CC BY
32Данная система разрабатывается в виде модуля на платформе ERP-системы [4] Odoo [5].
Библиографические ссылки
1. Соммервилл И. Инженерия программного обеспечения. М. : Вильямс, 2002. 219 с.
2. УМКД [Электронный ресурс]. URL: http://www.bti.secna.ru/teacher/umk/standard.shtml (дата обращения: 4.09.2015).
3. ФГОС [Электронный ресурс]. URL: http:// ми-нобрнауки.рф/документы/336#зе1= 1.1,1:35 (дата обращения: 4.09.2015).
4. ERP definition - Enterprise Resource Planning -Gartner IT [Электронный ресурс]. URL: http://www. gartner.com/technology/it-glossary/erp.jsp (дата обращения: 4.09.2015).
5. Официальный сайт Odoo [Электронный ресурс]. URL: http://odoo.com (дата обращения: 4.09.2015).
References
1. Sommerville I. Software Engineering. E. : Addison-Wesley, 2002. 219 p.
2. EMCD. Available at: http://www.bti.secna.ru/ teacher/umk/standard.shtml (accessed: 4.09.2015).
3. FSES. Available at: httpy/минобрнауки.рф/до-кументы/336#sel=1.1Д:35 (accessed: 4.09.2015).
4. ERP definition - Enterprise Resource Planning -Gartner IT. Available at: http://www.gartner.com/ technology/it-glossary/erp.jsp (accessed: 4.09.2015).
5. Official site Odoo. Available at: http://odoo.com (accessed: 4.09.2015).
© Колмыков С. Н., 2015
УДК 004.056:378.048.2
МОДЕЛЬ ИНФОРМАЦИОННОЙ СТРУКТУРЫ ОРГАНИЗАЦИИ НА ОСНОВЕ КОМПЕТЕНТНОСТНОГО ПОДХОДА
И. З. Краснов E-mail: bk_24@bk.ru
Изложен опыт применения технологий в устойчивых информационных системах с учетом человеческого фактора. Приведено описание методики и результаты использования компетентностного подхода к организации устойчивых информационных систем с учетом человеческого фактора как основного ресурса производства.
Ключевые слова: компетентность, человеческий фактор, инсайдеры, матрица доступа, устойчивость информационной системы.
MODEL OF INFORMATION STRUCTURE OF THE ORGANIZATION ON THE BASIS OF THE COMPETENCY APPROACH
I. Z. Krasnov E-mail: bk_24@bk.ru
The article describes the experience of using technology in sustainable information systems, taking into account the human factor. The author gives a description of the methodology and results of using the competency approach to the organization of sustainable information systems, taking into account the human factor as the main production resource.
Keywords: competence, the human factor, insiders, access matrix, the stability of the information system.
Проблема обеспечения устойчивости информационных систем. С развитием информационных технологий все более актуальной становится задача разработки методов обеспечения устойчивости информационных систем. Актуальность работы соответствует более широкой проблеме, чем создание технологической защиты информационных ресурсов в системе информационной безопасности по защите от деятельности инсайдеров.
В современных условиях информатизации общества одним из решающих факторов, определяющих устойчивое функционирование информационной системы,
является высокий уровень профессионализма пользователей, которые обращаются к информационным ресурсам организации. Профессионализм пользователя определяется расчетным уровнем компетентности относительно требуемой деятельности соответствующего бизнес-процесса, основанного на ИС. В расчетах уровня компетентности учитываются как психологические предрасположенности к деятельности, так и образовательные характеристики каждого пользователя, его профильное образование и опыт работы в векторе профессиональной деятельности. В соответствии с расчетным уровнем компетентности каждый пользователь
получает ранг доступа к соответствующему уровню информационного ресурса организации. При условии несанкционированного доступа пользователей к ресурсу устойчивость системы резко снижается, и в особенности, когда низкий уровень компетентности не соответствует рангу доступа к информационному ресурсу. На сегодняшний день эта проблема является актуальной для большинства организаций, деятельность которых основана на информационных технологиях [1-3].
