3.1 Области применения
Сразу оговоримся, что нельзя сказать какая из существующих моделей лучше или хуже.
Каждая из описанных моделей служит для выполнения определенных задач и выбор одной или нескольких моделей обуславливается спецификой области применения.
Различные организации имеют свои специфичные требования к политике безопасности. Система дискреционного управления доступом подразумевает, что все ресурсы системы принадлежат пользователям системы, а значит следить за доступом к ресурсу должен его владелец, т.е. пользователь. Такие системы в основном рассчитаны на небольшое количество пользователей.
Анализ бизнес-процессов: для чего нужен и как его проводят
Анализ бизнес-процессов — это изучение их текущего состояния. Анализ проводят, чтобы искать слабые стороны процессов, избавляться от них и так делать бизнес эффективнее.
Анализ показывает, улучшаются ли результаты бизнес-процессов. Например, при нём могут сравнить, что было полгода назад и что происходит сейчас. Потом ищут решения, как сделать процессы эффективнее.
Какие есть методы анализа бизнес-процессов? Все существующие методы делят на количественные и качественные. Количественные — это оценка числовых показателей, качественные — всё остальное.
Качественные методы предполагают, что аналитик изучает графические схемы процессов и отзывы исполнителей. Аналитик опрашивает сотрудников, составляет матрицу проблем и изучает алгоритмы. Он пытается понять, где исполнители «спотыкаются» и как можно повысить эффективность.
Вот некоторые качественные методы:
- SWOT-анализ;
- анализ проблем процесса;
- ранжирование процессов.
В этой статье мы не будем разбирать их подробно.
Результат анализа — отчёт, в котором описаны проблемные зоны и даны рекомендации, что и где улучшить.
Количественные методы предполагают, что аналитик собирает данные — например, финансовые показатели, временные затраты или объём брака — и подробно изучает их. Затем он сравнивает их с плановыми показателями и делает выводы: какие показатели соответствуют норме, а где процессы можно улучшить.
Обычно используют такие методы:
- имитационное моделирование процесса;
- АВС-анализ;
- анализ показателей эффективности процесса.
Результат — отчёт с прогнозом того, какие показатели можно получить, и рекомендациями, как это сделать.
Фрагмент отчёта бизнес-аналитикаИзображение: предоставлено Александром Завьяловым
Кому доверить анализ — сотрудникам или аналитикам? Как говорилось выше, анализировать бизнес-процессы сложнее, чем моделировать. Большинству сотрудников не хватит компетенций, чтобы грамотно проанализировать процессы и сделать правильные выводы. Чтобы получить толковые рекомендации, нужен экспертный взгляд со стороны. Для этого обращаются к бизнес-аналитикам.
Если для бизнес-анализа нет бюджета — можно анализировать процессы самостоятельно. Это лучше, чем ничего.
Как провести анализ бизнес-процессов самостоятельно? Для этого есть правило четырёх действий. Чтобы выполнить любую задачу, сотрудник:
- воспринимает информацию;
- принимает решение;
- совершает действие;
- контролирует результат.
На любую задачу бизнес-процесса нужно посмотреть через призму этих четырёх действий. Это покажет, какова ценность каждой задачи, нужно ли оптимизировать задачу и можно ли убрать её совсем.
Разберём на примере. Компания продаёт оборудование. Одна из задач менеджера после получения заявки от клиента — проверить наличие товара на складе. Ему нужно собрать и обработать информацию.
Менеджер не принимает решений, и контролировать результат ему также не нужно. Получается, что это линейное действие, которое можно автоматизировать с помощью системы учёта.
Фрагмент модели бизнес-процесса продажи промышленного оборудованияИнфографика: Майя Мальгина для Skillbox Media
Таким образом, задачу «Проверить наличие товара на складе» можно убрать из алгоритма и так высвободить несколько минут рабочего времени.
Что такое моделирование бизнес‑процессов
Бизнес-процессы — любые операции внутри компании, которые помогают решать бизнес-задачи и зарабатывать. Моделирование бизнес-процессов — описание этих операций и документирование требований к ним.
Ответственные за моделирование разбираются в процессах компании и описывают, кто, что и как делает. Изучают каждую операцию и разбивают её на этапы. Сначала описывают всё это текстом, затем превращают описание в схему.
