RU2739870C1

RU2739870C1 - System and method of changing user role

Info

Publication number: RU2739870C1
Application number: RU2019130603A
Authority: RU
Inventors: Кирилл Леонидович Бондарев; Андрей Владимирович Казачков; Максим Борисович Петров; Дамир Рафекович Шияфетдинов; Николай Сергеевич Хрол
Original assignee: Акционерное общество "Лаборатория Касперского"
Priority date: 2019-09-30
Filing date: 2019-09-30
Publication date: 2020-12-29

Abstract

FIELD: information security.SUBSTANCE: invention relates to systems and methods of managing user roles. Technical result is achieved by revealing user role; detecting task performed by user with identified role; checking the relevance of the detected user role by at least: detecting a new task performed by the user, having the detected role, detecting a task performed by a user, having a detected role, which requires execution of another task, detection of a task performed by the user, having a detected role, with violation of the task execution time; if observing an irrelevant role using rules, changing the role of making a change to the detected role of the user.EFFECT: technical result is to protect information security by maintaining the relevance of the user role by identifying an irrelevant role and changing it.4 cl, 3 dwg, 2 tbl

Description

Область техникиTechnology area

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления ролями пользователей.The invention relates to the field of information security, and more specifically to systems and methods for managing user roles.

Уровень техникиState of the art

Количество компаний и разнообразие направлений их деятельности продолжает непрерывно расти. Частота изменений целей и задач, которые компании ставят перед своими работниками, постепенно возрастает. Процесс создания и утверждения должностных обязанностей работников не всегда предусматривает возможность их изменения в соответствии с обновляемыми целями компании.The number of companies and the variety of their activities continues to grow continuously. The frequency of changes in the goals and objectives that companies set for their employees is gradually increasing. The process of creating and approving job descriptions for employees does not always provide for the possibility of changing them in accordance with the company's updated goals.

В общем случае роль работника определяют исходя из его должностных обязанностей и трудовых функций, трудовых действий. Для использования системы ролевого разграничения доступа (англ. Role Based Access Control, RBAC) адаптируют роль работника к роли пользователя. Роль пользователя - это набор прав доступа к приложениям и информационным ресурсам компании, с помощью которого работник выполняет трудовые действия и решает задачи, в соответствии с занимаемой должностью.In the general case, the role of the employee is determined based on his job duties and labor functions, labor actions. To use the Role Based Access Control (RBAC) system, the employee's role is adapted to the user's role. A user role is a set of access rights to applications and information resources of a company, with the help of which an employee performs labor actions and solves tasks in accordance with the position held.

Отсутствие возможности своевременно по необходимости модифицировать роли пользователей может нести угрозу информационной безопасности компании. Возникают ситуации, когда пользователю для выполнения задачи необходим доступ к приложению, сервису или информационному ресурсу, который изначально не предусмотрен ролью пользователя. В то же время, возникают ситуации, когда пользователь, из личных или корыстных целей, а возможно и по ошибке, требует доступ к приложению или информационному ресурсу, который не предусмотрен ролью. С одной стороны, возникает проблема определения правомерности предоставляемого доступа, с другой стороны несвоевременное внесение изменений в роль может критически замедлить решение важной задачи.Failure to timely modify user roles, if necessary, may pose a threat to the company's information security. Situations arise when a user needs access to an application, service, or information resource to complete a task that is not initially provided for by the user's role. At the same time, situations arise when the user, for personal or selfish purposes, and possibly by mistake, requires access to an application or information resource that is not provided for by the role. On the one hand, there is a problem of determining the legality of the access provided, on the other hand, untimely changes to the role can critically slow down the solution of an important task.

В настоящее время существуют решения, предназначенные для изменения роли пользователя. В публикации US 9621585 B1 описана система, в которой динамически выявляют необходимость изменения роли пользователя, например, при изменении обращений пользователя к конфиденциальным данным. В соответствии с изменениями предусмотрено создание новых политик безопасности и ролей.Currently, there are solutions designed to change the user's role. Publication US 9621585 B1 describes a system in which the need to change the user's role is dynamically detected, for example, when the user's access to confidential data changes. In accordance with the changes, the creation of new security policies and roles is envisaged.

Хотя описанный выше способ работы успешно справляется с задачей изменения роли, но он зачастую не выявляет условий, при которых необходимо вносить изменения в роль. Настоящее изобретение позволяет эффективно решать эту задачу.While the above method of operation does a good job of changing a role, it often fails to identify the conditions under which a role change needs to be made. The present invention can effectively solve this problem.

Раскрытие изобретенияDisclosure of invention

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления ролями пользователей. Изобретение предназначено для изменения роли пользователя. Технический результат настоящего изобретения заключается в обеспечении защиты информационной безопасности путем поддержания актуальности роли пользователя за счет выявления неактуальной роли и ее изменения.The invention relates to the field of information security, and more specifically to systems and methods for managing user roles. The invention is intended to change the role of the user. The technical result of the present invention is to ensure the protection of information security by maintaining the relevance of the user's role by identifying the irrelevant role and changing it.

