чётко формулирует права и обязанности центра и абонентов, устанавливает ответственность сторон, а также порядок разрешения споров и конфликтных ситуаций. Регламент содержит описание организационной структуры центра, процедур и механизмов обслуживания сертификатов, а также характеристики технических средств, используемых в ЦСК [12].


7.2 Основные определения и понятия, применяемые в методологии ARIS


Под моделью понимается совокупность объектов, объединенных друг с другом различными связями, и ряда вспомогательных элементов [5,6]. Модель характеризуется типом, именем и свойствами. Тип модели определяет, что описывает данная модель - организационную структуру, функции, данные, процессы или выходы. Имя модели является частью ее атрибутов. Модель ARIS так же является частью более развернутой модели организации. В то же время модель может представлять отдельный объект, будучи его детальным описанием. Модели классифицируются с помощью методологических фильтров. Каждая модель ARIS содержит:

- объекты - неделимые части модели, выделенные по какому-либо признаку, сформулированному в соответствии с методологией ARIS, и имеющие набор изменяемых характеристик - свойств, описывающих их поведение [5,6]. Каждый объект:

? имеет уникальное имя;

? принадлежит к определенному типу объектов;

? соединен одной или несколькими связями с другими объектами;

? имеет свое определенное значение в методологии и описывается свойствами, определяющими конкретный объект данного типа;

? может использоваться в одной или нескольких типах моделей;

? может создавать свои экземпляры, представленные одним или несколькими символами. Внешний вид экземпляра объекта может быть изменен в определенных пределах.

связи между объектами - описанные взаимоотношения между объектами, имеющими свои свойства и характеристики [5,6]. Так же как и объекты, связи характеризуются свойствами, выделены внешний вид и атрибуты. Важную роль при моделировании играет правильный выбор связей между объектами модели. Каждая связь:

? имеет уникальное имя;

? принадлежит к определенному типу. Тип связи зависит как от типов соединяемых объектов, так и от направления соединения. Между некоторыми типами объектов связи не могут существовать;

? соединяет исходный и конечный объекты;

? характеризуется своими свойствами;

? может создавать свои экземпляры, внешний вид которых может быть изменен в определенных пределах.

Среди связей различают соединения и детализирующие связи. Соединения - это такие связи, экземпляры которых представляют собой видимые соединения между двумя объектами внутри одной модели [5,6].

Модель может включать:

? внешние встроенные объекты, например, рисунки, документы текстовых редакторов и т.п.;

? текст, размещенный в любом месте модели;

? геометрические фигуры.


7.3 Соглашение о моделях


Инструментальная среда ARIS содержит множество моделей, каждая из которых отнесена к определенному типу представления и уровню описания. Полный набор моделей является, безусловно, избыточным для проведения конкретного проекта, так как существуют группы моделей, представляющих альтернативные способы описания [4,5].

Кроме того, использование большого количества различных типов моделей и нотаций почти всегда означает дублирование описания, то есть представление одной и той же информации с нескольких точек зрения и на разных уровнях обобщения. Нельзя сказать, что подобное описание является некорректным или неоправданным. Однако при этом следует помнить о том, что резко возрастают трудозатраты на поддержание моделей в актуальном состоянии, а также увеличивается вероятность занесения противоречивой информации, наличие которой зачастую слишком сложно отследить и исправить [4,6].

При подготовке каждого проекта, проводимого в среде ARIS, необходимо определиться с набором используемых типов моделей, а следовательно, объектов, их атрибутов и связей.

Поэтому для моделирования регламента ЦСК были выбраны следующие модели:

? Extended event driven process chain (eEPC) - расширенная событийно-управляемая цепочка процесса;

? Organizational chart - организационная диаграмма;

? Technical Term Model - модель технических терминов;

? Function/organizational level diagram - диаграмма распределения функций по организационным уровням;

? Network topology - топология сети;

? Network diagram - диаграмма вычислительной сети.


7.3.1 Правила построения моделей

При моделировании в инструментальной среде ARIS для получения качественных и наглядных результатов необходимо соблюдение некоторых правил построения моделей [5].

Поэтому при моделировании регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» соблюдались следующие правила:

? организационный элемент из модели процесса (eEPC) существует в организационной модели;

? каждая функция должна иметь исполнителя;

? каждое подразделение должно содержать в своем составе как минимум одну должность;

? каждый объект должен иметь одно или более соединений с другими объектами;

? объект не может быть замкнут сам на себя;

? каждый путь должен начинаться и заканчиваться событием или интерфейсом в другой процесс;

? проверка корректности количества входящих и исходящих соединений логических операторов;

? все функции и события должны иметь только одно входящее и одно исходящее соединения;

? после события не должен следовать оператор «ИЛИ-НЕ» или «ИЛИ»;

? в модели запрещены циклы;

? все исходящие соединения объекта должны иметь один и тот же тип.


