Рассмотрим компоненты АДП-систем высшего класса.
Методология описания деловых процессов. В настоящее время без адекватной методологии трудно проектировать сложные деловые процессы. Это в основном связано с тем, что деловые процессы не являются некой жесткой структурой и меняются в течении жизни предприятия по самым разным причинам. К таким причинам можно отнести как изменяющиеся внешние условия жизни предприятия, так и естественное желание руководителя оптимизировать внутренние деловые процессы с целью высвобождения ресурсов и экономии средств. В результате мы имеем задачу с неопределенными внешними условиями. Следовательно, ее можно решать только через некий абстрактный уровень, который можно легко и быстро модернизировать и приводить соответствие с настоящей или желаемой ситуацией. Далее АДП- приложение использует этот абстрактный уровень для своей работы. В настоящее время с методологией описания деловых процессов существуют определенные проблемы. Самой распространенной методологией на сегодняшний день является методология направленного графа. Истоки этой методологии лежат в истоках АДП- систем. Первые АДП- системы были созданы для деловых процессов производственного (даже, конвейерного) толка, где сотрудники выполняли роль неких автоматов, работающих над конкретной технологической операцией. Сотрудник мог только выполнить операцию и отрапортовать об ее выполнении. В некоторых случаях он мог произвести выбор между несколькими состояниями и принять решение о дальнейшем направлении движения делового процесса. В дальнейшем АДП-системы стали применять для задач управления предприятием. Здесь такая методология не совсем подходит и вот почему. Во-первых она совершенно не учитывает влияние человека на конкретный деловой процесс. Если в конвейерной задаче, мы можем им пренебречь, то в разработке контракта, где человек является главной производящей силой - нет. Влияние человека на конкретный бизнес-процесс огромно. Оно может носить как отрицательный характер - человек забывает, поступает вопреки логике, просто не хочет выполнять ту или иную работу, так и положительный характер - человек проявляет творчество, изобретательность при исполнении делового процесса. В том случае если методология не учитывает реалии жизни, то она все свои недостатки перенесет в АДП-приложение. Среди методологий, пытающихся сделать фокус на человеке, как главной производительной делового процесса можно отметить методологию компании Action Technologies. В качестве элементарной составляющей делового процесса, она рассматривает некий цикл, который построен между заказчиком и исполнителем работы. В этот цикл включены все возможные действия, которые могут возникнуть в процессе взаимодействия двух сотрудников, например, отказ от выполнения работ, контрпредложение, отклонение контрпредложения и т.п. Цикл имеет следующие параметры: условия завершения, время завершения и стоимость процесса. Грубо говоря, цикл от Action - это заранее преопределенная совокупность направленных графов, которая полностью описывает взаимодействие двух персон. Последовательно запрещая все возможные действия Вы можете свести весь цикл к одному графу, который соединяет двух персон. Данная методология особенно хороша тем, что она целостна (система не допустит не замкнутой схемы), а это означает, что ни одно задание не потеряется и не зайдет в тупик.
Обычно к методологии прикладывается графический редактор, который позволяет в удобной форме проектировать карты деловых процессов.
Преобразователь методологии в конкретное АДП- приложение. Данный модуль выступает связным звеном между методологией и конкретным АПД- приложением. Обычно это некий конвертор, который, исходя из карты деловы процессов и их заданных параметров, как то роли, персоны, время исполнения и т.п., формирует базу данных с соответствующей структурой и наполнением, а также создает триггера, которые отслеживают выполнение бизнес-правил.
Модуль исполнения АДП-приложения. Данный модуль взаимодействует со сформированными преобразователем методологии данными, программами и исполняет их.
Рабочее пространство пользователя. Можно сказать, что речь идет о рабочем месте пользователя и его интерфейсе. Он может быть отдельно стоящим, встроенным в какое-либо приложение или использующим для своей работы интерфейсы других программ. Каким бы образом интерфейс пользователя не был бы организован, сколько кнопочек и бантиков на нем бы ни было, построение у всех одно и тоже. Это окно входящих заданий к пользователю и окно исходящих заданий от пользователя. Для каждого задания показывается его состояние и прочие его характеристики.
