Моделирование на ARIS бизнес-процессов

7.3.4 Модель Network diagram

Диаграмма сети используется для представления реализации топологии сети, определяемой на уровне спецификации проекта. Она описывает конкретные экземпляры компонент сети и связи между ними [13,14].

При моделировании диаграммы сети программно-технического комплекса ЦСК использовались следующие объекты (таблица 6.)

Таблица 6

№ п.п.	Наименование	Описание	Графическое представление
1	Компонент аппаратного обеспечения	Экземпляр определённого типа оборудования, имеющегося в организации. Идентифицируется при помощи инвентарного номера
2	Должность	Права и обязанности сотрудников определяются профилем должности

Среди других объектов доступных в данной модели следует отметить следующие (таблица 7).

Таблица 7

№ п.п.	Наименование	Описание	Графическое представление
1	Операционная система	Конкретизирует понятие «тип операционной системы» до уровня уникального экземпляра, идентифицируемого, к примеру, по номеру версии и / или лицензии.
2	Сеть	Представляет собой экземпляр, относящийся к одному из типов сетей, имеющихся в организации. Может быть идентифицирована по своему расположению либо по инвентарному номеру
3	Прикладная система	Конкретизирует понятие «тип прикладной системы» до уровня уникального экземпляра, идентифицируемого, к примеру, по номеру версии и / или лицензии. Организация может владеть несколькими прикладными системами (версиями) относящимися к одному типу
4	СУБД	Система управления базами данных
5	Узел сети	Представляет собой точку доступа в сеть, к которой может быть подключено какое-либо оборудование
6	Сетевое соединение	Связывает между собой узлы сети

При построении диаграммы сети использовались следующие связи:

• is connected to - подсоединён к;

• is responsible for - ответственный за.

С помощью объекта сеть можно специфицировать конкретные сети компании. Для каждой сети следует определить узлы сети и соединения. Также можно описать точное расположение каждой сети, ее узлов и соединений. В качестве расположения может выступать организация, отдельное здание, офис или рабочее место.

Для каждого сетевого узла или соединения можно определить оборудование, с помощью которого они реализованы физически, а также структуру этого оборудования. Помимо этого, можно отобразить оборудование, подключенное к узлам сети. Для каждого объекта, находящегося на уровне экземпляров, можно определить связь с соответствующим объектом уровня спецификации проекта (уровень типов).

Таким образом, на диаграмме сети может присутствовать связь как со спецификацией проекта (экземпляры связываются с типами), так и с определением требований (компоненты сети связываются со своим расположением) [14].

7.3.5 Модель Technical Term Model

В моделировании, особенно в моделировании данных, мы вынуждены иметь дело с часто встречающимся затруднением - многочисленностью терминов, определяющих информационные объекты в больших организациях. При введении соответствующей терминологии для компании и ее отделов определяемая информация становится более понятной [5,6].

По этой причине набор методов ARIS содержит так называемые модели технических терминов, которые не только позволяют манипулировать различными терминами как синонимами, но и дают возможность поддерживать отношения между объектами в моделях данных (тип сущности, тип отношения и т.д.) так же, как технические термины, применяемые в компании. Для представления этих отношений вводится тип объекта технический термин.

При создании модели технических терминов «Перечень конфиденциальной и открытой информации, которая обрабатывается в центре» использовались следующие объекты (таблица 8.)

Таблица 8

№ п.п.	Наименование	Описание	Графическое представление
1	Кластер/модель данных	Отражает логический взгляд на набор типов сущностей и типов отношений в модели данных, что требуется для описания сложных объектов
2	Технический термин	Отражает концептуальный взгляд на имеющиеся в организации информационные объекты и используется для выделения специфичных терминов и понятий, а также существующих между ними взаимосвязей

В модели технических терминов «Перечень конфиденциальной и открытой информации» использовались следующие связи:

• depicts - описывает;

• is a - является.

Технические термины могут быть взаимосвязаны и иерархически упорядочены. Термины, определенные в модели технических терминов, могут использоваться и в других диаграммах, которые содержат информационные объекты, например, в диаграмме цепочки процесса (eEPC) для представления входных / выходных данных для функции [13,14].

