RU2717721C1 - Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления - Google Patents

Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления Download PDF

Info

Publication number
RU2717721C1
RU2717721C1 RU2019129630A RU2019129630A RU2717721C1 RU 2717721 C1 RU2717721 C1 RU 2717721C1 RU 2019129630 A RU2019129630 A RU 2019129630A RU 2019129630 A RU2019129630 A RU 2019129630A RU 2717721 C1 RU2717721 C1 RU 2717721C1
Authority
RU
Russia
Prior art keywords
data
editor
list
processes
created
Prior art date
Application number
RU2019129630A
Other languages
English (en)
Inventor
Антон Борисович Ёркин
Андрей Сергеевич Антипинский
Валентин Викторович Богданов
Original Assignee
Антон Борисович Ёркин
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Антон Борисович Ёркин filed Critical Антон Борисович Ёркин
Priority to RU2019129630A priority Critical patent/RU2717721C1/ru
Application granted granted Critical
Publication of RU2717721C1 publication Critical patent/RU2717721C1/ru
Priority to EA202091990A priority patent/EA202091990A3/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Изобретение относится к информационным системам, а именно к системам управления информационной безопасностью. Технический результат заключается в расширении арсенала технических средств. Система создания автоматизированных систем управления информационной безопасности содержит подсистему управления данными, подсистему управления доступом, подсистему управления интеграциями, подсистему управления процессами и подсистему управления визуализацией. 2 н.п. ф-лы, 2 ил.