Кроме составных частей, которые описывают практически любую АДП-систему, необходимо помнить, что АДП-системы не должны работать напрямую со списком конкретных сотрудников, а только через список ролей, которые могут исполнять конкретные сотрудники. Использование ролей позволяет:
связывать структуру предприятия с конкретными деловыми процессами, что очень немаловажно
связывать деловые процессы с ролями, а не сотрудниками, что имеет, естественно, более общую постановку. "Есть сотрудник, нет сотрудника, обязанности все равно остаются".
динамически переназначать сотрудников на роли, что позволит системе более гибко реагировать на изменения, происходящие на предприятии.
более гибко управлять заданиями. Например, посылать задание на исполнение всем "менеджерам" и т.д.
После того, как мы обрисовали то, какие бывают и из чего состоит АДП-система, необходимо поговорить об архитектуре построения систем. Относительно архитектурного построения таких систем идут большие дебаты между специалистами в этой области. Но мир устроен таким образом, что не существует абсолютного оружия для всех целей. И ставить вопрос, что лучше, не разумно. Лучше спросить, что лучше в моем случае, для моей конкретной задачи. Обратимся к архитектурным моделям. В основном, они различаются по типу ориентации
Ориентированы на документ. В своей основе они рассматривают документ и процесс его движения между сотрудниками. Системы, ориентированные на документ, в своем архитектурном построении идут от почтовых систем. Самой сильной стороной такой модели является поддержка удаленных пользователей и офисов, поддерживать работоспособность системы в самых разнообразных операционных и сетевых средах, поддерживать множество типов клиентов и серверов. Величайшая слабость такого подхода - это сложность в управлении правилами деловых процессов. Так система не предназначена с самого начала отслеживать деловой процесс, все попытки сохранить информацию в недрах системы не приводят к приемлемому результату. При таком подходе часто бывает трудно, а иногда невозможно, определить текущий статус данного делового процесса. Кроме того, в приложениях, которые построены на таком подходе и которые маршрутизируют документ, документ становится недоступным никому, кроме получателя почты. Это довольно значительное ограничение в приложениях, когда требуется непрерывный доступ к документу.
Данные системы возникли от попыток не просто автоматизировать движение документов, а от попыток взглянуть на весь процесс управления предприятием в целом. Соответственно, основная логика построения таких систем выглядит следующим образом, деловой процесс-задание-документ. К заданию может быть прикреплен документ, а может и нет. В реальной жизни, подход от задания или делового процесса является более общим в документоориентированном подходе. Поэтому внимание уделяется не только поддержке документа ( в реальных системах, эти функции отдаются на откуп системам управления документами, см. выше), а в основном поддержке деловых процессов. Единственным местом, где можно хранить и обслуживать информацию о деловых процессах является база данных со всеми ее преимуществами и недостатками. В таком случае мы можем следить за состоянием и историей каждого задания и каждого делового процесса. Но мы получаем и определенные недостатки, связанные с трудностью организации распределенных систем и особенно с поддержкой удаленных пользователей. В случае, когда удаленный пользователь может регулярно подсоединяться к центральной базе данных, то эти проблемы решаются, но что делать если он находится в Владивостоке и единственная надежная связь - это электронная почта.
Какую модель выбрать для своей системы, это в основном зависит от Вас, от стиля работы Вашего предприятия, от задач, которые стоят перед Вами. В жизни никогда не побеждают крайности и последние версии ряда АДП-систем доказывают нам это. Корпорация KeyFile выпустила новую АДП-систему, которая в качестве транспортного механизма использует Microsoft Exchange, а объектную базу данных собственной разработки для информационного хранилища для деловых процессов. Также имеет право на жизнь и обратный подход, к существующей АДП-системе, основанной на базе данных прицепить почтового клиента, который поддерживает удаленных пользователей.
