Размещено на http://www.allbest.ru/

Введение

В 80-х годах прошлого столетия из-за обилия методов, языков, нотаций и процессов моделирования возникло предложение разработать единые стандарты. Многие выступили против этого предложения. Разработчики ARIS-методологии решили объединить (интегрировать) известные и хорошо проявившие себя методологии, установив между ними взаимосвязи и исключив избыточность (повторяемость). При этом они получили возможность с разных точек зрения и сторон описывать бизнес-процессы (БП). Понятно, что чем больше точек зрения и сторон описания, тем точнее модель БП.

Для людей характерно многообразие точек зрения и представлений даже по существу одного и того же предмета или понятия. Поэтому, чтобы понимать друг друга, надо видеть или уметь показать связи между разными точками зрения и разными представлениями. Взаимопонимания следует добиваться не столько путем жесткой унификации и единообразия, сколько с помощью налаживания разветвленной и гибкой сети «мостов» и «дорог», позволяющих легко ориентироваться в сложной предметной области. В этой связи следует отметить, что ARIS-методология помогает передавать идеи от человека к человеку и устанавливать взаимопонимание между людьми, причастными к построению моделей и их использованию. Она не навязывает одну точку зрения, язык, терминологию, форму записи (синтаксис) или семантику, а напротив, помогает выявлять связи, переходить к разным точкам зрения, языкам, терминам, синтаксисам и семантикам.

ARIS-методология в настоящее время уже успешно используется множеством известных компаний различного профиля как в США, Европе так и по всему миру. Количество компаний использующих ARIS в России и Украине заметно растёт с каждым годом, что свидетельствует о признании ARIS, как мирового лидера среди инструментальных средств описания, анализа и совершенствования бизнес-процессов.

В ARIS-методологии не уделено должного внимания требованиям по обеспечению БИ в моделируемых бизнес-процессах. Поэтому в данной дипломной работе предложен способ отображения требований безопасности в методологии ARIS. Смоделирован регламент Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» с учётом требований безопасности, внесены рекомендации по уточнению данного регламента.

1. Постановка задачи дипломного проектирования

1.1 Цель и задача дипломного проектирования

Целями данной дипломной работы являются:

моделирование регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей», с учётом требований безопасности;

внесение предложений по улучшению регламента.

Для достижения поставленных целей в дипломной работе решаются следующие задачи:

изучение ARIS-методологии;

добавление атрибутов, отвечающих за обеспечение БИ;

выбор наиболее подходящих моделей для моделирования.

1.2 Актуальность задачи

При анализе проблематики, связанной с безопасностью информации, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что БИ есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения БИ. Следует исходить из того, что необходимо конструировать надежные системы с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.

Приведем некоторые цифры. В марте 1999 года был опубликован очередной, четвертый по счету, годовой отчет «Компьютерная преступность и безопасность-1999: проблемы и тенденции». В отчете отмечается резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных); 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками; атакам через Internet подвергались 57% опрошенных; в 55% случаях отмечались нарушения со стороны собственных сотрудников. Примечательно, что 33% респондентов на вопрос «были ли взломаны ваши Web-серверы и системы электронной коммерции за последние 12 месяцев?» ответили «не знаю».

В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения безопасности информации; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и / или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно) [1].

Поэтому при моделировании бизнес-процессов пренебрегать проблемой безопасности информации нельзя. Исходя из этого был предложен способ решения этой проблемы в моделях ARIS при моделировании регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей». Само моделирование регламента позволит:

создать единую базу знаний о ЦСК;

работать с единой базой данных и хранить информацию о деятельности Центра сертификации ключей «в одном месте»;

получать разнообразные отчеты непосредственно из моделей бизнес-процессов (должностные инструкции, регламенты, положения о подразделениях и т.д.);

проводить расчет стоимости бизнес-процессов и моделировать их работу в динамике;

оценивать операционные риски и управлять ими;

определять эффективность бизнес-процессов и создавать систему управления качеством;

эффективно управлять изменениями в структуре ЦСК, повысить качество предоставляемых услуг.

2. Общие сведения

2.1 Основные определения и понятия моделирования процессов

Бизнес-процесс - это логичный, последовательный, взаимосвязанный набор мероприятий, который потребляет ресурсы производителя, создает ценность и выдает результат потребителю. Среди основных причин, побуждающих организацию оптимизировать бизнес-процессы, можно выделить необходимость снижения затрат или длительности производственного цикла, требования, предъявляемые потребителями и государством, внедрение программ управления качеством, слияние компаний, внутриорганизационные противоречия и др.

Моделирование бизнес-процессов позволяет не только определить, как компания работает в целом, как взаимодействует с внешними организациями, заказчиками и поставщиками, но и как организована деятельность на каждом рабочем месте. Моделирование бизнес-процессов - это эффективное средство поиска путей оптимизации деятельности компании, средство прогнозирования и минимизации рисков, возникающих на различных этапах реорганизации предприятия. Этот метод позволяет дать стоимостную оценку каждому отдельному процессу и всем бизнес-процессам организации в совокупности [2,3].

Под методологией (нотацией) создания модели (описания) бизнес процесса понимается совокупность способов, при помощи которых объекты реального мира и связи между ними представляются в виде модели. Любая методология (методика) включает три основные составляющие:

- теоретическая база;

- описание шагов, необходимых для получения заданного результата;

- рекомендации по использованию как отдельно, так и в составе группы методик.

