Система и способ изменения роли пользователя

Область техники

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления ролями пользователей.

Уровень техники

Количество компаний и разнообразие направлений их деятельности продолжает непрерывно расти. Частота изменений целей и задач, которые компании ставят перед своими работниками, постепенно возрастает. Процесс создания и утверждения должностных обязанностей работников не всегда предусматривает возможность их изменения в соответствии с обновляемыми целями компании.

В общем случае роль работника определяют исходя из его должностных обязанностей и трудовых функций, трудовых действий. Для использования системы ролевого разграничения доступа (англ. Role Based Access Control, RBAC) адаптируют роль работника к роли пользователя. Роль пользователя - это набор прав доступа к приложениям и информационным ресурсам компании, с помощью которого работник выполняет трудовые действия и решает задачи, в соответствии с занимаемой должностью.

Отсутствие возможности своевременно по необходимости модифицировать роли пользователей может нести угрозу информационной безопасности компании. Возникают ситуации, когда пользователю для выполнения задачи необходим доступ к приложению, сервису или информационному ресурсу, который изначально не предусмотрен ролью пользователя. В то же время, возникают ситуации, когда пользователь, из личных или корыстных целей, а возможно и по ошибке, требует доступ к приложению или информационному ресурсу, который не предусмотрен ролью. С одной стороны, возникает проблема определения правомерности предоставляемого доступа, с другой стороны несвоевременное внесение изменений в роль может критически замедлить решение важной задачи.

В настоящее время существуют решения, предназначенные для изменения роли пользователя. В публикации US 9621585 B1 описана система, в которой динамически выявляют необходимость изменения роли пользователя, например, при изменении обращений пользователя к конфиденциальным данным. В соответствии с изменениями предусмотрено создание новых политик безопасности и ролей.

Хотя описанный выше способ работы успешно справляется с задачей изменения роли, но он зачастую не выявляет условий, при которых необходимо вносить изменения в роль. Настоящее изобретение позволяет эффективно решать эту задачу.

Раскрытие изобретения

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам управления ролями пользователей. Изобретение предназначено для изменения роли пользователя. Технический результат настоящего изобретения заключается в обеспечении защиты информационной безопасности путем поддержания актуальности роли пользователя за счет выявления неактуальной роли и ее изменения.

В одном из вариантов реализации предоставляется система изменения роли пользователя, при этом упомянутая система содержит: средство выявления, предназначенное для: выявления роли пользователя, выявления задачи, которую выполнял пользователь, обладая выявленной ролью, передачи данных о выявленных роли пользователя и задаче, которую выполнял пользователь, обладая выявленной ролью, средству пересмотра; средство пересмотра, предназначенное для выполнения проверки актуальности выявленной роли пользователя путем по меньшей мере выявления новой задачи, которую выполнял пользователь, обладая выявленной ролью, для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи, для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи, передачи результатов проверки средству изменения; средство изменения, предназначенное для внесения изменений в выявленную роль пользователя при помощи правил изменения роли при выявлении неактуальной роли; базу данных правил, предназначенную для хранения правил изменения роли.

В другом варианте реализации под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.

Еще в одном варианте реализации используют базу данных задач и ролей пользователей для хранения по меньшей мере данных об имени работника, задаче и уровне ее классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.

В другом варианте реализации внесение изменений в роль выполняют путем изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.

В одном из вариантов реализации предоставляется способ изменения роли пользователя, содержащий этапы, которые реализуются с помощью средств из упомянутой системы и на которых выявляют роль пользователя; выявляют задачу, которую выполнял пользователь, обладая выявленной ролью; выполняют проверку актуальности выявленной роли пользователя путем по меньшей мере выявление новой задачи, которую выполнял пользователь, обладая выявленной ролью, выявление задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи, выявление задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи; при выявлении неактуальной роли при помощи правил изменения роли вносят изменение в выявленную роль пользователя.

В другом варианте реализации способа под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.

Еще в одном варианте реализации способа хранят по меньшей мере данные об имени работника, задаче и уровне ее классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.

В другом варианте реализации способа внесение изменений в роль выполняют путем изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.

Краткое описание чертежей

Фиг. 1 иллюстрирует структуру системы изменения роли.

Фиг. 2 иллюстрирует алгоритм системы изменения роли.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Информационный ресурс - совокупность отдельных документов, массивов документов, обычно структурированных в базы данных и используемых определенной информационной системой (Постановление Правительства Москвы от 14.06.2005 N 439-ПП). Например, информационным ресурсом может быть веб-сайт или веб-приложение.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств (Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 19.07.2018) "Об информации, информационных технологиях и о защите информации").

