RU2739870C1 - System and method of changing user role - Google Patents
System and method of changing user role Download PDFInfo
- Publication number
- RU2739870C1 RU2739870C1 RU2019130603A RU2019130603A RU2739870C1 RU 2739870 C1 RU2739870 C1 RU 2739870C1 RU 2019130603 A RU2019130603 A RU 2019130603A RU 2019130603 A RU2019130603 A RU 2019130603A RU 2739870 C1 RU2739870 C1 RU 2739870C1
- Authority
- RU
- Russia
- Prior art keywords
- role
- user
- task
- identified
- changing
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
Description
Область техникиTechnology area
Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления ролями пользователей.The invention relates to the field of information security, and more specifically to systems and methods for managing user roles.
Уровень техникиState of the art
Количество компаний и разнообразие направлений их деятельности продолжает непрерывно расти. Частота изменений целей и задач, которые компании ставят перед своими работниками, постепенно возрастает. Процесс создания и утверждения должностных обязанностей работников не всегда предусматривает возможность их изменения в соответствии с обновляемыми целями компании.The number of companies and the variety of their activities continues to grow continuously. The frequency of changes in the goals and objectives that companies set for their employees is gradually increasing. The process of creating and approving job descriptions for employees does not always provide for the possibility of changing them in accordance with the company's updated goals.
В общем случае роль работника определяют исходя из его должностных обязанностей и трудовых функций, трудовых действий. Для использования системы ролевого разграничения доступа (англ. Role Based Access Control, RBAC) адаптируют роль работника к роли пользователя. Роль пользователя - это набор прав доступа к приложениям и информационным ресурсам компании, с помощью которого работник выполняет трудовые действия и решает задачи, в соответствии с занимаемой должностью.In the general case, the role of the employee is determined based on his job duties and labor functions, labor actions. To use the Role Based Access Control (RBAC) system, the employee's role is adapted to the user's role. A user role is a set of access rights to applications and information resources of a company, with the help of which an employee performs labor actions and solves tasks in accordance with the position held.
Отсутствие возможности своевременно по необходимости модифицировать роли пользователей может нести угрозу информационной безопасности компании. Возникают ситуации, когда пользователю для выполнения задачи необходим доступ к приложению, сервису или информационному ресурсу, который изначально не предусмотрен ролью пользователя. В то же время, возникают ситуации, когда пользователь, из личных или корыстных целей, а возможно и по ошибке, требует доступ к приложению или информационному ресурсу, который не предусмотрен ролью. С одной стороны, возникает проблема определения правомерности предоставляемого доступа, с другой стороны несвоевременное внесение изменений в роль может критически замедлить решение важной задачи.Failure to timely modify user roles, if necessary, may pose a threat to the company's information security. Situations arise when a user needs access to an application, service, or information resource to complete a task that is not initially provided for by the user's role. At the same time, situations arise when the user, for personal or selfish purposes, and possibly by mistake, requires access to an application or information resource that is not provided for by the role. On the one hand, there is a problem of determining the legality of the access provided, on the other hand, untimely changes to the role can critically slow down the solution of an important task.
В настоящее время существуют решения, предназначенные для изменения роли пользователя. В публикации US 9621585 B1 описана система, в которой динамически выявляют необходимость изменения роли пользователя, например, при изменении обращений пользователя к конфиденциальным данным. В соответствии с изменениями предусмотрено создание новых политик безопасности и ролей.Currently, there are solutions designed to change the user's role. Publication US 9621585 B1 describes a system in which the need to change the user's role is dynamically detected, for example, when the user's access to confidential data changes. In accordance with the changes, the creation of new security policies and roles is envisaged.
Хотя описанный выше способ работы успешно справляется с задачей изменения роли, но он зачастую не выявляет условий, при которых необходимо вносить изменения в роль. Настоящее изобретение позволяет эффективно решать эту задачу.While the above method of operation does a good job of changing a role, it often fails to identify the conditions under which a role change needs to be made. The present invention can effectively solve this problem.
Раскрытие изобретенияDisclosure of invention
Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления ролями пользователей. Изобретение предназначено для изменения роли пользователя. Технический результат настоящего изобретения заключается в обеспечении защиты информационной безопасности путем поддержания актуальности роли пользователя за счет выявления неактуальной роли и ее изменения.The invention relates to the field of information security, and more specifically to systems and methods for managing user roles. The invention is intended to change the role of the user. The technical result of the present invention is to ensure the protection of information security by maintaining the relevance of the user's role by identifying the irrelevant role and changing it.