Основное в методологии - дать пользователю последовательность шагов, которые приводят к заданному результату. Способность получать результат с заданными параметрами и характеризует ее эффективность. Важнейшими понятиями любого метода моделирования бизнес-процессов являются понятия объекта и связи. Каждый объект модели отражает некоторый реальный объект так называемой предметной области (организации). При создании моделей процессов объектами могут быть функции, люди, документы, машины и оборудование, программное обеспечение и т.д. Как правило, в рамках одного метода объекты модели, отражающие различные сущности реального мира, также являются разными. Связи предназначены для описания взаимоотношений объектов друг с другом. К числу таких взаимоотношений могут относиться: последовательность выполнения во времени, связь при помощи потока информации, использование другим объектом и т.д. [2,4]

2.2 История развития методологий моделирования бизнес-процессов

Основу многих современных методологий моделирования бизнес-процессов составили методология SADT (Structured Analysis and Design Technique - метод структурного анализа и проектирования) и алгоритмические языки, применяемые для разработки программного обеспечения.

В сжатом виде история развития методологий моделирования бизнес-процессов представлена в таблице 1. Для наглядности параллельно приведена история развития подходов к управлению качеством.

Таблица 1

Период	Методология моделирования бизнес-процессов	Методология (стандарты) управления качеством
40-60-е гг.	Появление алгоритмических языков описания	Национальные стандарты
60-е гг.	Появление методологии SADT	Развитие стандартов в различных областях, в частности в области контроля качества продукции
70-80-е гг.	Появление методологий серии IDEF (IDEF0, IDEF3, IDEF1X), DFD, ERD	Принятие МС ИСО серии 9000 версии 1988 г.
90-е гг.	Появление методологий ARIS, UML, методологий компаний Oracle, Baan, Rational и др.	Принятие МС ИСО серии 9000 версии 1994 г. (в стандартах закладываются основы процессного подхода)
2000 г.	Принятие МС ИСО серии 9000 версии 2000 г. Чёткое определение процессного подхода к управлению организацией

2.3 Основные типы методологий моделирования и анализа бизнес-процессов

В настоящее время для описания, моделирования и анализа бизнес-процессов используются несколько типов методологий. К числу наиболее распространенных типов относятся следующие методологии:

моделирования бизнес-процессов (Business Process Modeling);

описания потоков работ (Work Flow Modeling);

описания потоков данных (Data Flow Modeling).

2.3.1 Методологии моделирования бизнес-процессов (Business Process Modeling)

Наиболее широко используемая методология описания бизнес-процессов - стандарт США IDEF0. С момента разработки стандарт не претерпел существенных изменений. В настоящее время развитие методологии IDEF0 сопряжено с совершенствованием поддерживающих ее инструментов - программных продуктов для моделирования бизнес-процессов (например, BPWin 4.0, ProCap, IDEF0/EM Tool и др.). Методология IDEF0 предоставляет аналитику широкие возможности для описания бизнеса организации на верхнем уровне с акцентом на управление процессами. Нотация позволяет отражать в модели процесса обратные связи различного типа - по информации, управлению, движению материальных ресурсов. Продуманные механизмы декомпозиции модели процесса в IDEF0 существенно упрощают работу аналитика. Следует отметить, что модели в нотации IDEF0 предназначены для высокоуровневого описания бизнеса компании. Их основное преимущество состоит в возможности описывать управление процессами организации [3].

2.3.2 Методологии описания потоков работ (Work Flow Modeling)

Вторая важнейшая методология описания процессов - IDEF3, предназначенная для описания рабочих процессов или, иными словами, потоков работ. Стандарт IDEF3 близок к алгоритмическим методам построения схем процессов и стандартным средствам создания блок-схем. Основу методологии IDEF3 составляет построение моделей процессов по принципу последовательно выполняемых во времени работ (функций, операций).

2.3.3 Методологии описания потоков данных (Data Flow Modeling)

Еще одна группа методологий, активно используемых на практике, - нотации DFD (Data Flow Diagramming), предназначенные для описания потоков данных. Они позволяют отразить последовательность работ, выполняемых по ходу процесса, и потоки информации, циркулирующие между этими работами. Кроме того, нотация DFD предоставляет возможность описывать потоки документов (документооборот) и материальных ресурсов (например, движение материалов от одной работы к другой). Методология DFD может эффективно использоваться для описания процессов при внедрении процессного подхода к управлению организацией, так как позволяет максимально снизить субъективность описания бизнес-процессов. С помощью схемы процессов в DFD выявляют основные потоки данных, что важно для последующего создания моделей структуры данных и разработки требований к информационной системе организации [3].

3. Особенности методологии ARIS

3.1 Предназначение системы

Разработчиком данного продукта является германская фирма IDS Prof. Scheer, которая считается мировым лидером в области разработок инструментальных средств для анализа и реорганизации бизнес-процессов, а также хорошо известна в мире как консалтинговая фирма, занимающаяся реорганизацией бизнеса. Изначально, фирма IDS Prof. Scheer существовала как отделение Института Информационных Систем германского Университета Саарланд. Данный институт является одним из наиболее известных германских исследовательских центров в области информационных систем [5].

