Моделирование и разработка информационной системы формализации и актуализации прав доступа тема диссертации и автореферата по ВАК РФ 05.25.05, кандидат технических наук Родионова, Зинаида Валерьевна

ВВЕДЕНИЕ

Актуальность исследования. Эффективность функционирования современных автоматизированных информационных систем (далее - АИС) предприятия напрямую зависит от того, насколько соответствуют полномочия пользователя системы его должностным функциям. Признанным фактом является то, что расширение полномочий сверх необходимых приводит к увеличению непреднамеренных ошибок пользователя, росту рисков, связанных с несанкционированным доступом к данным. При недостаточных полномочиях возникают затруднения в выполнении сотрудником своей работы. Ситуация многократно усложняется если на предприятии функционирует несколько АИС, каждая из которых обладает своей системой разграничения доступа.

Формализованные полномочия в виде прав доступа получают свое отражение в настройках системы разграничения доступа АИС (например, Windows Active Directory, «КУБ», Microsoft SQL Server и др.), безопасное построение которых определяется формальной моделью. Существенный вклад в разработку формальных моделей внесли Гайдамакина H.A., Герасименко В.А., Грушо A.A., Девянина П.Н., ЗегждаД.П., Ивашко A.M., Neumann P., Ravi S. Sandhu, Ferraiolo D. и др. Несмотря на достаточно высокий уровень теоретических исследований в области формальных моделей доступа, их практическая реализация наталкивается на существенные трудности, связанные с формализацией, т. е. обеспечением соответствия абстрактных сущностей и процессов модели реальным объектам и правилам функционирования автоматизированных информационных систем и актуализацией прав доступа ввиду постоянных изменений бизнес-процессов.

Диссертационная работа посвящена вопросам моделирования и разработки информационной системы формализации и актуализации прав доступа, которая позволяет формировать множество прав доступа с точки зрения их необходимости и достаточности для выполнения пользователем его

функций исходя из потребностей бизнес-процесса, а также своевременно корректировать эти права при внесении изменений в бизнес-процесс.

Тема диссертации является актуальной, так как предложенная информационная система обеспечивает унифицированное и конструктивное решение проблемы формализации и актуализации необходимых и достаточных прав доступа, эффективно работающее в условиях частых организационных изменений, характерных в наше время и для бизнеса, и для госструктур.

Цель и задачи исследования. Целью исследования является создание модели информационной системы, предназначенной для формализации и актуализации прав доступа пользователей к ресурсам автоматизированных информационных систем на основе моделей бизнес-процессов предприятия, а так же разработка программных компонентов на ее основе.

Для достижения цели исследования были поставлены следующие задачи.

1. Определить структурные и функциональные требования к информационной системе формализации и актуализации прав доступа на основе анализа проблемы формализации и актуализации прав доступа пользователей к ресурсам АИС.

2. Предложить модель информационной системы формализации и актуализации прав доступа, реализующую принципы организации и структурирования данных в рамках концептуального, логического и физического проектирования систем.

3. Выполнить практическую реализацию предложенной модели информационной системы формализации и актуализации прав доступа. Объект и предмет исследования. Объектом исследования является

автоматизированная информационная система. Предметом - процесс формализации и актуализации прав доступа пользователей к ресурсам АИС.

Методы исследования. В качестве основных методов исследования применялись методы анализа бизнес-процессов, теории множеств, теории

построения и анализа алгоритмов, теории реляционных баз данных, теории построения объектно-ориентированных программных средств. Основные положения, выносимые на защиту.

1. Модель информационной системы, обеспечивающая формализацию и актуализацию прав доступа в условиях применения систем разграничения прав доступа, функционирующих с использованием различных формальных моделей.

2. Программные компоненты, позволяющие автоматизировано формировать и поддерживать в актуальном состоянии права доступа.

3. Информационная система формализации и актуализации прав доступа, разработанная с применением методов объектно-ориентированного программирования, а также концептуальных и нормализованных реляционных моделей данных.

Научная новизна работы заключается в следующем.

1. Предложена оригинальная модель информационной системы, практическая реализация которой позволяет транслировать информацию о полномочиях сотрудников, содержащуюся в модели бизнес-процессов в настройки прав системы разграничения доступа АИС.

