КУБ Программа управления сервером

Система

КУБ

Программа управления сервером КУБРуководство администратора

RU.40308570.501540.001 92 2

© Компания "Трастверс", 2014. Все права защищены.

Все авторские права на эксплуатационную документацию защищены.

Этот документ входит в комплект поставки изделия. На него распространяются все условиялицензионного соглашения. Без специального письменного разрешения компании"Трастверс" этот документ или его часть в печатном или электронном виде не могут бытьподвергнуты копированию и передаче третьим лицам с коммерческой целью.

Информация, содержащаяся в этом документе, может быть изменена разработчиком безспециального уведомления, что не является нарушением обязательств по отношению кпользователю со стороны компании "Трастверс".

Почтовый адрес: 127018, Москва, а/я 55Телефон: (495) 980-23-45Факс: (495) 980-23-45we-mail: [email protected]: http://www.trustverse.ru

© КОМПАНИЯ "ТРАСТВЕРС"

2КУБПрограмма управления сервером КУБ

ОглавлениеСписок сокращений 9

Введение 10

Программа управления сервером КУБ 11Назначение программы управления сервером КУБ 11Запуск программы управления сервером КУБ 11Интерфейс программы 11

Главное окно 11Настройка интерфейса 15

Настройка программы управления сервером КУБ 16Общие процедуры 17

Переход к списку объектов 17Обновление информации в таблицах 17Чтение информации из базы данных 17Сохранение изменений в базе данных 17Сохранение изменений во внешнем файле 19Управление таблицами 19

Завершение работы программы 23

Импорт организационно-штатной структуры из сторонних источников 24Импорт ОШС с помощью мастера 24Настройка автоматической синхронизации ОШС 26Настройка фильтра импорта данных ОШС 28

Ручное управление организационно-штатной структурой 30Управление подразделениями 30

Список подразделений 30Регистрация нового подразделения 31Корректировка свойств подразделения 32Назначение категории вышестоящего подразделения 32Удаление подразделения из списка 32

Управление должностями 33Список должностей 33Регистрация новой должности 34Удаление должности 34Корректировка должностного доступа 35Назначение сотрудников на должность 35Изменение подчиненности должности 36Отмена подчиненности должности 36Изменение максимального количества сотрудников, назначенных на должность 36

Управление сотрудниками 36Список сотрудников предприятия 36Регистрация нового сотрудника 37Корректировка свойств сотрудника 39Назначение физического лица на должность 39Перемещение сотрудника на другую должность 39Снятие сотрудника с должности 40Увольнение сотрудника 40Сравнение сотрудников 40Объединение сотрудников 42Делегирование обязанностей сотрудника 42Назначение заместителей 42Назначение сертификата 43

Общесистемные настройки 45Настройка параметров сервера КУБ 45

Вызов окна настройки 45База данных 46Отладочная информация 46Дампы 46



Рассылка писем 46Подпись заявок 47Дополнительно 48

Предоставление доступа к системе КУБ 48Синхронизация системы 48Физическое удаление объектов 54

О программе DbCleaner 54Отчеты, формируемые в программе DbCleaner 55Запуск программы DbCleaner 56Настройка программы DbCleaner 57Формирование предварительного отчета 57Удаление объектов 58Завершение работы программы DbCleaner 59

Резервное копирование базы данных КУБ 59Регистрация лицензий 59

Управление справочниками 61Справочник "Физические лица" 61

Список физических лиц 61Корректировка регистрационных параметров физических лиц 61

Справочник "Номенклатурные должности" 61Список номенклатурных должностей 61Регистрация должности 61Удаление должностей 62

Справочник "Категории подразделений" 62Список категорий подразделений 62Регистрация категории подразделения 62Настройка свойств 62Удаление категории подразделения 63

Справочник "Категории ролей" 63Список категорий ролей 63Регистрация категории ролей 63Настройка свойств 63Удаление категории ролей 64

Справочник "Платформы" 64Список платформ 64Регистрация платформы 64Настройка свойств 65

Справочник "Категории ресурсов" 65Список категорий ресурсов 65Регистрация категории ресурсов 66Настройка свойств 66

Справочник "Протоколы" 66Список протоколов 66Добавление нового протокола 66Удаление протокола 67Создание новой группы 67Добавление протоколов в группу 67Исключение протокола из группы 67Удаление группы протоколов 68

Справочник "Элементы ПАК" 68Список элементов ПАК 68Создание группирующего элемента 68Удаление группирующего элемента 69Добавление дочернего элемента 69Исключение дочернего элемента 69Изменение значения признака "общий" 69

Управление ролями и ответственностями 70Управление ролями 70

Понятие области доступа 70Список ролей 71



Вызов мастера "Создание роли" 71Регистрация ролей 71Настройка ролей 71Создание иерархии ролей 72Предоставление доступа к ресурсам 72Изменение прав доступа к ресурсу 74Отмена доступа к ресурсу 74Привязка ответственностей к роли 74Привязка ролей к должностям 75Назначение ролей сотрудникам 75Нормализация структуры ролей 75Преобразование должностной роли в индивидуальную 78Преобразование временной индивидуальной роли в обычную 79Разделение ролей 79Удаление ролей 80Установка области доступа для ролей 80Разделение ролей по областям доступа 81Контроль распределения ролей по областям доступа 82Типовой доступ подразделений 84