Исследовательская работа директора института информационных систем и основателя фирмы IDS - профессора Августа-Вильгельма Шера - характеризуется наличием тесной связи между теорией информационных систем и практикой их применения в конкретных условиях. Методология рассматриваемого продукта - ARIS Toolset - основывается на разработанной профессором Шером теории «Построения Интегрированных Информационных Систем», определяющей принципы визуального отображения всех аспектов функционирования анализируемых компаний. На счету профессора множество книг по теории обработки информации и анализа бизнеса, большинство из которых переведены на английский язык.

Система ARIS предназначена для визуального представления принципов и условий функционирования различного рода компаний, а также для анализа их деятельности по различным показателям с целью определения идеальных характеристик деятельности компании, реорганизации ее организационной структуры, целей и функций, бизнес-процессов, используемых данных. В рамках методологии ARIS имеется также возможность определить требования к автоматизированной системе управления и провести ее проектирование [5,6].

3.2 Примеры успешного использования инструментальной среды ARIS

Клиенты фирмы IDS могут быть найдены по всему миру, специалисты по работе с системой ARIS охотно принимаются на работу в крупные и средние организации различного профиля деятельности. Круг компаний, использующих интегрированную инструментальную среду ARIS, достаточно широк. Это могут быть компании, занимающиеся консалтинговой деятельностью, использующие ARIS как средство анализа деятельности фирм-клиентов. Пять из шести крупнейших в мире консалтинговых фирм используют систему ARIS в качестве инструментария для моделирования и анализа своей деятельности. Также, данный продукт может быть использован фирмами-разработчиками программного обеспечения для обеспечения процесса проектирования информационных систем. Более того, система ARIS может успешно применяться различного рода компаниями, занимающимися как производством продукции, так и предоставлением услуг, для анализа и реорганизации собственной деятельности и поддержании внутренних процессов компании в соответствии с изменяющимися условиями рынка, целями функционирования и прочими условиями.

Фирма Mercedes-Benz использует ARIS Toolset с 1995 года для анализа и совершенствования своей деятельности в области производства легковых автомобилей. Поводом для приобретения послужила возрастающая в то время конкуренция на рынке легковых автомобилей и острая необходимость в повышении конкурентоспособности предприятия. Использование данной системы позволило перейти на качественно новый уровень в организации производства. По словам самих сотрудников фирмы Mercedes-Benz, работающих в подразделении планирования, ARIS помог им более глубоко понять принципы стратегического планирования развития производства, а также технологию перехода от стратегических планов к их эффективной реализации. В настоящее время это подразделение успешно разрабатывает стратегические планы и консультирует большинство заводов фирмы, занимающихся производством легковых автомобилей как в самой Германии, так и за ее пределами. Другая автомобилестроительная компания Volkswagen, успешно использовала систему ARIS для реализации эффективной программы лизинга, осуществляемой ее двумя дочерними подразделениями - Volkswagen Leasing и Volkswagen Bank. Разработанная программа лизинга, названная «LEASIS» в настоящий момент контролирует порядка 99 процентов всего лизингового рынка Германии. Подобные примеры можно привести и для других крупных и средних компаний, занимающихся производством товаров и предоставлением услуг [5,6].

В Украине лидером по внедрению технологий описания и совершенствования внутренних бизнес-процессов на базе инструментальной среды ARIS являются компания «Квазар-Микро». Её услугами уже воспользовались такие банки как: ЗАО «Первый украинский международный банк», «Ощадбанк» и др. На российском рынке лидером является компания «IDS Scheer/Логика бизнеса». «Логика бизнеса» осуществляет продажу программных продуктов семейства ARIS, являясь эксклюзивным партнером компании IDS Scheer AG на территории СНГ и стран Балтии. Среди клиентов компании - ОАО «Альфа-Банк», ЗАО «ДаймлерКрайслер Автомобили Рус», ЗАО «ЛУКОЙЛ-Нефтехим», ОАО «НЗХК», ОАО «Пермская ГРЭС», ГК «РОСМЭН», РУСАЛ, АКБ «Сбербанк РФ», Сибнефть, СУАЛ, АКБ «Укрсоцбанк» (Украина), ЮКОС, Овергаз (Болгария), AVON\Russia, Оскольский электрометаллургический комбинат, ОАО «МРСК Центра и Северного Кавказа», ООО «Русский Стандарт Водка» и многие другие. Использование инструментальной среды ARIS при моделировании и совершенствовании внутренних бизнес-процессов в этих компаниях дало следующие результаты:

время и стоимость выполнения процессов уменьшилась в среднем на 12%;

идентифицирован и описан ряд существующих бизнес-процессов, проведен анализ их эффективности с точки зрения влияния на ключевые показатели компании, разработаны принципы и направления совершенствования изучаемых бизнес-процессов, и спроектированы новые процессы, удовлетворяющие заданным требованиям.

руководство компаний получило возможность более эффективно и быстро анализировать существующие бизнес-процессы, производственные и информационные связи;

управление компанией стало более гибким и эффективным за счёт качественной перестройки бизнес-процессов;

классифицирован и описан ряд предметных областей деятельности компании для создания и распространения во внутренней системе компании единых понятийных стандартов (описание продуктов / услуг, определение терминологии);

создана методологическая основа для построения базы знаний компании, включающей, помимо всего вышеуказанного, описания информационных систем, организационной структуры, региональной сети, используемых документов, накопленных знаний, полномочий сотрудников и т.п.