В одном из вариантов реализации предоставляется система изменения роли пользователя, при этом упомянутая система содержит: средство выявления, предназначенное для: выявления роли пользователя, выявления задачи, которую выполнял пользователь, обладая выявленной ролью, передачи данных о выявленных роли пользователя и задаче, которую выполнял пользователь, обладая выявленной ролью, средству пересмотра; средство пересмотра, предназначенное для выполнения проверки актуальности выявленной роли пользователя путем по меньшей мере выявления новой задачи, которую выполнял пользователь, обладая выявленной ролью, для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи, для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи, передачи результатов проверки средству изменения; средство изменения, предназначенное для внесения изменений в выявленную роль пользователя при помощи правил изменения роли при выявлении неактуальной роли; базу данных правил, предназначенную для хранения правил изменения роли.In one embodiment, a system for changing the user's role is provided, wherein said system comprises: a detection tool designed to: identify the user's role, identify the task that the user performed with the identified role, transfer data about the identified user role and the task that the user performed , having a revealed role, a means of review; revision tool designed to check the relevance of the identified user role by at least identifying a new task performed by the user with the identified role, to identify the task performed by the user with the identified role that requires another task to be performed, to identify the task that performed by the user, having the identified role, in violation of the deadline for completing the task, transferring the scan results to the change tool; a change tool for making changes to the identified user role using role change rules when an irrelevant role is detected; a rules database for storing rules for changing a role.

В другом варианте реализации под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.In another implementation, the role change rules are understood as a set of conditions, upon fulfillment of which, changes are made to the user's role.

Еще в одном варианте реализации используют базу данных задач и ролей пользователей для хранения по меньшей мере данных об имени работника, задаче и уровне ее классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.In yet another implementation, a database of tasks and user roles is used to store at least data about the name of the employee, the task and the level of its classification, the time period for the task, access rights corresponding to the task, the type of reporting and the user's role.

В другом варианте реализации внесение изменений в роль выполняют путем изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.In another implementation, changes to the role are performed by changing the task, the time period for the task, the access rights associated with the task.

В одном из вариантов реализации предоставляется способ изменения роли пользователя, содержащий этапы, которые реализуются с помощью средств из упомянутой системы и на которых выявляют роль пользователя; выявляют задачу, которую выполнял пользователь, обладая выявленной ролью; выполняют проверку актуальности выявленной роли пользователя путем по меньшей мере выявление новой задачи, которую выполнял пользователь, обладая выявленной ролью, выявление задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи, выявление задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи; при выявлении неактуальной роли при помощи правил изменения роли вносят изменение в выявленную роль пользователя.In one embodiment, a method for changing the role of a user is provided, comprising the steps that are implemented using means from said system and in which the role of the user is identified; identify the task performed by the user with the identified role; check the relevance of the identified user role by at least identifying a new task that the user performed with the identified role, identifying the task that the user performed while having the identified role that requires another task to be performed, identifying the task that the user performed while having the identified role, in violation of the deadline for the task; when an irrelevant role is identified using the rules, role changes make a change to the identified user role.

В другом варианте реализации способа под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.In another embodiment of the method, the role change rules are understood as a set of conditions, upon fulfillment of which, changes are made to the user's role.

Еще в одном варианте реализации способа хранят по меньшей мере данные об имени работника, задаче и уровне ее классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.In another embodiment of the method, at least data about the name of the employee, the task and the level of its classification, the time period for the task execution, the access rights corresponding to the task, the type of reporting and the user's role are stored.

В другом варианте реализации способа внесение изменений в роль выполняют путем изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.In another embodiment of the method, changes to the role are performed by changing the task, the time period for the task execution, and access rights corresponding to the task.

Краткое описание чертежейBrief Description of Drawings

Фиг. 1 иллюстрирует структуру системы изменения роли.FIG. 1 illustrates the structure of a role change system.

Фиг. 2 иллюстрирует алгоритм системы изменения роли.FIG. 2 illustrates the algorithm of the role change system.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.FIG. 3 is an example of a general purpose computer system, personal computer or server.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may take various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to a specific embodiment. On the contrary, the purpose of the description is to cover all changes, modifications falling within the scope of this invention, as defined by the appended claims.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.Objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The essence recited in the description is nothing more than the specific details necessary to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined within the scope of the appended claims.

Информационный ресурс - совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определенной информационной системой (Постановление Правительства Москвы от 14.06.2005 N 439-ПП). Например, информационным ресурсом может быть веб-сайт или веб-приложение.Information resource - a set of individual documents, arrays of documents, usually structured in databases and used by a specific information system (Decree of the Moscow Government dated June 14, 2005 N 439-PP). For example, an information resource can be a website or web application.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации").Information system is a set of information contained in databases and information technologies and technical means that ensure its processing (Federal Law of July 27, 2006 N 149-FZ (as amended on July 19, 2018) "On information, information technology and information protection").