В профессиональном моделировании бизнес-процессов часто используют нотации. Нотация — это набор правил для графического описания бизнес-моделей. Нотации описывают:
- какие иконки использовать в моделировании и как их читать;
- как отображать последовательность действий в процессе и отношения внутри него;
- какие элементы обязательно нужно включить.
Нотации нужны для того, чтобы любой человек понимал, что изображено на схеме. Даже если пользователь видит её впервые, он должен разобраться.
Специалисты придумали много вариантов нотаций. Их делят на две основные категории:
- Структурные. Они показывают элементы процесса и взаимосвязи между ними. Это нотации стандарта IDEF: IDEF0, IDEF1x, IDEF4, IDEF5.
- Динамические. Они показывают логику выполнения процессов, последовательность и варианты их использования. Это нотации DFD, EPC, BPMN.
, когда мы будем говорить о подходах к моделированию, расскажем о двух вариантах нотаций — IDEF0 и BPMN.
С получившейся моделью бизнес-процесса работают дальше. Двигают элементы так, чтобы корректировать продолжительность цикла, влиять на качество результата или снижать себестоимость. Это называется оптимизацией бизнес-процесса — подробнее о ней говорили в статье
Но прежде чем оптимизировать и улучшать, важно провести качественное моделирование
В моделировании бизнес-процессов есть три основных подхода: функциональный, процессный и ментальный. В следующих разделах разберём их подробнее.
Как управлять бизнес-процессами: модель DMAIC
Управление бизнес-процессами — тоже процесс. Есть разные подходы. Мы в OkoCRM используем подход DMAIC: Define, Measure, Analyze, Improve, Control. Подход предполагает пять этапов управления:
- Define — определение. Выделяем и подробно описываем бизнес-процессы компании. Уточняем, кто участвует, какие документы нужны, какие используются ресурсы.
- Measure — измерение. Определяем метрики: сколько стоит процесс, сколько он длится, сколько людей участвует, сколько раз в квартал или в год он повторяется.
- Analyze — анализ. Смотрим на показатели эффективности и изучаем процесс: что можно улучшить, ускорить, оптимизировать.
- Improve — совершенствование. Модифицируем процессы и внедряем их в работу.
- Control — контроль. Снова снимаем метрики, смотрим результаты, делаем выводы. Если что-то пошло не так — повторяем все циклы DMAIC заново.
2.1 Общее описание
Управление доступом это определение возможности субъекта оперировать над объектом. В общем виде описывается следующей диаграммой:
На данный момент существует три различных метода для управления доступом к объектам в системе:
- Дискреционный метод контроля доступа
- Обязательный метод контроля доступа
- Ролевой метод контроля доступа.
Заранее отметим, что эти методы не обязательно применяются отдельно друг от друга, а могут комбинироваться для удовлетворения различных требований к безопасности системы см Диаграмму 1.
Диаграмма 1: Системы контроля доступа
При этом комбинирование различных моделей может быть довольно простым, если они не противоречат друг другу. Т.е. если не существует ситуаций когда исходя из одной модели субъект имеет доступ к объекту, а из другой не имеет. Эти конфликты должны разрешаться на уровне администрирования системы.
Какими бывают бизнес-процессы
В профессиональной литературе бизнес-процессы делят на пять-шесть категорий. Чтобы не усложнять, мы выделяем четыре: основные процессы, вспомогательные процессы, управленческие процессы и процессы развития.
- Основные процессы — процессы, ради которых начинали бизнес и которые приносят прибыль. Это, например, производство, оказание услуг, продажа товаров.
- Вспомогательные процессы помогают поддерживать основные процессы, но напрямую денег не приносят. Это, например, обслуживание конвейера на фабрике, ведение бухучёта, работа юристов.
- Процессы развития нужны для совершенствования и оптимизации основных процессов. Например, для разработки нового рецепта или автоматизации производства.
- Управленческие процессы — операции по управлению остальными процессами. С их помощью ничего не производят, но без них ничего не работает. К ним относятся, например, составление плана продаж, подготовка квартальных отчётов, обсуждение и принятие решений.