3.3 Примеры решение конкретных задач

3.3.1 Документирование организационной структуры

Организационная структура наиболее легко поддается перенесению на ARIS, поскольку она, как правило, четко определена и не требует предварительной аналитической проработки. С использованием детального описания организационной структуры можно проанализировать количество уровней иерархии, выявить наличие слишком большого или слишком малого количества подчиненных у одного руководителя, подчинения одних и тех же сотрудников различным руководителями и т.п. - одним словом, провести элементарную проверку. Организационная структура подвержена частым изменениям, для поддержания ее описания в актуальном состоянии потребуются дополнительные ресурсы. С учетом того, что семантика ARIS достаточно сложна, эти дополнительные ресурсы будут значительны. Имеет смысл также предварительно формализовать процесс документирования организационной структуры и оформить его в виде регламента [2,5,6].

Серьезное преимущество ARIS перед другими инструментами заключается в том, что в ARIS хорошо развиты графические средства представления сформированных моделей.

3.3.2 Формирование отчетов на базе построенной модели

ARIS позволяет вывести в отчетный документ любую информацию, содержащуюся в базе данных проекта, как то описание моделей, описание объектов, взаимосвязи объектов, графические представления. Процесс создания отчетов в ARIS полностью автоматизирован, используются скрипты на VBasic и ARIS Basic Language Capability. «Себестоимость» этих отчетов достаточно высока, поскольку перед формированием отчета потребуется занести на ARIS детальные описания процессов и структуру организации. Одним словом отчеты - мощное, но вспомогательное средство - использовать ARIS только как средство для формирования отчетов крайне нецелесообразно. В отличие от ARIS в ERwin/BPwin репрезентативные функции развиты слабо [2,5,6].

3.3.3 Документирование (регламентация) бизнес-процессов, создание базы данных описаний бизнес-процессов

С использованием ARIS могут быть составлены точные структурированные описания бизнес - процессов, которые будут храниться в единой базе данных, что обеспечит интеграцию разнообразных моделей. Существуют два подхода к документированию бизнес - процессов: целевая документация отдельных бизнес-процессов и документация всех бизнес - процессов организации. Считается, что ARIS предназначен для «сплошной» документации бизнес - процессов организации. Затруднения, которые поджидают организацию на этом пути, описаны выше. При использовании ARIS для документирования отдельных бизнес-процессов, потребуется предварительное моделирование, а именно: выявление значимых для решения поставленной задачи процессов, иными словами, выделение и предварительное структурирование предметной области, соответствующей поставленной задаче.

Для полномасштабного документирования бизнес - процессов средних размеров организации (до 1000 сотрудников) необходимо по самым скромным оценкам 5 человеко-лет, в работе приводятся менее оптимистичные оценки. Вследствие постоянных изменений в структуре бизнес - процессов потребуется дополнительный ресурс для поддержания описания в адекватном состоянии. Использование ARIS целесообразно в организациях со значительным оборотом (поскольку расходы на внедрение ARIS достаточно высоки - $1500 за одно рабочее место) [2,6].

Следует подчеркнуть, что для некоторых процессов в силу их специфики чрезмерная формализация не только малоэффективна, но и просто вредна, как это уже было отмечено несколько в ином контексте. В качестве важного примера можно привести инновационные процессы в организации, которые едва ли могут быть перенесены в ARIS. Другим примером являются те составляющие бизнес-деятельности, которые напрямую связаны с творческими решениями малопрогнозируемых проблем, возникающих в ходе этой деятельности. Необходимо упомянуть, что те функции документирования бизнес-процессов в ARIS, которые существенно выходят за рамки возможностей BPwin, требуют существенных затрат, о которых уже сказано выше.

3.3.4 Динамическое моделирование

Модуль имитационного моделирования ARIS Simulation используется в тех случаях, когда необходимо проанализировать поведение во времени разработанных моделей бизнес-процессов. Цель динамического моделирования - определение узких мест в реализации процессов (несогласованность параллельно выполняемых процессов, нехватка ресурсов для эффективного выполнения процессов и т.д.). Возможно проведение динамического эксперимента с использованием ARIS - прогона процессов во времени при заданных характеристиках. Для реализации всего вышеперечисленного потребуется формализовать точные временные характеристики исследуемых бизнес - процессов [5,6].

Следует отметить, что в качестве менее тяжеловесной альтернативы ARIS для решения конкретных задач может быть использован программный комплекс MATLAB/SUMULINK, разработанный специально для моделирования динамических систем.

3.3.5 Управление операционными рисками

С использованием ARIS можно создавать самые разнообразные классификаторы, в том числе и классификаторы операционных рисков. В ARIS предлагается два метода оценки рисков:

· стандартный метод, при использовании которого во внимание принимаются вероятность риска и средний размер потерь на одно событие,

· процессно-ориентированный метод, при котором учитывается частота выполнения процессов за период времени, вероятность наступления данного события (риска) при выполнении определенного бизнес - процесса (последовательности процессов).

ARIS позволяет получить аналитическую отчетность, структурированную по ряду признаков, например, по доле риска в технологическом процессе или по размеру потерь на структурное подразделение. ARIS является подходящим инструментом для детальной классификации, структурирования и наглядного представления операционных рисков [2,6].

3.3.6 Анализ и оптимизация моделей бизнес-процессов

Оптимизация деятельности в ARIS сводится к выделению, формализации и структурированию бизнес - процессов с целью формирования на их основе «сквозного» представления процессов организации.