В одном из вариантов реализации предоставляется система изменения роли пользователя, при этом упомянутая система содержит: средство выявления, предназначенное для: выявления роли пользователя, выявления задачи, которую выполнял пользователь, обладая выявленной ролью, передачи данных о выявленных роли пользователя и задаче, которую выполнял пользователь, обладая выявленной ролью, средству пересмотра; средство пересмотра, предназначенное для выполнения проверки актуальности выявленной роли пользователя путем по меньшей мере выявления новой задачи, которую выполнял пользователь, обладая выявленной ролью, для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи, для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи, передачи результатов проверки средству изменения; средство изменения, предназначенное для внесения изменений в выявленную роль пользователя при помощи правил изменения роли при выявлении неактуальной роли; базу данных правил, предназначенную для хранения правил изменения роли.In one embodiment, a system for changing the user's role is provided, wherein said system comprises: a detection tool designed to: identify the user's role, identify the task that the user performed with the identified role, transfer data about the identified user role and the task that the user performed , having a revealed role, a means of review; revision tool designed to check the relevance of the identified user role by at least identifying a new task performed by the user with the identified role, to identify the task performed by the user with the identified role that requires another task to be performed, to identify the task that performed by the user, having the identified role, in violation of the deadline for completing the task, transferring the scan results to the change tool; a change tool for making changes to the identified user role using role change rules when an irrelevant role is detected; a rules database for storing rules for changing a role.
В другом варианте реализации под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.In another implementation, the role change rules are understood as a set of conditions, upon fulfillment of which, changes are made to the user's role.
Еще в одном варианте реализации используют базу данных задач и ролей пользователей для хранения по меньшей мере данных об имени работника, задаче и уровне ее классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.In yet another implementation, a database of tasks and user roles is used to store at least data about the name of the employee, the task and the level of its classification, the time period for the task, access rights corresponding to the task, the type of reporting and the user's role.
В другом варианте реализации внесение изменений в роль выполняют путем изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.In another implementation, changes to the role are performed by changing the task, the time period for the task, the access rights associated with the task.
В одном из вариантов реализации предоставляется способ изменения роли пользователя, содержащий этапы, которые реализуются с помощью средств из упомянутой системы и на которых выявляют роль пользователя; выявляют задачу, которую выполнял пользователь, обладая выявленной ролью; выполняют проверку актуальности выявленной роли пользователя путем по меньшей мере выявление новой задачи, которую выполнял пользователь, обладая выявленной ролью, выявление задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи, выявление задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи; при выявлении неактуальной роли при помощи правил изменения роли вносят изменение в выявленную роль пользователя.In one embodiment, a method for changing the role of a user is provided, comprising the steps that are implemented using means from said system and in which the role of the user is identified; identify the task performed by the user with the identified role; check the relevance of the identified user role by at least identifying a new task that the user performed with the identified role, identifying the task that the user performed while having the identified role that requires another task to be performed, identifying the task that the user performed while having the identified role, in violation of the deadline for the task; when an irrelevant role is identified using the rules, role changes make a change to the identified user role.
В другом варианте реализации способа под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.In another embodiment of the method, the role change rules are understood as a set of conditions, upon fulfillment of which, changes are made to the user's role.
Еще в одном варианте реализации способа хранят по меньшей мере данные об имени работника, задаче и уровне ее классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.In another embodiment of the method, at least data about the name of the employee, the task and the level of its classification, the time period for the task execution, the access rights corresponding to the task, the type of reporting and the user's role are stored.
В другом варианте реализации способа внесение изменений в роль выполняют путем изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.In another embodiment of the method, changes to the role are performed by changing the task, the time period for the task execution, and access rights corresponding to the task.
Краткое описание чертежейBrief Description of Drawings
Фиг. 1 иллюстрирует структуру системы изменения роли.FIG. 1 illustrates the structure of a role change system.
Фиг. 2 иллюстрирует алгоритм системы изменения роли.FIG. 2 illustrates the algorithm of the role change system.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.FIG. 3 is an example of a general purpose computer system, personal computer or server.
Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may take various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a specific embodiment. On the contrary, the purpose of the description is to cover all changes, modifications falling within the scope of this invention, as defined by the appended claims.
Описание вариантов осуществления изобретенияDescription of embodiments of the invention
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.Objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The essence recited in the description is nothing more than the specific details necessary to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined within the scope of the appended claims.
Информационный ресурс - совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определенной информационной системой (Постановление Правительства Москвы от 14.06.2005 N 439-ПП). Например, информационным ресурсом может быть веб-сайт или веб-приложение.Information resource - a set of individual documents, arrays of documents, usually structured in databases and used by a specific information system (Decree of the Moscow Government dated June 14, 2005 N 439-PP). For example, an information resource can be a website or web application.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации").Information system is a set of information contained in databases and information technologies and technical means that ensure its processing (Federal Law of July 27, 2006 N 149-FZ (as amended on July 19, 2018) "On information, information technology and information protection").