2. Разработан новый алгоритм автоматизированного формирования элементов обобщенной модели разграничения прав доступа из модели бизнес-процесса на основе разработанных правил преобразования.

3. Разработан новый алгоритм актуализации прав доступа к ресурсам автоматизированных информационных систем на основе изменений в моделях бизнес-процессов предприятия.

Достоверность научных результатов обеспечивается полнотой анализа теоретических разработок, результатами функционально-стоимостного анализа и имитационного моделирования, положительными результатами апробации и

внедрения (прил. 1), а также положительной оценкой результатов на научных конференциях.

Практическая значимость. Разработанная информационная система формализации и актуализации прав доступа внедрена в рабочий процесс ряда предприятий. По результатам проведенного функционально-стоимостного анализа и имитационного моделирования, внедрение информационной системы формализации и актуализации прав доступа позволяет сократить финансовые затраты на управление доступом в 3,5-8 раз, что подтвердили и результаты внедрения в рабочий процесс. За счет внесения изменений в бизнес-процесс по результатам анализа угроз и уязвимостей снижается риск инсайдерских угроз. Результаты диссертационного исследования применяются в процессе создания систем защиты для информационных систем персональных данных.

Апробация диссертационной работы. Результаты диссертационной работы докладывались и обсуждались на следующих конференциях, школах и семинарах: «Компьютерная безопасность и криптография» (Красноярск, 2008); ПЕРСПЕКТИВА - 2009 (Таганрог, 2009); «Управление информационными ресурсами образовательных, научных и производственных организаций» (Магнитогорск, 2009); «Актуальные проблемы безопасности информационных технологий» (Красноярск, 2009); «Проблемы информационной безопасности в системе высшей школы» (Москва, 2011); Научно-практическая конференция преподавателей и аспирантов «Новосибирский государственный университет экономики и управления» (Новосибирск, 2007-2011); «Проблемы информационной безопасности государства, общества и личности» (Барнаул -Томск, 2010).

Результаты диссертационного исследования были апробированы в ходе проведения научно-исследовательских работ:

♦ «Russian Higher Education in Information Technology: an international APProach» в рамках гранта по программе «Tempus» (2009);

♦ Стипендиальная программа мэрии г. Новосибирска (2006-2007);

8

♦ Грант НГУЭУ «Разработка интегрированной информационной системы «Университет» Новосибирского государственного университета экономики и управления» (2006-2008);

♦ Грант НГУЭУ «Проектирование системы защиты персональных данных» (2010).

Кроме того, результаты исследования применяются в учебном процессе Новосибирского государственного университета экономики и управления и Новосибирского государственного медицинского университета.

Публикации. Основные положения диссертации изложены в 15 опубликованных научных работах.

Личный вклад автора. Все результаты, приведенные в диссертации, получены автором лично или в неделимом соавторстве с Пестуновой Т. М. Из печатных работ, опубликованных диссертантом в соавторстве, в текст диссертации вошли только те результаты, которые содержат непосредственный творческий вклад автора на всех этапах - от постановки задач до разработки правил, моделей, программных компонентов.

Структура и объем диссертации. Диссертация включает введение, три главы, заключение, библиографический список, содержащий 104 наименования, и 14 приложений. Общий объем работы 162 страницы, в том числе 39 рисунков и 7 таблиц.

Выводы по третьей главе

1. Построена система классов реализации для применения объектно-ориентированного подхода к программированию информационной системы формализации и актуализации прав доступа.

2. Реализованы алгоритмы информационной системы формализации и актуализации прав доступа с помощью языка Тгашас^С^Ь.

3. Результаты функционально-стоимостного анализа и имитационного моделирования подтвердили эффективность внедрения информационной системы формализации и актуализации прав доступа.

ЗАКЛЮЧЕНИЕ

В результате выполнения диссертационной работы была решена научно-практическая задача моделирования и разработки информационной системы формализации и актуализации прав доступа. Разработанная информационная система может быть использована для широкого круга задач управления правами доступа независимо от отрасли осуществления деятельности организации и призвана, с одной стороны, повысить уровень адекватности формализуемых прав доступа (с учетом динамики изменений), с другой - улучшить процесс интерпретирования реальной системы в формальную (математическую) модель безопасности.