Разработанные модели могут быть проанализированы по определенным правилам, которые задаются в специально разработанных алгоритмах - скриптах (модуль ARIS Analysis). В среде ARIS существуют стандартные алгоритмы анализа:

· классификация функций в зависимости от значений их атрибутов,

· затраты времени и средств на выполнение процесса,

· необходимые организационные изменения в процессах,

· анализ движения информации внутри процесса,

· анализ использования элементов автоматизированной системы.

Методики оптимизации, предлагаемые ARIS, представляют собой только первый шаг в оптимизации бизнес - процессов, что является неизбежным следствием их универсальности. Предлагаемые стандартные алгоритмы анализа достаточно просты и могут быть реализованы и без использования ARIS [2,5].

Не имеет смысла рассматривать ARIS как инструмент, предназначенный исключительно для оптимизации бизнеса, поскольку оптимизация в нем ограничена некой универсальной постановкой задачи, что не дает возможности полноценно учесть специфику работы организации. Однако, если бизнес-процессы уже задокументированы в ARIS, их анализ может быть полезен, особенно, с учетом репрезентативных свойств ARIS.

3.3.7 Проведение функционально-стоимостного анализа деятельности

Модуль ARIS ABC реализует анализ стоимости процессов, при котором структура расходов полностью прозрачна, в отличие от метода установленных нормативами коэффициентов, который применялся до ARIS.

При использовании данного модуля значительно увеличится число операций по описанию отдельного бизнес - процесса в ARIS, поддержание описания в актуальном состоянии также потребует дополнительного времени. При использовании модуля ARIS ABC себестоимость продукции (услуг) точно определяется и структурируется, однако для некоторых видов затрат подобная степень детализации нереализуема вовсе или может быть достигнута путем чрезмерного усложнения модели. Следует отметить, что в отличие от ARIS, в BPwin/ERwin довольно ограниченные возможности для проведения стоимостного анализа [2,5,6].

3.3.8 Стратегическое планирование и управление

ARIS BSC - инструмент, помогающий построить модель стратегии организации. Кроме того, ARIS позволяет сформировать модель структуры организации в виде многоуровневой иерархии, в которую включено детальное распределение полномочий сотрудников. С помощью ARIS BSC формируется специальное представление - карта стратегии компании, выделяются и структурируются ключевые показатели эффективности деятельности организации, детализируется влияние различных факторов и их значимость. Однако, вследствие универсальности модуля BSC формируется чрезмерно упрощенная структура стратегии организации, не позволяющая учесть специфические нюансы функционирования конкретной организации. Структура стратегии, сформированная подобным образом, удобна для представления руководству и презентаций, однако предлагаемые управленческие решения, что называется, «лежат на поверхности» и могут быть найдены без использования ARIS [2,5,6].

4. Особенности моделирования в среде BPWin/ERWin

BPwin/ERwin - средство функционального / концептуального моделирования, реализующее методологию IDEF0-IDEF3.

IDEF0 - наиболее известная и распространенная методика моделирования бизнес-процессов. Она принята в качестве стандарта в нескольких международных организациях, в том числе в НАТО и МВФ, является официальным федеральным стандартом США. IDEF0 можно использовать для моделирования широкого класса систем. Для новых систем она применяется с целью определения требований и функций для последующей разработки системы, отвечающей поставленным требованиям и реализующей выделенные функции. Применительно к уже существующим системам методология IDEF0 может быть использована для анализа функций, осуществляемых системой, и отображения механизмов, посредством которых эти функции выполняются [7,8].

IDEF3 - вторая важнейшая методология (после IDEF0), предназначенная для описания потоков работ (Work Flow Modeling). Она широко используется для создания моделей бизнес-процессов организации на нижнем уровне - при описании работ, выполняемых в подразделениях и на рабочих местах. Методология IDEF3 позволяет графически описать и составить исчерпывающую документацию процессов, фокусируя внимание на ходе их выполнения и на отношениях процессов и важных объектов, являющихся частями этих процессов.

5. Сравнительный анализ нотаций ARIS еEPC И IDEF3

В таблице 2. приводится сравнение нотаций IDEF3 и ARIS eEPC. Нотация ARIS eEPC является более новой с точки зрения времени ее появления, но фактически она - расширение IDEF3 за счет использования объекта «Событие» (Event) [4].

Таблица 2

№ п.п.	Критерии сравнения	Нотация
		ARIS eEPC	IDEF3
1	Принцип построения диаграммы	Временная последовательность выполнения процедур	Временная последовательность выполнения процедур
2	Описание процедуры процесса	Объект на диаграмме	Объект на диаграмме
3	Входящий документ	Используется отдельный объект для описания типа Document. Могут быть использованы другие объекты	Используется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)
4	Входящая информация	Используется отдельный объект для описания типа Cluster и Technical term	Используется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)
5	Исходящий документ	Используется отдельный объект для описания типа Document. Могут использоваться другие объекты	Используется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)
6	Исходящая информация	Используется отдельный объект для описания типа Cluster и Technical term	Используется отдельный объект для описания. (Объект ссылки типа Object или стрелка Object flow)
7	Исполнитель процедуры	Используется отдельный объект для описания типа Position, Organizational unit и др.	Нет (Может быть отражен в модели только привязкой объекта ссылки)
8	Используемое оборудование	Используется отдельный объект для описания	Нет (может быть отражен в модели только привязкой объекта ссылки)
9	Связь диаграмм при декомпозиции	Для привязки к другим диаграммам используется объект Process interface	Для привязки к другим диаграммам используется объект ссылки
10	Визуальное восприятие диаграмм процессов	Интуитивно понятные, легко читаемые диаграммы	Сложно воспринимаются
11	Стандартная форма представления диаграммы процесса при документировании	Не регламентирована. Нет рекомендаций по форматированию моделей ARIS еЕРС при документировании	Регламентирована. Рамка IDEF0. Развитая система обозначений на диаграмме
12	Ограничения по количеству объектов на диаграмме процесса	Количество объектов не ограничено	Рекомендовано не более шести. Общее количество не ограничено