Информационная система, для использования которой необходимо наличие учетной записи - информационная система, которая позволяет использовать функции информационной системы только после регистрации и авторизации с использованием учетной записи.

Учетная запись - совокупность данных о пользователе, необходимая для его аутентификации и предоставления доступа к его личным данным и настройкам (ГОСТ Р 57429-2017).

Трудовая функция - работа по должности в соответствии со штатным расписанием, профессии, специальности с указанием квалификации; конкретный вид поручаемой работнику работы. Трудовая функция выражается через работу, то есть определенные действия, которые должен осуществлять работник (взаимодействие с оборудованием, инструментами, умственные операции, творческие действия и т.д.) и определяется названием должности, профессии, специальности (сварщик, юрисконсульт, маркетолог-аналитик, озеленитель), качественная характеристика трудовой функции - способность работника выполнять обязанности определенного уровня сложности, с определенной скоростью и качеством результата (Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 01.04.2019).

Трудовые действия - это процесс взаимодействия работника с предметом труда, при котором достигается определенная задача (Методические рекомендации по разработке профессионального стандарта, утвержденных Приказом Минтруда России от 29.04.2013 N 170н).

Уровень квалификации - требования к умениям, знаниям, уровню квалификации в зависимости от полномочий и ответственности работника. Применяются при разработке профессиональных стандартов для описания трудовых функций, требований к образованию и обучению работников. Единые требования к квалификации работников, установленные Уровнями квалификации, могут быть расширены и уточнены с учетом специфики видов профессиональной деятельности (Приказ Минтруда России от 12.04.2013 N 148н "Об утверждении уровней квалификации в целях разработки проектов профессиональных стандартов"). Достижения уровня квалификации от 1 до 4 обычно предусматривает ряд практических действий и прохождение внутреннего обучения. Уровни квалификации от 4 и выше могут потребовать дополнительного образования, развития более сложных навыков, фундаментальных знаний и опыта.

Труд - общественно-необходимая деятельность человека, требующая усилий в достижении определенных целей, результатов.

Задача - единица труда, которая предполагает выполнение трудовых действий. (Носкова О.Г. Психология труда: Учеб. пособие для студ. высш. учеб. заведений / Под ред. Е.А. Климова. - М.: Издательский центр «Академия», 2004. - 384 с.)

Право доступа (англ. access right, access permission) - право, предоставленное пользователю на санкционированное использование определенных программ и данных, хранящихся в вычислительной системе. Правила, определяющие, какие пользователи или процессы и каким образом могут получать доступ к объекту (каталогу, файлу, принтеру и т.п.) (Дорот В.Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. - 3-е изд., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.)

Ролевое разграничение доступа (RBAC) - развитие политики дискреционного разграничения доступа, где права доступа субъектов системы на объекты группируются с учетом специфики их применения, образуя роли.

Роль - совокупность прав доступа на объекты компьютерной системы. Правила ролевого разграничения доступа определяют порядок предоставления прав доступа субъектам (пользователям) компьютерной системы в зависимости от сессии его работы и от имеющихся или отсутствующих у него ролей в каждый момент времени. (Девянин П.Н. Модели безопасности компьютерных систем: Учеб. пособие для студ. высш. учеб. заведений - М.: Издательский центр «Академия», 2005. - 144 с.)

Сеанс (англ. session) - время, в течение которого пользователю выделены ресурсы вычислительной системы (от момента входа в систему до момента выхода из нее). Время, в течение которого существует соединение между приложениями, компьютерами или узлами сети. (Дорот В.Л., Новиков Ф.А. Толковый словарь современной компьютерной лексики. - 3-е изд., перераб. и доп. - СПб.: БХВ-Петербург, 2004. - 608 с.)

Задача - выполнение трудовых действий при помощи приложений или информационных ресурсов, к которым предоставлен доступ в соответствии с ролью, для достижения целей, поставленных работодателем.

Актуальность роли пользователя - такое состояние роли, при котором пользователь, в рамках текущих прав доступа может беспрепятственно выполнять поставленные задачи.