Все вышеизложенное выше не претендует на всесторонний анализ проблемы работы с электронными документами, но он может быть оказаться полезным для выбора той или иной системы. В данном обзоре не делалась попытка дать какие-либо рекомендации по выбору того или иного конкретного программного продукта, так как рекомендации должны быть всегда привязаны к конкретным требованиям и условиям заказчика. Компания ВЕСТЬ - Метатехнология имеет в своем портфеле набор программных продуктов и технологий, которые закрывает определенные задачи по консалтингу, управления документами ( организационно - распорядительными, чертежно-конструкторскими, финансовыми) и управления деловыми процессами. Но понимая то, что каким бы хорошим продукт не был, он не решит все задачи, которые иногда возникают в гениальном мозгу заказчика, нам пришлось обобщая накопленный опыт создавать новые программные продукты, которые дополняют функционал уже имеющихся. Почему же не написать все с нуля, задаст вопрос проницательный читатель. Идеи написания своей операционной системы, системы управления документами и подобных сложных управляющих комплексов посещают людей или никогда не писавших программы в своей жизни, либо не желающих оглядеться вокруг и посмотреть, что, кто делает. Поэтому наша позиция сейчас следующая: от продуктов и технологий, которые максимально соответствуют всем принципам изложенным выше и решает все функции с багажом имеющегося опыта выполненных и работающих проектов создавать программно-аппаратные комплексы, представляющие представляют собой единый сбалансированный комплекс, удовлетворяющий требованиям Заказчика на 101 процент.
5.5. Правовые основы деятельности в госслужбе по защите информации от несанкционированного доступа
О категориях информации
При разработке законодательных и других правовых и нормативных документов, а также при организации защиты информации важно правильно ориентироваться во всем блоке действующей законодательной базы в этой области.
Проблемы, связанные с правильной трактовкой и применением законодательства Российской Федерации в этой области, периодически возникают в практической работе по организации защиты информации от ее утечки по техническим каналам, от несанкционированного доступа к информации и от воздействий на нее при обработке в технических средствах информатизации (далее - защита информации), а также в ходе контроля эффективности принимаемых мер защиты. В частности, такие вопросы возникают применительно к трактовке содержания категорий "служебная тайна" и "конфиденциальная информация".
Базовым законом в области защиты информации является принятый в начале 1995 года Федеральный Закон "Об информации, информатизации и защите информации" (далее для краткости - "Закон об информации"), который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
В соответствие с этим Законом должны быть приведены ранее изданные Президентом Российской Федерации и Правительством Российской Федерации правовые акты, а также все законодательство России (статья 25 Закона).
Закон гласит:
информационные ресурсы делятся на ГОСУДАРСТВЕННЫЕ и НЕГОСУДАРСТВЕННЫЕ (статья 6, часть 1);
государственные информационные ресурсы Российской Федерации формируются в соответствии со сферами ведения как: федеральные информационные ресурсы; информационные ресурсы, находящиеся в совместном ведении Российской Федерации и субъектов Российской Федерации; информационные ресурсы субъектов Российской Федерации (статья 7, часть 1);
государственные информационные ресурсы являются ОТКРЫТЫМИ и ОБЩЕДОСТУПНЫМИ. Исключение составляет документированная информация, отнесенная законом к категории ОГРАНИЧЕННОГО ДОСТУПА (статья 10, часть 1);
документированная информация с ограниченного доступа по условиям ее правового режима подразделяется на информацию, отнесенную к ГОСУДАРСТВЕННОЙ ТАЙНЕ, и КОНФИДЕНЦИАЛЬНУЮ (статья 10, часть 2).
конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации (статья 2);
ПЕРСОНАЛЬНЫЕ ДАННЫЕ о гражданах, включаемые в состав федеральных информационных ресурсов, информационных ресурсов совместного ведения, информационных ресурсов субъектов Российской Федерации, информационных ресурсов местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (статья 11, часть 1).
Из этого Закона следует:
информация из любой области знаний и деятельности в принципе является открытой и общедоступной, если законодательством не предусмотрено ограничение доступа к ней в установленном порядке;
категория "конфиденциальная информация", в соответствии с понятием, приведенным выше из статьи 2 "Закона об информации", объединяет все виды защищаемой информации (тайн). Это относится и к государственным и к негосударственным информационным ресурсам. При этом, исключение составляет информация, отнесенная к государственной тайне: она к конфиденциальной информации не относится, а является составной частью информации с ограниченным доступом (основание - статья 10, часть 2 указанного Закона). Этому положению "Закона об информации" не соответствует статья 8 Федерального закона "Об участии в международном информационном обмене" (1996 год), в которой делается ссылка на государственную тайну "ИЛИ ИНУЮ конфиденциальную информацию" (то есть информация, составляющая государственную тайну, является здесь составной частью конфиденциальной информации).