Строго говоря, формально нотации ARIS еЕРС и IDEF3 не отличаются друг от друга, так как базируются на одних и тех же принципах моделирования потоков работ (Work Flow), предполагающих использование символов логики («перекрестков» в IDEF3). При помощи этих символов отображаются ветвления и слияния потоков работ в рамках бизнес-процесса.

Возможность моделирования событий в ARIS еЕРС позволяет создавать более корректные и подробные описания процессов. При этом, однако, существенно повышается сложность и трудоемкость описания. Дополнительные преимущества ARIS еЕРС заключаются в возможности визуального отображения входящих / исходящих документов, информации, используемой инфраструктуры и т.п. при помощи специальных объектов. К сожалению, на практике наличие таких широких возможностей по описанию процесса в ARIS еЕРС часто приводит к отрицательным результатам - модели становятся слишком сложными и громоздкими, неудобными для документирования. С формальной точки зрения нотация ARIS еЕРС является наиболее применимой для детального описания процессов. С ее помощью можно эффективно описывать процессы уровня рабочих мест с целью разработки должностных и рабочих инструкций [4,8].

6. Способ отображения требований безопасности в методологии ARIS

Перед тем как перейти к непосредственному моделированию регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» необходимо дать ответ на следующие вопросы:

что мы понимаем под понятиями «информация», «информационная система», «безопасность информации»?

какими свойства можно охарактеризовать БИ?

каким способом реализовать данные свойства в инструментальной среде ARIS?

6.1 Основные определения и понятия в области безопасности информации

В контексте данной дипломной работы под информацией понимается совокупность фактов, явлений и событий, которые представляют интерес, регистрируются и обрабатываются. Информация - это единственный неубывающий экономический ресурс, более того, ее объем постоянно возрастает. Особенно ярко это стало проявляться с середины 20-го века. В 70-е годы прошлого века объем информации удваивался каждые 5 - 7 лет. В 80-е годы удвоение происходило уже за 20 месяцев, а в 90-е - ежегодно. В начале 21-го века информация стала товаром первой необходимости, а высказывание: «Кто владеет информацией, тот владеет миром» лишь подтверждает это.

Информационная система - совокупность аппаратных и программных средств, обеспечивающая ввод, редактирование и хранение информации.

Под безопасностью информации (БИ) понимают - состояние информации, в котором обеспечивается сохранение определенных политикой безопасности свойств информации. К свойствам БИ принято относить конфиденциальность, доступность, целостность, а также наблюдаемость.

Согласно [9], конфиденциальность (англ. confidentiality) информации - это свойство информации, которое заключается в том, что информация не может быть получена неавторизованным пользователем и / или процессом.

Целостность (англ. integrity) информации - это свойство системы, которое заключается в том, что каждый ее компонент не может быть устранен, модифицирован или прибавлен с нарушением политики безопасности.

Доступность (англ. availability) - это свойство ресурса информации, которое заключается в том, что пользователь и / или процесс, который владеет соответствующими полномочиями, может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного (малого) промежутка времени, т.е. когда он находится в виде, необходимом пользователю, в месте, необходимом пользователю, и в то время, когда он ему необходим.

Также определённый интерес представляет такой компонент как категория доступа (англ. security clearance).

6.2 Способ добавления новых атрибутов

Задача добавления атрибутов безопасности (доступность, целостность, конфиденциальность, категория доступа) решается с помощью встроенных средств самой среды ARIS. Модуль ARIS Configuration позволяет корректировать методы и объекты ARIS, приспосабливая их к требованиям конкретных пользователей или специфических задач [5,6,10].

В нотации ARIS определены так называемые Free attributes, с помощью которых можно добавить новые атрибуты. Добавление атрибутов происходит следующим образом:

1. Создается новая группа атрибутов Security (безопасность). Это происходит путём переименования любой группы Free attribute type group в закладке Attribute type groups (рис. 1).

Рисунок 1. Создание группы атрибутов

2. Создание новых атрибутов происходит аналогичным образом в закладке Attribute types. Существуют следующие типы Free attributes: Boolean, Date, Duration, Float, Integer, Point in time, Text, Time, Values. Для решения нашей задачи наиболее подходящим является тип Values. При использовании типа Values выбор уровня происходит в выпадающем меню, причем уровни задаются в момент создания атрибута и являются одинаковыми для всех элементов использующих данный атрибут. Для удобства использования созданные атрибуты помещаем в группу Security. На 2 рисунке показано создание атрибута Confidentiality (конфиденциальность) используя тип Values [10].