Каждому работнику в компании установлены должностные обязанности. Описание должностных обязанностей может содержать перечень задач, которые доступны для выполнения работником. Исходя из перечня задач, которые доступны для выполнения работником, администратор формирует права доступа к информационным ресурсам и приложениям компании - формирует роль пользователя. Таким образом работнику соответствует роль пользователя. Возникают ситуации, когда пользователь в связи с изменением или дополнением своих трудовых функций в силу различных причин не может выполнять трудовые действия и задачи в рамках прав доступа, предоставляемых его ролью. В одном из случаев, причиной этому может быть неактуальное состояние роли. В этом случае следует привести роль в актуальное состояние без ущерба информационной безопасности компании. Для этого используют систему изменения роли пользователя.

Фиг 1. иллюстрирует структуру системы изменения роли пользователя, которая включает в себя базу данных задач и ролей пользователей 110 средство выявления 120, средство пересмотра 130, средство изменения 140, базу данных правил 150.

База данных задач и ролей пользователей 110 предназначена для хранения перечня задач каждого пользователя. В таблице 1 представлена структура базы данных задач и ролей пользователей 110 с примерами.

Средство выявления 120 предназначено для выявления роли пользователя. Роль пользователя может быть выявлена путем определения успешной авторизации пользователя и анализа данных о существующей роли пользователя в информационной системе компании. Данные о ролях пользователей могут быть выбраны из базы данных задач и ролей пользователей 110, например, реализованной при помощи службы каталогов (англ. Active Directory).

Помимо этого, средство выявления 120 предназначено для выявления задачи, которую выполнял пользователь, обладая выявленной ролью, и передачи данных о выявленных роли пользователя и задаче, которую выполнял пользователь, обладая выявленной ролью, средству пересмотра 130.

Выявление задачи, которую выполнял пользователь, может быть осуществлено путем выявления и анализа событий (например, из журнала событий операционной системы или приложения) и параметров сеанса работы пользователя с приложением или информационным ресурсом. Например, для ОС Microsoft Windows выявление и анализ данных, с которыми работал пользователь, и событий EventID 4688 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4688) и 4689 (https://docs.microsoft.com/ru-ru/windows/security/threat-protection/auditing/event-4689) позволяет определить время начала и окончания сеанса работы с приложением. Основными параметрами сеанса можно выделить время начала работы с приложением или информационным ресурсом, время окончания работы с приложением или информационным ресурсом, функции приложения или информационного ресурса, которые были использованы во время выполнения задачи, файлы, которые созданы или модифицированы во время выполнения задачи, запросы к сетевым ресурсам, данные с устройств ввода. Одному приложению или информационному ресурсу может соответствовать несколько задач, которые может выполнять пользователь. В то же время для выполнения одной задачи может требоваться доступ к нескольким приложениям или информационным ресурсам.

В таблице 2 в качестве примера описана выборка журнала событий, которые зафиксированы в ходе повседневной работы пользователя при выполнении одной из задач.

Анализ данных из таблицы 1 и данных из таблицы 2 позволяет выявить задачу, которую выполнял пользователь, а именно: пользователь Пётр Петров, обладая ролью «Младший сотрудник отдела кадров», выполнил задачу «Формирование ежемесячного отчета о посещении сотрудников».

В частном варианте реализации один пользователь может обладать несколькими ролями. В соответствии с каждой ролью может быть сформирован отдельный перечень задач, который может выполнять пользователь, обладая этой ролью. Помимо этого, администратор для отдельных пользователей может вручную предоставить права доступа вне обладаемой роли. Например, в таблице 1 любому пользователю, который обладает ролью «Аналитик», добавлены права доступа для использования приложения по управлению проектной документацией. По аналогии администратор может добавить права доступа лично пользователю независимо от его роли.

Средство пересмотра 130 предназначено для выполнения проверки актуальности выявленной роли пользователя и передачи результатов проверки средству изменения 140.

В одном из вариантов реализации проверка актуальности роли пользователя может быть выполнена путем поиска и выявления новой задачи, которую пробует выполнить пользователь. Новая задача может быть определена в случае, когда пользователь не может получить доступ к информационному ресурсу, приложению или его отдельной функции. Например, зафиксировано время попытки получить доступ и последующий отказ в доступе. Например, пользователь с ролью помощника бухгалтера, который прошел испытательный срок, выполняя задачу подготовить отчет по архивным данным, осуществляет попытку получения доступа к информационному ресурсу компании, предназначенному для просмотра архивных данных бухгалтерии. В этом случае имеет место ситуация, когда выявлена новая задача, которую начал выполнять пользователь, обладая текущей ролью, не имеет возможности выполнить, а его роль является неактуальной. Требуется внесение изменений в роль.

