В статье рассматриваются различные методологии для построения бизнес-процессов, статистика популярности каждой методики, приводятся рекомендации, по какой методике производить моделирование управления рисками информационной безопасности в организации, а также производится само моделирование управления рисками информационной безопасности.
Ключевые слова: бизнес-процесс, нотация построения бизнес-процесса, управление рисками информационной безопасности, модель управления рисками информационной безопасности.
Одним из важнейших этапов управления рисками информационной безопасности является построение его модели. Для этого возможно использование нотаций построения бизнес-процессов. Рассмотрим несколько популярных нотаций построения бизнес-процессов и выберем оптимальную для построения модели управления рисками информационной безопасности.
Рассмотрим такие нотации построения бизнес-процессов, как eEPC, IDEF3, UML, DFD, BPMN.
eEPC — это гибкая нотация, являющаяся расширением нотации EPC, применяется для построения бизнес-процессов по методологии ARIS, для описания бизнес-процессов использует операторы OR, XOR и AND [1]. Главным плюсом eEPC является его простота построения и понимания, минусом является его громоздкость.
IDEF3 — нотация, которая основывается на причинно-следственных связях между событиями их последовательности выполнения, состоит из логических операторов в местах принятия решений и альтернативах, а также объектов, стрелок, показывающих последовательность выполнения событий [1]. Главным плюсом является декомпозиция, которая помогает избежать громоздкости, минусом является то, что нотация не интуитивно понятная, для её понимания необходимо разбираться в принципах построения бизнес-процессов.
UML — почти полностью повторяет функциональные элементы нотации eEPC, в основном служит для описания программных продуктов, но также может описывать бизнес-процессы [1]. Главным плюсом UML является графическая наглядность построенных диаграмм, главный его минус заключается в том, что он не поддерживает концепт промежуточных состояний и данных [2].
DFD — диаграмма потоков данных, представляет собой последовательность диаграмм, которые описывают преобразование информации от входа к выходу [3]. Главным плюсом является наглядное, понятное представление документооборота, главным минусом является «старый» структурный подход [3].
BPMN — во многом аналогична IDEF и eEPC, но отличается тем, что в ней есть понятие дорожки, это область внутри процесса, в которой отражается всё, что делает конкретный человек в этом процессе [4]. Главным плюсом данной нотации и является наличие дорожек, главным минусом является наличие специфических терминов и понятий для понимания которых, необходимо иметь знания в построении бизнес-процессов.
Исходя из статистики из отчёта компании «Логика Бизнеса», приведённой на рисунке 1, можно заключить, что самыми популярными нотациями описания бизнес-процессов являются BPMN, eEPC и IDEF, при этом BPMN занимает почти половину — 54 %.
![Статистика по использованию различных нотаций [5, c. 36]](https://moluch.ru/blmcbn/97853/img_97853_1.webp)
Рис. 1. Статистика по использованию различных нотаций [5, c. 36]
Исходя из статистики, а также наглядности для построения схемы управления рисками информационной безопасностью была выбрана нотация BPMN. Построение схемы производилось, руководствуясь стандартом ГОСТ Р ИСО/МЭК 27005–2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности», построенная схема изображена на рисунке 2.
Рис. 2. Схема управления рисками ИБ в нотации BPMN
Построенная схема является компактной и наиболее удачно отражает основные этапы управления рисками информационной безопасности, в связи с тем, что дорожки из BPMN дают понимание разделения обязанностей организации и отдела информационной безопасности. Это позволяет сделать вывод, что такая нотация как BPMN, позволяет отражать не только схемы бизнес-процессов, но и процессы управления информационной безопасностью.
Литература:
1. Бабкин Э. А., Князькин В. П., Шиткова М. С. Сравнительный анализ языковых средств, применяемых в методологиях бизнес моделирования //Бизнес-информатика. — 2011. — №. 2 (16). — С. 31–42.
2. Станкевич B. В., Тигарева В. А. Достоинства и недостатки использования унифицированного языка UML при моделировании бизнес-процессов сложных организаций //Научно-теоретический журнал Наука и экономика. — 2014. — №. 4. — С. 207–216.
3. Новицкая А. А. Информационные методы моделирования процессов в экономических системах //Информационные технологии в моделировании и управлении: подходы, методы, решения. — 2021. — С. 279–288.
4. Искра Е. А., Нелюбина Ю. А., Свиридова И. И. сравнительный анализ нотаций ARIS, IDEF, BPMN 2.0 и «ФИСОМ» при описании бизнес-процессов //Российские регионы в фокусе перемен. — 2019. — С. 472–476.
5. Фёдоров И. Г. Методология создания исполняемой модели и системы управления бизнес-процессами //М.: МЭСИ. — 2015.