Рисунок 2. Атрибут Confidentiality (конфиденциальность) - тип Values

Рисунок 3. Окно Attributes элемента Function модели ARIS eEPC

В результате создана группа Security с атрибутом Confidentiality (рис. 3). Аналогичным образом можно добавить атрибуты Integrity (целостность) и Availability (доступность) и другие. Новая группа атрибутов будет доступна для использования во всех моделях ARIS и может быть применена к любому объекту. Используем пятиуровневую шкалу задания уровня требований безопасности (рис. 3) [10].

Таким образом, в среде ARIS мы определили атрибуты безопасности.

7. Моделирование регламента ЦСК

7.1 Общие характеристики регламента

Регламент - это детальное изложение практики центра сертификации и всего того, что потенциально необходимо для понимания и принятия во внимание абонентами и пользователями сертификатов. Регламент может принимать форму подробного изложения той системы и практики, которых придерживается центр сертификации. Регламент должен быть совершенно понятным, чётким документом, описывающим сервисы и процедуры управления жизненным циклом сертификатов [11].

Регламент Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» чётко формулирует права и обязанности центра и абонентов, устанавливает ответственность сторон, а также порядок разрешения споров и конфликтных ситуаций. Регламент содержит описание организационной структуры центра, процедур и механизмов обслуживания сертификатов, а также характеристики технических средств, используемых в ЦСК [12].

7.2 Основные определения и понятия, применяемые в методологии ARIS

Под моделью понимается совокупность объектов, объединенных друг с другом различными связями, и ряда вспомогательных элементов [5,6]. Модель характеризуется типом, именем и свойствами. Тип модели определяет, что описывает данная модель - организационную структуру, функции, данные, процессы или выходы. Имя модели является частью ее атрибутов. Модель ARIS так же является частью более развернутой модели организации. В то же время модель может представлять отдельный объект, будучи его детальным описанием. Модели классифицируются с помощью методологических фильтров. Каждая модель ARIS содержит:

- объекты - неделимые части модели, выделенные по какому-либо признаку, сформулированному в соответствии с методологией ARIS, и имеющие набор изменяемых характеристик - свойств, описывающих их поведение [5,6]. Каждый объект:

• имеет уникальное имя;

• принадлежит к определенному типу объектов;

• соединен одной или несколькими связями с другими объектами;

• имеет свое определенное значение в методологии и описывается свойствами, определяющими конкретный объект данного типа;

• может использоваться в одной или нескольких типах моделей;

• может создавать свои экземпляры, представленные одним или несколькими символами. Внешний вид экземпляра объекта может быть изменен в определенных пределах.

- связи между объектами - описанные взаимоотношения между объектами, имеющими свои свойства и характеристики [5,6]. Так же как и объекты, связи характеризуются свойствами, выделены внешний вид и атрибуты. Важную роль при моделировании играет правильный выбор связей между объектами модели. Каждая связь:

• имеет уникальное имя;

• принадлежит к определенному типу. Тип связи зависит как от типов соединяемых объектов, так и от направления соединения. Между некоторыми типами объектов связи не могут существовать;

• соединяет исходный и конечный объекты;

• характеризуется своими свойствами;

• может создавать свои экземпляры, внешний вид которых может быть изменен в определенных пределах.

Среди связей различают соединения и детализирующие связи. Соединения - это такие связи, экземпляры которых представляют собой видимые соединения между двумя объектами внутри одной модели [5,6].

Модель может включать:

• внешние встроенные объекты, например, рисунки, документы текстовых редакторов и т.п.;

• текст, размещенный в любом месте модели;

• геометрические фигуры.

7.3 Соглашение о моделях

Инструментальная среда ARIS содержит множество моделей, каждая из которых отнесена к определенному типу представления и уровню описания. Полный набор моделей является, безусловно, избыточным для проведения конкретного проекта, так как существуют группы моделей, представляющих альтернативные способы описания [4,5].

Кроме того, использование большого количества различных типов моделей и нотаций почти всегда означает дублирование описания, то есть представление одной и той же информации с нескольких точек зрения и на разных уровнях обобщения. Нельзя сказать, что подобное описание является некорректным или неоправданным. Однако при этом следует помнить о том, что резко возрастают трудозатраты на поддержание моделей в актуальном состоянии, а также увеличивается вероятность занесения противоречивой информации, наличие которой зачастую слишком сложно отследить и исправить [4,6].

При подготовке каждого проекта, проводимого в среде ARIS, необходимо определиться с набором используемых типов моделей, а следовательно, объектов, их атрибутов и связей.

Поэтому для моделирования регламента ЦСК были выбраны следующие модели:

• Extended event driven process chain (eEPC) - расширенная событийно-управляемая цепочка процесса;

• Organizational chart - организационная диаграмма;

• Technical Term Model - модель технических терминов;

• Function/organizational level diagram - диаграмма распределения функций по организационным уровням;

• Network topology - топология сети;

• Network diagram - диаграмма вычислительной сети.

7.3.1 Правила построения моделей

При моделировании в инструментальной среде ARIS для получения качественных и наглядных результатов необходимо соблюдение некоторых правил построения моделей [5].

