СИСТЕМОЛОГІЧНІ ОСНОВИ ПОБУДОВИ СИСТЕМИ МЕНЕДЖМЕНТУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ПІДПРИЄМСТВА: ПРОЦЕСНО-ОРІЄНТОВАНИЙ ПІДХІД

Анотація

Актуальність проблеми забезпечення інформаційної безпеки підприємств критичної інфраструктури держави [1] вимагає впровадження системи менеджменту інформаційної безпеки (кібербезпеки) такої інфраструктури на засадах (принципах) системності й процесно-орієнтованості згідно вимог стандарту ISO/IEC 27001 [2]. З аналізу викладення змісту цього стандарту та його доповнюючої низки стандартів серії серії ISO/IEC 270хх можна зробити висновок, що сенс стандартів зводиться тільки до вказівки на звісну загальну модель управління «цикл PDCA Демінга» та загальних міркувань щодо інформаційної безпеки. В той же час, аналіз чисельних фахових публікацій показує, що дослідники значну увагу приділяють правовим та організаційним аспектам забезпечення інформаційної безпеки, розповсюдженню простих і зрозумілих для багатьох підприємств рішень щодо придбання виключно антивірусного програмного забезпечення (ПЗ) і міжмережевих екранів. При цьому поза увагою залишається той системологічний факт, що система менеджменту інформаційної безпеки є невід’ємною частиною загальної системи менеджменту любого підприємства і повинна будуватись на засадах системного процесно-орієнтованого підходу, який у свою чергу повинен ґрунтуватись на обґрунтуваному виборі відповідної нотації наочного опису бізнес-процесів з метою виділення критичних інформаційних активів підприємства, як об’єктів потенційних загроз інформаційної безпеки (кібербезпеки). Аналіз численних публікацій на тему опису бізнес-процесів показує, що сьогодні домінують і конкурують між собою три основні графічні мови та їх нотації технології моделювання та графічного опису бізнес-процесів: група нотацій IDEF (програмний інструмент опису BРwin), нотація ARIS eEPC (extended Event Driven Process Chain) (програмний інструмент опису ARIS Toolset) та BPMN (програмний інструмент опису діаграм процесів Bizagi Process Modeler) [20]. При цьому слід вказати на той факт, що нотації ARIS і IDEF закладалися більш ніж 30 років тому як концепти мов структурного моделювання інформаційних систем, а BPMN створена у 2004 році і ґрунтується на представлені бізнес-процесу у вигляді блок-схеми. Тобто, ці нотаціїі не були в принципі орієнтовані на розробку потокових моделей процесних систем управління господарюючих структур з урахуванням пізніших базових ідей М.Хаммера, Дж. Чампі та їх послідовників [3].
Метою доповіді є викладення авторського системного підходу та відповіднього до нього структурної моделі мови TML((Tupkalo Modeling Language), складових нотаці] TBPN (Tunkalo Business Process Notation) мови TML системного опису бізнес-процесів об’єктів критичної інфраструктури [4].
Визначення 1. Мова процесного бізнес-моделювання TML (Tupkalo Modeling Language) – це системна методологія - комплекс методів виділення, композиції і візуального описового відображення системи процесного менеджменту організаційної структури [28].
Визначення 2. TML-діаграма процесу – це графічна модель стрічкового типу потокового опису системи функціональних операцій виконавців у технологічних процесах (ТП) і керівників у їхніх особистих процесах управління (ПУ) за принципом «одна функціональна операція – одна посадова особа» з використанням установленого базового набору елементарних графічних конструкцій нотації TBPN і правил їх композиції.
Визначення 3. Нотація процесного моделювання TBPN (Tupkalo Business Process Notation) – система умовних позначень та правил графічного опису потокових діаграм – послідовності виконання посадовими особами організаційної структури набору їх функціональних дій з метою отримання цільового результату за допомогою використання необхідного ресурсу.
Згідно визначень 1,2,3 структурна модель мови TML представлена на рис. 1. При цьому встановлено, що мінімальними вимогами системності, якими має відповідати така нотація TBPN, повинні бути:
1. Який інформаційний статус доступу до корпоративних мережевих ІТ-ресурсів має кожний власник автоматизованого робочого місця (АРМ)?
2. Який посадовець персонально і з яким статусом у піраміді менеджменту виконує конкретні функціональні дії (роботи) бізнес-процесу?
3. Які вхідні документи/інформацію з корпоративної бази даних використовує посадовець для кожної функціональної дії бізнес-процесу?
129
4. Які вихідні документи/інформацію в корпоративну базу даних передає посадовець при виконанні своїх дій бізнес-процесу?
5. Які програмно-апаратні ресурси інформаційного поля підприємства необхідні посадовцю (виконавцю технологічного процесу) для виконання кожної функціональної дії свого бізнес-процесу?
6. Яка документація / регламенти використовує посадовець (виконавець технологічного процесу) при кожній функціональній дії свого бізнес-процесу?
7. Який ступінь подробиці опису бізнес-процесів повинна бути обраною для опису всієї системи бізнес-процесів підприємства?
8. Які механізми контролю за виконанням функціональних дій існують у межах кожного бізнес-процесу?
9. Чи потребує обрана нотація при опису бізнес-процесів використовувати етапи послідовної «згори – вниз» декомпозиції контекстної діаграми процесу?
10. Чи орієнтована обрана нотація опису бізнес-процесів на розробку потокової моделі процесно-орієнтованої системи менеджменту підприємства?
Рисунок 1 – Структурна модель мови TML (авторська модель [4])