Description

Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления
Описание изобретения
Заявляемая группа изобретений относится к автоматизированным системам, а именно, к системам управления информационной безопасностью, и может быть использована для создания автоматизированных систем управления информационной безопасностью.
С ростом организации перед ней возникают все более сложные задачи по обеспечению информационной безопасности. На начальных этапах жизненного цикла, в рамках системы управления информационной безопасностью, достаточно использование стандартных средств защиты информации. С течением времени, затраты на информационную безопасность перестают соответствовать реальному уровню защищенности информационных активов. Рост потребности в последних приводит к необходимости внедрения механизмов управления, анализа и контроля. В связи с этим возникает необходимость в способе разработки системы управления информационной безопасностью, основанной на принципах GRC: Governance (планы, люди, политики), Risk Management (риски информационной безопасности), Compliance (контроль соответствия требованиям).
Известно решение по управления информационной безопасностью, описанное в [ГОСТ Р ИСО/МЭК 27001. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. Требования], заключающееся в непрерывности обеспечения безопасности организации на основе процессного подхода, включающего этапы создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержания в рабочем состоянии и улучшения защиты информации. Однако данный способ ограничивается предоставлением набора организационных мер, регулирующих цикличность процесса управления и устанавливающих правила внедрения и поддержания процессного подхода в области управления информационной безопасностью. В дополнение к вышесказанному стоит отметить, что упомянутое решение не предлагает конкретных реализаций процессного подхода в контексте компьютеризации и автоматизации процессов управления информационной безопасностью, а также их моделирования.
Известны система и способ для интеграции информационной системы организации (заявка на изобретение WO № 2011/115983A1 G06Q 10/00, G06Q 99/00, опубл. 22.09.2011), где блок интеграции может включать одну или несколько корпоративных систем с системой GRC. GRC IM может получить информацию о конфигурации системы из системы предприятия. GRC IM может взаимодействовать с системой GRC с помощью совместимого интерфейса системы GRC, и может обмениваться данными с системой Enterprise с использованием совместимого с интерфейсом Enterprise System, для выполнения анализа в реальном времени, соблюдения профилактических мер безопасности доступа, а также для мониторинга транзакций GRC.
Известен способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления (заявка на изобретение РФ 2008/148040 G06F 21/00 опубл. 27.11.2008). Способ включает следующие шаги: задание условий безопасности конфигурации, определение общей функции нарушения безопасности, фиксацию воздействия на конфигурацию безопасности системы, фиксацию конфигурации безопасности системы, оценку выполнения условий безопасности конфигурации, определение управляющего воздействия на конфигурацию безопасности системы, адаптацию информационной системы к нарушениям безопасности.
Однако упомянутое выше техническое решение обладает скудным инструментарием для разработки модели процесса управления информационной безопасностью на всех стадиях жизненного цикла такого процесса. Данное техническое решение направлено, в первую очередь, на получение моделей и схем взаимодействия технических средств, эксплуатируемых в рамках системы управления информационной безопасностью. Что касается организационных мер, то данным техническим решением такие меры проигнорированы.
Существуют инструменты моделирования процессов, обеспечивающие графическое воплощение потоков операций, из которых такие процессы состоят. Данные технические решения, в частности, можно использовать для моделирования процессов управления информационной безопасностью с некоторыми ограничениями, указанными ниже.
Известно техническое решение, обеспечивающее интерактивность системы управления жизненным циклом организации (заявка на изобретение WO № 2016/054437, G06Q 40/08, опубл. 07.04.2016), в котором раскрыта интуитивно понятная автоматизированная система моделирования процессов, лежащих в основе обеспечения жизненного цикла организации. Система включает в себя модуль управления соответствием, хранилище профилей рисков для данных, модуль показателей и метрик, и набор моделей, сопряженные с графической панелью инструментов, обеспечивающей централизованное управление.
Общим недостатком для приведенных выше технических решений является их скудный инструментарий в части отслеживания хода выполнения процессов, а также отсутствие надстройки на предметную область. Заявляемая группа технических решений направлена, в том числе, на устранение указанных выше недостатков, но не ограничивается лишь этим.
Техническая задача заключается в создании способа создания автоматизированных систем управления информационной безопасностью и системы для его осуществления, которые предусматривают автоматизацию деятельности организации по управлению информационной безопасностью в соответствии с законодательными и бизнес-требованиями и с концепцией GRC; организацию совместной работы различных категорий пользователей, в том числе, представителей высшего руководства организации, сотрудников подразделения ИТ, сотрудников подразделения ИБ и иных сотрудников организации, задействованных при выполнении процессов обработки информации; централизации хранения данных, относящихся к области управления информационной безопасностью, автоматизация сбора таких данных и их представление в графическом, табличном и ином удобном виде.
Технический результат заключается в расширении арсенала технических средств, предназначенных для создания автоматизированных систем управления информационной безопасностью.
В целом термины, используемые в описании, должны быть истолкованы как известные для специалиста в данной области техники. Некоторые термины определены ниже, для того, чтобы обеспечить дополнительную ясность. В случае конфликта между известным значением и представленным определением, должно быть использовано представленное определение.