7.3.2 Модель Organizational chart

Модель ARIS Organizational Chart является одной из основных моделей ARIS и предназначена для построения схем организационной структуры организации. Как правило, эта модель строится в начале проекта по моделированию бизнес-процессов. В модели отражаются существующие подразделения организации в виде иерархической структуры. Кроме моделей иерархии подразделений, отделов могут быть построены модели иерархии подчиненности в проектных командах, группах и т.д. Все отраженные в моделях объекты можно использовать в дальнейшем при формировании моделей бизнес-процессов. При построении сложных иерархических структур может быть применена декомпозиция, например, структуру подразделения возможно представить более детально [4,13,14].

При моделировании организационной структуры ЦСК использовались следующие объекты (таблица 3.)


Таблица 3

№ п.п.НаименованиеОписаниеГрафическое представление1ГруппаМожет отображать группу сотрудников, работающих вместе и имеющих одинаковые функции 2ДолжностьПрава и обязанности сотрудников определяются профилем должности 3Штатный сотрудникОтдельный сотрудник организации, может входить в группы сотрудников, а также может быть связан с функциями (которые он исполняет или за которые отвечает)

При более детальном представлении организационной структуры ЦСК также возможно использование следующих объектов (таблица 4):


Таблица 4

№ п.п.НаименованиеОписаниеГрафическое представление1РасположениеОпределяет физическое местонахождение организационных единиц, сотрудников. Им может быть регион, город, здание, комната и даже отдельное рабочее место 2Описание должностиДля более детального описания профиля должности 3Рабочая станцияОпределяет рабочую станцию конкретного сотрудника

При моделировании организационной структуры ЦСК использовались следующие связи:

? is composed of - состоит из;

? is superior - имеет в подчинении;

? occupies - занимает.

Моделирование организационной структуры компании - стартовая точка в создании топологии компьютерной сети, которая должна быть определена на уровне спецификации проекта и которая, как предполагается, будет поддерживать организационную структуру наиболее оптимальным образом [5,6].


.3.3 Модель Network topology

Организационная структура компании, представленная ее организационной схемой, может быть поддержана коммуникационной и информационной инфраструктурами системы. Структурные требования к таким информационным системам в основном могут быть описаны на этапе спецификации проекта с использованием топологии сети [6].

Связь между топологией сети и объектами, определяемыми на уровне

формулировки требований, устанавливается по двум направлениям. С одной стороны, может быть специфицирована организационная единица или должность, с другой стороны, можно определить, в каком месте компании находится данный тип сети, тип узла сети, тип соединения и тип компонент аппаратуры [14].

При моделировании топологии сети программно-технического комплекса ЦСК использовались следующие объекты (таблица 5).


Таблица 5

№ п.п.НаименованиеОписаниеГрафическое представление1Тип узла сетиПредставляет собой обобщение отдельных узлов сети с одинаковыми техническими характеристиками 2Тип сетиОтражает обобщение отдельных (информационных) сетей с одинаковыми техническими характеристиками

Если возникает необходимость более детального описания топологии сети, целесообразно использование следующих объектов (таблица 6).


Таблица 6

№ п.п.НаименованиеОписаниеГрафическое представление1Сетевой протоколПредставляет собой стандартизованный метод связи и обмена информацией между прикладными системами в сети 2Тип компонента аппаратного обеспеченияОтражает обобщение отдельных экземпляров компонентов аппаратного обеспечения, обладающих одинаковыми техническими характеристиками 3Тип операционной системыОтражает обобщение отдельных операционных систем, обладающих одинаковыми техническими характеристиками. ОС, как правило, идентифицируются по имени и номеру версии 4Тип сетевого соединенияПредставляет собой обобщение отдельных сетевых соединений с одинаковыми техническими характеристиками

При моделировании организационной структуры ЦСК использовались следующие связи: can be connected to - может быть соединён с; is used in - используется в.

Диаграмма топологии сети может содержать различные типы сетей. Типы сетей могут быть взаимосвязаны, и поскольку они являются логическими конструкциями, их также можно разместить в соответствии с иерархией. Каждый тип сети может отражать связь между возможными типами узлов сети и типами соединений сети. Таким образом, сразу можно сформулировать технические ограничения, определяющиеся выбором конкретной сети. Каждый тип соединения сети может содержать информацию о типе узла сети, в которых он оканчивается [5,13].