Получены следующие основные результаты.

1. Основываясь на результатах проведенного анализа проблемы формализации и актуализации прав доступа пользователей к ресурсам АИС построена модель информационной системы для решения указанной проблемы.

2. Разработаны и зарегистрированы программные компоненты информационной системы формализации и актуализации прав доступа в виде алгоритмов.

3. По результатам проведенных исследований создана и зарегистрирована информационная система формализации и актуализации прав доступа, реализующая подход на основе анализа бизнес-процессов предприятия. Указанная система внедрена на ряде предприятий, в том числе для формирования матриц доступа в рамках создания и обеспечения функционирования систем защиты информационных систем персональных данных.

4. Проведен функционально-стоимостной анализ и получены оценки эффективности применения подхода управления правами доступа на основе анализа бизнес-процессов, которые подтверждены результатами практического внедрения и свидетельствуют о сокращении финансовых и временных затрат на процесс формализации и актуализации прав доступа.

В дальнейшем видится целесообразным расширить перечень сред бизнес-моделирования, которые можно использовать для управления правами доступа посредством информационной системы формализации и актуализации прав доступа.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. О персональных данных : федер. закон от 27.07.2006 г. № 152-ФЗ // Собрание законодательства РФ. - 2006. - № 31.

2. Инсайдерские угрозы в России-2009 [Электронный ресурс]. - Режим доступа:

http://perimetrix.ru/downloads/rp/PTX_Personal_Data_2009.pdf. -Загл. с экрана.

3. Родионова, 3. В. Управление процессом предоставления прав доступа на основе анализа бизнес-процессов / 3. В. Родионова, Т. М. Пестунова // Прикладная дискретная математика. - 2008. -№2.-С. 91-96.

4. Родионова, 3. В. Практические аспекты управления правами доступа / 3. В. Родионова, Т. М. Пестунова // Научно-методические и нормативные материалы и документы : IV Пленум СибРОУМО Сибирского регионального отделения учебно-методического объединения вузов России по образованию в области информационной безопасности : (материалы Пленума) : XII Всероссийская научно-практическая конференция «Проблемы информационной безопасности государства, общества и личности» : докл. конф., 8-13 июня 2010 г., Томск - Барнаул - Белокуриха : [сб. ст.] / [сост.: Е. Б. Белов (пред.), А. А. Шелупанов, А. С. Шатохин]. -Томск : В-Спектр, 2010. - С. 204-209.

5. Родионова, 3. В. Информационная система управления правами доступа на основе анализа бизнес-процессов / 3. В. Родионова, Т. М. Пестунова // Доклады Томского государственного университета систем управления и радиоэлектроники. Ч. 2. - 2010. -№2 (22).-С. 253-256.

6. Родионова, 3. В. Информационная система управления правами доступа / 3. В. Родионова // В мире научных открытий. - 2010. - № 4 (10).-С. 92-94.

7. Родионова, 3. В. Информационная система для автоматизированного управления правами доступа пользователей/ 3. В. Родионова// Сборник тезисов XII Всероссийской конференции молодых ученых по математическому моделированию и информационным технологиям. - Красноярск : ИВТ СО РАН, 2010. - С. 68.

8. Теория и практика обеспечения информационной безопасности / П. Д. Зегжда [и др.]. - М. : Яхтсмен, 1996.-302 с.

9. Зегжда, П. Д. Основы безопасности информационных систем / П. Д. Зегжда, А. М. Ивашко. - М. : Горячая линия-Телеком, 2000. -452 с.

10. Гайдамакин, Н. А. Разграничение доступа к информации в компьютерных системах / Н. А. Гайдамакин. - Екатеринбург : Изд-во Урал, ун-та, 2003. - 328 с.

11. Грушо, А. А. Теоретические основы защиты информации / А. А. Грушо, Е. Е. Тимонина. - М. : Яхтсмен, 1996. - 192 с.