В первую очередь нужно разобраться в основных процессах — без них компания не сможет получать доход. Остальные процессы тоже важны, но какое-то время бизнес без них справится. Скорее всего, они будут работать сами по себе, без отладки. С основными так не выйдет.
Если основные процессы отлажены плохо, клиент будет недоволен. Допустим, ИП производит кухни на заказ. Один из основных процессов — поставка итальянских столешниц из бука. Предприниматель обещает монтаж через месяц после предоплаты, но поставщики подводят — столешницы приезжают через три месяца. Сроки сорваны, клиент ругается. Причина — плохая отладка основного бизнес-процесса.
Основные бизнес-процессы — от организации поставок до продажи продукта — создают ценности для потребителя.
В каждой компании свои бизнес-процессы. Нет единого шаблона, каждый бизнес индивидуален. В своей практике мы разобрали на молекулы тысячи разных процессов, но пока не встречали одинаковых. Даже у прямых конкурентов внутренняя кухня различается.
Допустим, по соседству работают две ремонтные мастерские — «Мотор» и «Инжектор». Обе ведут предварительную запись клиентов. Сотрудники «Мотора» обрабатывают заявки по телефону и записывают данные о клиентах в общий журнал.
Зачем моделировать бизнес-процессы
К чему приводит отсутствие формализованных бизнес-процессов?
-
Нет распределения полномочий и зон ответственности — возникающие проблемы некому решать.
-
Нет точной и актуальной информации — руководство не может быстро получить данные о текущей деятельности и ее результатах, которые необходимы для управления бизнесом.
-
Нормативные документы неактуальны и противоречивы, работа и взаимодействие сотрудников и подразделений не регламентированы — их функции могут дублироваться, тратится много времени на выяснение рабочих моментов.
-
Эффективность работы подразделений неравномерна — есть лидеры и аутсайдеры, возможно взаимное недовольство между производством и вспомогательными службами.
-
Избыточная цепочка согласований, долгий цикл принятия и исполнения решений — растут непроизводственные затраты, падает исполнительская дисциплина, контроль исполнения решений неэффективен.
-
Плохо работает документооборот — нужные документы сложно найти, нередки потери.
-
Возникает избыток товарных запасов из-за недостаточного планирования.
-
Нарушаются сроки и бюджеты выполнения работ и заказов из-за отсутствия адекватной оценки и контроля.
-
Не ведется контроль удовлетворенности клиентов — пробелы в этом направлении не выявляются и не устраняются.
-
Деятельность предприятия не прозрачна для инвесторов — снижается доверие.
В конечном итоге внутреннее развитие компании не успевает за ростом бизнеса и рыночными изменениями, возникают «болезни роста», процессы становятся все более хаотичными. Если же показатели деятельности перестают устраивать
руководителей, нет возможности выявить проблемные точки и наиболее перспективные направления улучшений.
Наличие моделированных процессов позволяет изменить ситуацию, решив несколько задач:
-
нормирование бизнес-процессов. В большой организации разные команды могут выполнять один и тот же процесс по-разному. Создание оптимального дизайна задает единые правила и гарантирует, что каждый знает, как достичь лучшего
результата; -
гибкость процессов. Анализ бизнес-процессов способствует формированию культуры инноваций и изменений. Возможность настраивать бизнес-операции позволяет компании развиваться в условиях технологических изменений;
-
прозрачность. Все в организации будут знать, как выполняются процессы, это делает работу контролируемой;
-
повышение эффективности. Основная функция моделирования бизнес-процессов — найти способы улучшить выполнение процессов, что приведет к повышению эффективности, производительности, конкурентоспособности и, наконец, прибыли.
Примеры бизнес-модели и успешного использования методики
В этом разделе мы разберём два примера. Сначала мы посмотрим на шаблон Остервальдера, заполненный для реальной компании, — Uber. Пример взят из нашего гайда по Business Model Canvas.
Шаблон заполнен командой сайта Business Model Analyst, на котором разбирают бизнес-модели известных компаний. Модель бизнеса Uber, построенная по методике Business Model Canvas, выглядит так:
Источник данных: Business Model AnalystИнфографика: Майя Мальгина для Skillbox Media
Бизнес компании представлен кратко и наглядно. Всего два канала — сайт и приложение. Два сегмента целевой аудитории — пассажиры и владельцы авто. Потоки доходов описаны одной фразой — процент с поездки.