Информационная система, для использования которой необходимо наличие учетной записи - информационная система, которая позволяет использовать функции информационной системы только после регистрации и авторизации с использованием учетной записи.An information system that requires an account to be used is an information system that allows you to use the functions of the information system only after registration and authorization using an account.

Учетная запись - совокупность данных о пользователе, необходимая для его аутентификации и предоставления доступа к его личным данным и настройкам (ГОСТ Р 57429-2017).Account - a collection of data about a user, necessary for his authentication and providing access to his personal data and settings (GOST R 57429-2017).

Трудовая функция - работа по должности в соответствии со штатным расписанием, профессии, специальности с указанием квалификации; конкретный вид поручаемой работнику работы. Трудовая функция выражается через работу, то есть определенные действия, которые должен осуществлять работник (взаимодействие с оборудованием, инструментами, умственные операции, творческие действия и т.д.) и определяется названием должности, профессии, специальности (сварщик, юрисконсульт, маркетолог-аналитик, озеленитель), качественная характеристика трудовой функции - способность работника выполнять обязанности определенного уровня сложности, с определенной скоростью и качеством результата (Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 01.04.2019).Labor function - work according to the position in accordance with the staffing table, profession, specialty, indicating qualifications; the specific type of work assigned to the employee. The labor function is expressed through work, that is, certain actions that the employee must carry out (interaction with equipment, tools, mental operations, creative actions, etc.) and is determined by the name of the position, profession, specialty (welder, legal adviser, marketing analyst, greener), the qualitative characteristic of the labor function is the ability of the employee to perform duties of a certain level of complexity, with a certain speed and quality of the result (Labor Code of the Russian Federation "of 12/30/2001 N 197-FZ (as amended on 04/01/2019).

Трудовые действия - это процесс взаимодействия работника с предметом труда, при котором достигается определенная задача (Методические рекомендации по разработке профессионального стандарта, утвержденных Приказом Минтруда России от 29.04.2013 N 170н).Labor actions are the process of interaction between the employee and the subject of labor, in which a certain task is achieved (Guidelines for the development of a professional standard, approved by Order of the Ministry of Labor of Russia dated 04.29.2013 N 170n).

Уровень квалификации - требования к умениям, знаниям, уровню квалификации в зависимости от полномочий и ответственности работника. Применяются при разработке профессиональных стандартов для описания трудовых функций, требований к образованию и обучению работников. Единые требования к квалификации работников, установленные Уровнями квалификации, могут быть расширены и уточнены с учетом специфики видов профессиональной деятельности (Приказ Минтруда России от 12.04.2013 N 148н "Об утверждении уровней квалификации в целях разработки проектов профессиональных стандартов"). Достижения уровня квалификации от 1 до 4 обычно предусматривает ряд практических действий и прохождение внутреннего обучения. Уровни квалификации от 4 и выше могут потребовать дополнительного образования, развития более сложных навыков, фундаментальных знаний и опыта.Qualification level - requirements for skills, knowledge, qualification level, depending on the authority and responsibility of the employee. They are used in the development of professional standards to describe labor functions, education and training requirements for employees. The uniform requirements for the qualifications of employees, established by the Qualification Levels, can be expanded and clarified taking into account the specifics of the types of professional activities (Order of the Ministry of Labor of Russia of 12.04.2013 N 148n "On the approval of qualification levels in order to develop draft professional standards"). Achieving a skill level of 1 to 4 usually involves a series of hands-on activities and internal training. Skill levels 4 and above may require additional education, development of more complex skills, fundamental knowledge and experience.

Труд - общественно-необходимая деятельность человека, требующая усилий в достижении определенных целей, результатов.Labor is a socially necessary human activity that requires efforts to achieve certain goals and results.

Задача - единица труда, которая предполагает выполнение трудовых действий. (Носкова О.Г. Психология труда: Учеб. пособие для студ. высш. учеб. заведений / Под ред. Е.А. Климова. - М.: Издательский центр «Академия», 2004. - 384 с.)A task is a unit of labor that involves the performance of labor actions. (Noskova OG Labor Psychology: Textbook for students of higher educational institutions / Edited by EA Klimov. - M .: Publishing Center "Academy", 2004. - 384 p.)

Право доступа (англ. access right, access permission) - право, предоставленное пользователю на санкционированное использование определенных программ и данных, хранящихся в вычислительной системе. Правила, определяющие, какие пользователи или процессы и каким образом могут получать доступ к объекту (каталогу, файлу, принтеру и т.п.) (Дорот В.Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. - 3-е изд., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.)The right of access (English access right, access permission) - the right granted to the user for the authorized use of certain programs and data stored in the computer system. The rules that determine which users or processes and how can get access to the object (directory, file, printer, etc.) (Dorot V.L., Novikov F.A.Explanatory dictionary of modern computer lexicon. - 3rd ed., revised and supplemented - SPb .: BHV-Petersburg, 2004 .-- 608 p.)