12. Репин, В. В. Процессный подход к управлению. Моделирование бизнес-процессов / В. В. Репин, В. Г. Елиферов. - М. : СИА «Стандарты и качество», 2004. - 408 с.

13. Трудовой кодекс Российской Федерации от 31.12.2001 г. № 197-ФЗ // Российская газета. - 2001. - 31 дек. (№ 256).

14. Менеджмент процессов / Й. Беккер, Л. Вилкова, В. Таратухина, М. Кугилера, М. Роземанна ; под общ. ред. Й. Беккера. - М. : Эксмо, 2007. - 384 с.

15. Волчков, С. А. Моделирование для непрерывного улучшения бизнес-процессов на базе стандартов ERP и ISO 9001 / С. А. Волчков, И. В. Балахонова // Методы менеджмента качества. -2001.-№2. -С. 8.

16. Галеев, В. И. Кухня процессного подхода / В. И. Галеев, К. В. Пичугин // Методы менеджмента качества. - 2003. - № 4. - С. 12-21.

17. Методическое руководство «5 шагов к процессному управлению». -СПб. : Интелев, 2002. - 108 с.

18. Методы и модели информационного менеджмента : учеб. пособие / Д. В. Александров, А. В. Костров, Р. И. Макаров, Е. Р. Хорошева ; под общ. ред. А. В. Кострова. - М. : Финансы и статистика, 2007. -336 с.

19. Ковалёв, С. Секреты успешных предприятий: бизнес-процессы и организационная структура / С. Ковалёв, В. Ковалев. - М. : ГОЛОС-ПРЕСС, 2009. - 520 с.

20. ГОСТ Р ИСО 9001-2001. Системы менеджмента качества. Требования. - М. : ИПК Изд-во стандартов, 2001. - 26 с.

21. ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению деятельности. - М. : ИПК Изд-во стандартов, 2001. - 48 с.

22. Озерова, И. Г. Метод процессного управления предприятием на основе программных систем управления бизнес-процессами [Электронный ресурс] : дис. ... канд. техн. наук / И. Г. Озерова -Томск, 2007. - 171 с. - Режим доступа: http://diss.rsl.ru/diss/06/0583/060583024.pdf. - Загл. с экрана.

23. Родионова, 3. В. Процесс как инструмент управления правами доступа / 3. В. Родионова // Сборник трудов Первой всероссийской молодежной конференции по проблемам информационной безопасности «ПЕРСПЕКТИВА-2009». - Таганрог, 2009. - С. 128130.

24. Родионова, 3. В. Бизнес-процесс как основа построения системы управления правами доступа /3. В. Родионова// Управление информационными ресурсами образовательных, научных и производственных организаций. - Магнитогорск : МаГУ, 2009. - С. 239-241.

25. Родионова, 3. В. Использование моделей бизнес-процессов для управления правами доступа/ 3. В. Родионова // Материалы Всероссийской научно-практической конференции «Модель российской экономической системы: тенденции, проблемы и перспективы целеполагания и отраслевого менеджмента». -Волгоград, 2010. - С. 268-271.

26. Девянин, П. Н. Модели безопасности компьютерных систем / П. Н. Девянин. - М. : Академия, 2005. - 144 с.

27. Гайдамакин, Н. А. Разграничение доступа к информации в компьютерных системах. Ч. 1 / Н. А. Гайдамакин // Защита информации. Конфидент. - 2001. - № 3 (39). - С. 73-79 ; Ч. 2. - № 4 (40).-С. 73-80.

28. Корт, С. С. Теоретические основы защиты информации / С. С. Корт. - М. : Гелиос АРВ, 2004. - 240 с.

29. Шелупанов, А. А. Системный анализ в защите информации / А. А. Шелупанов, А. А. Шумский. - М. : Гелиос АРВ, 2005. - 224 с.

30. Ferraiolo, D. F. Role Based Access Control / D. F. Ferraiolo, D. R. Kuhn // 15th National Computer Security Conference. - 1992. - P. 554-563.

31. Теоретические основы компьютерной безопасности / П. Н. Девянин, О. О. Михальский, Д. И. Правиков, А. Ю. Щербаков. - М. : Радио и связь, 2000. - 192 с.