Теперь мы разберём пример, когда модель бизнеса, а не технология или ресурсы, определила успех проекта.
В 1982 году немецкий Институт интегральных схем Общества Фраунгофера изобрёл формат MP3. В 1990-е пользователи стали повсеместно посылать друг другу музыку в этом формате.
Инновация повлияла на бизнес лидеров рынка: Universal, Warner, EMI, Sony, BMG. Они решили не ломать отраслевую логику, а вместо этого стали защищать привычные схемы работы. Например, начали судиться за авторские права.
В 2003 году Apple вышла на рынок с инновационной бизнес-моделью iTunes — сервисом для легальной загрузки музыки. Приложение, работающее с помощью формата MP3, сделало компанию крупнейшим продавцом аудиозаписей.
От инновации не выиграли лидеры: они не успели вовремя перейти на новую бизнес-модель. По той же причине на ней не смог заработать Институт Фраунгофера: организация получает в год десятки миллионов долларов прибыли от своей технологии — против десятков миллиардов у iTunes.
«История инноваций кишит компаниями, которые располагали прорывной технологией, но не сумели выгодно её применить, поскольку не сумели подкрепить её прорывной бизнес-моделью».
Клейтон Кристенсен,
профессор Гарварда
Виды моделирования бизнес процессов
Моделирование бизнес процессов может иметь различную направленность. Это зависит от того, какие проблемы предполагается решить с его помощью. Учет
абсолютно всех воздействий на процесс может значительно усложнить модель и привести к избыточности описания процесса. Чтобы этого избежать, моделирование
бизнес процессов разделяют по видам. Вид моделирования выбирается в зависимости от исследуемых характеристик процесса.
Для целей совершенствования процесса применяют следующие виды моделирования:
-
Функциональное моделирование. Этот вид моделирования подразумевает описание процессов в виде взаимосвязанных, четко
структурированных функций. При этом строгая временная последовательность функций, в том виде, как она существует в реальных процессах, не обязательна. -
Объектное моделирование — подразумевает описание процессов, как набора взаимодействующих объектов – т.е. производственных
единиц. Объектом является какой-либо предмет, преобразуемый в ходе выполнения процессов. -
Имитационное моделирование – при таком виде моделирования бизнес-процессов подразумевается моделирование поведения процессов в
различных внешних и внутренних условиях с анализом динамических характеристик процессов и с анализом распределения ресурсов.
Разделение моделирования по видам выполняется для упрощения работы и концентрации внимания на тех или иных характеристиках процесса. При этом для
одного и того же процесса могут быть применены различные виды моделирования. Это позволяет работать с одним видом моделей независимо от других.
Методы моделирования бизнес процессов
На сегодняшний день существует достаточно большое количество методов моделирования бизнес процессов
Эти методы относятся к разным видам моделирования
и позволяют сфокусировать внимание на различных аспектах. Они содержат как графические, так и текстовые средства, за счет которых можно наглядно представить
основные компоненты процесса и дать точные определения параметров и связей элементов
Моделирование бизнес-процессов выполняют с помощью следующих
методов:
-
Flow Chart Diagram (диаграмма потока работ) – это графический метод представления процесса в котором операции, данные, оборудование
процесса и пр. изображаются специальными символами. Метод применяется для отображения логической последовательности действий процесса. Главным достоинством
метода является его гибкость. Процесс может быть представлен множеством способов. -
Data Flow Diagram (диаграмма потока данных). Диаграмма потока данных или DFD применяется для отображения передачи информации (данных)
от одной операции процесса к другой. DFD описывает взаимосвязь операций за счет информации и данных. Этот метод является основой структурного анализа процессов,
т.к. позволяет разложить процесс на логические уровни. Каждый процесс может быть разбит на подпроцессы с более высоким уровнем детализации. Применение DFD позволяет
отразить только поток информации, но не поток материалов. Диаграмма потока данных показывает, как информация входит и выходит из процесса, какие действия изменяют
информацию, где информация хранится в процессе и пр. -
Role Activity Diagram (диаграмма ролей). Она применяется для моделирования процесса с точки зрения отдельных ролей, групп ролей и взаимодействия ролей
в процессе. Роль представляет собой абстрактный элемент процесса, выполняющий какую-либо организационную функцию. Диаграмма ролей показывает степень
«ответственности» за процесс и его операции, а также взаимодействие ролей. -
IDEF (Integrated Definition for Function Modeling) – представляет собой целый набор методов для описания различных аспектов бизнес-
процессов (IDEF0, IDEF1, IDEF1X, IDEF2, IDEF3, IDEF4, IDEF5). Эти методы строятся на базе методологии SADT (Structured Analysis and Design Technique).