Ролевое разграничение доступа (RBAC) - развитие политики дискреционного разграничения доступа, где права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.Role-based access control (RBAC) is the development of a policy of discretionary access control, where the access rights of system subjects to objects are grouped taking into account the specifics of their application, forming roles.

Роль - совокупность прав доступа на объекты компьютерной системы. Правила ролевого разграничения доступа определяют порядок предоставления прав доступа субъектам (пользователям) компьютерной системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени. (Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений - М.: Издательский центр «Академия», 2005. - 144 с.)Role - a set of access rights to objects of a computer system. The rules of role-based access control determine the procedure for granting access rights to subjects (users) of a computer system, depending on the session of its work and on the roles it has or does not have at any given time. (Devyanin PN Security models of computer systems: Textbook for students of higher educational institutions - M .: Publishing center "Academy", 2005. - 144 p.)

Сеанс (англ. session) - время, в течение которого пользователю выделены ресурсы вычислительной системы (от момента входа в систему до момента выхода из нее). Время, в течение которого существует соединение между приложениями, компьютерами или узлами сети. (Дорот В.Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. - 3-е изд., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.)Session is the time during which the computer system resources are allocated to the user (from the moment of logging in to the moment of logging out). The time during which a connection exists between applications, computers, or network nodes. (Dorot V.L., Novikov F.A.Explanatory Dictionary of Modern Computer Vocabulary. - 3rd ed., Revised and enlarged - SPb .: BHV-Petersburg, 2004. - 608 p.)

Задача - выполнение трудовых действий при помощи приложений или информационных ресурсов, к которым предоставлен доступ в соответствии с ролью, для достижения целей, поставленных работодателем.The task is to perform labor activities using applications or information resources that are provided with access in accordance with the role, in order to achieve the goals set by the employer.

Актуальность роли пользователя - такое состояние роли, при котором пользователь, в рамках текущих прав доступа может беспрепятственно выполнять поставленные задачи.The relevance of the user's role is such a state of the role in which the user, within the framework of the current access rights, can freely perform the assigned tasks.

Каждому работнику в компании установлены должностные обязанности. Описание должностных обязанностей может содержать перечень задач, которые доступны для выполнения работником. Исходя из перечня задач, которые доступны для выполнения работником, администратор формирует права доступа к информационным ресурсам и приложениям компании - формирует роль пользователя. Таким образом работнику соответствует роль пользователя. Возникают ситуации, когда пользователь в связи с изменением или дополнением своих трудовых функций в силу различных причин не может выполнять трудовые действия и задачи в рамках прав доступа, предоставляемых его ролью. В одном из случаев, причиной этому может быть неактуальное состояние роли. В этом случае следует привести роль в актуальное состояние без ущерба информационной безопасности компании. Для этого используют систему изменения роли пользователя.Each employee in the company has a job description. The job description may contain a list of tasks that are available for the employee to perform. Based on the list of tasks that are available for the employee to perform, the administrator forms the access rights to information resources and applications of the company - forms the user's role. Thus, the employee corresponds to the user's role. Situations arise when the user, due to a change or addition to his labor functions, for various reasons, cannot perform labor actions and tasks within the framework of the access rights provided by his role. In one case, the reason for this may be an irrelevant state of the role. In this case, the role should be brought up to date without compromising the information security of the company. For this, a system for changing the user's role is used.

Фиг 1. иллюстрирует структуру системы изменения роли пользователя, которая включает в себя базу данных задач и ролей пользователей 110 средство выявления 120, средство пересмотра 130, средство изменения 140, базу данных правил 150.Fig. 1 illustrates the structure of a system for changing a user's role, which includes a database of tasks and user roles 110, an identifier 120, a reviewer 130, a modification tool 140, a rule database 150.

База данных задач и ролей пользователей 110 предназначена для хранения перечня задач каждого пользователя. В таблице 1 представлена структура базы данных задач и ролей пользователей 110 с примерами.The database of tasks and user roles 110 is designed to store a list of tasks for each user. Table 1 shows the structure of the database tasks and user roles 110 with examples.

Средство выявления 120 предназначено для выявления роли пользователя. Роль пользователя может быть выявлена путем определения успешной авторизации пользователя и анализа данных о существующей роли пользователя в информационной системе компании. Данные о ролях пользователей могут быть выбраны из базы данных задач и ролей пользователей 110, например, реализованной при помощи службы каталогов (англ. Active Directory).The identifier 120 is for identifying a user's role. The user's role can be identified by determining the successful authorization of the user and analyzing the data on the user's existing role in the company's information system. User role data can be fetched from a database of tasks and user roles 110, for example implemented using a directory service (Active Directory).

Помимо этого, средство выявления 120 предназначено для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, и передачи данных о выявленных роли пользователя и задаче, которую выполнял пользователь, обладая выявленной ролью, средству пересмотра 130.In addition, the identifier 120 is designed to identify the task performed by the user with the identified role, and communicate the identified user role and the task performed by the user with the identified role to the reviewer 130.