7.3.6 Модель Function/organizational level diagram

Связь между функциональной моделью и организационной моделью служит для установки соответствия между функциями и исполнителями заданий (организационные единицы) в организационной схеме. Это соответствие определяет ответственность организационных единиц и уровень принятия решений для всех описанных функций [13].

При моделировании функций и задач отделов ЦСК использовались следующие объекты (таблица 9).

Таблица 9

№ п.п.	Наименование	Описание	Графическое представление
1	Организационный уровень	Критерием структуризации является сходство выполняемых операций, именно согласно ему формируются организационные единицы. Кроме того, структуру большой компании можно разбить на уровни, что, помимо прочего, позволяет определять ответственности и права доступа.
2	Функция	Функция - некоторое действие или набор действий, выполняемых над исходным объектом (документом, материалом и проч.) с целью получения заданного результата (документа, материала и проч.)

При моделировании функций и задач отделов ЦСК используется только один вид связи:

• belongs to - принадлежит

7.3.7 Модель Extended event driven process chain (eEPC)

Модель предназначена для детального описания процессов, выполняемых в рамках одного подразделения, несколькими подразделениями или конкретными сотрудниками. Она позволяет выявлять взаимосвязи между организационной и функциональной моделями. Модель eEPC отражает последовательность функциональных шагов (действий) в рамках одного бизнес-процесса, которые выполняются организационными единицами [4,5,6].

При моделировании регламентных процедур и механизмов обслуживания сертификатов в ЦСК использовались следующие объекты модели eEPC (таблица 10.):

Таблица 10

№ п.п.	Наименование	Описание	Графическое представление
1	Событие	Событие - это состояние, которое является существенным для целей управления бизнесом и которое оказывает влияние или контролирует дальнейшее развитие одного или более бизнес-процессов
2	Функция	Функция - некоторое действие или набор действий, выполняемых над исходным объектом (документом, материалом и проч.) с целью получения заданного результата (документа, материала и проч.)
3	Тип прикладной системы	Отражает обобщение отдельных прикладных систем, обладающих одинаковыми техническими и функциональными характеристиками.
4	Носитель информации	Носитель информации представляет собой средство хранения информации. Оно может быть реализовано, к примеру, в виде картотеки или компьютерных файлов.
5	Тип сотрудника	Данный объект отображает обобщение отдельных сотрудников, имеющих одинаковые характеристики. Такими характеристиками могут, к примеру, являться права доступа и обязанности.
6	Должность	Элементарной организационной единицей компании является должность. С ней связаны сотрудники и, как правило, их права и обязанности, определяются именно профилем должности.
7	Правило («или»)	Данный объект представляет собой логический оператор уровня экземпляров и определяет связь между функцией и событием (на этом уровне)

При моделировании регламентных процедур и механизмов обслуживания сертификатов в ЦСК использовались следующие связи:

• activates - принадлежит;

• creates - порождает;

• provides - обеспечивает;

• provides input for - предоставляет входные данные для;

• carries out - выполняет;

• leads to - порождает событие через;

• supports - поддерживает.

События передают управление от одной функции к другой. Они могут быть также результатом выполнения функций. В отличие от функций, которые имеют некоторую продолжительность, события происходят мгновенно. События вместе с функциями играют ключевую роль в процессных цепочках. События описывают состояние объекта и позволяют контролировать БП или влиять на ход его выполнения. Несколько событий связываются с функциями при помощи логических операторов (`'и'', `'или'', `'исключающее или'' и др.).Упорядочивание комбинации событий и функций в последовательность позволяет создать событийные цепочки процессов. С помощью этих диаграмм процедуры бизнес-процесса представляются как логические последовательности событий / функций [14].

8. Результаты моделирования

моделирование ключ безопасность бизнес

В процессе работы по моделированию регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» были проделано следующее:

• создана единая БД «Центр сертификации ключей»;

• добавлены атрибуты безопасности;

• создано 28 моделей, с помощью которых описаны организационная структура центра, регламентные процедуры и механизмы обслуживания сертификатов, характеристики технических средств.

8.1 Организационная структура центра

8.1.1 Состав организационной структуры центра

Для моделирования организационной структуры была выбрана модель Organizational chart.

Согласно регламента в состав организационной структуры входят:

• отдел обслуживания абонентов;

• отдел сертификации ключей;

• служба защиты информации;

• отдел технического обслуживания программно-технического комплекса центра.

