Оценка применимости нотации описания бизнес-процессов для моделирования процесса управления рисками информационной безопасности в организации | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 4 января, печатный экземпляр отправим 8 января.

Опубликовать статью в журнале

Авторы: , ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №50 (445) декабрь 2022 г.

Дата публикации: 16.12.2022

Статья просмотрена: 418 раз

Библиографическое описание:

Вакорин, М. П. Оценка применимости нотации описания бизнес-процессов для моделирования процесса управления рисками информационной безопасности в организации / М. П. Вакорин, Д. С. Константинов, А. П. Мыльникова. — Текст : непосредственный // Молодой ученый. — 2022. — № 50 (445). — С. 6-8. — URL: https://moluch.ru/archive/445/97853/ (дата обращения: 21.12.2024).



В статье рассматриваются различные методологии для построения бизнес-процессов, статистика популярности каждой методики, приводятся рекомендации, по какой методике производить моделирование управления рисками информационной безопасности в организации, а также производится само моделирование управления рисками информационной безопасности.

Ключевые слова: бизнес-процесс, нотация построения бизнес-процесса, управление рисками информационной безопасности, модель управления рисками информационной безопасности.

Одним из важнейших этапов управления рисками информационной безопасности является построение его модели. Для этого возможно использование нотаций построения бизнес-процессов. Рассмотрим несколько популярных нотаций построения бизнес-процессов и выберем оптимальную для построения модели управления рисками информационной безопасности.

Рассмотрим такие нотации построения бизнес-процессов, как eEPC, IDEF3, UML, DFD, BPMN.

eEPC — это гибкая нотация, являющаяся расширением нотации EPC, применяется для построения бизнес-процессов по методологии ARIS, для описания бизнес-процессов использует операторы OR, XOR и AND [1]. Главным плюсом eEPC является его простота построения и понимания, минусом является его громоздкость.

IDEF3 — нотация, которая основывается на причинно-следственных связях между событиями их последовательности выполнения, состоит из логических операторов в местах принятия решений и альтернативах, а также объектов, стрелок, показывающих последовательность выполнения событий [1]. Главным плюсом является декомпозиция, которая помогает избежать громоздкости, минусом является то, что нотация не интуитивно понятная, для её понимания необходимо разбираться в принципах построения бизнес-процессов.

UML — почти полностью повторяет функциональные элементы нотации eEPC, в основном служит для описания программных продуктов, но также может описывать бизнес-процессы [1]. Главным плюсом UML является графическая наглядность построенных диаграмм, главный его минус заключается в том, что он не поддерживает концепт промежуточных состояний и данных [2].

DFD — диаграмма потоков данных, представляет собой последовательность диаграмм, которые описывают преобразование информации от входа к выходу [3]. Главным плюсом является наглядное, понятное представление документооборота, главным минусом является «старый» структурный подход [3].

BPMN — во многом аналогична IDEF и eEPC, но отличается тем, что в ней есть понятие дорожки, это область внутри процесса, в которой отражается всё, что делает конкретный человек в этом процессе [4]. Главным плюсом данной нотации и является наличие дорожек, главным минусом является наличие специфических терминов и понятий для понимания которых, необходимо иметь знания в построении бизнес-процессов.

Исходя из статистики из отчёта компании «Логика Бизнеса», приведённой на рисунке 1, можно заключить, что самыми популярными нотациями описания бизнес-процессов являются BPMN, eEPC и IDEF, при этом BPMN занимает почти половину — 54 %.

Статистика по использованию различных нотаций [5, c. 36]

Рис. 1. Статистика по использованию различных нотаций [5, c. 36]

Исходя из статистики, а также наглядности для построения схемы управления рисками информационной безопасностью была выбрана нотация BPMN. Построение схемы производилось, руководствуясь стандартом ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», построенная схема изображена на рисунке 2.

Схема управления рисками ИБ в нотации BPMN

Рис. 2. Схема управления рисками ИБ в нотации BPMN

Построенная схема является компактной и наиболее удачно отражает основные этапы управления рисками информационной безопасности, в связи с тем, что дорожки из BPMN дают понимание разделения обязанностей организации и отдела информационной безопасности. Это позволяет сделать вывод, что такая нотация как BPMN, позволяет отражать не только схемы бизнес-процессов, но и процессы управления информационной безопасностью.

Литература:

1. Бабкин Э. А., Князькин В. П., Шиткова М. С. Сравнительный анализ языковых средств, применяемых в методологиях бизнес моделирования //Бизнес-информатика. — 2011. — №. 2 (16). — С. 31–42.

2. Станкевич B. В., Тигарева В. А. Достоинства и недостатки использования унифицированного языка UML при моделировании бизнес-процессов сложных организаций //Научно-теоретический журнал Наука и экономика. — 2014. — №. 4. — С. 207–216.

3. Новицкая А. А. Информационные методы моделирования процессов в экономических системах //Информационные технологии в моделировании и управлении: подходы, методы, решения. — 2021. — С. 279–288.