Информационная система, для использования которой необходимо наличие учетной записи - информационная система, которая позволяет использовать функции информационной системы только после регистрации и авторизации с использованием учетной записи.An information system that requires an account to be used is an information system that allows you to use the functions of the information system only after registration and authorization using an account.
Учетная запись - совокупность данных о пользователе, необходимая для его аутентификации и предоставления доступа к его личным данным и настройкам (ГОСТ Р 57429-2017).Account - a collection of data about a user, necessary for his authentication and providing access to his personal data and settings (GOST R 57429-2017).
Трудовая функция - работа по должности в соответствии со штатным расписанием, профессии, специальности с указанием квалификации; конкретный вид поручаемой работнику работы. Трудовая функция выражается через работу, то есть определенные действия, которые должен осуществлять работник (взаимодействие с оборудованием, инструментами, умственные операции, творческие действия и т.д.) и определяется названием должности, профессии, специальности (сварщик, юрисконсульт, маркетолог-аналитик, озеленитель), качественная характеристика трудовой функции - способность работника выполнять обязанности определенного уровня сложности, с определенной скоростью и качеством результата (Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 01.04.2019).Labor function - work according to the position in accordance with the staffing table, profession, specialty, indicating qualifications; the specific type of work assigned to the employee. The labor function is expressed through work, that is, certain actions that the employee must carry out (interaction with equipment, tools, mental operations, creative actions, etc.) and is determined by the name of the position, profession, specialty (welder, legal adviser, marketing analyst, greener), the qualitative characteristic of the labor function is the ability of the employee to perform duties of a certain level of complexity, with a certain speed and quality of the result (Labor Code of the Russian Federation "of 12/30/2001 N 197-FZ (as amended on 04/01/2019).
Трудовые действия - это процесс взаимодействия работника с предметом труда, при котором достигается определенная задача (Методические рекомендации по разработке профессионального стандарта, утвержденных Приказом Минтруда России от 29.04.2013 N 170н).Labor actions are the process of interaction between the employee and the subject of labor, in which a certain task is achieved (Guidelines for the development of a professional standard, approved by Order of the Ministry of Labor of Russia dated 04.29.2013 N 170n).
Уровень квалификации - требования к умениям, знаниям, уровню квалификации в зависимости от полномочий и ответственности работника. Применяются при разработке профессиональных стандартов для описания трудовых функций, требований к образованию и обучению работников. Единые требования к квалификации работников, установленные Уровнями квалификации, могут быть расширены и уточнены с учетом специфики видов профессиональной деятельности (Приказ Минтруда России от 12.04.2013 N 148н "Об утверждении уровней квалификации в целях разработки проектов профессиональных стандартов"). Достижения уровня квалификации от 1 до 4 обычно предусматривает ряд практических действий и прохождение внутреннего обучения. Уровни квалификации от 4 и выше могут потребовать дополнительного образования, развития более сложных навыков, фундаментальных знаний и опыта.Qualification level - requirements for skills, knowledge, qualification level, depending on the authority and responsibility of the employee. They are used in the development of professional standards to describe labor functions, education and training requirements for employees. The uniform requirements for the qualifications of employees, established by the Qualification Levels, can be expanded and clarified taking into account the specifics of the types of professional activities (Order of the Ministry of Labor of Russia of 12.04.2013 N 148n "On the approval of qualification levels in order to develop draft professional standards"). Achieving a skill level of 1 to 4 usually involves a series of hands-on activities and internal training. Skill levels 4 and above may require additional education, development of more complex skills, fundamental knowledge and experience.
Труд - общественно-необходимая деятельность человека, требующая усилий в достижении определенных целей, результатов.Labor is a socially necessary human activity that requires efforts to achieve certain goals and results.
Задача - единица труда, которая предполагает выполнение трудовых действий. (Носкова О.Г. Психология труда: Учеб. пособие для студ. высш. учеб. заведений / Под ред. Е.А. Климова. - М.: Издательский центр «Академия», 2004. - 384 с.)A task is a unit of labor that involves the performance of labor actions. (Noskova OG Labor Psychology: Textbook for students of higher educational institutions / Edited by EA Klimov. - M .: Publishing Center "Academy", 2004. - 384 p.)
Право доступа (англ. access right, access permission) - право, предоставленное пользователю на санкционированное использование определенных программ и данных, хранящихся в вычислительной системе. Правила, определяющие, какие пользователи или процессы и каким образом могут получать доступ к объекту (каталогу, файлу, принтеру и т.п.) (Дорот В.Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. - 3-е изд., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.)The right of access (English access right, access permission) - the right granted to the user for the authorized use of certain programs and data stored in the computer system. The rules that determine which users or processes and how can get access to the object (directory, file, printer, etc.) (Dorot V.L., Novikov F.A.Explanatory dictionary of modern computer lexicon. - 3rd ed., revised and supplemented - SPb .: BHV-Petersburg, 2004 .-- 608 p.)