Выявление задачи, которую выполнял пользователь, может быть осуществлено путем выявления и анализа событий (например, из журнала событий операционной системы или приложения) и параметров сеанса работы пользователя с приложением или информационным ресурсом. Например, для ОС Microsoft Windows выявление и анализ данных, с которыми работал пользователь, и событий EventID 4688 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4688) и 4689 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4689) позволяет определить время начала и окончания сеанса работы с приложением. Основными параметрами сеанса можно выделить время начала работы с приложением или информационным ресурсом, время окончания работы с приложением или информационным ресурсом, функции приложения или информационного ресурса, которые были использованы во время выполнения задачи, файлы, которые созданы или модифицированы во время выполнения задачи, запросы к сетевым ресурсам, данные с устройств ввода. Одному приложению или информационному ресурсу может соответствовать несколько задач, которые может выполнять пользователь. В то же время для выполнения одной задачи может требоваться доступ к нескольким приложениям или информационным ресурсам.The identification of the task that the user performed can be performed by identifying and analyzing events (for example, from the event log of the operating system or application) and parameters of the user's session with the application or information resource. For example, for Microsoft Windows, identifying and analyzing the data with which the user worked and EventID 4688 events (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4688) and 4689 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4689) allows you to determine the start and end time of an application session. The main parameters of the session are the start time of work with the application or information resource, the time of the end of work with the application or information resource, the functions of the application or information resource that were used during the execution of the task, files that were created or modified during the execution of the task, requests to network resources, data from input devices. One application or information resource can correspond to several tasks that a user can perform. At the same time, one task may require access to multiple applications or information resources.

В таблице 2 в качестве примера описана выборка журнала событий, которые зафиксированы в ходе повседневной работы пользователя при выполнении одной из задач.Table 2, as an example, describes a selection of the event log that were recorded in the course of the user's daily work while performing one of the tasks.

Анализ данных из таблицы 1 и данных из таблицы 2 позволяет выявить задачу, которую выполнял пользователь, а именно: пользователь Пётр Петров, обладая ролью «Младший сотрудник отдела кадров», выполнил задачу «Формирование ежемесячного отчета о посещении сотрудников».Analysis of the data from Table 1 and the data from Table 2 allows us to identify the task that the user performed, namely: the user Peter Petrov, having the role of “Junior Human Resources Officer,” completed the task “Generation of a monthly report on employee visits”.

В частном варианте реализации один пользователь может обладать несколькими ролями. В соответствии с каждой ролью может быть сформирован отдельный перечень задач, который может выполнять пользователь, обладая этой ролью. Помимо этого, администратор для отдельных пользователей может вручную предоставить права доступа вне обладаемой роли. Например, в таблице 1 любому пользователю, который обладает ролью «Аналитик», добавлены права доступа для использования приложения по управлению проектной документацией. По аналогии администратор может добавить права доступа лично пользователю независимо от его роли.In a private implementation, one user can have multiple roles. In accordance with each role, a separate list of tasks can be formed that can be performed by a user with this role. In addition, the administrator for individual users can manually grant access rights outside the possessed role. For example, in Table 1, any user with the Analyst role has been added access rights to use the project management application. By analogy, the administrator can add access rights to the user personally, regardless of his role.

Средство пересмотра 130 предназначено для выполнения проверки актуальности выявленной роли пользователя и передачи результатов проверки средству изменения 140.The reviser 130 is designed to perform a validation check on the relevance of the identified user role and communicate the results of the check to the change tool 140.

В одном из вариантов реализации проверка актуальности роли пользователя может быть выполнена путем поиска и выявления новой задачи, которую пробует выполнить пользователь. Новая задача может быть определена в случае, когда пользователь не может получить доступ к информационному ресурсу, приложению или его отдельной функции. Например, зафиксировано время попытки получить доступ и последующий отказ в доступе. Например, пользователь с ролью помощника бухгалтера, который прошел испытательный срок, выполняя задачу подготовить отчет по архивным данным, осуществляет попытку получения доступа к информационному ресурсу компании, предназначенному для просмотра архивных данных бухгалтерии. В этом случае имеет место ситуация, когда выявлена новая задача, которую начал выполнять пользователь, обладая текущей ролью, не имеет возможности выполнить, а его роль является неактуальной. Требуется внесение изменений в роль.In one implementation, checking the relevance of a user's role may be performed by searching for and identifying a new task that the user is trying to perform. A new task can be defined in the case when the user cannot access an information resource, application, or its separate function. For example, the time of the attempt to gain access and the subsequent denial of access are recorded. For example, a user with the role of an assistant accountant who has passed the probationary period, completing the task of preparing a report on archived data, attempts to gain access to the company's information resource designed to view archived accounting data. In this case, a situation occurs when a new task is identified that the user has begun to perform, having the current role, is unable to perform, and his role is irrelevant. Role changes required.