32. Harrison, М. A. On Protection in Operating Systems / M. A. Harrison, W. L. Ruzzo, J. D. Ullman // Communications of the ACM. - 1975. - P. 14-25.

33. Hartson, R. Languages for Specifying Protection Requirements in Data Base Systems (Part I) / R. Hartson, D. K. Hsiao // Computer and Information Science Research Center. - Ohio : Ohio State University, 1975.-P. 10-74.

34. Sandhu, R. Role-Based Access Control / R. Sandhu // Advanced in Computers. - 1998. - Vol. 46.

35. Bell, L. E. Secure Computer System: A Mathematical Model / L. E. Bell, L. J. LaPadula // Technical Report 2547. MITRE Corp. - 1973. - Vol. II. -P. 10-24.

36. Lendwehr С. E. A security models for military message system / С. E. Lendwehr, C. L. Heitmeyer, J. McLean // ACM transactions of computer systems. - 1984.

37. Зегжда, Д. П. Общая схема мандатных моделей безопасности и ее применение для доказательства безопасности систем обработки информации / Д. П. Зегжда // Проблемы информационной безопасности. Компьютерные системы. - 2000. - № 2.

38. Смирнов, С. Н. Безопасность систем баз данных / С. Н. Смирнов. -М. : Гелиос АРВ, 2007. - 352 с.

39. American National Standard for Information Technology - Role Based Access Control (DRAFT - 4/4/2003). - USA : American National Standards Institute. - 2003. - 49 p.

40. Jaeger, T. Rebuttal to the NIST rbac model proposal / T. Jaeger, T. Tidswell // Proceedings, 5th ACM Workshop on Role-Based Access Control. - Berlin. - 2000. - July 26-27. - P. 65-66.

41. A Proposed Standard for Role-Based Access Control / D. Ferraiolo, R. Sandhu, S. Gavrila, D.R. Kuhn, R. Chandramouli // ACM Transactions on Information and System Security. - 2001. - Vol. 4, № 3.

42. Галатенко, В. А. Стандарты информационной безопасности / В. А. Галатенко. - М. : Интернет-Университет Информационных Технологий, 2004. - 264 с.

43. Coyne, Е. J. Role engineering / Е. J. Coyne // In Proc. of the ACM Workshop on Role-Based Access Control. - 1996.

44. Ferraiolo, D. Role-based access control. In 15th NIST-NCSC National Computer Security Conference / D. Ferraiolo, R. Kuhn // Baltimore MD. - 1992. - October 13-16. - P. 554-563.

45. Белим, С. В. Иерархические структуры ролевой модели разграничения доступа / С. В. Белим, Н. Ф. Богаченко // Актуальные проблемы безопасности информационных технологий : материалы III Междунар. науч.-практ. конф. / под общ. ред. О. И. Жданова, В. В. Золотарева. - Красноярск : Изд-во Сиб. гос. аэрокосмич. ун-та, 2009.-С. 45-51.

46. О'Лири, Д. ERP системы. Современное планирование и управление ресурсами предприятия. Выбор, внедрение, эксплуатация / Д. О'Лири. - М. : Вершина, 2004. - 272 с.

47. Смирнова, Г. H. Проектирование экономических информационных систем : учебник / Г. Н. Смирнова, А. А. Сорокин, Ю. Ф. Тельнов ; под общ. ред. Ю. Ф. Тельнова. - М. : Финансы и статистика, 2001. -512 с.

48. Крылович, А. В. Информационные технологии в управлении предприятием [Электронный ресурс] / А. В. Крылович // Корпоративный менеджмент. - 2008. - Режим доступа: http://www.cfin.ru/itm/kis/tops.shtml. - Загл. с экрана.

49. Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения» [Электронный ресурс]. -М. : ГТК, 1992. - Режим доступа: http://www.fstec.ru/_razd/_ispo.htm. - Загл. с экрана.

50. Родионова, 3. В. Технологии управления проектами : учеб. пособие / 3. В. Родионова, О. М. Проталинский, Ю. В. Проталинская. -Саратов : СГТУ, 2009. - 201 с.