Ролевое разграничение доступа (RBAC) - развитие политики дискреционного разграничения доступа, где права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.Role-based access control (RBAC) is the development of a policy of discretionary access control, where the access rights of system subjects to objects are grouped taking into account the specifics of their application, forming roles.
Роль - совокупность прав доступа на объекты компьютерной системы. Правила ролевого разграничения доступа определяют порядок предоставления прав доступа субъектам (пользователям) компьютерной системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени. (Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений - М.: Издательский центр «Академия», 2005. - 144 с.)Role - a set of access rights to objects of a computer system. The rules of role-based access control determine the procedure for granting access rights to subjects (users) of a computer system, depending on the session of its work and on the roles it has or does not have at any given time. (Devyanin PN Security models of computer systems: Textbook for students of higher educational institutions - M .: Publishing center "Academy", 2005. - 144 p.)
Сеанс (англ. session) - время, в течение которого пользователю выделены ресурсы вычислительной системы (от момента входа в систему до момента выхода из нее). Время, в течение которого существует соединение между приложениями, компьютерами или узлами сети. (Дорот В.Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. - 3-е изд., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.)Session is the time during which the computer system resources are allocated to the user (from the moment of logging in to the moment of logging out). The time during which a connection exists between applications, computers, or network nodes. (Dorot V.L., Novikov F.A.Explanatory Dictionary of Modern Computer Vocabulary. - 3rd ed., Revised and enlarged - SPb .: BHV-Petersburg, 2004. - 608 p.)
Задача - выполнение трудовых действий при помощи приложений или информационных ресурсов, к которым предоставлен доступ в соответствии с ролью, для достижения целей, поставленных работодателем.The task is to perform labor activities using applications or information resources that are provided with access in accordance with the role, in order to achieve the goals set by the employer.
Актуальность роли пользователя - такое состояние роли, при котором пользователь, в рамках текущих прав доступа может беспрепятственно выполнять поставленные задачи.The relevance of the user's role is such a state of the role in which the user, within the framework of the current access rights, can freely perform the assigned tasks.
Каждому работнику в компании установлены должностные обязанности. Описание должностных обязанностей может содержать перечень задач, которые доступны для выполнения работником. Исходя из перечня задач, которые доступны для выполнения работником, администратор формирует права доступа к информационным ресурсам и приложениям компании - формирует роль пользователя. Таким образом работнику соответствует роль пользователя. Возникают ситуации, когда пользователь в связи с изменением или дополнением своих трудовых функций в силу различных причин не может выполнять трудовые действия и задачи в рамках прав доступа, предоставляемых его ролью. В одном из случаев, причиной этому может быть неактуальное состояние роли. В этом случае следует привести роль в актуальное состояние без ущерба информационной безопасности компании. Для этого используют систему изменения роли пользователя.Each employee in the company has a job description. The job description may contain a list of tasks that are available for the employee to perform. Based on the list of tasks that are available for the employee to perform, the administrator forms the access rights to information resources and applications of the company - forms the user's role. Thus, the employee corresponds to the user's role. Situations arise when the user, due to a change or addition to his labor functions, for various reasons, cannot perform labor actions and tasks within the framework of the access rights provided by his role. In one case, the reason for this may be an irrelevant state of the role. In this case, the role should be brought up to date without compromising the information security of the company. For this, a system for changing the user's role is used.