В состав организационно-штатной структуры отдела регистрации и обслуживания абонентов входят администраторы регистрации. Т.к. точное количество администраторов регистрации не указано, то при моделировании было создано три условных администратора.

В состав организационно-штатной структуры отдела сертификации ключей входит администратор сертификации.

В состав организационно-штатной структуры службы защиты входят:

• начальник службы защиты - директор центра;

• администратор безопасности.

В состав организационно-штатной структуры отдела технического обслуживания программно-технического комплекса центра входит системный администратор.

В дальнейшем для удобства можно указать Ф.И.О. каждого из вышеперечисленных сотрудников, что позволит чётко разделить обязанности и права доступа внутри центра.

Как видно из рисунка 4. каждый из отделов центра состоит из должностей, которые в свою очередь занимают конкретные сотрудники.

8.1.2 Функции и задачи организационных отделов центра

Следующим шагом стало описание функций и задач выполняемых в центре. Это необходимо для того, чтобы чётко разграничить и понять обязанности каждого из отделов, а также для дальнейшего использования этих функций в других моделях. Для решения этой задачи использовалась модель - Function/organizational level diagram.

Функции и задачи отдела реестрации и обслуживания абонентов:

• установление лиц, обратившихся в центр с целью формирования сертификата;

• проверка данных обязательных для формирования сертификата, а также данных, которые вносятся в сертификат по требованию абонента;

• приём заявок на формирование, аннулирование, блокирование, возобновление сертификата ключей;

• проверка законности обращения про аннулирование, блокирование, возобновление сертификата;

• предоставление абонентам консультаций касательно условий и порядка предоставления услуг ЕЦП.

Функции и задачи отдела сертификации ключей:

• формирование с помощью личного ключа центра сертификатов абонентов, списков отозванных сертификатов, отметок времени;

• подача в ЦУО данных необходимых для формирования сертификата и заверения ключа центра;

• контроль за ведением журналов приёма-передачи ключей.

Функции и задачи службы защиты информации:

• обеспечение полноты и качественного выполнения организационно-технических мер по ЗИ;

• разработка распорядительных документов, по которым в центре обеспечивается ЗИ, контроль за их выполнением;

• своевременное реагирование на попытки несанкционированного доступа к ресурсам ПТК, нарушение правил эксплуатации средств ЗИ;

• контроль за хранением личного ключа центра и его резервной копии, личных ключей должностных лиц центра;

• участие в уничтожении личного ключа центра, контроль за правильным и своевременным уничтожением должностными лицами личных ключей;

• контроль за процессом резервирования сертификатов ключей, списков отозванных сертификатов, а также других важных ресурсов;

• организация распределения доступа к ресурсам ПТК центра, например, распределение между должностными лицами паролей, ключей, сертификатов и др.;

• обеспечение наблюдения (реестрации и аудит событий в ПТК центра, мониторинг и др.) за функционированием КСЗИ;

• обеспечение организации и проведение мер по модернизации, тестированию, оперативного возобновления функционирования КСЗИ после сбоев, отказов, аварий ПТК;

• ведение журнала учёта администратора безопасности.

Функции и задачи отдела технического обслуживания програмно-технического комплекса центра:

• организация эксплуатации и технического обслуживания ПТК центра;

• поддержка электронного информационного ресурса центра, публикация сертификатов и списка отозванных сертификатов;

• администрирование средств ПТК центра;

• участие во внедрении и обеспечении функционирования КСЗИ;

• ведение журнала аудита событий, реестрируемых средствами ПТК центра;

• установка и настройка ПО СРК;

• формирование и ведение резервных копий общесистемного и специального ПО ПТК;

• обеспечение актуальности эталонных, архивных и резервных копий реестров сертификатов реестров сертификатов, что создаются в центре и их хранение.