Для моделирования бизнес процессов наиболее часто применяют методы IDEF0 и IDEF3. -
IDEF0 – позволяет создать модель функций процесса. На диаграмме IDEF0 отображаются основные функции процесса, входы, выходы,
управляющие воздействия и устройства, взаимосвязанные с основными функциями. Процесс может быть декомпозирован на более низкий уровень. -
IDEF3 – этот метод позволяет создать «поведенческую» модель процесса. IDEF3 состоит из двух видов моделей. Первый вид
представляет описание потока работ. Второй – описание состояний перехода объектов. -
Цветные сети Петри – этот метод представляет модель процесса в виде графа, где вершинами являются действия процесса, а дугами события, за счет которых
осуществляется переход процесса из одного состояния в другое. Сети Петри применяют для динамического моделирования поведения процесса. -
Unified Modeling Language (UML) — представляет собой объектно-ориентированный метод моделирования процессов. Он состоит из 9-ти
различных диаграмм, каждая из которых позволяет моделировать отдельные статические или динамические аспекты процесса.
Большинство из указанных методов реализованы в виде программного обеспечения. Оно позволяет осуществлять поддержку бизнес-процессов или проводить их
анализ. Примерами такого ПО являются различные CASE средства моделирования процессов.
Кто моделирует бизнес-процессы
Обычно моделированием бизнес-процессов занимаются внутренние сотрудники компании или подрядчики. Выбор исполнителя зависит от размеров бизнеса и целей моделирования.
Например, если нужно построить воронку продаж для CRM и при этом нет цели улучшать процессы, можно строить модель можно своими силами. Когда цель моделирования в том, чтобы оптимизировать процессы, лучше обратиться к аналитикам. Для оптимизации нужно глубоко разобраться в процессах и ещё и думать над тем, как их доработать. Потребуется опыт и знание инструментов.
Рассмотрим, кто может заниматься моделированием процессов.
Собственник и сотрудники. В небольших компаниях лучше, чтобы процессы моделировал собственник: он знает свой бизнес и сможет подробно его описать. Самих процессов в таких компаниях немного, а сложная детализация обычно не нужна.
В компаниях покрупнее собственнику лучше привлекать к моделированию помощников: собрать команду из руководителей отделов и проработать основные процессы вместе. Например, процессы в отделе продаж лучше разбирать со старшим менеджером, а процессы в цехе — с главным инженером.
Подрядчики. В среднем и крупном бизнесе моделировать бизнес-процессы внутренними силами точно не получится — количество и объём всех процессов уже не укладываются в голове собственника.
В этом случае моделированием занимается экспертная группа. В неё входят приглашённые бизнес-аналитики и специалисты, участвующие в моделируемых процессах.
Моделирование как отдельную услугу заказывают редко. Чаще это один из этапов внедрения систем автоматизации — CRM, ECM или ERP. Это работает по такой схеме:
- Команда внедрения — подрядчик — приходит на территорию заказчика.
- Она описывает процессы, проводит аудит и составляет аналитический отчёт с вариантами оптимизации.
- Заказчик утверждает отчёт.
- Подрядчик внедряет систему автоматизации с уже оптимизированными процессами.
Результаты бизнес-моделирования
В процессе моделирования необходимо рассматривать компанию как систему взаимосвязанных и взаимодействующих процессов
Для этого важно уметь анализировать схемы и работать по ним. Главная цель — не нарисовать схему, а правильно ее
выстроить, создав условия для взаимодействия между структурами и подготовив фундамент для дальнейшего анализа.