Фиг 1. иллюстрирует структуру системы изменения роли пользователя, которая включает в себя базу данных задач и ролей пользователей 110 средство выявления 120, средство пересмотра 130, средство изменения 140, базу данных правил 150.Fig. 1 illustrates the structure of a system for changing a user's role, which includes a database of tasks and
База данных задач и ролей пользователей 110 предназначена для хранения перечня задач каждого пользователя. В таблице 1 представлена структура базы данных задач и ролей пользователей 110 с примерами.The database of tasks and
Средство выявления 120 предназначено для выявления роли пользователя. Роль пользователя может быть выявлена путем определения успешной авторизации пользователя и анализа данных о существующей роли пользователя в информационной системе компании. Данные о ролях пользователей могут быть выбраны из базы данных задач и ролей пользователей 110, например, реализованной при помощи службы каталогов (англ. Active Directory).The
Помимо этого, средство выявления 120 предназначено для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, и передачи данных о выявленных роли пользователя и задаче, которую выполнял пользователь, обладая выявленной ролью, средству пересмотра 130.In addition, the
Выявление задачи, которую выполнял пользователь, может быть осуществлено путем выявления и анализа событий (например, из журнала событий операционной системы или приложения) и параметров сеанса работы пользователя с приложением или информационным ресурсом. Например, для ОС Microsoft Windows выявление и анализ данных, с которыми работал пользователь, и событий EventID 4688 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4688) и 4689 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4689) позволяет определить время начала и окончания сеанса работы с приложением. Основными параметрами сеанса можно выделить время начала работы с приложением или информационным ресурсом, время окончания работы с приложением или информационным ресурсом, функции приложения или информационного ресурса, которые были использованы во время выполнения задачи, файлы, которые созданы или модифицированы во время выполнения задачи, запросы к сетевым ресурсам, данные с устройств ввода. Одному приложению или информационному ресурсу может соответствовать несколько задач, которые может выполнять пользователь. В то же время для выполнения одной задачи может требоваться доступ к нескольким приложениям или информационным ресурсам.The identification of the task that the user performed can be performed by identifying and analyzing events (for example, from the event log of the operating system or application) and parameters of the user's session with the application or information resource. For example, for Microsoft Windows, identifying and analyzing the data with which the user worked and EventID 4688 events (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4688) and 4689 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4689) allows you to determine the start and end time of an application session. The main parameters of the session are the start time of work with the application or information resource, the time of the end of work with the application or information resource, the functions of the application or information resource that were used during the execution of the task, files that were created or modified during the execution of the task, requests to network resources, data from input devices. One application or information resource can correspond to several tasks that a user can perform. At the same time, one task may require access to multiple applications or information resources.
В таблице 2 в качестве примера описана выборка журнала событий, которые зафиксированы в ходе повседневной работы пользователя при выполнении одной из задач.Table 2, as an example, describes a selection of the event log that were recorded in the course of the user's daily work while performing one of the tasks.
Анализ данных из таблицы 1 и данных из таблицы 2 позволяет выявить задачу, которую выполнял пользователь, а именно: пользователь Пётр Петров, обладая ролью «Младший сотрудник отдела кадров», выполнил задачу «Формирование ежемесячного отчета о посещении сотрудников».Analysis of the data from Table 1 and the data from Table 2 allows us to identify the task that the user performed, namely: the user Peter Petrov, having the role of “Junior Human Resources Officer,” completed the task “Generation of a monthly report on employee visits”.
В частном варианте реализации один пользователь может обладать несколькими ролями. В соответствии с каждой ролью может быть сформирован отдельный перечень задач, который может выполнять пользователь, обладая этой ролью. Помимо этого, администратор для отдельных пользователей может вручную предоставить права доступа вне обладаемой роли. Например, в таблице 1 любому пользователю, который обладает ролью «Аналитик», добавлены права доступа для использования приложения по управлению проектной документацией. По аналогии администратор может добавить права доступа лично пользователю независимо от его роли.In a private implementation, one user can have multiple roles. In accordance with each role, a separate list of tasks can be formed that can be performed by a user with this role. In addition, the administrator for individual users can manually grant access rights outside the possessed role. For example, in Table 1, any user with the Analyst role has been added access rights to use the project management application. By analogy, the administrator can add access rights to the user personally, regardless of his role.
Средство пересмотра 130 предназначено для выполнения проверки актуальности выявленной роли пользователя и передачи результатов проверки средству изменения 140.The
В одном из вариантов реализации проверка актуальности роли пользователя может быть выполнена путем поиска и выявления новой задачи, которую пробует выполнить пользователь. Новая задача может быть определена в случае, когда пользователь не может получить доступ к информационному ресурсу, приложению или его отдельной функции. Например, зафиксировано время попытки получить доступ и последующий отказ в доступе. Например, пользователь с ролью помощника бухгалтера, который прошел испытательный срок, выполняя задачу подготовить отчет по архивным данным, осуществляет попытку получения доступа к информационному ресурсу компании, предназначенному для просмотра архивных данных бухгалтерии. В этом случае имеет место ситуация, когда выявлена новая задача, которую начал выполнять пользователь, обладая текущей ролью, не имеет возможности выполнить, а его роль является неактуальной. Требуется внесение изменений в роль.In one implementation, checking the relevance of a user's role may be performed by searching for and identifying a new task that the user is trying to perform. A new task can be defined in the case when the user cannot access an information resource, application, or its separate function. For example, the time of the attempt to gain access and the subsequent denial of access are recorded. For example, a user with the role of an assistant accountant who has passed the probationary period, completing the task of preparing a report on archived data, attempts to gain access to the company's information resource designed to view archived accounting data. In this case, a situation occurs when a new task is identified that the user has begun to perform, having the current role, is unable to perform, and his role is irrelevant. Role changes required.