В другом варианте проверка актуальности роли пользователя может быть выполнена путем учета опыта пользователя. Если должностные функции предусматривают расширение в зависимости от накопленного работником опыта, то могут быть определены этапы накопления опыта. Определение этапов может быть выполнено путем учета количества выполненных однотипных задач, совокупности разноплановых задач, последовательности выполнения задач. Например, работник в должности специалиста по управлению персоналом согласно профессиональному стандарту может выполнять задачи «Ведение организационной и распорядительной документации по персоналу» 5-го уровня квалификации и «Организация и проведение оценки персонала» 6-го уровня квалификации (Министерство труда и социальной защиты РФ, ПРИКАЗ от 6 октября 2015 г. N 691н ОБ УТВЕРЖДЕНИИ ПРОФЕССИОНАЛЬНОГО СТАНДАРТА «СПЕЦИАЛИСТ ПО УПРАВЛЕНИЮ ПЕРСОНАЛОМ». Для перехода между 5-ым и 6-ым уровнями квалификации в компании может быть предусмотрено обязательное выполнение 10 задач «Ведение организационной и распорядительной документации по персоналу» 5-го уровня. В противном случае выполнение задачи «Организация и проведение оценки персонала» 6-го уровня должно быть невозможным. Таким образом роль может содержать права доступа к приложению или информационному ресурсу для выполнения только задачи только 5-го уровня квалификации. После того, как пользователь выполнит 10 задач 5-го уровня может возникнуть ситуация, когда пользователь, обладая текущей ролью, не может выполнить задачу 6-го уровня квалификации. В этом случае возникает ситуация, когда выявлена задача, которую выполнял пользователь, обладая текущей ролью, которая требует выполнения другой задачи, а роль пользователя является неактуальной. Требуется внесение изменений в роль.

Еще в одном варианте реализации проверка актуальности роли пользователя может быть выполнена путем выявления нарушений плана управления временем компании, составленного, например, на основе баланса рабочего времени или правил тайм-менеджмента. В ходе анализа задачи, которую выполнял пользователь, возможно обнаружение задачи, которую пользователь не должен выполнять в течение определенного периода времени. Например, по причине заранее утвержденного норматива или злоупотребления ненормированным рабочим графиком. В этом случае возникает ситуация, когда выявлена задача, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи, а роль пользователя является неактуальной. Требуется внесение изменений в роль.

Средство изменения 140 предназначено для внесения изменений в текущую роль пользователя при помощи правил изменения роли из базы данных правил 150 при выявлении неактуальной роли.

Правила изменения роли - набор условий, при выполнении которого, средство изменения 150 вносит изменения в роль пользователя.

Одним из примеров правила изменения роли может быть следующий набор условий: выявлена безуспешная попытка осуществить сеанс работы с приложением или информационным ресурсом, существует задача, для выполнения которой, необходимо иметь права доступа к приложению или информационному ресурсу, к которому выявлена безуспешная попытка начать сеанс работы, уровень квалификации пользователя, который может выполнять задачу, ниже, чем максимальный уровень квалификации пользователя, который безуспешно попытался осуществить сеанс работы с приложением или информационным ресурсом. При выполнении такого набора условий средство изменения 140 вносит изменение в роль путем добавления обнаруженной задачи к перечню задач, которые может выполнять пользователь и изменения в права доступа для работы с приложением, с помощью которого пользователь может выполнить обнаруженную задачу. Например, пользователь 1, обладает ролью «Химик-технолог в автомобилестроении» и согласно должностным обязанностям может выполнять задачу «Формирование политики в области системы менеджмента качества» 6-го уровня квалификации. В ходе выполнения задачи, пользователь 1 понимает, что процесс подготовки детали 1 требует более детального внутреннего аудита. Пользователь 1 принимает решение самостоятельно выполнить эту задачу и осуществляет запуск приложение «Аудит-Стандарт». Запуск безуспешен, поскольку среди задач, которые может выполнять пользователь с ролью «Химик-технолог в автомобилестроении» таких задач нет. Существует задача «Выполнение отдельных аудиторских процедур», для выполнения которой разрешено использование приложения «Аудит-Стандарт». Такую задачу может выполнять пользователь с ролью «Аудитор» 4-го уровня квалификации. Срабатывает правило изменения роли и происходит внесение изменений в роль «Химик-технолог в автомобилестроении» путем добавления задачи «Выполнение отдельных аудиторских процедур» и прав доступа к приложению «Аудит-Стандарт».