В другом варианте проверка актуальности роли пользователя может быть выполнена путем учета опыта пользователя. Если должностные функции предусматривают расширение в зависимости от накопленного работником опыта, то могут быть определены этапы накопления опыта. Определение этапов может быть выполнено путем учета количества выполненных однотипных задач, совокупности разноплановых задач, последовательности выполнения задач. Например, работник в должности специалиста по управлению персоналом согласно профессиональному стандарту может выполнять задачи «Ведение организационной и распорядительной документации по персоналу» 5-го уровня квалификации и «Организация и проведение оценки персонала» 6-го уровня квалификации (Министерство труда и социальной защиты РФ, ПРИКАЗ от 6 октября 2015 г. N 691н ОБ УТВЕРЖДЕНИИ ПРОФЕССИОНАЛЬНОГО СТАНДАРТА «СПЕЦИАЛИСТ ПО УПРАВЛЕНИЮ ПЕРСОНАЛОМ». Для перехода между 5-ым и 6-ым уровнями квалификации в компании может быть предусмотрено обязательное выполнение 10 задач «Ведение организационной и распорядительной документации по персоналу» 5-го уровня. В противном случае выполнение задачи «Организация и проведение оценки персонала» 6-го уровня должно быть невозможным. Таким образом роль может содержать права доступа к приложению или информационному ресурсу для выполнения только задачи только 5-го уровня квалификации. После того, как пользователь выполнит 10 задач 5-го уровня может возникнуть ситуация, когда пользователь, обладая текущей ролью, не может выполнить задачу 6-го уровня квалификации. В этом случае возникает ситуация, когда выявлена задача, которую выполнял пользователь, обладая текущей ролью, которая требует выполнения другой задачи, а роль пользователя является неактуальной. Требуется внесение изменений в роль.Alternatively, checking the relevance of the user's role can be performed by considering the user's experience. If job functions provide for expansion depending on the experience accumulated by the employee, then the stages of accumulation of experience can be determined. Determination of stages can be performed by taking into account the number of completed tasks of the same type, a set of diverse tasks, sequence of tasks. For example, an employee in the position of a specialist in personnel management according to the professional standard can perform the tasks "Maintaining organizational and administrative documentation for personnel" of the 5th qualification level and "Organization and conduct of personnel assessment" of the 6th qualification level (Ministry of Labor and Social Protection of the Russian Federation, ORDER of October 6, 2015 N 691n ON APPROVAL OF THE PROFESSIONAL STANDARD "SPECIALIST IN PERSONNEL MANAGEMENT." Level 5. Otherwise, it should be impossible to perform the task "Organizing and conducting personnel assessment" level 6. Thus, the role may contain access rights to the application or information resource to perform only the task of skill level 5 only. how the user will complete 10 tasks of the 5th level can There is no situation where the user, having the current role, cannot complete the task of the 6th skill level. In this case, a situation arises when a task has been identified that was performed by a user with a current role that requires another task to be performed, and the user's role is irrelevant. Role changes required.

Еще в одном варианте реализации проверка актуальности роли пользователя может быть выполнена путем выявления нарушений плана управления временем компании, составленного, например, на основе баланса рабочего времени или правил тайм-менеджмента. В ходе анализа задачи, которую выполнял пользователь, возможно обнаружение задачи, которую пользователь не должен выполнять в течение определенного периода времени. Например, по причине заранее утвержденного норматива или злоупотребления ненормированным рабочим графиком. В этом случае возникает ситуация, когда выявлена задача, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи, а роль пользователя является неактуальной. Требуется внесение изменений в роль.In yet another implementation, checking the relevance of the user's role can be performed by detecting violations of the company's time management plan, drawn up, for example, based on the balance of working hours or time management rules. During the analysis of the task that the user performed, it is possible that a task that the user should not perform for a certain period of time may be detected. For example, due to a pre-approved standard or abuse of irregular working hours. In this case, a situation arises when a task is identified that was performed by a user, having the identified role, with a violation of the task deadline, and the user's role is irrelevant. Role changes required.

Средство изменения 140 предназначено для внесения изменений в текущую роль пользователя при помощи правил изменения роли из базы данных правил 150 при выявлении неактуальной роли.The change tool 140 is designed to make changes to the user's current role using the role change rules from the rule database 150 when an outdated role is detected.

Правила изменения роли - набор условий, при выполнении которого, средство изменения 150 вносит изменения в роль пользователя.Role change rules are a set of conditions upon which the change tool 150 modifies a user's role.