Типы компонент аппаратного обеспечения относятся в этом случае или к оборудованию, образующему саму сеть, или к оборудованию, которое может быть подключено к ее узлам. Аналогично операционным системам или типам сетей типы оборудования не являются отдельными экземплярами, идентифицируемыми, к примеру, по инвентарному номеру. Напротив, они отражают обобщение отдельных экземпляров оборудования, обладающих одинаковыми техническими характеристиками. Тип оборудования может быть помещен на любой уровень в иерархии.

7.3.4 Модель Network diagram

Диаграмма сети используется для представления реализации топологии сети, определяемой на уровне спецификации проекта. Она описывает конкретные экземпляры компонент сети и связи между ними [13,14].

При моделировании диаграммы сети программно-технического комплекса ЦСК использовались следующие объекты (таблица 6.)


Таблица 6

№ п.п.НаименованиеОписаниеГрафическое представление1Компонент аппаратного обеспеченияЭкземпляр определённого типа оборудования, имеющегося в организации. Идентифицируется при помощи инвентарного номера 2ДолжностьПрава и обязанности сотрудников определяются профилем должности

Среди других объектов доступных в данной модели следует отметить следующие (таблица 7).


Таблица 7

№ п.п.НаименованиеОписаниеГрафическое представление1Операционная системаКонкретизирует понятие «тип операционной системы» до уровня уникального экземпляра, идентифицируемого, к примеру, по номеру версии и / или лицензии. 2СетьПредставляет собой экземпляр, относящийся к одному из типов сетей, имеющихся в организации. Может быть идентифицирована по своему расположению либо по инвентарному номеру 3Прикладная системаКонкретизирует понятие «тип прикладной системы» до уровня уникального экземпляра, идентифицируемого, к примеру, по номеру версии и / или лицензии. Организация может владеть несколькими прикладными системами (версиями) относящимися к одному типу 4СУБДСистема управления базами данных 5Узел сетиПредставляет собой точку доступа в сеть, к которой может быть подключено какое-либо оборудование 6Сетевое соединениеСвязывает между собой узлы сети

При построении диаграммы сети использовались следующие связи:

? is connected to - подсоединён к;

? is responsible for - ответственный за.

С помощью объекта сеть можно специфицировать конкретные сети компании. Для каждой сети следует определить узлы сети и соединения. Также можно описать точное расположение каждой сети, ее узлов и соединений. В качестве расположения может выступать организация, отдельное здание, офис или рабочее место.

Для каждого сетевого узла или соединения можно определить оборудование, с помощью которого они реализованы физически, а также структуру этого оборудования. Помимо этого, можно отобразить оборудование, подключенное к узлам сети. Для каждого объекта, находящегося на уровне экземпляров, можно определить связь с соответствующим объектом уровня спецификации проекта (уровень типов).

Таким образом, на диаграмме сети может присутствовать связь как со спецификацией проекта (экземпляры связываются с типами), так и с определением требований (компоненты сети связываются со своим расположением) [14].


.3.5 Модель Technical Term Model

В моделировании, особенно в моделировании данных, мы вынуждены иметь дело с часто встречающимся затруднением - многочисленностью терминов, определяющих информационные объекты в больших организациях. При введении соответствующей терминологии для компании и ее отделов определяемая информация становится более понятной [5,6].

По этой причине набор методов ARIS содержит так называемые модели технических терминов, которые не только позволяют манипулировать различными терминами как синонимами, но и дают возможность поддерживать отношения между объектами в моделях данных (тип сущности, тип отношения и т.д.) так же, как технические термины, применяемые в компании. Для представления этих отношений вводится тип объекта технический термин.

При создании модели технических терминов «Перечень конфиденциальной и открытой информации, которая обрабатывается в центре» использовались следующие объекты (таблица 8.)


Таблица 8

№ п.п.НаименованиеОписаниеГрафическое представление1Кластер/модель данныхОтражает логический взгляд на набор типов сущностей и типов отношений в модели данных, что требуется для описания сложных объектов 2Технический терминОтражает концептуальный взгляд на имеющиеся в организации информационные объекты и используется для выделения специфичных терминов и понятий, а также существующих между ними взаимосвязей В модели технических терминов «Перечень конфиденциальной и открытой информации» использовались следующие связи:

? depicts - описывает;

? is a - является.