В другом варианте проверка актуальности роли пользователя может быть выполнена путем учета опыта пользователя. Если должностные функции предусматривают расширение в зависимости от накопленного работником опыта, то могут быть определены этапы накопления опыта. Определение этапов может быть выполнено путем учета количества выполненных однотипных задач, совокупности разноплановых задач, последовательности выполнения задач. Например, работник в должности специалиста по управлению персоналом согласно профессиональному стандарту может выполнять задачи «Ведение организационной и распорядительной документации по персоналу» 5-го уровня квалификации и «Организация и проведение оценки персонала» 6-го уровня квалификации (Министерство труда и социальной защиты РФ, ПРИКАЗ от 6 октября 2015 г. N 691н ОБ УТВЕРЖДЕНИИ ПРОФЕССИОНАЛЬНОГО СТАНДАРТА «СПЕЦИАЛИСТ ПО УПРАВЛЕНИЮ ПЕРСОНАЛОМ». Для перехода между 5-ым и 6-ым уровнями квалификации в компании может быть предусмотрено обязательное выполнение 10 задач «Ведение организационной и распорядительной документации по персоналу» 5-го уровня. В противном случае выполнение задачи «Организация и проведение оценки персонала» 6-го уровня должно быть невозможным. Таким образом роль может содержать права доступа к приложению или информационному ресурсу для выполнения только задачи только 5-го уровня квалификации. После того, как пользователь выполнит 10 задач 5-го уровня может возникнуть ситуация, когда пользователь, обладая текущей ролью, не может выполнить задачу 6-го уровня квалификации. В этом случае возникает ситуация, когда выявлена задача, которую выполнял пользователь, обладая текущей ролью, которая требует выполнения другой задачи, а роль пользователя является неактуальной. Требуется внесение изменений в роль.Alternatively, checking the relevance of the user's role can be performed by considering the user's experience. If job functions provide for expansion depending on the experience accumulated by the employee, then the stages of accumulation of experience can be determined. Determination of stages can be performed by taking into account the number of completed tasks of the same type, a set of diverse tasks, sequence of tasks. For example, an employee in the position of a specialist in personnel management according to the professional standard can perform the tasks "Maintaining organizational and administrative documentation for personnel" of the 5th qualification level and "Organization and conduct of personnel assessment" of the 6th qualification level (Ministry of Labor and Social Protection of the Russian Federation, ORDER of October 6, 2015 N 691n ON APPROVAL OF THE PROFESSIONAL STANDARD "SPECIALIST IN PERSONNEL MANAGEMENT." Level 5. Otherwise, it should be impossible to perform the task "Organizing and conducting personnel assessment" level 6. Thus, the role may contain access rights to the application or information resource to perform only the task of skill level 5 only. how the user will complete 10 tasks of the 5th level can There is no situation where the user, having the current role, cannot complete the task of the 6th skill level. In this case, a situation arises when a task has been identified that was performed by a user with a current role that requires another task to be performed, and the user's role is irrelevant. Role changes required.
Еще в одном варианте реализации проверка актуальности роли пользователя может быть выполнена путем выявления нарушений плана управления временем компании, составленного, например, на основе баланса рабочего времени или правил тайм-менеджмента. В ходе анализа задачи, которую выполнял пользователь, возможно обнаружение задачи, которую пользователь не должен выполнять в течение определенного периода времени. Например, по причине заранее утвержденного норматива или злоупотребления ненормированным рабочим графиком. В этом случае возникает ситуация, когда выявлена задача, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи, а роль пользователя является неактуальной. Требуется внесение изменений в роль.In yet another implementation, checking the relevance of the user's role can be performed by detecting violations of the company's time management plan, drawn up, for example, based on the balance of working hours or time management rules. During the analysis of the task that the user performed, it is possible that a task that the user should not perform for a certain period of time may be detected. For example, due to a pre-approved standard or abuse of irregular working hours. In this case, a situation arises when a task is identified that was performed by a user, having the identified role, with a violation of the task deadline, and the user's role is irrelevant. Role changes required.