Поэтому при моделировании регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» соблюдались следующие правила:

• организационный элемент из модели процесса (eEPC) существует в организационной модели;

• каждая функция должна иметь исполнителя;

• каждое подразделение должно содержать в своем составе как минимум одну должность;

• каждый объект должен иметь одно или более соединений с другими объектами;

• объект не может быть замкнут сам на себя;

• каждый путь должен начинаться и заканчиваться событием или интерфейсом в другой процесс;

• проверка корректности количества входящих и исходящих соединений логических операторов;

• все функции и события должны иметь только одно входящее и одно исходящее соединения;

• после события не должен следовать оператор «ИЛИ-НЕ» или «ИЛИ»;

• в модели запрещены циклы;

• все исходящие соединения объекта должны иметь один и тот же тип.

7.3.2 Модель Organizational chart

Модель ARIS Organizational Chart является одной из основных моделей ARIS и предназначена для построения схем организационной структуры организации. Как правило, эта модель строится в начале проекта по моделированию бизнес-процессов. В модели отражаются существующие подразделения организации в виде иерархической структуры. Кроме моделей иерархии подразделений, отделов могут быть построены модели иерархии подчиненности в проектных командах, группах и т.д. Все отраженные в моделях объекты можно использовать в дальнейшем при формировании моделей бизнес-процессов. При построении сложных иерархических структур может быть применена декомпозиция, например, структуру подразделения возможно представить более детально [4,13,14].

При моделировании организационной структуры ЦСК использовались следующие объекты (таблица 3.)

Таблица 3

№ п.п.	Наименование	Описание	Графическое представление
1	Группа	Может отображать группу сотрудников, работающих вместе и имеющих одинаковые функции
2	Должность	Права и обязанности сотрудников определяются профилем должности
3	Штатный сотрудник	Отдельный сотрудник организации, может входить в группы сотрудников, а также может быть связан с функциями (которые он исполняет или за которые отвечает)

При более детальном представлении организационной структуры ЦСК также возможно использование следующих объектов (таблица 4):

Таблица 4

№ п.п.	Наименование	Описание	Графическое представление
1	Расположение	Определяет физическое местонахождение организационных единиц, сотрудников. Им может быть регион, город, здание, комната и даже отдельное рабочее место
2	Описание должности	Для более детального описания профиля должности
3	Рабочая станция	Определяет рабочую станцию конкретного сотрудника

При моделировании организационной структуры ЦСК использовались следующие связи:

• is composed of - состоит из;

• is superior - имеет в подчинении;

• occupies - занимает.

Моделирование организационной структуры компании - стартовая точка в создании топологии компьютерной сети, которая должна быть определена на уровне спецификации проекта и которая, как предполагается, будет поддерживать организационную структуру наиболее оптимальным образом [5,6].

7.3.3 Модель Network topology

Организационная структура компании, представленная ее организационной схемой, может быть поддержана коммуникационной и информационной инфраструктурами системы. Структурные требования к таким информационным системам в основном могут быть описаны на этапе спецификации проекта с использованием топологии сети [6].

Связь между топологией сети и объектами, определяемыми на уровне

формулировки требований, устанавливается по двум направлениям. С одной стороны, может быть специфицирована организационная единица или должность, с другой стороны, можно определить, в каком месте компании находится данный тип сети, тип узла сети, тип соединения и тип компонент аппаратуры [14].

При моделировании топологии сети программно-технического комплекса ЦСК использовались следующие объекты (таблица 5).

Таблица 5

№ п.п.	Наименование	Описание	Графическое представление
1	Тип узла сети	Представляет собой обобщение отдельных узлов сети с одинаковыми техническими характеристиками
2	Тип сети	Отражает обобщение отдельных (информационных) сетей с одинаковыми техническими характеристиками

Если возникает необходимость более детального описания топологии сети, целесообразно использование следующих объектов (таблица 6).

Таблица 6

№ п.п.	Наименование	Описание	Графическое представление
1	Сетевой протокол	Представляет собой стандартизованный метод связи и обмена информацией между прикладными системами в сети
2	Тип компонента аппаратного обеспечения	Отражает обобщение отдельных экземпляров компонентов аппаратного обеспечения, обладающих одинаковыми техническими характеристиками
3	Тип операционной системы	Отражает обобщение отдельных операционных систем, обладающих одинаковыми техническими характеристиками. ОС, как правило, идентифицируются по имени и номеру версии
4	Тип сетевого соединения	Представляет собой обобщение отдельных сетевых соединений с одинаковыми техническими характеристиками

При моделировании организационной структуры ЦСК использовались следующие связи: can be connected to - может быть соединён с; is used in - используется в.

Диаграмма топологии сети может содержать различные типы сетей. Типы сетей могут быть взаимосвязаны, и поскольку они являются логическими конструкциями, их также можно разместить в соответствии с иерархией. Каждый тип сети может отражать связь между возможными типами узлов сети и типами соединений сети. Таким образом, сразу можно сформулировать технические ограничения, определяющиеся выбором конкретной сети. Каждый тип соединения сети может содержать информацию о типе узла сети, в которых он оканчивается [5,13].

Типы компонент аппаратного обеспечения относятся в этом случае или к оборудованию, образующему саму сеть, или к оборудованию, которое может быть подключено к ее узлам. Аналогично операционным системам или типам сетей типы оборудования не являются отдельными экземплярами, идентифицируемыми, к примеру, по инвентарному номеру. Напротив, они отражают обобщение отдельных экземпляров оборудования, обладающих одинаковыми техническими характеристиками. Тип оборудования может быть помещен на любой уровень в иерархии.