8.2 Характеристики технических средств

8.2.1 Функции программно-технического комплекса центра

Согласно регламента, программно-технический комплекс выполняет следующие функции:

• регистрация абонентов, которые обслуживаются центром;

• ведение реестра абонентов;

• добавление, изменение, удаление регистрационных данных абонентов из реестра абонентов;

• архивирование и резервное копирование реестра абонентов;

• приём и регистрация запросов на формирование, аннулирование, блокирование, возобновление сертификатов;

• формирование, аннулирование, блокирование, возобновление сертификатов;

• внесение сформированных сертификатов в реестр сертификатов;

• архивирование и резервное копирование реестра сертификатов;

• хранение запросов, полученных от абонентов, в БД запросов;

• архивирование и резервное копирование БД запросов;

• формирование списков отозванных сертификатов пользователей;

• публикация списков отозванных сертификатов в общедоступных каталогах (LDAP) и на информационном ресурсе ЦСК (WEB);

• обеспечение доступа пользователей к спискам отозванных сертификатов в общедоступных каталогах (LDAP) и на информационном ресурсе ЦСК (WEB);

• информирование абонентов про изменение статуса сертификатов средствами E-mail;

• предоставление услуг фиксирования времени;

• обеспечение ЗИ, которая обрабатывается в центре.

Выводы

В ходе выполнения работы проведён анализ средств и методов моделирования бизнес-процессов, приведены примеры решения конкретных задач и успешного использования инструментальной среды ARIS. Это даёт основания сделать вывод, что проблема моделирования бизнес-процессов в мировой практике является актуальной.

В результате выполнения данной работы:

• изучена методология ARIS, получены навыки работы в инструментальной среде;

• изучены принципы и способы моделирования бизнес-процессов;

• предложен способ отображения требований безопасности в методологии ARIS;

• смоделирован регламент Центра сертификации ключей ЗАО «Инфраструктура открытых ключей»;

• внесены рекомендации по уточнению регламента.

Моделирование регламента Центра сертификации ключей ЗАО «Инфраструктура открытых ключей» позволило:

• создать единую базу знаний о ЦСК;

• работать с единой базой данных и хранить информацию о деятельности Центра сертификации ключей «в одном месте»;

• получать разнообразные отчеты непосредственно из моделей бизнес-процессов (должностные инструкции, регламенты, положения о подразделениях и т.д.);

• эффективно управлять изменениями в структуре ЦСК, повысить качество предоставляемых услуг.

Перечень ccылок

1. Issues and Trends: 2009,2010 CSI/FBI Computer Crime and Security Survey

2. Шеер Август-Вильгельм. Бизнес-процессы. Основные понятия. Теория. Методы. Весть - Метатехнология, 2009.

3. Олег Волков. Стандарты и методологии моделирования бизнес-процессов.

4. Процессный подход к управлению. Моделирование бизнес-процессов. Репин В. 2006 г. 408c.

5. Каменева М.С., Громов А.И, Шматалюк А.Е, - Моделирование бизнеса. Методология ARIS. Москва, 2008-333 с.

6. Войнов И.В., Пудовкина С.Г., Телегин А.И. Моделирование экономических систем и процессов. Опыт построения ARIS-моделей: Монография. - Челябинск: Изд. ЮУрГУ. 2006. - 392 с.

7. Маклаков С.В. BPwin и ERwin. CASE-средства разработки информационных систем. - М.: ДИАЛОГ-МИФИ, 2008 - 304 с.

8. В. Репин, С. Маклаков ARIS Toolset/BPwin: выбор за аналитиком.

9. НД ТЗІ 1.1-003-09. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.

10. А.В. Потий, И.В. Ларгин, Ю.П. Ткачук. Описание требований безопасности информации в нотации ARIS eEPC. Радиоэлектронные и компьютерные системы. 2006. №5. С. 75-80.

11. про регламент

12. Центр сертифікації ключів ЗАТ «Інфраструктура відкритих ключів». Регламент. 2007. - 21 с.

13. ARIS Method. Version 6. June 2007. Copyright (©) 2007-2009 by IDS ScheerAG, Saarbrucken.

14. Инструментарий ARIS: Методы. Версия 4.1 Апрель 2008. 2008 © Весть - МетаТехнология

15. ГОСТ 12.4.113-82. ССЮТ. Работы учебные лабораторные. Общие требования безопасности.

16. Методические указания по технико-экономическому обоснованию дипломных проектов для студентов специальностей 8.091501 (КСМ, СП, СКС). Составители: проф. Денисова И.Г., доц. Скибицкая В.И. Харьков: ХНУРЭ, 2008

Размещено на Allbest.ru