51. Родионова, 3. В. Управление проектами и программами : учеб. пособие / 3. В. Родионова. - Новосибирск : СибАГС, 2010. - 156 с.

52. Точилов, JI. С. Модель управления предоставлением сервисов населению на основе ITIL / Л. С. Точилов, Е. С. Крылов // Научные труды «Инновационные процессы и социально-экономическое развитие». Муниципальный вып. II. - М. : Граница, 2004. - С. 178198.

53. IT Governance Institute - IT Assurance Guide: Using CobiT, 2007. -286 p.

54. ГОСТ P ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. -Введ. 2007-01-01. -М. : Стандартинформ, 2006.

55. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. - Введ. 2008-02-01. - М. : Стандартинформ, 2008.

56. Демурчев, Н. Г. Проектирование системы разграничения доступа автоматизированной информационной системы на основе функционально-ролевой модели на примере высшего учебного заведения [Электронный ресурс] : дис. ... канд. техн. наук / Демурчев Н. Г. - Ставрополь, 2006. - 170 с. - Режим доступа: http://diss.rsl.ru/diss/06/0583/060583024.pdf. - Загл. с экрана.

57. Робсон, М. Практическое руководство по реинжинирингу бизнес-процессов : пер. с англ. / М. Робсон, Ф. Уллах. - М. : Аудит : Юнити, 2003.-222 с.

58. Харрингтон, Дж. Оптимизация бизнес-процессов: Документирование, анализ, управление, оптимизация / Дж. Харрингтон, К. С. Эсселинг, X. В. Нимвеген. - СПб. : Азбука : Бмикро, 2002. - 328 с.

59. Оймах, Е. Г. Реинжиниринг бизнеса: реинжиниринг организаций и информационных технологий / Е. Г. Оймах, Э. В. Попов. - М. : Финансы и статистика, 1997. - 336 с.

60. Руководящий документ «Методология функционального моделирования ГОЕРО». - М. : Изд-во стандартов, 2000. - 75 с.

61. Проектирование системы управления. Методика [Электронный ресурс]. - Самара : СГУ-софт, 2009. - Режим доступа: http://businessstudio.ru/files/metodika_proektirovanie_sistemy_upravlenl .ya.doc. - Загл. с экрана.

62. Ковалев, С. М. Бизнес-процессы, основные стандарты их описания / С. М. Ковалев // Справочник экономиста. - 2006. - № 11.-С. 10-15.

63. Волков, Ю. Новый взгляд на описание бизнес-процессов / Ю. Волков // PC Week / RE. - 2005. - № 34. - С. 42-55.

64. Аналитическое исследование «Управление бизнес-процессами в 2008 году - тенденции и перспективы» [Электронный ресурс]. -Режим доступа: http://www.ids-

scheer.ru/set/240/BPM_Research_IDS_Scheer_Russia.pdf. - Загл. с экрана.

65. Вендеров, А. М. Case-технологии. Современные методы и средства проектирования информационных систем / А. М. Вендеров. - М. : Финансы и статистика, 1998. - 176 с.

66. Войнов, И. В. Моделирование экономических систем и процессов. Опыт построения ARIS-моделей : монография / И. В. Войнов, С. Г. Пудовкина, А. И. Телегин. - Челябинск : Изд-во ЮУрГУ, 2002. - 392 с.

67. Моделирование бизнеса. Методология ARIS / М. С. Каменнова, А. И. Громов, М. М. Ферапонтов, А. Е. Шматалюк. - М. : Весть-МетаТехнология, 2001.-321 с.

68. Шеер, А. В. Бизнес-процессы. Основные понятия. Теория. Методы / А. В. Шеер. - М. : Весть-МетаТехнология, 1999. - 152 с.

69. Отчет о проведении научно-исследовательской работы «Разработка методических рекомендаций по описанию и оптимизации процессов в органах исполнительной власти в рамках подготовки внедрения ЭАР» [Электронный ресурс]. - М. : ВШС, 2004. - Режим доступа: http://www.bigc.ru. - Загл. с экрана.

70. Шеер, А. В. Моделирование бизнес-процессов / А. В. Шеер. - М. : Весть-МетаТехнология, 2000. - 205 с.