Решение данной проблемы основывается на разработке методики расчета уровня компетентности пользователей относительно требуемой деятельности с учетом психологической предрасположенности к конкретному виду деятельности и уровня образовательных характеристик, разграничение пользователей по расчетным уровням компетентности с присвоением соответствующего ранга доступа к информационному ресурсу. На втором этапе разрабатывается алгоритм разграничения доступа на основе матрицы доступа с учетом расчетного уровня компетентности пользователей относительно требуемой деятельности, что является актуальной задачей обеспечения устойчивости информационной системы. Исходя из такой постановки задачи в данной работе, коллективные и индивидуальные пользователи в активной системе отождествляются с уровнями доступа к соответствующему информационному ресурсу, поскольку перед системой ставится задача получения достоверных данных об уровне компетентности каждого пользователя относительно актуальности жизненного цикла информационного ресурса. Компетентность - интегральная характеристика личности, распадающаяся на
спектр отдельных компетенций. В обобщенном виде компетентность рассматривается как обладание свойством, проявляющееся в профессиональной деятельности. Компетентный человек сможет творчески и, как следствие, продуктивно действовать тогда, когда он, обладая знаниями и навыками, разработает требуемый алгоритм выхода из ситуации, не утрачивая своей эффективности, и в тот момент, когда нет требуемого способа действия, создаст его. Таким образом, назрела необходимость в организации системы разграничения уровня доступа пользователей к информационным ресурсам организации с учетом расчетного уровня компетентности.
Кратко суть методики организации системы разграничения прав доступа к информационному ресурсу через требуемую деятельность с учетом психологических ресурсов коллективных пользователей ИС на основе МД представлена на рис. 1.
От психологического ресурса человека через требуемую деятельность соответствующего бизнес-процесса к уровню информационного ресурса.
На сегодняшний момент основным недостатком любой организации является то, что практически любой пользователь имеет доступ к информационному ресурсу без учета его психологических предрасполо-женностей, характеристик профильного образования и соответствующего опыта работы. Эти предрасположенности и характеристики в соответствии с требованиями к предстоящей деятельности и определяют уровень компетентности каждого пользователя. Чем выше расчетный уровень компетентности, тем больше прав доступа получает пользователь.
От психологического ресурса (Т Р1-Р4) через требуемую деятельность (01 -04) к информационному ресурсу
Высокий уровень доступ а- полный доступ к ИР такое правопринадпежитпопьзователюс наивысшем приоритетом, с высоким уровнем компетентности Отказ в доступе с минимапьнымуровнем компетентности.
Группов
ые пользова
Т Р2
Щ
Т Р4
0 0 0 0 3 4
0 0 0 0
1 2 3 4
000
1 2 3
О О О Й 12 3 4
11 ^ / / / Таблица ранжирований
02 компетентност ей относительно
! 1 требуемой
деятельности
1 Р1 = 01+СЭ1
Наивысшим
приоритет. Если
03 Р1=РЗ+СИ приоритет низший.
Аналогично
для остальных:
требуемых видов
04 деятельности
У.1 У2 уз У4 VI У2 УЗ У4
Вла Мен ¿Йсп Нет = = = Нет
дел едж Цпн ДОС Мй1 М02 моз Дост
ец ер- и те тупа упа
БП ль г :-■
VI У2 УЗ У4 VI У2 УЗ У4
Вла Мен Ис Нет = = = : Нет
дел едж поп дост М01 М02 МОЗ досту
ец ер- нит упа па
БП ель МЭ4
VI У2 УЗ У4 VI У2 УЗ У4
Вла Мен Исп Нет = =' = Нет
дел едж олн ДОС Мй1 М02 моз дост
ец ер и те тупа упа
БП ль М04
VI У2 УЗ У4 VI \/2 УЗ У4
Вла Мен Исп Нет = - = Нет
дел едж олн ДОС МР1 М02 моз ДОСТ
ец ер и те тупа упа
БП ль М04
Рис. 1. Структура распределения доступа
Компетентность считается высокой, если пользователь психологически предрасположен к конкретному виду деятельности Р1, а также имеет образовательные характеристики Р1 (профильное образование р1 и опыт работы р2) в соответствии с требуемым видом деятельности Б1. В таком случае пользователь получает доступ к информационному ресурсу с полными правами (М, Я).
Условие определения наивысшего ранга доступа VI относительно уровня компетентности, при имеющемся профильном образовании р1 и опыте работы р2. Ранг доступа VI определяется следующим условием: если Р1 = Б1 и имеется профильное образование р1 и опыт работы Р 2, то компетентность считается высокой и пользователю предоставляется полный доступ к информационному ресурсу.
При условии отсутствия психологической предрасположенности пользователя к конкретному виду деятельности Р1 и отсутствии профильного образования р1 и опыта работы р2, комплектность считается низкой. Соответственно уровень доступа определяется как минимальный, и ему присваивается ранг доступа V4 с отказом в доступе к ресурсу, информация которого не соответствует требуемому виду деятельности Б1.
Всех коллективных пользователей распределяем по уровням компетентностей относительно требуемых видов деятельности соответствующих бизнес-процессов организации.