Средство изменения 140 предназначено для внесения изменений в текущую роль пользователя при помощи правил изменения роли из базы данных правил 150 при выявлении неактуальной роли.The
Правила изменения роли - набор условий, при выполнении которого, средство изменения 150 вносит изменения в роль пользователя.Role change rules are a set of conditions upon which the
Одним из примеров правила изменения роли может быть следующий набор условий: выявлена безуспешная попытка осуществить сеанс работы с приложением или информационным ресурсом, существует задача, для выполнения которой, необходимо иметь права доступа к приложению или информационному ресурсу, к которому выявлена безуспешная попытка начать сеанс работы, уровень квалификации пользователя, который может выполнять задачу, ниже, чем максимальный уровень квалификации пользователя, который безуспешно попытался осуществить сеанс работы с приложением или информационным ресурсом. При выполнении такого набора условий средство изменения 140 вносит изменение в роль путем добавления обнаруженной задачи к перечню задач, которые может выполнять пользователь и изменения в права доступа для работы с приложением, с помощью которого пользователь может выполнить обнаруженную задачу. Например, пользователь 1, обладает ролью «Химик-технолог в автомобилестроении» и согласно должностным обязанностям может выполнять задачу «Формирование политики в области системы менеджмента качества» 6-го уровня квалификации. В ходе выполнения задачи, пользователь 1 понимает, что процесс подготовки детали 1 требует более детального внутреннего аудита. Пользователь 1 принимает решение самостоятельно выполнить эту задачу и осуществляет запуск приложение «Аудит-Стандарт». Запуск безуспешен, поскольку среди задач, которые может выполнять пользователь с ролью «Химик-технолог в автомобилестроении» таких задач нет. Существует задача «Выполнение отдельных аудиторских процедур», для выполнения которой разрешено использование приложения «Аудит-Стандарт». Такую задачу может выполнять пользователь с ролью «Аудитор» 4-го уровня квалификации. Срабатывает правило изменения роли и происходит внесение изменений в роль «Химик-технолог в автомобилестроении» путем добавления задачи «Выполнение отдельных аудиторских процедур» и прав доступа к приложению «Аудит-Стандарт».One example of a rule for changing a role can be the following set of conditions: an unsuccessful attempt to perform a session with an application or information resource is detected, there is a task for which you must have access rights to the application or information resource, to which an unsuccessful attempt to start a session is detected, the skill level of the user who can perform the task is lower than the maximum skill level of the user who unsuccessfully attempted a session with the application or information resource. When such a set of conditions is met, the
Другим примером правила изменения роли может быть следующий набор условий: задача успешно выполнена пользователем 10 раз, роль предусматривает переход уровней на основе опыта. При выполнение такого набора условий выполняют изменение роли путем изменения прав доступа к информационным ресурсам или приложениям, которые могут понадобиться опытному пользователю для решения поставленных задач. Например, Пользователь 3, обладая ролью «Специалист по технической документации в области информационных технологий», выполняет задачу «Оформление и компоновка технических документов» 4-го уровня квалификации. При выполнении этой задачи он использует приложение «Текстовый редактор» и сетевой ресурс «Черновики технических документов». Задача выполнена 10 раз. Срабатывает правило изменения роли и происходит внесение изменений в роль путем добавления задачи «Создание стандарта технического документа» 5 уровня квалификации и прав доступа к сетевому ресурсу «Стандарты технических документов».Another example of a role change rule might be the following set of conditions: the task is successfully completed by the user 10 times, the role provides for a level transition based on experience. When such a set of conditions is met, the role is changed by changing the access rights to information resources or applications that an experienced user may need to solve the assigned tasks. For example, User 3, having the role of "Technical documentation specialist in the field of information technology", performs the task "Design and layout of technical documents" of the 4th qualification level. In this task, he uses the Text Editor application and the Technical Drafts Network resource. The task was completed 10 times. The rule for changing the role is triggered and changes are made to the role by adding the task "Creating a technical document standard" 5 skill level and access rights to the network resource "Standards of technical documents".
Еще в одном примере правила изменения роли может быть следующий набор условий: наступила дата и время окончания периода времени выполнения задачи. При выполнении такого набора условий средство изменения 140 вносит изменение в роль путем, удаления прав доступа, к приложению или информационному ресурсу, с помощью которого выполняют задачу. Например пользователь 5 обладает ролью «Бухгалтер» и выполняет задачу «Составление и представление бухгалтерской (финансовой) отчетности экономического субъекта» 6-го уровня квалификации при помощи приложения для формирования финансовой отчетности, регламентированный период времени или срока выполнения задачи 8 часов в сутки. По окончанию периода времени выполнения задачи срабатывает правило изменения роли и происходит внесение изменений в роль пользователя 5 «Бухгалтер» путем удаления задачи и прав доступа к приложению для формирования финансовой отчетности. Впоследствии права доступа могут быть снова добавлены, например по истечению периода времени или срока обязательного отдыха.Another example of a role change rule might have the following set of conditions: the date and time of the end of the task execution time period has arrived. When such a set of conditions is met, the
База данных правил 150 предназначена для хранения правил изменения роли. В качестве базы данных правил 150 могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Cronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.The
Фиг. 2 иллюстрирует алгоритм функционирования системы изменения роли пользователя. На этапе 211 средство выявления 120 осуществляет выявление роли пользователя. На этапе 212 средство выявления 120 осуществляет выявление задачи, которую выполнял пользователь, и передает данные о выявленных роли пользователя и задаче, которую выполнил пользователь, средству пересмотра 130. На этапе 213 средство пересмотра 130 выполняет проверку того, является ли роль пользователя актуальной и передает результаты проверки средству изменения 140. При выявлении неактуальной роли на этапе 214 средство изменения 140 вносит изменения в роль пользователя при помощи правил изменения роли. При отсутствии неактуальной роли на этапе 215 система завершает работу.FIG. 2 illustrates the algorithm of functioning of the system for changing the user's role. In
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 shows an example of a general-purpose computer system, a personal computer or
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks,
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information given in the description are examples, which do not limit the scope of the present invention defined by the claims.