71. Анфилатов, В. С. Системный анализ в управлении : учеб. пособие / В. С. Анфилатов, А. А. Емельянов, А. А. Кукушкин. - М. : Финансы и статистика, 2003. - 368 с.

72. Neumann, G. Senariodriven Role Engineering Process for Functional RBAC Roles / G. Neumann, M. A. Strembeck ; Department of Information Systems, New Media Lab. - Vienna : Vienna University of Economics and В A, Austria. - 2004.

73. Волков, Ю. Диаграммы для описания бизнес-процессов / Ю. Волков // PC Week / RE. - 2006. - № 35. - С. 39-40.

74. Калянов, Г. Н. Теория и практика реорганизации бизнес-процессов / Г. Н. Калянов. - М. : СИНТЕГ, 2000. - 212 с.

75. Замятина, О. М. Моделирование и комплексный анализ бизнес-процессов предприятия [Электронный ресурс] : дне. ... канд. техн. наук / О. М. Замятина. - Томск, 2004. - 135 с. - Режим доступа: http://diss.rsl.ru/diss/06/0583/060583024.pdf. - Загл. с экрана.

76. Алгоритм: модель анализа угроз и уязвимостей [Электронный ресурс]. - СПб. : Digital Security, 2009. - Режим доступа: http://www.dsec.ru/products/grif/fiilldesc/risk_analysis/. - Загл. с экрана.

77. Герасименко, В. А. Основы защиты информации / В. А. Герасименко, А. А. Малюк. - М.: МИФИ, 1997. - 537 с.

78. Безбогов, А. А. Методы и средства защиты компьютерной информации : учеб. пособие / А. А. Безбогов, А. В. Яковлев, В. Н. Шамкин. - Тамбов : Изд-во Тамбов, гос. техн. ун-та, 2006. -196 с.

79. Вихорев, С. В. Как узнать - откуда напасть или откуда исходит угроза безопасности информации / С. В. Вихорев, Р. Ю. Кобцев // Защита информации. Конфидент. - 2002. - № 2. - С. 44-49.

80. Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» [Электронный ресурс]. - М. : ГТК, 1992. - Режим доступа: http://www.fstec.ru/_docs/doc_3_3_003.htm. - Загл. с экрана.

81. Гедро, Г. К. Разработка методики и моделей управления изменениями бизнес-процессов [Электронный ресурс] : дис. ... канд. экон. наук / Гедро Г. К. - М., 2008. - 141 с. - Режим доступа: http://diss.rsl.ru/diss/06/0583/060583024.pdf. - Загл. с экрана.

82. Дафт, Р. Д. Менеджмент / Р. Д. Дафт. - СПб. : Питер, 2000. - 832 С.

83. Петракова, Е. Е. Управление изменениями в корпорации [Электронный ресурс] / Е. Е. Петракова, JL И. Бушуева // Корпоративное управление и инновационное развитие Севера : Вестник Научно-исследовательского центра корпоративного права, управления и венчурного инвестирования Сыктывкарского государственного университета. - 2005. - № 3. - Режим доступа: http://koet.syktsu.ru/vestnik/2005/2005-3/13.htm. - Загл. с экрана.

84. Норберт, Т. Управление изменениями [Электронный ресурс] / Т. Норберт // Проблемы теории и практики управления. - 1998. - № 1. - Режим доступа: http://bigc.ru/publications/other/upr_izm.php. -Загл. с экрана.

85. Алексеев, Н. Управление изменениями [Электронный ресурс] / Н. Алексеев // OFFICE FILE. - 2002. - № 46. - Режим доступа: http://archive.officemart.ru/links_article_1390.htm. - Загл. с экрана.

86. Гедро, Г. К. Разработка метода управления изменениями процессов деятельности организации / Г. К. Гедро // Сборник научных трудов в 14 т. Т. 10. Интеллектуальные системы и технологии. - М. : МИФИ, 2008.-С. 252.

87. Гедро, Г. К. Технология управления изменениями организации / Г. К. Гедро // Труды 10-й российской научно-практической конференции «Реинжиниринг бизнес-процессов на основе современных информационных технологий. Система управления знаниями». - М. : МЭСИ, 2007.