Технические термины могут быть взаимосвязаны и иерархически упорядочены. Термины, определенные в модели технических терминов, могут использоваться и в других диаграммах, которые содержат информационные объекты, например, в диаграмме цепочки процесса (eEPC) для представления входных / выходных данных для функции [13,14].


.3.6 Модель Function/organizational level diagram

Связь между функциональной моделью и организационной моделью служит для установки соответствия между функциями и исполнителями заданий (организационные единицы) в организационной схеме. Это соответствие определяет ответственность организационных единиц и уровень принятия решений для всех описанных функций [13].

При моделировании функций и задач отделов ЦСК использовались следующие объекты (таблица 9).


Таблица 9

№ п.п.НаименованиеОписаниеГрафическое представление1Организационный уровеньКритерием структуризации является сходство выполняемых операций, именно согласно ему формируются организационные единицы. Кроме того, структуру большой компании можно разбить на уровни, что, помимо прочего, позволяет определять ответственности и права доступа. 2ФункцияФункция - некоторое действие или набор действий, выполняемых над исходным объектом (документом, материалом и проч.) с целью получения заданного результата (документа, материала и проч.) При моделировании функций и задач отделов ЦСК используется только один вид связи:

? belongs to - принадлежит


7.3.7 Модель Extended event driven process chain (eEPC)

Модель предназначена для детального описания процессов, выполняемых в рамках одного подразделения, несколькими подразделениями или конкретными сотрудниками. Она позволяет выявлять взаимосвязи между организационной и функциональной моделями. Модель eEPC отражает последовательность функциональных шагов (действий) в рамках одного бизнес-процесса, которые выполняются организационными единицами [4,5,6].

При моделировании регламентных процедур и механизмов обслуживания сертификатов в ЦСК использовались следующие объекты модели eEPC (таблица 10.):


Таблица 10

№ п.п.НаименованиеОписаниеГрафическое представление1СобытиеСобытие - это состояние, которое является существенным для целей управления бизнесом и которое оказывает влияние или контролирует дальнейшее развитие одного или более бизнес-процессов 2ФункцияФункция - некоторое действие или набор действий, выполняемых над исходным объектом (документом, материалом и проч.) с целью получения заданного результата (документа, материала и проч.) 3Тип прикладной системыОтражает обобщение отдельных прикладных систем, обладающих одинаковыми техническими и функциональными характеристиками. 4Носитель информацииНоситель информации представляет собой средство хранения информации. Оно может быть реализовано, к примеру, в виде картотеки или компьютерных файлов. 5Тип сотрудникаДанный объект отображает обобщение отдельных сотрудников, имеющих одинаковые характеристики. Такими характеристиками могут, к примеру, являться права доступа и обязанности. 6ДолжностьЭлементарной организационной единицей компании является должность. С ней связаны сотрудники и, как правило, их права и обязанности, определяются именно профилем должности. 7Правило («или»)Данный объект представляет собой логический оператор уровня экземпляров и определяет связь между функцией и событием (на этом уровне)

При моделировании регламентных процедур и механизмов обслуживания сертификатов в ЦСК использовались следующие связи:

? activates - принадлежит;

? creates - порождает;

? provides - обеспечивает;

? provides input for - предоставляет входные данные для;

? carries out - выполняет;

? leads to - порождает событие через;

? supports - поддерживает.

События передают управление от одной функции к другой. Они могут быть также результатом выполнения функций. В отличие от функций, которые имеют некоторую продолжительность, события происходят мгновенно. События вместе с функциями играют ключевую роль в процессных цепочках. События описывают состояние объекта и позволяют контролировать БП или влиять на ход его выполнения. Несколько событий связываются с функциями при помощи логических операторов (и, или, исключающее или и др.).Упорядочивание комбинации событий и функций в последовательность позволяет создать событийные цепочки процессов. С помощью этих диаграмм процедуры бизнес-процесса представляются как логические последовательности событий / функций [14].



8. Результаты моделирования

моделирование ключ безопасность бизнес

В процессе работы по моделированию регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» были проделано следующее:

? создана единая БД «Центр сертификации ключей»;

? добавлены атрибуты безопасности;

? создано 28 моделей, с помощью которых описаны организационная структура центра, регламентные процедуры и механизмы обслуживания сертификатов, характеристики технических средств.


8.1 Организационная структура центра


.1.1 Состав организационной структуры центра

Для моделирования организационной структуры была выбрана модель Organizational chart.