Другим примером правила изменения роли может быть следующий набор условий: задача успешно выполнена пользователем 10 раз, роль предусматривает переход уровней на основе опыта. При выполнение такого набора условий выполняют изменение роли путем изменения прав доступа к информационным ресурсам или приложениям, которые могут понадобиться опытному пользователю для решения поставленных задач. Например, Пользователь 3, обладая ролью «Специалист по технической документации в области информационных технологий», выполняет задачу «Оформление и компоновка технических документов» 4-го уровня квалификации. При выполнении этой задачи он использует приложение «Текстовый редактор» и сетевой ресурс «Черновики технических документов». Задача выполнена 10 раз. Срабатывает правило изменения роли и происходит внесение изменений в роль путем добавления задачи «Создание стандарта технического документа» 5 уровня квалификации и прав доступа к сетевому ресурсу «Стандарты технических документов».

Еще в одном примере правила изменения роли может быть следующий набор условий: наступила дата и время окончания периода времени выполнения задачи. При выполнении такого набора условий средство изменения 140 вносит изменение в роль путем, удаления прав доступа, к приложению или информационному ресурсу, с помощью которого выполняют задачу. Например пользователь 5 обладает ролью «Бухгалтер» и выполняет задачу «Составление и представление бухгалтерской (финансовой) отчетности экономического субъекта» 6-го уровня квалификации при помощи приложения для формирования финансовой отчетности, регламентированный период времени или срока выполнения задачи 8 часов в сутки. По окончанию периода времени выполнения задачи срабатывает правило изменения роли и происходит внесение изменений в роль пользователя 5 «Бухгалтер» путем удаления задачи и прав доступа к приложению для формирования финансовой отчетности. Впоследствии права доступа могут быть снова добавлены, например по истечению периода времени или срока обязательного отдыха.

База данных правил 150 предназначена для хранения правил изменения роли. В качестве базы данных правил 150 могут быть использованы различные виды баз данных, а именно: иерархические (IMS, TDMS, System 2000), сетевые (Cerebrum, Cronospro, DBVist), реляционные (DB2, Informix, Microsoft SQL Server), объектно-ориентированные (Jasmine, Versant, POET), объектно-реляционные (Oracle Database, PostgreSQL, FirstSQL/J, функциональные и т.д. Правила могут быть созданы при помощи алгоритмов машинного обучения и автоматизированной обработки больших массивов данных.

Фиг. 2 иллюстрирует алгоритм функционирования системы изменения роли пользователя. На этапе 211 средство выявления 120 осуществляет выявление роли пользователя. На этапе 212 средство выявления 120 осуществляет выявление задачи, которую выполнял пользователь, и передает данные о выявленных роли пользователя и задаче, которую выполнил пользователь, средству пересмотра 130. На этапе 213 средство пересмотра 130 выполняет проверку того, является ли роль пользователя актуальной и передает результаты проверки средству изменения 140. При выявлении неактуальной роли на этапе 214 средство изменения 140 вносит изменения в роль пользователя при помощи правил изменения роли. При отсутствии неактуальной роли на этапе 215 система завершает работу.

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ изменения совокупности прав доступа пользователя на объекты компьютерной системы, где совокупность прав доступа пользователя на объекты компьютерной системы является ролью пользователя, содержащий этапы, на которых:

а) выявляют роль пользователя;

б) выявляют задачу, которую выполнял пользователь, обладая выявленной ролью;

в) выполняют проверку актуальности выявленной роли пользователя путём по меньшей мере:

выявления новой задачи, которую выполнял пользователь, обладая выявленной ролью,

выявления задачи, которую выполнял пользователь, обладая выявленной ролью, которая требует выполнения другой задачи,

выявления задачи, которую выполнял пользователь, обладая выявленной ролью, с нарушением срока выполнения задачи;

г) при выявлении неактуальной роли при помощи правил изменения роли вносят изменение в выявленную роль пользователя.

2. Способ по п. 1, в котором под правилами изменения роли понимают набор условий, при выполнении которого, вносят изменения в роль пользователя.

3. Способ по п. 1, в котором хранят по меньшей мере данные об имени работника, задаче и уровне её классификации, периоде времени выполнения задачи, правах доступа, соответствующих задаче, виде отчетности и роли пользователя.

4. Способ по п. 1, в котором внесение изменений в роль выполняют путём изменения задачи, периода времени выполнения задачи, прав доступа, соответствующих задаче.