4. Искра Е. А., Нелюбина Ю. А., Свиридова И. И. сравнительный анализ нотаций ARIS, IDEF, BPMN 2.0 и «ФИСОМ» при описании бизнес-процессов //Российские регионы в фокусе перемен. — 2019. — С. 472–476.

5. Фёдоров И. Г. Методология создания исполняемой модели и системы управления бизнес-процессами //М.: МЭСИ. — 2015.

Основные термины (генерируются автоматически): BPMN, информационная безопасность, UML, главный плюс, DFD, IDEF, построение бизнес-процессов, риск, AND, главный минус.


Ключевые слова

бизнес-процесс, нотация построения бизнес-процесса, управление рисками информационной безопасности, модель управления рисками информационной безопасности

Похожие статьи

Менеджмент рисков информационной безопасности как непрерывный процесс

В данной статье рассматривается риск-менеджмент как непрерывный процесс. Описываются инфраструктура и процесс менеджмента рисков с точки зрения цикла PDCA. Выявляются преимущества внедрения риск-ориентированного подхода в области информационной безоп...

Анализ бизнес-среды организации

В статье изучаются вопросы, связанные с анализом бизнес-среды организации в рамках бизнес-планирования.

Ранжирование проектов информационной безопасности

Настоящая статья посвящена рассмотрению вопроса о ранжировании мер (проектов) информационной безопасности на предприятиях для определения последовательности их реализации. В статье представлена модель ранжирования, включающая критерии влияния внедря...

Оценка результативности и рисков процессов

В данной статье рассматриваются возможные методики по установлению результативности процессов и их рисков. Внимание уделяется оптимальным возможным методикам с целью точно определить необходимость вмешательства в процессы и их корректировки. На основ...

Система управления рисками предприятий сферы услуг

В статье рассматривается необходимость организации системы управления рисками на предприятиях, методы управления рисками, количественная и качественная оценка рисков.

Стратегический анализ внутренней среды организации

В статье рассматривается анализ внутренней среды организации с помощью метода SNW как способ влияния на формирование стратегии, а также формулируются рекомендации по повышению эффективности управления процессами выбора внешних ресурсов на основе анал...

Оптимизация бизнес-процессов систем бухгалтерского учета

В статье рассматриваются вопросы оптимизации бизнес-процессов в системах бухгалтерского учета.

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Оптимизация бизнес-процессов на предприятии при помощи методологии IDEF0

Авторами рассматривается целесообразность и эффективность оптимизации бизнес-процессов. Перечислены методы и инструменты для реализации, а также преимущества и риски, связанные с автоматизацией процессов.

Теоретические и методологические основы управления логистическими рисками фирмы

В статье рассматриваются существующие методы и подходы к управлению логистическими рисками фирмы. Сделан вывод о необходимости их использования для эффективной деятельности организации.

Похожие статьи

Менеджмент рисков информационной безопасности как непрерывный процесс

В данной статье рассматривается риск-менеджмент как непрерывный процесс. Описываются инфраструктура и процесс менеджмента рисков с точки зрения цикла PDCA. Выявляются преимущества внедрения риск-ориентированного подхода в области информационной безоп...

Анализ бизнес-среды организации

В статье изучаются вопросы, связанные с анализом бизнес-среды организации в рамках бизнес-планирования.

Ранжирование проектов информационной безопасности

Настоящая статья посвящена рассмотрению вопроса о ранжировании мер (проектов) информационной безопасности на предприятиях для определения последовательности их реализации. В статье представлена модель ранжирования, включающая критерии влияния внедря...

Оценка результативности и рисков процессов

В данной статье рассматриваются возможные методики по установлению результативности процессов и их рисков. Внимание уделяется оптимальным возможным методикам с целью точно определить необходимость вмешательства в процессы и их корректировки. На основ...

Система управления рисками предприятий сферы услуг

В статье рассматривается необходимость организации системы управления рисками на предприятиях, методы управления рисками, количественная и качественная оценка рисков.

Стратегический анализ внутренней среды организации

В статье рассматривается анализ внутренней среды организации с помощью метода SNW как способ влияния на формирование стратегии, а также формулируются рекомендации по повышению эффективности управления процессами выбора внешних ресурсов на основе анал...

Оптимизация бизнес-процессов систем бухгалтерского учета

В статье рассматриваются вопросы оптимизации бизнес-процессов в системах бухгалтерского учета.

Основные аспекты управления рисками информационной безопасности

Статья посвящена процессу управления рисками информационной безопасности. Описываются основные компоненты безопасности, их взаимодействие, а также возможные сценарии реализации инцидента информационной безопасности. Рассматриваются этапы процесса упр...

Оптимизация бизнес-процессов на предприятии при помощи методологии IDEF0

Авторами рассматривается целесообразность и эффективность оптимизации бизнес-процессов. Перечислены методы и инструменты для реализации, а также преимущества и риски, связанные с автоматизацией процессов.

Теоретические и методологические основы управления логистическими рисками фирмы

В статье рассматриваются существующие методы и подходы к управлению логистическими рисками фирмы. Сделан вывод о необходимости их использования для эффективной деятельности организации.

Задать вопрос