Под объектом автоматизации понимается организация, деятельность по управлению информационной безопасностью которой нуждается в автоматизации для достижения стратегических целей такой организации и наиболее точного соответствия требованиям регуляторов в области информационной безопасности.
Под системой управлением информационной безопасностью понимается совокупность взаимосвязанных процессов управления информационной безопасностью.
Под прикладным модулем понимается подсистема автоматизированной системы управления информационной безопасности, предназначенная для автоматизации отдельного процесса управления информационной безопасностью. Каждый прикладной модуль содержит следующие компоненты: источники данных: сущности, описанные в виде таблиц базы данных и провайдеров данных, процессы перевода состояния сущности и связанные с состояниями шаблоны задач по обработке состояний, процессы вычисления данных, отчеты, интеграции и формы представления данных. Значение каждого из вышеперечисленных элементов дается в описании.
Под сущностью понимается объект, задействованный в каком-либо процессе управления информационной безопасностью, данные о котором необходимо сохранить. Для каждой сущности определяются атрибуты, уникально ее характеризующие, связи с другими сущностями и тип такой связи.
Под моделью доступа к данным системы управления информационной безопасностью понимается совокупность связей ролей пользователей и прав на обработку данных. Роли пользователя присваивают задачи для обработки состояния сущности. Также для роли пользователя создают рабочую область пользователя.
Под рабочей областью пользователя понимается экземпляр графического пользовательского интерфейса, определенный для роли пользователя
Под редактором понимается функциональный блок системы создания систем управления информационной безопасностью, предоставляющий пользователю с правами администратора системы возможность создания компонентов прикладных модулей и/или внесения в них изменений в интерактивном режиме с поддержкой графического пользовательского интерфейса.
Поставленная задача решается за счет того, что в способе создания автоматизированных систем управления информационной безопасностью проводят сбор информации об объекте автоматизации и проводят структуризацию такой информации в виде прикладных модулей,
в соответствии с информацией об объекте автоматизации создают модель доступа пользователей к данным, причем в такой модели фиксируют роли пользователей, а для каждой роли фиксируют права на обработку данных, а затем каждому пользователю автоматизированной системы ставят в соответствие роль;
для каждого прикладного модуля создают список источников данных и связанные со списком источники данных, причем источники данных создают в виде таблиц базы данных и в виде провайдеров данных, причем в таблицах базы данных фиксируют сущности, характеризующие объект автоматизации, а для каждой сущности фиксируют атрибуты, связи, тип связи между сущностями и триггеры;
для каждого прикладного модуля создают список интеграций такого модуля с внешними источниками данных и, в случае если список таких интеграций не пуст, создают правила интеграции, в которых проводят сопоставление атрибутов сущностей источника данных прикладного модуля и атрибутов соответствующих сущностей, данные о которых хранятся во внешних источниках данных, а также фиксируют периодичность получения данных из внешних источников данных и фиксируют периодичность предоставления данных во внешние источники данных, обеспечивают интеграцию источника данных прикладного модуля с внешним источником данных об объекте автоматизации на основе таких правил;
для каждой сущности создают список процессов перевода состояний, и в случае, если список таких процессов не пуст, создают модели таких процессов и для каждого процесса перевода состояний фиксируют список состояний и фиксируют схему перевода из первоначального состояния в последующее, а для каждого состояния создают шаблон задачи по обработке такого состояния и связывают его с ролью пользователя, ответственной за обработку такого состояния;
для каждого прикладного модуля создают список процессов вычисления данных и, в случае если список таких процессов не пуст, создают алгоритмы процессов вычисления данных, для которых фиксируют аргументы процесса на входе алгоритма процесса, и аргументы процесса, значения которых необходимо вычислить на выходе в ходе работы такого алгоритма процесса;
для каждого прикладного модуля создают список форм представления данных, для которых создают элементы графического пользовательского интерфейса, причем такие элементы связывают с атрибутами сущностей и/или с процессами перевода состояний сущности для отображения их текущих значений на экране ЭВМ, а также элементы графического пользовательского интерфейса связывают с процессами вычисления данных для инициирования работы таких процессов при взаимодействия пользователя с формой представления данных;
для каждого прикладного модуля создают список отчетов, а для каждого отчета создают соответствующий ему шаблон;
в соответствии с моделью доступа пользователей к данным для каждой роли пользователя создают рабочую область, с которой связывают список прикладных модулей и формы представления данных, связанные с прикладными модулями.
Поставленная задача решается за счет того, что система создания автоматизированных систем управления информационной безопасностью, содержащая
подсистему управления данными, которая содержит редактор прикладных модулей, редактор источников данных и базу данных;
подсистему управления доступом, которая содержит редактор модели доступа и блок назначения ролей;
подсистему управления интеграциями, которая содержит редактор интеграций, блок получения данных и блок предоставления данных;
подсистему управления процессами, которая содержит редактор процессов перевода состояний сущности и редактор процессов вычисления данных;
подсистему управления визуализацией, которая содержит редактор форм представления данных, редактор отчетов и редактор рабочих областей; причем