88. Гедро, Г. К. Коллаборативное взаимодействие участников управления изменениями процессов вуза при стратегическом и оперативном планировании / Г. К. Гедро, Е. А. Косова // Университетское управление: практика и анализ. - 2007. - № 5 (51). -С. 16-29.

89. Гедро, Г. К. Технология управления изменениями процессов ВУЗа при внедрении и реализации сбалансированной системы показателей на основе коллаборативных технологий / Г. К. Гедро, Е. А. Косова // Аудит и финансовый анализ. - 2007. - № 6. - С. 1628.

90. Бримсон Дж. Процессно-ориентированное бюджетирование. Внедрение нового инструмента управления стоимостью компании / Дж. Бримсон, Дж. Антос при участии Дж. Коллинза ; пер. с англ. В. Д. Горюновой ; под общ. ред. В. В. Неудачина. - М. : Вершина, 2007.-306 с.

91. Программа для ЭВМ. Информационная система формализации и актуализации прав доступа «ВштеБзРгосеззЗесигЦу» / 3. В. Родионова, Т. М. Пестунова,. - Свидетельство об официальной регистрации № 2011615409 от 19.10.2011.

92. Лешек, А. Анализ требований и проектирование систем. Разработка информационных систем с использованием UML / А. Лешек. - М. : Вильяме, 2002. - 432 с.

93. Фаулер, М. UML. Основы / М. Фаулер, К. Скотт. - СПб. : Символ-Плюс, 2002.- 192 с.

94. Родионова, 3. В. Технология управления изменениями прав доступа на основе анализа бизнес-процессов / 3. В. Родионова // Вестник НГУЭУ. - 2011. - № 1.-С. 16-21.

95. Кадыев, Т. Синтез процессов и их организация. Методические рекомендации [Электронный ресурс] / Т. Кадыев. - Самара : СГУ-софт, 2009. - Режим доступа: http://businessstudio.ru/files/synthesis_of_proccesses_tkadyev.doc. -Загл. с экрана.

96. Коннолли Т. Базы данных. Проектирование, реализация и сопровождение. Теория и практика / Т. Коннолли, К. Берг. - М. : Вильяме, 2003. - 1440 с.

97. Райордан Р. Основы реляционных баз данных / Р. Райордан. - М. : Русская Редакция, 2001. - 384 с.

98. IEEE Std 1320.1-1998. IEEE Standart for Functional Modeling Language - Syntax and Semantics for IDEF0. - New York : IEEE, 1998. - 115 p.

99. Верников, Г. Основные методологии обследования организаций. Стандарт IDEF0 [Электронный ресурс] / Г. Верников // Корпоративный менеджмент. - 2000. - Режим доступа: http://www.cfin.ru/vernikov/idef/idefO.shtml. - Загл. с экрана.

100. Марка, Д. А. Методология структурного анализа и проектирования 8АБТ / Д. А. Марка, К. МакГоуэн. - М. : Метатехнология, 1993. -240 с.

101. Балыпаков, А. С. Моделирование в менеджменте : учеб. пособие / А. С. Балыпаков. - М. : ЮНИТИ, 2000. - 464 с.

102. Гордашникова О. Ю. Функционально-стоимостной анализ качества продукции и управления маркетингом на предприятии / О. Ю. Гордашникова. - М. : Альфа-Пресс, 2006. - 88 с.

103. Алгоритм автоматизированного формирования элементов обобщенной модели разграничения прав доступа на основе модели бизнес-процессов предприятия / 3. В. Родионова, Т. М. Пестунова. - Свидетельство о регистрации электронного ресурса Объединенного фонда электронных ресурсов «Наука и образование» № 16615 от 13.01.2011.

104. Алгоритм актуализации прав доступа к ресурсам автоматизированных информационных систем на основе изменений в моделях бизнес-процессов предприятия / 3. В. Родионова, Т. М. Пестунова,. - Свидетельство о регистрации электронного ресурса Объединенного фонда электронных ресурсов «Наука и образование» № 17400 от 08.09.2011.