Отнесение информации к категориям осуществляется:
к государственной тайне - в соответствии с Законом Российской Федерации "О государственной тайне";
к конфиденциальной информации - в порядке, установленном законодательством РФ;
к персональным данным о гражданах - федеральным законом.
Для наглядности категории государственных информационных ресурсов можно представить следующим образом:
Информация с ограниченным доступом | |||
ОТКРЫТАЯ ОБЩЕДОСТУПНАЯ ИНФОРМАЦИЯ во всех областях знаний и деятельности | Информация, отнесенная к государственной тайне | Конфиденциальная информация | Персональные данные о гражданах (относятся к категории конфиденциальной информации, но регламентируются отдельным законом) |
О режимах защиты информации
В соответствии с "Законом об информации" режим защиты информации устанавливается (статья 21):
в отношении сведений, отнесенных к ГОСУДАРСТВЕННОЙ ТАЙНЕ, - уполномоченными органами на основании Закона Российской Федерации "О государственной тайне";
в отношении конфиденциальной информации - СОБСТВЕННИКОМ информационных ресурсов или уполномоченным лицом на основании "Закона об информации";
в отношении персональных данных - отдельным федеральным законом.
Принципиальным здесь является положение, что режим защиты конфиденциальной информации определяет ее собственник, то есть соответствующий орган государственной власти или управления, организация, учреждение, предприятие.
О категории "служебная тайна"
Категория "СЛУЖЕБНАЯ ТАЙНА" ранее применялась для обозначения сведений ведомственного характера с грифом "секретно" и за ее разглашение предусматривалась уголовная ответственность. В настоящее время эта категория из Уголовного кодекса изъята и в прежнем ее понимании из правового поля исчезла в связи с принятием в июле 1993 года Закона "О государственной тайне" по двум причинам:
во-первых, информация с грифом "секретно" теперь составляет государственную тайну;
во-вторых, применение грифов секретности для других категорий информации не допускается в соответствии со статьей 8 указанного Закона.
Вместе с тем, Гражданским кодексом Российской Федерации, введенным в действие с 1995 года, предусмотрена категория "служебная тайна" в сочетании с категорией "коммерческая тайна".
Статья 139 Кодекса гласит:
Информация составляет служебную или коммерческую тайну в случае, если информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Из этого следует, что произошло изменение содержания категории "служебная тайна": с января 1995 года под ней (по аналогии с коммерческой тайной в негосударственных структурах) понимается служебная информация в государственных структурах, имеющая коммерческую ценность. В отличие от коммерческой тайны (в коммерческих структурах) защищаемая государством конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных структурах еще может быть информация, имеющая политическую или иную ценность. Поскольку к служебной тайне она не относится, ей необходимо присваивать гриф "конфиденциально" или иной гриф (к примеру, "для служебного пользования", применяемый в органах исполнительной власти и установленный постановлением Правительства Российской Федерации от 3 ноября 1994 г. N 1233).
Такая трактовка категории "служебная тайна" соответствует проекту Федерального закона "О коммерческой тайне", где предусмотрено при передачи информации с грифом "коммерческая тайна" в государственные органы охранять ее как служебную тайну (статья 18, часть 1 проекта Закона).
За разглашение служебной тайны уголовная ответственность новым Уголовным кодексом РФ не предусмотрена, в отличие от коммерческой тайны (статья 183).
Изложенное можно проиллюстрировать следующим образом:
Информация, отнесенная к государственной тайне, гриф | Информация, составляющая служебную тайну, гриф | ||||
Основание и время действия | "ОВ" | "сов.секретно" | "секретно" | "секретно" | представляющая коммерческую ценность |
До 1994 года Постановление Совета Министров СССР от 12 мая 1987г. N 556-126 (приложение). | + | + | - | + | - |
С 1994 года Закон РФ "О государственной тайне" от 21 июля 1993 года N 5485-1 (ст.8, части 2 и 4). | + | + | + | - | - |
С 1995 года Гражданский кодекс Российской Федерации 1994 года (статья 139). | - | - | - | - | + |