подсистема управления данными взаимосвязана с подсистемой управления доступом, подсистемой управления процессами, подсистемой управления интеграциями и подсистемой управления визуализацией, подсистема управления доступом взаимосвязана с подсистемой управления визуализацией, подсистема управления процессами взаимосвязана с подсистемой управления визуализацией, подсистема управления интеграциями взаимосвязана с внешними системами;
редактор прикладных модулей связан с редактором источников данных, который связан с базой данных, редактор модели доступа связан с блоком назначения ролей, редактор интеграций связан с блоком получения данных и с блоком предоставления данных.
Заявленные способ и система промышленно применимы, так как основаны на средствах, широко использующихся в автоматизированных системах управления, при этом последовательность действий способа может быть реализована на основе персонального компьютера с соответствующим программным обеспечением для осуществления предусмотренных функций.
Заявленные способ и система связаны между собой с образованием единого изобретательского замысла, так как предназначены для получения моделей систем, причем выполнение операций из способа моделирования невозможно наиболее эффективным образом в отрыве от компонентов и модулей системы моделирования.
Заявляемое изобретение иллюстрируется следующими чертежами, где:
– на фиг. 1 изображена блок-схема реализации способа создания автоматизированных систем управления информационной безопасностью;
– на фиг. 2 изображена схема системы создания автоматизированных систем управления информационной безопасностью.
Способ создания автоматизированных систем управления информационной безопасностью реализуют приведенным ниже образом.
Проводят сбор информации об объекте автоматизации (1) и проводят структуризацию такой информации в виде прикладных модулей (2).
Сбор информации об объекте автоматизации проводят с целью выявления процессов управления информационной безопасностью и лиц, задействованных в таких процессах. Каждый прикладной модуль предназначен для автоматизации отдельного процесса управления информационной безопасностью на объекте автоматизации. Например, проводят структуризацию информации о процессе учета и классификации ИТ-активов в виде модуля учета и классификации ИТ-активов, и, аналогично, проводят структуризацию информации о процессе управлении рисками ИБ в виде модуля управления рисками ИБ.
В соответствии с информацией об объекте автоматизации создают модель доступа пользователей к данным (3), причем в такой модели фиксируют роли пользователей, а для каждой роли фиксируют права на обработку данных, а затем каждому пользователю автоматизированной системы назначают роль;
Например, могут быть созданы следующие роли: «Начальник отдела», «Инженер», «Менеджер качества».
Затем для каждого прикладного модуля создают список источников данных (4) и связанные со списком источники данных, причем источники данных создают в виде таблиц базы данных и в виде провайдеров данных, причем в таблицах базы данных фиксируют сущности, характеризующие объект автоматизации, а для каждой сущности фиксируют атрибуты, связи, тип связи между сущностями и триггеры.
Для каждого прикладного модуля создают схему базы данных на основе принципа «сущность – связь», то есть определяют сущности, данные о которых необходимо сохранить для их последующей обработки в рамках прикладного модуля, а затем определяют характеризующие их атрибуты, связи с другими сущностями, тип такой связи и триггеры. Таким образом, для сущности создают ее описание в виде таблицы базы данных. Сущности могут входить в состав различных источников данных.
Например, сущность «Проект» может быть охарактеризована следующими атрибутами: «Договор», «Дата начала», «Дата окончания», «Номер», «Заказчик».
Провайдер данных представляет собой запрос к базе данных, предназначенный для формирования сложных выборок и агрегирования данных из нескольких связанных таблиц базы данных.
Для каждого прикладного модуля создают список интеграций такого модуля с внешними источниками данных (5) и, в случае если список таких интеграций не пуст, создают правила интеграции, в которых проводят сопоставление атрибутов сущностей источника данных прикладного модуля и атрибутов соответствующих сущностей, данные о которых хранятся во внешних источниках данных, а также фиксируют периодичность получения данных из внешних источников данных и фиксируют периодичность предоставления данных во внешние источники данных, обеспечивают интеграцию источника данных прикладного модуля с внешним источником данных об объекте автоматизации на основе таких правил.
Для каждой сущности создают список процессов перевода состояний сущности (6), и в случае, если список таких процессов не пуст, создают модели таких процессов, и для каждого процесса перевода состояний фиксируют список состояний и фиксируют схему перевода из первоначального состояния в последующее, а для каждого состояния создают шаблон задачи по обработке такого состояния и связывают его с ролью пользователя, ответственной за обработку такого состояния.
Например, в прикладном модуле «Модуль работы с персоналом и третьими сторонами» для сущности «Работник» могут быть созданы следующие процессы перевода состояний: «Начало перевода работника», «Начало увольнения работника», «Проверка для закрытия испытательного срока».
В качестве другого примера рассмотрим процесса перевода состояний сущности «Документ организации». Список его состояний может быть следующим: а - «разработка», б - «рабочее согласование», в - «рабочее утверждение», г - «корректировка», д - «использование», е - «оценка актуальности», ж - «отмена», з - «архив». Схема перевода состояний может быть следующей: из «а» в «б», затем из «б» в «в» или в «г», из «г» в «б» или «д» или в «е», из «е» в «ж», из «ж» в «з», из «в» в «д», из «д» в «ж».
При переводе сущности в определенное ее состояние пользователю автоматически присваивается задача на обработку такого состояния.
Для каждого прикладного модуля создают список процессов вычисления данных (7) и, в случае если список таких процессов не пуст, создают алгоритмы процессов вычисления данных, для которых фиксируют аргументы процесса на входе алгоритма процесса, и аргументы процесса, значения которых необходимо вычислить на выходе в ходе работы такого алгоритма процесса.