Пользователь с высоким уровнем компетентности определяется как владелец бизнес-процесса, и ему присваивается ранг доступа VI.
Пользователь, имеющий средний уровень компетентности, определяется как менеджер процесса, и ему присваивается ранг доступа V2.
Пользователь с низким уровнем компетентности определяется как исполнитель, и ему присваивается ранг доступа V3.
Пользователь с минимальным уровнем компетентности определяется как инсайдер, ему присваивается ранг доступа V4. В доступе к ресурсу отказано.
Экспертным мнением установим значение расчетного уровня компетентности в диапазоне от 1 до 0,1, ему будет присвоен ранг доступа значению в диапазоне от 0,1 до 0,01 будет присвоен ранг доступа соответственно значению в диапазоне от 0,01 до 0,005 будет присвоен ранг доступа А значению, которое ниже 0,005 расчетных параметров уровня компетентности, будет присвоен ранг доступа V (табл. 1).
Чем выше компетентность, тем выше уровень доступа к информационному ресурсу и, соответственно, ранг доступа. Причем для различных Б1 (1 = 1, 2, 3, 4) будут получаться различные ранги в зависимости от значения компетентности для Рц с характеристикой р1.
Пусть имеются информационные ресурсы: конфиденциальная информация (КИ), информация для служебного пользования (ДСП), общедоступная информация (ОИ).
К каждому ресурсу можно обращаться при наличии одного из 3-х рангов (VI, V или В результате расчетов получаем математическую модель матрицы доступа к уровням информационного ресурса относительно требуемой деятельности Б1 (табл. 2).
Таблица 1
Соответствие рангов и прав доступа
Право доступа к ИР 1^(1 (полный доступ) т (чтение и запись) г (только чтение) Нет доступа
Ранг доступа V! Vз V4
Таблица. 2
Расчетная матрица доступа к ресурсу относительно деятельности D1
Б1 КИ ДСП ОИ
V1 V2 V3 V1 V2 V3 V1 V2 V3
0,3112 0,185 0,1705 0,1323 0,0752 0,0441 0,0456 0,0235 0,0119
Р1 0,3136 0,2160 0,255 0,2601 0,2721 0,2900 0,2998 0,2993 0,3062 0,3099
0,1736 0,1196 0,141 0,1440 0,1506 0,1605 0,1659 0,1657 0,1695 0,1715
Р3 0,0560 0,0386 0,045 0,0465 0,0486 0,0518 0,0535 0,0534 0,0547 0,0553
Р4 0,0168 0,0116 0,013 0,0139 0,0146 0,0155 0,0161 0,0160 0,0164 0,0166
Р2 Р1 0,0672 0,0463 0,054 0,0557 0,0583 0,0621 0,0642 0,0641 0,0656 0,0664
Р2 0,0372 0,0256 0,030 0,0309 0,0323 0,0344 0,0356 0,0355 0,0363 0,0368
Р3 0,0120 0,0083 0,009 0,0100 0,0104 0,0111 0,0115 0,0115 0,0117 0,0119
Р4 0,0036 0,0025 0,002 0,0030 0,0031 0,0033 0,0034 0,0034 0,0035 0,0036
Р2 0,0186 0,0128 0,015 0,0154 0,0161 0,0172 0,0178 0,0178 0,0182 0,0184
Р3 0,0060 0,0041 0,004 0,0050 0,0052 0,0055 0,0057 0,0057 0,0059 0,0059
Р4 0,0018 0,0012 0,001 0,0015 0,0016 0,0017 0,0017 0,0017 0,0018 0,0018
Р4 Р1 0,1456 0,1003 0,118 0,1208 0,1263 0,1347 0,1392 0,1390 0,1422 0,1439
Р2 0,0806 0,0555 0,065 0,0669 0,0699 0,0745 0,0770 0,0769 0,0787 0,0796
Р3 0,0260 0,0179 0,021 0,0216 0,0226 0,0240 0,0249 0,0248 0,0254 0,0257
Р4 0,0078 0,0054 0,006 0,0065 0,0068 0,0072 0,0075 0,0074 0,0076 0,0077
На основе математической модели расчета матрицы доступа к уровням информационного ресурса рассчитываем уровни требуемой деятельности для Э2, Э3, Э4. Цветами выделены требуемые виды деятель-
ности: - зеленый, Э2 - красный, Э3 - синий, Э4 -желтый. Графически данное распределение можно представить следующим образом (рис. 2-6).