Согласно регламента в состав организационной структуры входят:

? отдел обслуживания абонентов;

? отдел сертификации ключей;

? служба защиты информации;

? отдел технического обслуживания программно-технического комплекса центра.

В состав организационно-штатной структуры отдела регистрации и обслуживания абонентов входят администраторы регистрации. Т.к. точное количество администраторов регистрации не указано, то при моделировании было создано три условных администратора.

В состав организационно-штатной структуры отдела сертификации ключей входит администратор сертификации.

В состав организационно-штатной структуры службы защиты входят:

? начальник службы защиты - директор центра;

? администратор безопасности.

В состав организационно-штатной структуры отдела технического обслуживания программно-технического комплекса центра входит системный администратор.

В дальнейшем для удобства можно указать Ф.И.О. каждого из вышеперечисленных сотрудников, что позволит чётко разделить обязанности и права доступа внутри центра.

Как видно из рисунка 4. каждый из отделов центра состоит из должностей, которые в свою очередь занимают конкретные сотрудники.


8.1.2 Функции и задачи организационных отделов центра

Следующим шагом стало описание функций и задач выполняемых в центре. Это необходимо для того, чтобы чётко разграничить и понять обязанности каждого из отделов, а также для дальнейшего использования этих функций в других моделях. Для решения этой задачи использовалась модель - Function/organizational level diagram.

Функции и задачи отдела реестрации и обслуживания абонентов:

? установление лиц, обратившихся в центр с целью формирования сертификата;

? проверка данных обязательных для формирования сертификата, а также данных, которые вносятся в сертификат по требованию абонента;

? приём заявок на формирование, аннулирование, блокирование, возобновление сертификата ключей;

? проверка законности обращения про аннулирование, блокирование, возобновление сертификата;

? предоставление абонентам консультаций касательно условий и порядка предоставления услуг ЕЦП.

Функции и задачи отдела сертификации ключей:

? формирование с помощью личного ключа центра сертификатов абонентов, списков отозванных сертификатов, отметок времени;

? подача в ЦУО данных необходимых для формирования сертификата и заверения ключа центра;

? контроль за ведением журналов приёма-передачи ключей.

Функции и задачи службы защиты информации:

? обеспечение полноты и качественного выполнения организационно-технических мер по ЗИ;

? разработка распорядительных документов, по которым в центре обеспечивается ЗИ, контроль за их выполнением;

? своевременное реагирование на попытки несанкционированного доступа к ресурсам ПТК, нарушение правил эксплуатации средств ЗИ;

? контроль за хранением личного ключа центра и его резервной копии, личных ключей должностных лиц центра;

? участие в уничтожении личного ключа центра, контроль за правильным и своевременным уничтожением должностными лицами личных ключей;

? контроль за процессом резервирования сертификатов ключей, списков отозванных сертификатов, а также других важных ресурсов;

? организация распределения доступа к ресурсам ПТК центра, например, распределение между должностными лицами паролей, ключей, сертификатов и др.;

? обеспечение наблюдения (реестрации и аудит событий в ПТК центра, мониторинг и др.) за функционированием КСЗИ;

? обеспечение организации и проведение мер по модернизации, тестированию, оперативного возобновления функционирования КСЗИ после сбоев, отказов, аварий ПТК;

? ведение журнала учёта администратора безопасности.

Функции и задачи отдела технического обслуживания програмно-технического комплекса центра:

? организация эксплуатации и технического обслуживания ПТК центра;

? поддержка электронного информационного ресурса центра, публикация сертификатов и списка отозванных сертификатов;

? администрирование средств ПТК центра;

? участие во внедрении и обеспечении функционирования КСЗИ;

? ведение журнала аудита событий, реестрируемых средствами ПТК центра;

? установка и настройка ПО СРК;

? формирование и ведение резервных копий общесистемного и специального ПО ПТК;

? обеспечение актуальности эталонных, архивных и резервных копий реестров сертификатов реестров сертификатов, что создаются в центре и их хранение.