Для каждого алгоритма процесса определяют его аргументы и составные элементы, которыми могут являться, например, условия, циклы, формулы, математические и статистические функции, вызовы другого процесса. Аргументам процесса присваивают тип данных. В качестве аргумента процесса может быть использовано значение атрибута сущности, и в таком случае, типом данных может быть число, строка, дата, булево значение и иной тип данных. Также для процессов вычисления данных могут быть определены специальные типы аргументов, например, прикладной модуль, источник данных, пользователь, роль и иные составляющие автоматизированной системы управления информационной безопасностью.
Например, внешними источниками данных могут быть базы данных внешних информационных систем, базы данных Web-сервисов, данные в форматах XML или Microsoft Excel, электронная почта.
Для каждого прикладного модуля создают список форм представления данных (8), для которых создают элементы графического пользовательского интерфейса, причем такие элементы связывают с атрибутами сущностей и/или с процессом переключения состояний сущности для отображения их значений на экране ЭВМ, а также элементы графического пользовательского интерфейса связывают с процессами вычисления данных для инициирования работы таких процессов при взаимодействия пользователя с формой представления данных.
Например, для прикладного модуля «Модуль работы с персоналом и третьими сторонами» могут быть созданы следующие формы представления данных: «Создание расписания», предназначенная для создания записи в расписании для реализации плана обучения; «Третьи стороны», предназначенная для просмотра списка третьих сторон; «Управление работником», предназначенная для управления этапами жизненного цикла работника.
В качестве элементов графического пользовательского интерфейса могут быть использованы элементы «Панель», «Вкладка», «Вложенная форма», «Вертикальный разделитель», «Таблица», «Флажок», «Изображение», «Связь».
Для каждого прикладного модуля создают список отчетов (9), а для каждого отчета создают соответствующий ему шаблон.
Например, для прикладного модуля «Управление рисками информационной безопасности» могут быть созданы следующие шаблоны отчетов: «Приказ об оценке рисков», «План работ по оценке рисков», «Акт оценки рисков». Шаблоны отчетов могут быть использованы для автоматического формирования отчетов, содержащих данные, хранение которых организовано в источниках данных прикладных модулей.
В соответствии с моделью доступа пользователей к данным для каждой роли пользователя создают рабочую область (10), с которой связывают прикладные модули и формы представления данных, связанные с прикладными модулями.
Например, могут быть созданы следующие рабочие области для ролей пользователей: «Рабочая область инженера», «Рабочая область эксперта по рискам», «Рабочая область начальника».
Система создания автоматизированных систем управления информационной безопасностью содержит:
подсистему управления данными (11), которая содержит редактор прикладных модулей (12), редактор источников данных (13) и базу данных (14);
подсистему управления доступом (15), которая содержит редактор модели доступа (16) и блок назначения ролей пользователям (17);
подсистему управления интеграциями (18), которая содержит редактор интеграций (19), блок получения данных (20) и блок предоставления данных (21);
подсистему управления процессами (22), которая содержит редактор процессов перевода состояний сущности (23) и редактор процессов вычисления данных (24);
подсистему управления визуализацией (25), которая содержит редактор форм представления данных (26), редактор шаблонов отчетов (27) и редактор рабочих областей (28); причем
подсистема управления данными (11) взаимосвязана с подсистемой управления доступом (15), подсистемой управления интеграциями (18), подсистемой управления процессами (22) и подсистемой управления визуализацией (25), подсистема управления доступом (15) взаимосвязана с подсистемой управления визуализацией (25), подсистема управления процессами (22) взаимосвязана с подсистемой управления визуализацией (25), подсистема управления интеграциями (18) взаимосвязана с внешними системами (29).
редактор прикладных модулей (12) связан с редактором источников данных (13), который связан с базой данных (14), редактор модели доступа (16) связан с блоком назначения ролей пользователям (17), редактор интеграций (19) связан с блоком получения данных (20) и с блоком предоставления данных (21).
Редактор прикладных модулей (12) предназначен для создания прикладных модулей и создания списков компонентов таких модулей. Редактор источников данных (13) предназначен для создания источников данных в виде таблиц базы данных, фиксации в них сущностей, характеризующих объект автоматизации, фиксации атрибутов сущностей, связи, типа связи между сущностями и триггеров; и в виде провайдеров данных. База данных (14) предназначена для хранения структурированной в виде прикладных модулей информации об объекте автоматизации.
Редактор модели доступа (16) предназначен для создания модели доступа, фиксации в ней ролей пользователей и фиксации для ролей прав доступа к данным. Блок назначения ролей пользователям (17) предназначен для назначения ролей пользователям автоматизированной системы управления информационной безопасностью.
Редактор интеграций (19) предназначен для создания правил интеграции путем сопоставления атрибутов сущностей источника данных прикладного модуля и атрибутов соответствующих сущностей, данные о которых хранятся во внешних источниках данных, и путем фиксации периодичности получения данных из внешних источников данных и периодичности предоставления данных во внешние источники данных. Блок получения данных (20) предназначен для обеспечения интеграции источников данных прикладного модуля с источниками данных внешних информационных систем в части получения данных. Блок предоставления данных (21) предназначен для обеспечения интеграции источников данных прикладного модуля с источниками данных внешних информационных систем в части предоставления данных.