Claims (11)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019130603A RU2739870C1 (en) | 2019-09-30 | 2019-09-30 | System and method of changing user role |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2019130603A RU2739870C1 (en) | 2019-09-30 | 2019-09-30 | System and method of changing user role |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2739870C1 true RU2739870C1 (en) | 2020-12-29 |
Family
ID=74106455
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2019130603A RU2739870C1 (en) | 2019-09-30 | 2019-09-30 | System and method of changing user role |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2739870C1 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030154406A1 (en) * | 2002-02-14 | 2003-08-14 | American Management Systems, Inc. | User authentication system and methods thereof |
US20070157205A1 (en) * | 2005-12-29 | 2007-07-05 | Sap Ag | Method and system for reviewing tasks assigned to a user |
US20080104603A1 (en) * | 2006-10-27 | 2008-05-01 | Michael John Branson | Method, apparatus, and computer program product for implementing dynamic authority to tasks on a resource |
RU2355117C2 (en) * | 2002-11-01 | 2009-05-10 | Моторола, Инк. | Digital rights management |
US20140201242A1 (en) * | 2013-01-15 | 2014-07-17 | International Business Machines Corporation | Role based authorization based on product content space |
-
2019
- 2019-09-30 RU RU2019130603A patent/RU2739870C1/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030154406A1 (en) * | 2002-02-14 | 2003-08-14 | American Management Systems, Inc. | User authentication system and methods thereof |
RU2355117C2 (en) * | 2002-11-01 | 2009-05-10 | Моторола, Инк. | Digital rights management |
US20070157205A1 (en) * | 2005-12-29 | 2007-07-05 | Sap Ag | Method and system for reviewing tasks assigned to a user |
US20080104603A1 (en) * | 2006-10-27 | 2008-05-01 | Michael John Branson | Method, apparatus, and computer program product for implementing dynamic authority to tasks on a resource |
US20140201242A1 (en) * | 2013-01-15 | 2014-07-17 | International Business Machines Corporation | Role based authorization based on product content space |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20080147462A1 (en) | Method of managing human resource cases | |
Lund et al. | A guided tour of the CORAS method | |
Snyman | Knowledge management framework for the development of an effective knowledge management strategy | |
Herzig et al. | Implementing information security in healthcare: Building a security program | |
Guo et al. | Çorba: Crowdsourcing to obtain requirements from regulations and breaches | |
Kaarst-Brown et al. | Cracks in the security foundation: employee judgments about information sensitivity | |
Valcik et al. | Human Resources Information Systems | |
RU2739870C1 (en) | System and method of changing user role | |
Hafner et al. | User-focused threat identification for anonymised microdata | |
Harrell | Factors impacting information security noncompliance when completing job tasks | |
Omoyiola et al. | Strategies For Implementing Cybersecurity Policies in Organizations (A Case Study of West African Organizations) | |
Bunke | Security-Pattern Recognition and Validation | |
Young et al. | When Programs Collide: A Panel Report on the Competing Interests of Analytics and Security | |
Musembe | E-records security management at Moi University, Kenya. | |
Hanisch et al. | NIST Research Data Framework (RDaF) | |
Hafner et al. | User-centred threat identification for anonymized microdata | |
Høiland | " Not My Responsibility!"-A Comparative Case Study of Organizational Cybersecurity Subcultures | |
Mawel | Exploring the Strategic Cybersecurity Defense Information Technology Managers Can Implement to Reduce Healthcare Data Breaches | |
Isley | Algorithmic Bias and Its Implications: How to Maintain Ethics through AI Governance | |
Nalumansi | Information communications technology and academic records management at Kyambogo University | |
Paakki | An Exploration of the Strategies Information Assurance Technologists Need to Improve Information Security Practices in an School District | |
Eppley | Critical Success Factors for Digital Forensic Investigations in Cloud Computing: An Exploratory Multiple-case Study | |
Santangelo | Rise of the machines | |
McEvoy et al. | Beyond Training and Awareness: From Security Culture to Security Risk Management. | |
Mathisen et al. | Security of Big Data in Healthcare Systems |