Одним из примеров правила изменения роли может быть следующий набор условий: выявлена безуспешная попытка осуществить сеанс работы с приложением или информационным ресурсом, существует задача, для выполнения которой, необходимо иметь права доступа к приложению или информационному ресурсу, к которому выявлена безуспешная попытка начать сеанс работы, уровень квалификации пользователя, который может выполнять задачу, ниже, чем максимальный уровень квалификации пользователя, который безуспешно попытался осуществить сеанс работы с приложением или информационным ресурсом. При выполнении такого набора условий средство изменения 140 вносит изменение в роль путем добавления обнаруженной задачи к перечню задач, которые может выполнять пользователь и изменения в права доступа для работы с приложением, с помощью которого пользователь может выполнить обнаруженную задачу. Например, пользователь 1, обладает ролью «Химик-технолог в автомобилестроении» и согласно должностным обязанностям может выполнять задачу «Формирование политики в области системы менеджмента качества» 6-го уровня квалификации. В ходе выполнения задачи, пользователь 1 понимает, что процесс подготовки детали 1 требует более детального внутреннего аудита. Пользователь 1 принимает решение самостоятельно выполнить эту задачу и осуществляет запуск приложение «Аудит-Стандарт». Запуск безуспешен, поскольку среди задач, которые может выполнять пользователь с ролью «Химик-технолог в автомобилестроении» таких задач нет. Существует задача «Выполнение отдельных аудиторских процедур», для выполнения которой разрешено использование приложения «Аудит-Стандарт». Такую задачу может выполнять пользователь с ролью «Аудитор» 4-го уровня квалификации. Срабатывает правило изменения роли и происходит внесение изменений в роль «Химик-технолог в автомобилестроении» путем добавления задачи «Выполнение отдельных аудиторских процедур» и прав доступа к приложению «Аудит-Стандарт».One example of a rule for changing a role can be the following set of conditions: an unsuccessful attempt to perform a session with an application or information resource is detected, there is a task for which you must have access rights to the application or information resource, to which an unsuccessful attempt to start a session is detected, the skill level of the user who can perform the task is lower than the maximum skill level of the user who unsuccessfully attempted a session with the application or information resource. When such a set of conditions is met, the modifier 140 modifies the role by adding the detected task to the list of tasks that the user can perform and changing the access rights for the application with which the user can perform the detected task. For example, user 1 has the role of “Chemical technologist in the automotive industry” and, according to his job responsibilities, can perform the task “Formation of policy in the field of quality management system” of the 6th qualification level. In the course of the task, user 1 realizes that the process of preparing part 1 requires a more detailed internal audit. User 1 decides to independently perform this task and launches the "Audit-Standard" application. The launch was unsuccessful because there are no such tasks among the tasks that can be performed by a user with the role of "Chemical Technologist in Automotive". There is a task "Performing individual audit procedures", for which the use of the "Audit-Standard" application is allowed. This task can be performed by a user with the role "Auditor" of the 4th skill level. The rule for changing the role is triggered and changes are made to the role of “Chemist-technologist in the automotive industry” by adding the task “Performing individual audit procedures” and access rights to the “Audit-Standard” application.

Другим примером правила изменения роли может быть следующий набор условий: задача успешно выполнена пользователем 10 раз, роль предусматривает переход уровней на основе опыта. При выполнение такого набора условий выполняют изменение роли путем изменения прав доступа к информационным ресурсам или приложениям, которые могут понадобиться опытному пользователю для решения поставленных задач. Например, Пользователь 3, обладая ролью «Специалист по технической документации в области информационных технологий», выполняет задачу «Оформление и компоновка технических документов» 4-го уровня квалификации. При выполнении этой задачи он использует приложение «Текстовый редактор» и сетевой ресурс «Черновики технических документов». Задача выполнена 10 раз. Срабатывает правило изменения роли и происходит внесение изменений в роль путем добавления задачи «Создание стандарта технического документа» 5 уровня квалификации и прав доступа к сетевому ресурсу «Стандарты технических документов».Another example of a role change rule might be the following set of conditions: the task is successfully completed by the user 10 times, the role provides for a level transition based on experience. When such a set of conditions is met, the role is changed by changing the access rights to information resources or applications that an experienced user may need to solve the assigned tasks. For example, User 3, having the role of "Technical documentation specialist in the field of information technology", performs the task "Design and layout of technical documents" of the 4th qualification level. In this task, he uses the Text Editor application and the Technical Drafts Network resource. The task was completed 10 times. The rule for changing the role is triggered and changes are made to the role by adding the task "Creating a technical document standard" 5 skill level and access rights to the network resource "Standards of technical documents".

Еще в одном примере правила изменения роли может быть следующий набор условий: наступила дата и время окончания периода времени выполнения задачи. При выполнении такого набора условий средство изменения 140 вносит изменение в роль путем, удаления прав доступа, к приложению или информационному ресурсу, с помощью которого выполняют задачу. Например пользователь 5 обладает ролью «Бухгалтер» и выполняет задачу «Составление и представление бухгалтерской (финансовой) отчетности экономического субъекта» 6-го уровня квалификации при помощи приложения для формирования финансовой отчетности, регламентированный период времени или срока выполнения задачи 8 часов в сутки. По окончанию периода времени выполнения задачи срабатывает правило изменения роли и происходит внесение изменений в роль пользователя 5 «Бухгалтер» путем удаления задачи и прав доступа к приложению для формирования финансовой отчетности. Впоследствии права доступа могут быть снова добавлены, например по истечению периода времени или срока обязательного отдыха.Another example of a role change rule might have the following set of conditions: the date and time of the end of the task execution time period has arrived. When such a set of conditions is met, the modifier 140 modifies the role by removing access rights to the application or information resource with which the task is performed. For example, user 5 has the role of "Accountant" and performs the task "Drawing up and submitting accounting (financial) statements of an economic entity" of the 6th level of qualification using an application for generating financial statements, a regulated period of time or deadline for completing the task is 8 hours a day. At the end of the task execution time period, the rule for changing the role is triggered and changes are made to the role of user 5 "Accountant" by deleting the task and the access rights to the application for generating financial statements. Subsequently, the access rights can be added again, for example after the expiration of a period of time or a mandatory rest period.