Редактор процессов перевода состояний сущности (23) предназначен для фиксации списка состояний сущности и, в случае если такой список состояний не пуст, фиксации схемы перевода состояний сущности из первоначального состояния в последующее, а также для создания шаблона задачи по обработки такого состояния и связывания его с ролью пользователя, ответственного за обработку такого состояния. Редактор процессов вычисления данных (24) предназначен для создания алгоритмов процессов вычисления данных и фиксации аргументов процесса на входе алгоритма процесса и аргументов процесса, значения которых необходимо вычислить на выходе в ходе работы такого алгоритма процесса.
Редактор форм представления данных (26) предназначен для создания форм представления данных и элементов графического пользовательского интерфейса для форм представления данных, а также для связывания форм представления данных с прикладными модулями, для связывания элементов графического пользовательского интерфейса с атрибутами сущностей и/или с процессами перевода состояний сущности для отображения их текущих значений на экране ЭВМ, и для связывания элементов графического пользовательского интерфейса с процессами вычисления данных для инициирования работы таких процессов при взаимодействии пользователя с формой представления данных. Редактор шаблонов отчетов (27) предназначен для создания шаблонов отчетов для автоматического формирования отчетов, включающих значения атрибутов сущностей. Редактор рабочих областей (28) пользователя предназначен для создания рабочей области для каждой роли пользователя и связывания с ней прикладных модулей и форм представления данных, связанных с прикладным модулем.
Система создания автоматизированных систем управления информационной безопасностью используется следующим образом.
Специалист в области информационной безопасности организации, не обладающий специализированными знаниями в области программирования, предпочтительно, бизнес-аналитик (далее – бизнес-аналитик), проводит сбор информации об объекте автоматизации и проводит ее структуризацию в виде прикладных модулей в подсистеме управления данными (11). Для этого бизнес-аналитик создает списки компонентов для каждого прикладного модуля в редакторе прикладных модулей (12), а именно: список источников данных, список процессов вычисления данных, список интеграций, список отчетов, список форм представления данных.
Для каждого прикладного модуля бизнес-аналитик создает источники данных в виде таблиц базы данных и провайдеров данных в редакторе источников данных (13), причем в таблицах базы данных фиксирует сущности, характеризующие объект автоматизации, и атрибуты таких сущностей, связи, тип связи между сущностями и триггеры.
В соответствии с информацией об объекте автоматизации бизнес-аналитик создает модель доступа к данным в подсистеме управления доступом (15), для которой в редакторе модели доступа (16) фиксирует роли пользователей и права доступа к данным для таких ролей, после чего назначает пользователям автоматизированной системы управления информационной безопасности соответствующие роли в блоке назначения ролей пользователям (17).
Для каждого прикладного модуля бизнес-аналитик создает интеграции с внешними источниками данных, связанные со списком интеграций, созданного для прикладного модуля, в подсистеме управления интеграциями (18). Бизнес-аналитик создает правила интеграции, в которых проводит сопоставление атрибутов сущностей источника данных прикладного модуля и атрибутов соответствующих сущностей, данные о которых хранятся во внешних источниках данных, в редакторе интеграций (19), а также фиксирует периодичность получения данных из внешних источников данных (29) в блоке получения данных (20) и фиксирует периодичность предоставления данных во внешние источники данных (29) в блоке предоставления данных (21).
Для каждой сущности бизнес-аналитик фиксирует список процессов перевода состояний сущности в редакторе процессов перевода состояний сущности (23) и, в случае если такой список не пуст, создает модели таких процессов, для которых затем фиксирует список состояний сущности и схему перевода из первоначального состояния в последующее. Для каждого состояния создает шаблон задачи по обработке такого состояния и связывает его с ролью пользователя, ответственной за обработку такого состояния.
Для каждого прикладного модуля бизнес-аналитик создает алгоритмы процессов вычисления данных, связанные со списком таких процессов, созданного для прикладного модуля, в редакторе процессов вычисления данных (24). Для таких алгоритмов он фиксирует аргументы процесса на входе алгоритма и аргументы процесса, значение которых необходимо вычислить на выходе в ходе работы такого алгоритма.
Для каждого прикладного модуля бизнес-аналитик создает формы представления данных, связанные со списком форм представления данных, созданного для прикладного модуля, в редакторе форм представления данных (26). Затем создает элементы графического пользовательского интерфейса и связывает их с атрибутами сущностей и/или с процессом перевода состояний сущности для отображения их значений на экране ЭВМ, а также связывает элементы графического пользовательского интерфейса с процессами вычисления данных для инициирования работы таких процессов при взаимодействия пользователя с формой представления данных, в редакторе форм представления данных (26).
Для каждого прикладного модуля бизнес-аналитик создает шаблоны отчетов, связанных со списком отчетов, созданных для прикладного модуля, в редакторе шаблонов отчетов (27).
В соответствии с моделью доступа пользователей к данным бизнес-аналитик создает рабочую область для каждой роли пользователя, с которой связывают прикладные модули и формы представления данных, связанные с прикладными модулями, в редакторе рабочих областей (28).
Заявленные способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления позволяют решать следующие задачи:
- автоматизация деятельности организации по управлению информационной безопасностью в соответствии с законодательными и бизнес-требованиями и с концепцией GRC;
- организация совместной работы различных категорий пользователей, например, представителей высшего руководства организации, сотрудников подразделения ИТ, сотрудников подразделения ИБ и иных сотрудников организации, задействованных при выполнении процессов обработки информации;
- централизация хранения данных, относящихся к области управления информационной безопасностью, автоматизация сбора таких данных и их представление в графическом, табличном и ином удобном виде.