Поверхностный и несистемный подход к моделированию бизнес-процессов зачастую приводит к тому, что моделирование не приносит ожидаемых результатов, а сами изменения непонятны ни руководству, ни сотрудникам. В конечном итоге попытка
внедрения оканчивается неудачей и систему моделирования бизнес-процессов забрасывают. Чтобы избежать такого исхода проекта, имеет смысл обратиться к помощи профессиональных консультантов.
Моделирование способно принести компании видимые преимущества:
-
за счет создания единой картины процессов повышается управляемость и контролируемость на всех уровнях;
-
уменьшаются сроки выполнения операций, снижаются расходы без потери качества;
-
формируется четкое понимание потребности в персонале, процесс найма становится более простым и эффективным;
-
благодаря системному подходу предприятие получает и использует возможности для роста, в том числе за счет эффективной работы филиалов;
-
улучшаются финансовые показатели.
Моделирование и анализ бизнес-процессов предприятия — действенный инструмент для оптимизации деятельности, повышения прибыли и успешного развития. Но все эти цели будут достигнуты при условии грамотного описания и
последовательного внедрения.
Как построить бизнес-модель
Существуют разные методики для построения бизнес-моделей, они созданы в разное время разными теоретиками менеджмента. Методики непохожи друг на друга. Мы расскажем о нескольких распространённых.
Первая — шаблон бизнес-модели, или Business Model Canvas. Она создана теоретиками Александром Остервальдером и Ивом Пинье. Модель Остервальдера популярна среди стартапов, IT-компаний и инноваторов.
Её суть в том, чтобы описать все бизнес-процессы компании на одном листе. Так выглядит шаблон, в который нужно вписать свои данные (чтобы увеличить изображение, откройте картинку в новой вкладке или перейдите по ссылке). В шаблоне есть вопросы, которые помогут его заполнить.
Чтобы открыть рисунок в полном размере, перейдите по ссылке. Формат подходит для печатиИнфографика: Майя Мальгина для Skillbox Media
Модель Остервальдера включает девять блоков, которые нужно описать:
- ценностное предложение;
- сегменты клиентов;
- взаимоотношения с клиентами;
- потоки доходов;
- каналы;
- структура издержек;
- ключевые ресурсы;
- ключевые действия;
- ключевые партнёры.
В результате получается наглядная концепция бизнеса, представленная в одной таблице. С ней можно экспериментировать: изменить один или несколько блоков и понять, как будет работать компания.
Чтобы проанализировать бизнес с помощью Business Model Canvas, воспользуйтесь гайдом по методике от Skillbox Media. В нём мы на примере Uber и Netflix разбираем, как заполнить шаблон. А также рассказываем, как с помощью канвы создавать инновационные модели для бизнесов, которых ещё нет на рынке.
Теоретики и предприниматели адаптировали Business Model Canvas для разных отраслей и задач. Самая известная адаптация — это версия канвы для новых компаний, запускающихся по технологии бережливых стартапов (Lean Startup). Здесь мы рассказываем, как использовать этот адаптированный Lean Canvas, а в этом материале знакомим с самой технологией Lean.
Альтернативный способ построить бизнес-модель — это навигатор, описанный в упомянутой книге «Бизнес-модели: 55 лучших шаблонов». Авторы разработали навигатор для создания инновационных моделей.
Чтобы разработать модель, предлагается ответить на четыре вопроса:
- Клиент — кто наши целевые клиенты?
- Ценностное предложение — что мы предлагаем клиентам? Как удовлетворяем потребности покупателей?
- Цепочка создания стоимости — как мы создаём свои продукты? Нужно описать процессы и действия, которые нужны для реализации ценностного предложения.
- Механизм извлечения прибыли — почему компания зарабатывает? Нужно объяснить, что делает финансовую модель жизнеспособной. Сколько компания тратит и сколько стоит её продукт?
Авторы утверждают, что все новые модели — это интерпретация одного из 55 описанных ими шаблонов. Чтобы создать инновационную модель, нужно дать новые ответы как минимум на два из четырёх вопросов. Это краткое содержание инструмента — он сложнее и включает алгоритм действий, стратегии генерации бизнес-идей и многое другое.