База данных правил 150 предназначена для хранения правил изменения роли. В качестве базы данных правил 150 могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Cronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.The rules database 150 is designed to store the rules for changing the role. As a database of rules 150, various types of databases can be used, namely: hierarchical (IMS, TDMS, System 2000), network (Cerebrum, Cronospro, DBVist), relational (DB2, Informix, Microsoft SQL Server), object-oriented (Jasmine, Versant, POET), object-relational (Oracle Database, PostgreSQL, FirstSQL / J, functional, etc. Rules can be created using machine learning algorithms and automated processing of large data sets.

Фиг. 2 иллюстрирует алгоритм функционирования системы изменения роли пользователя. На этапе 211 средство выявления 120 осуществляет выявление роли пользователя. На этапе 212 средство выявления 120 осуществляет выявление задачи, которую выполнял пользователь, и передает данные о выявленных роли пользователя и задаче, которую выполнил пользователь, средству пересмотра 130. На этапе 213 средство пересмотра 130 выполняет проверку того, является ли роль пользователя актуальной и передает результаты проверки средству изменения 140. При выявлении неактуальной роли на этапе 214 средство изменения 140 вносит изменения в роль пользователя при помощи правил изменения роли. При отсутствии неактуальной роли на этапе 215 система завершает работу.FIG. 2 illustrates the algorithm of functioning of the system for changing the user's role. In step 211, the identifier 120 performs a role determination of the user. In step 212, the identifier 120 identifies the task that the user performed and transmits the identified user role and the task that the user performed to the reviewer 130. In step 213, the reviewer 130 checks if the user's role is current and reports the results checker 140. When an irrelevant role is identified at block 214, the change tool 140 makes changes to the user's role using role change rules. If there is no irrelevant role at block 215, the system shuts down.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 3 shows an example of a general-purpose computer system, a personal computer or server 20, comprising a central processing unit 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processing unit 21. The system bus 23 is implemented as any bus structure known from the prior art, containing in turn a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interfacing with any other bus architecture. System memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains basic procedures that transfer information between the elements of the personal computer 20, for example, at the time of loading the operating room systems using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31, such as CD-ROM, DVD -ROM and other optical media. The hard disk 27, the magnetic disk drive 28, and the optical drive 30 are connected to the system bus 23 via the hard disk interface 32, the magnetic disk interface 33, and the optical drive interface 34, respectively. Drives and corresponding computer storage media are non-volatile storage media for computer instructions, data structures, program modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media 56 can be used that are capable of storing data in a computer readable form (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36, where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38 and program data 39. The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40, manipulator " mouse "42). Other input devices can be used (not shown): microphone, joystick, game console, scanner, etc. Such input devices are conventionally connected to the computer system 20 through a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, game port, or universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. ...

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection with other or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the entity the personal computer 20 shown in FIG. 3. In a computer network, there may also be other devices, such as routers, network stations, peer-to-peer devices or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, personal computer 20 is connected to local network 50 through a network adapter or network interface 51. When using networks, personal computer 20 may use a modem 54 or other means of providing communication with a wide area network, such as the Internet. Modem 54, which is an internal or external device, is connected to the system bus 23 via a serial port 46. It should be noted that the network connections are only exemplary and are not required to reflect the exact configuration of the network, i.e. in fact, there are other ways of establishing a connection by technical means of communication of one computer with another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information given in the description are examples, which do not limit the scope of the present invention defined by the claims.

Claims

1. A method for changing the set of user access rights to objects of a computer system, where the set of user access rights to objects of a computer system is the user's role, containing the stages at which:

a) identify the user's role;

b) identify the task that the user performed with the identified role;

c) check the relevance of the identified user role by at least:

identifying a new task that was performed by a user with the identified role,

identifying the task that the user performed while having the identified role that requires the completion of another task,

identifying the task performed by the user, having the identified role, in violation of the task deadline;

d) when an irrelevant role is identified using the rules, role changes make a change to the identified user role.

2. The method according to claim 1, in which the rules for changing the role are understood as a set of conditions, under which, changes are made to the user's role.

3. The method according to claim 1, which stores at least data about the name of the employee, the task and the level of its classification, the time period for the task execution, access rights corresponding to the task, the type of reporting and the user's role.

4. The method according to claim 1, in which the changes in the role are performed by changing the task, the time period for the task execution, access rights corresponding to the task.