Claims (16)

1. Способ создания автоматизированных систем управления информационной безопасностью, в котором проводят сбор информации об объекте автоматизации и проводят структуризацию такой информации в виде прикладных модулей;
в соответствии с информацией об объекте автоматизации создают модель доступа пользователей к данным, причем в такой модели фиксируют роли пользователей, а для каждой роли фиксируют права на обработку данных, а затем каждому пользователю автоматизированной системы ставят в соответствие роль;
для каждого прикладного модуля создают список источников данных и связанные со списком источники данных, причем источники данных создают в виде таблиц базы данных и в виде провайдеров данных, причем в таблицах базы данных фиксируют сущности, характеризующие объект автоматизации, а для каждой сущности фиксируют атрибуты, связи, тип связи между сущностями и триггеры;
для каждого прикладного модуля создают список интеграций такого модуля с внешними источниками данных и, в случае если список таких интеграций не пуст, создают правила интеграции, в которых проводят сопоставление атрибутов сущностей источника данных прикладного модуля и атрибутов соответствующих сущностей, данные о которых хранятся во внешних источниках данных, а также фиксируют периодичность получения данных из внешних источников данных и фиксируют периодичность предоставления данных во внешние источники данных, обеспечивают интеграцию источника данных прикладного модуля с внешним источником данных об объекте автоматизации на основе таких правил;
для каждой сущности создают список процессов перевода состояний, и в случае, если список таких процессов не пуст, создают модели таких процессов и для каждого процесса перевода состояний фиксируют список состояний и фиксируют схему перевода из первоначального состояния в последующее, а для каждого состояния создают шаблон задачи по обработке такого состояния и связывают его с ролью пользователя, ответственной за обработку такого состояния;
для каждого прикладного модуля создают список процессов вычисления данных и, в случае если список таких процессов не пуст, создают алгоритмы процессов вычисления данных, для которых фиксируют аргументы процесса на входе алгоритма процесса, и аргументы процесса, значения которых необходимо вычислить на выходе в ходе работы такого алгоритма процесса;
для каждого прикладного модуля создают список форм представления данных, для которых создают элементы графического пользовательского интерфейса, причем такие элементы связывают с атрибутами сущностей и/или с процессами перевода состояний сущности для отображения их текущих значений на экране ЭВМ, а также элементы графического пользовательского интерфейса связывают с процессами вычисления данных для инициирования работы таких процессов при взаимодействии пользователя с формой представления данных;
для каждого прикладного модуля создают список отчетов, а для каждого отчета создают соответствующий ему шаблон;
в соответствии с моделью доступа пользователей к данным для каждой роли пользователя создают рабочую область, с которой связывают список прикладных модулей и формы представления данных, связанные с прикладными модулями.
2. Система создания автоматизированных систем управления информационной безопасностью, содержащая
подсистему управления данными, которая содержит редактор прикладных модулей, редактор источников данных и базу данных;
подсистему управления доступом, которая содержит редактор модели доступа и блок назначения ролей;
подсистему управления интеграциями, которая содержит редактор интеграций, блок получения данных и блок предоставления данных;
подсистему управления процессами, которая содержит редактор процессов перевода состояний сущности и редактор процессов вычисления данных;
подсистему управления визуализацией, которая содержит редактор форм представления данных, редактор шаблонов отчетов и редактор рабочих областей;
при этом подсистема управления данными взаимосвязана с подсистемой управления доступом, подсистемой управления процессами, подсистемой управления интеграциями и подсистемой управления визуализацией, подсистема управления доступом взаимосвязана с подсистемой управления визуализацией, подсистема управления процессами взаимосвязана с подсистемой управления визуализацией, подсистема управления интеграциями взаимосвязана с внешними системами; редактор прикладных модулей связан с редактором источников данных, который связан с базой данных, редактор модели доступа связан с блоком назначения ролей, редактор интеграций связан с блоком получения данных и с блоком предоставления данных.
RU2019129630A 2019-09-20 2019-09-20 Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления RU2717721C1 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2019129630A RU2717721C1 (ru) 2019-09-20 2019-09-20 Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления
EA202091990A EA202091990A3 (ru) 2019-09-20 2020-09-18 Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019129630A RU2717721C1 (ru) 2019-09-20 2019-09-20 Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления

Publications (1)

Publication Number Publication Date
RU2717721C1 true RU2717721C1 (ru) 2020-03-25

Family

ID=69943301

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019129630A RU2717721C1 (ru) 2019-09-20 2019-09-20 Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления

Country Status (2)

Country Link
EA (1) EA202091990A3 (ru)
RU (1) RU2717721C1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2796623C1 (ru) * 2022-06-30 2023-05-29 Акционерное общество "Навигационно-информационные системы" Система принятия решений при угрозе и ликвидации последствий чс

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2331913C2 (ru) * 2003-03-03 2008-08-20 Майкрософт Корпорейшн Контур обратной связи для предотвращения несанкционированной рассылки
RU2399091C2 (ru) * 2008-11-27 2010-09-10 ООО "НеоБИТ" Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления
WO2011115983A1 (en) * 2010-03-15 2011-09-22 Greenlight Technologies, Inc. Automated governance, risk management, and compliance integration
WO2016054437A1 (en) * 2014-10-01 2016-04-07 Raghu Varadan Interactive business lifecycle management system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2331913C2 (ru) * 2003-03-03 2008-08-20 Майкрософт Корпорейшн Контур обратной связи для предотвращения несанкционированной рассылки
RU2399091C2 (ru) * 2008-11-27 2010-09-10 ООО "НеоБИТ" Способ адаптивного параметрического управления безопасностью информационных систем и система для его осуществления
WO2011115983A1 (en) * 2010-03-15 2011-09-22 Greenlight Technologies, Inc. Automated governance, risk management, and compliance integration
WO2016054437A1 (en) * 2014-10-01 2016-04-07 Raghu Varadan Interactive business lifecycle management system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2796623C1 (ru) * 2022-06-30 2023-05-29 Акционерное общество "Навигационно-информационные системы" Система принятия решений при угрозе и ликвидации последствий чс

Also Published As

Publication number Publication date
EA202091990A2 (ru) 2021-05-31
EA202091990A3 (ru) 2021-06-30

Similar Documents

Publication Publication Date Title
Gopal et al. Measurement programs in software development: determinants of success
US8060532B2 (en) Determining suitability of entity to provide products or services based on factors of acquisition context
Uemura et al. Function‐point analysis using design specifications based on the Unified Modelling Language
US20230077908A1 (en) Systems and methods for optimizing automated modelling of resource allocation
US20060095915A1 (en) System and method for process automation and enforcement
US20020069143A1 (en) System and method for allocating operating expenses
Parthasarathy et al. Customer requirements based ERP customization using AHP technique
Jiang et al. Strategic models for business intelligence
Adams Facilitating dynamic flexibility and exception handling for workflows
JP2004522232A (ja) 医療産業におけるコスト分析及びベンチマーク方法及びシステム
Storey et al. Data quality: Setting organizational policies
Ranisavljević et al. Management information system and decision making process in enterprise
US20210141924A1 (en) System to facilitate proprietary data restriction compliance for an enterprise
Wang et al. An information product approach for total information awareness
Deb et al. A decision-making model with intuitionistic fuzzy information for selection of enterprise resource planning systems
Carlson et al. A context model for architectural decision support
Colombo et al. The use of a meta-model to support multi-project process measurement
JP2008527500A (ja) 自動化プロジェクトオフィス並びに自動リスク評価及び報告のためのシステム及び方法
RU2717721C1 (ru) Способ создания автоматизированных систем управления информационной безопасностью и система для его осуществления
US20100324953A1 (en) Method and system for determining entitlements to resources of an organization
US20110276694A1 (en) Information technology resource management
Nikiforova et al. Solution to CAD Designer Effort Estimation based on Analogy with Software Development Metrics.
Paynter Project estimation using screenflow engineering
Saputra et al. How to Integrate Enterprise Asset Management System for Smart Hospital: A Case Study
Fan et al. Workflow-aware attention tracking to enhance collaboration management

Legal Events

Date Code Title Description
PC41 Official registration of the transfer of exclusive right

Effective date: 20210628

PC41 Official registration of the transfer of exclusive right

Effective date: 20220305