Рис. 2. Распределение доступов относительно
Рис. 3. Распределение доступов относительно Э2
Рис. 4. Распределение доступов относительно Э3
Рис. 5. Распределение доступов относительно Э4
Рис. 6. Распределение пользователей по уровням компетентности относительно Эк, к = 1, 2, 3, 4
На последнем рисунке отчётливо видно, что при различных Бк к разным ресурсам с разным уровнем доступа требуется разная компетентность с учётом ценности ресурса в соответствии с его жизненным циклом. Жирными линиями разграничены Бк.
Самые большие всплески значений соответствуют ожиданиям, где ?! = Б1, 1 = 1, 2, 3, 4. А самые низкие значения также в ожидаемой зоне, где Р1 = Б1+2, при 1 = 1, 2 и Р1 = Б1-2, при 1 = 3, 4.
Заключение. Предложенная автором методика позволяет решать задачи обеспечения устойчивости информационной системы с учетом человеческого фактора как основного ресурса производства. В данной статье рассмотрены технологии разграничения уровней доступа пользователей информационной системы на основе матрицы доступа, имеющих психологическую предрасположенность к конкретному виду деятельности, соответствующий уровень образования и опыт профессиональной деятельности, что соответствует высокому уровню компетентности.
Таким образом, решается задача организации устойчивости информационной системы: чем выше уровень компетентности, тем больший уровень доступа пользователя к соответствующему информационному ресурсу, тем стабильнее работает система. Чем ниже уровень компетентности, тем больше вероятность перехода пользователя в категорию инсайдера, что приводит к дестабилизации деятельности информационной системы.
Библиографические ссылки
1. Барсуков В. С., Водолазский В. В. Современные технологии безопасности, интегральный подход. М. : Нолидж, 2000. 229 с.
2. Зима В., Молдовян А. Безопасность глобальных сетевых технологий. СПб. : БХВ-Петербург, 2003. 223 с.
3. Ильин Е. П. Дифференциальная психология профессиональной деятельности. СПб. : Питер, 2011. 196 с.
4. Шейн Э. Организационная культура и лидерство. СПб. : Питер, 2008. 142 с.
5. Никифоров Г. С. Психологическое обеспечение профессиональной деятельности. Теория и практика. СПб., 2010. 514 с.
6. Краснов И. З. Матрица доступа как пассивный элемент защиты информационных ресурсов. // Проблемы информационной безопасности государства, общества и личности : материалы XV Всерос. науч.-
практ. конф. (Томск-Иркутск). Томск : В-Спектр, 2014. С. 202- 210.
7. Краснов И. З. Дифференцированный подход к подготовке специалистов информационной безопасности // Доклады VI Пленума СибРОУМО по образованию в области информационной безопасности, XV конференции (Томск-Иркутск). Томск : В-Спектр, 2014. С. 94- 99.
8. Краснов И. З. О проблемах борьбы с инсайдерами // Обеспечение информационной безопасности. Региональные аспекты : материалы VI Всерос. конф. Сочи. 2007. C. 99-103.
9. Краснов И. З., Карелин О. И. Методика анализа и оценки рисков организации // Вестник СибГАУ. 2014. Вып. 2(54). С. 37-44.
References
1. Barsukov V. S., Vodolazsky V. V. Modern security technologies, integrated approach. Moscow Izd. "Knowledge", 2000. 229 s.
2. Zima V., Moldovyan A. The security of global network technologies. Saint-Petersburg : "BHV-Petersburg", 2003. 223 s.
3. Ilyin E. P. Differential psychology of professional activity. SPb. : Piter, 2011. 196 s.
4. Shane E. Organizational culture and leadership. SPb. : Piter, 2008. 142 s.
5. Nikiforov G. S. Psychological support of professional activity. Theory and practice. It. SPb., 2010. 514 s.
6. Krasnov I. Z. The access Matrix as a passive element in the protection of information resources. // Proceedings of the XV all-Russian scientific-practical conference "problems of information security of the state, society and personality". Tomsk-Irkutsk. Tomsk : InRange. 2014. Pр. 202-210.
7. Krasnov I. Z. Differentiated approach to training of information security // Reports of the VI Plenum of Dibromo education in the field of information security and the XV conference. Tomsk-Irkutsk. Tomsk : InRange, 2014. Pр. 94-99.
8. Krasnov I. Z. On problems of fight against insiders // Materials of VI all-Russian conference "Information security. Regional aspects". Sochi, 2007. Рр. 99-103.
9. Krasnov Z. I., Karelin, O. I. Methodology of risk analysis and assessment of organization // Vestnik SibGAU. 2014. No. 2(54). Рр. 37-44.
© Краснов И. З., 2015