8.2 Характеристики технических средств


.2.1 Функции программно-технического комплекса центра

Согласно регламента, программно-технический комплекс выполняет следующие функции:

? регистрация абонентов, которые обслуживаются центром;

? ведение реестра абонентов;

? добавление, изменение, удаление регистрационных данных абонентов из реестра абонентов;

? архивирование и резервное копирование реестра абонентов;

? приём и регистрация запросов на формирование, аннулирование, блокирование, возобновление сертификатов;

? формирование, аннулирование, блокирование, возобновление сертификатов;

? внесение сформированных сертификатов в реестр сертификатов;

? архивирование и резервное копирование реестра сертификатов;

? хранение запросов, полученных от абонентов, в БД запросов;

? архивирование и резервное копирование БД запросов;

? формирование списков отозванных сертификатов пользователей;

? публикация списков отозванных сертификатов в общедоступных каталогах (LDAP) и на информационном ресурсе ЦСК (WEB);

? обеспечение доступа пользователей к спискам отозванных сертификатов в общедоступных каталогах (LDAP) и на информационном ресурсе ЦСК (WEB);

? информирование абонентов про изменение статуса сертификатов средствами E-mail;

? предоставление услуг фиксирования времени;

? обеспечение ЗИ, которая обрабатывается в центре.



Выводы


В ходе выполнения работы проведён анализ средств и методов моделирования бизнес-процессов, приведены примеры решения конкретных задач и успешного использования инструментальной среды ARIS. Это даёт основания сделать вывод, что проблема моделирования бизнес-процессов в мировой практике является актуальной.

В результате выполнения данной работы:

? изучена методология ARIS, получены навыки работы в инструментальной среде;

? изучены принципы и способы моделирования бизнес-процессов;

? предложен способ отображения требований безопасности в методологии ARIS;

? смоделирован регламент Центра сертификации ключей ЗАО «Инфраструктура открытых ключей»;

? внесены рекомендации по уточнению регламента.

Моделирование регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» позволило:

? создать единую базу знаний о ЦСК;

? работать с единой базой данных и хранить информацию о деятельности Центра сертификации ключей «в одном месте»;

? получать разнообразные отчеты непосредственно из моделей бизнес-процессов (должностные инструкции, регламенты, положения о подразделениях и т.д.);

? эффективно управлять изменениями в структуре ЦСК, повысить качество предоставляемых услуг.


Перечень ccылок


1.Issues and Trends: 2009,2010 CSI/FBI Computer Crime and Security Survey

2.Шеер Август-Вильгельм. Бизнес-процессы. Основные понятия. Теория. Методы. Весть - Метатехнология, 2009.

.Олег Волков. Стандарты и методологии моделирования бизнес-процессов.

.Процессный подход к управлению. Моделирование бизнес-процессов. Репин В. 2006 г. 408c.

.Каменева М.С., Громов А.И, Шматалюк А.Е, - Моделирование бизнеса. Методология ARIS. Москва, 2008-333 с.

.Войнов И.В., Пудовкина С.Г., Телегин А.И. Моделирование экономических систем и процессов. Опыт построения ARIS-моделей: Монография. - Челябинск: Изд. ЮУрГУ. 2006. - 392 с.

.Маклаков С.В. BPwin и ERwin. CASE-средства разработки информационных систем. - М.: ДИАЛОГ-МИФИ, 2008 - 304 с.

.В. Репин, С. Маклаков ARIS Toolset/BPwin: выбор за аналитиком.

.НД ТЗІ 1.1-003-09. Термінологія в галузі захисту інформації в компютерних системах від несанкціонованого доступу.

.А.В. Потий, И.В. Ларгин, Ю.П. Ткачук. Описание требований безопасности информации в нотации ARIS eEPC. Радиоэлектронные и компьютерные системы. 2006. №5. С. 75-80.

.про регламент

.Центр сертифікації ключів ЗАТ «Інфраструктура відкритих ключів». Регламент. 2007. - 21 с.

13.ARIS Method. Version 6. June 2007. Copyright (©) 2007-2009 by IDS ScheerAG, Saarbrucken.

14.Инструментарий ARIS: Методы. Версия 4.1 Апрель 2008. 2008 © Весть - МетаТехнология

15.ГОСТ 12.4.113-82. ССЮТ. Работы учебные лабораторные. Общие требования безопасности.

.Методические указания по технико-экономическому обоснованию дипломных проектов для студентов специальностей 8.091501 (КСМ, СП, СКС). Составители: проф. Денисова И.Г., доц. Скибицкая В.И. Харьков: ХНУРЭ, 2008



Введение В 80-х годах прошлого столетия из-за обилия методов, языков, нотаций и процессов моделирования возникло предложение разработать единые стандарты

Больше работ по теме:

КОНТАКТНЫЙ EMAIL: [email protected]

Скачать реферат © 2017 | Пользовательское соглашение

Скачать      Реферат

ПРОФЕССИОНАЛЬНАЯ ПОМОЩЬ СТУДЕНТАМ