Кадр: сериал «Кремниевая долина»
Моделирование бизнес-процессов: основные понятия
Моделирование бизнес-процессов (Business Process Modeling) — один из методов повышения эффективности и прозрачности работы организации. В его основе лежит процессный подход к управлению: процессы описываются через присущие им
элементы — действия, данные, события, материалы. Полученное описание позволяет глубоко разобраться в бизнес-процессах, увидеть потенциал их улучшения и эффективно организовать взаимодействие всех участников.
Модель — это графическое или текстовое представление бизнес-процессов и логической взаимосвязи между ними. С ее помощью отображают два состояния процессов: как есть — текущая деятельность организации, и как должно быть
— ее будущее состояние после внесения изменений или улучшений.
Системное моделирование бизнес-процессов может быть выражено в виде блок-схем, диаграмм, таблиц, сценариев и т.д. Способы, выбранные для наглядного отображения элементов, называются методами моделирования.
2.2 Модель дискреционного контроля за доступом
2.2.1 Общее описание
Средства Дискреционного Контроля за Доступом (Discretionary Access Control — DAC) обеспечивают защиту персональных объектов в системе. Контроль является дискреционным в том смысле, что владелец объекта сам определяет тех, кто имеет доступ к объекту, а также вид их доступа.
Дискреционный контроль доступа управляет доступом субъектов к объектам базируясь на идентификационной информации субъекта и списка доступа объекта, содержащего набор субъектов (или групп субъектов) и ассоциированных с ними типов доступа (например чтение, запись). При запросе доступа к объекту, система ищет субъекта в списке прав доступа объекта и разрешает доступ если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Иначе доступ не предоставляется.
Гибкость DAC позволяет использовать его в большом количестве систем и приложений. Благодаря этому этот метод очень распространен, особенно в коммерческих приложениях. Очевидным примером использования DAC является система Windows NT/2k/XP (см. Диаграмму 2).
Диаграмма 2: Дискреционная модель контроля доступа Windows XP.
Однако DAC имеет существенный недостаток. Он заключается в том, что он не предоставляет полной гарантии того, что информация не станет доступна субъектам не имеющим к ней доступа. Это проявляется в том, что субъект имеющий право на чтение информации может передать ее другим субъектам, которые этого права не имеют, без уведомления владельца объекта. Система DAC не устанавливает никаких ограничений на распространение информации после того как субъект ее получил.
Еще одной особенностью DAC, которую можно отнести к недостаткам, является то, что все объекты в системе принадлежат субъектам, которые настраивают доступ к ним для других. На практике оказывается, что в большинстве случаев данные в системе не принадлежат отдельным субъектам, а всей системе. Наиболее распространенным примером такой системы является информационная система.
Классическая система дискреционного контроля доступа называется «закрытой» в том смысле, что изначально объект не доступен никому, и в списке прав доступа описывается список разрешений. Также существуют «открытые» системы, в которых по умолчанию все имеют полный доступ к объектам, а в списке доступа описывается список ограничений.
Не нужно стремиться построить 100% ролевую модель
Надо понимать, что построить 100% ролевую модель, обеспечив всеми необходимыми правами сотрудников каждой должности в крупной компании просто невозможно. Да это и не нужно. Ведь ролевая модель не может быть статичной потому, что она зависит от:
-
Постоянно меняющегося окружения.
-
Изменения бизнес-деятельности компании, которое влияет на изменение организационной структуры и функционала.
-
Отсутствия полного обеспечения ресурсами.
-
Несоблюдения должностных инструкций.
-
Стремления к прибыли в ущерб безопасности.
Нужно строить ролевую модель, которая сможет закрыть до 80% потребностей пользователей в необходимых базовых правах при назначении на должность. Остальные 20% они смогут, если нужно, получить как дополнительные привилегии позже по отдельным заявкам.
Конечно, может быть выстроена ролевая модель приближенная к 100% покрытию всех потребностей. Это может быть в организациях, которые не подвержены частым изменениям, например, научно-исследовательский институт или военная структура, где все подчиняется четким правилам и безопасность стоит на первом месте. Бывает, что роли можно разработать так, чтобы они полностью закрывали весь функционал как в крупной коммерческой структуре, так и в рамках отдельно-взятого подразделения, работа которого является достаточно статичным и предсказуемым процессом, где очень мало различий в доступе среди сотрудников.