Усиленная парольная защита для группы 85Включение усиленной парольной защиты 86Отключение усиленной парольной защиты 87Изменение паролей 87

Управление ответственностями 87Список ответственностей 87Автоматическое создание и распределение ответственностей 87Регистрация ответственности 89Настройка ответственностей 90Привязка ответственностей к ролям 91Установка фильтров 91Удаление ответственностей 92

Управление агентами и ресурсами 93Список агентов и ресурсов 93Управление агентами 93

Регистрация агента в системе КУБ 93Выбор режима утверждения инструкций 95Ввод внешнего имени агента 95Настройка правил именования объектов 96

Управление агентом Windows 97Выбор режима исполнения инструкций 97Генерация пароля для новой учетной записи 97Формирование инструкций на блокировку учетной записи 98Синхронизация учетных записей и сотрудников 98Удаление учетных записей 99

Управление агентом ППО 100Порядок установки агента ППО 100Импорт описания платформы 101Импорт данных ППО 101Настройка автоматической синхронизации данных ППО 102

Управление агентом ППО и адаптером для MS SharePoint 2007 103Порядок установки 103Регистрация агента 103Установка выносной части адаптера для MS SharePoint 2007 103Установка агента ППО и настройка импорта данных 104

Управление агентом NAS 107Режим исполнения инструкций 107Режим контроля ресурсов 107Отображение наследуемых прав доступа 108

Управление ресурсами 109Определение владельца ресурса 109Определение критичности ресурса 109



Определение общекорпоративных ресурсов 109Выбор режима контроля ресурсов 110Легализация ресурсов 111Установка категории ресурса 113

Управление объектами информационной системы 114Учетные записи 114

Список учетных записей 114Синхронизация с сотрудниками 114Определение системных учетных записей 114Определение области доступа учетной записи 115Импорт учетных записей и предоставление доступа в КУБ 115

Группы учетных записей 117Список групп учетных записей 117Определение системных групп 118Признак предоставления внешнего доступа 118

Сертификаты 118Список сертификатов 118Импорт сертификата 118Отзыв сертификата 119

Организационные единицы 119Список организационных единиц 119Настройка свойств организационных единиц 119

Управление заявками и инструкциями 121Управление заявками 121

Список заявок 121Формирование выборки заявок 122Установка даты пересмотра заявок 123Просмотр и сохранение приложенных файлов 123Создание заявки в свободной форме 123Поддержка форм для заявок в свободной форме 125Просмотр информации об ошибке 125Просмотр сведений об ЭП 126Повторное создание заявки 126Согласование и отклонение заявок 126Делегирование согласования заявок 127

Управление инструкциями 127Список инструкций 127Формирование выборки инструкций 127Назначение исполнителя инструкций 129Снятие исполнителя инструкций 129Добавление и просмотр комментариев к инструкции 129Делегирование актуализации и исполнения инструкций 130Просмотр дополнительной информации к инструкциям для настройки МСЭ 130

Управление межсетевыми экранами 131Общие сведения 131

Управление настройками межсетевого экрана 131Управление доступом к ресурсам 131Порядок настройки в системе КУБ 132Объекты сетевой инфраструктуры и их параметры 133Фильтры 135

Сети 135Список сетей 135Регистрация сети 136Изменение адреса сети 136Задание диапазона адресов 136Изменение диапазона адресов 138Удаление диапазона адресов 138

Хосты 138Список хостов 138Регистрация хоста 138



Удаление хоста 139Смена статического адреса хоста 139Добавление сетевых интерфейсов хоста 139Удаление сетевого интерфейса хоста 140

Сетевые группы 140Список сетевых групп 140Регистрация сетевой группы 140Удаление сетевой группы 140Добавление сетевого узла в группу 140Удаление сетевого узла из группы 141

Сервисы 141Список сервисов 141Регистрация сервиса 141Изменение параметров сервиса 142Удаление сервиса 143Добавление ресурса 143Удаление ресурса 144Изменение параметров ресурса 144

Предоставление доступа роли к сетевому ресурсу 144Изменение прав доступа 144

Определение точек доступа 145Маршруты 145

Список маршрутов 145Создание маршрута 145Удаление маршрута 147Изменение параметров маршрута 147

Технологические правила 147Создание технологического правила 147Изменение параметров технологического правила 151Удаление технологического правила 152

Правила фильтрации 152

Контроль программно-аппаратной конфигурации компьютеров 154Общие сведения 154Объекты и элементы ПАК 154

Список компьютеров 155Список шаблонов 155Элементы ПАК 156

Настройка подсистемы ПАК 156Общий порядок настройки 156Регистрация агента 156Установка выносного модуля агента 157Создание шаблона 157

Операции с объектами и элементами ПАК 158

159

Интеграция с системами ITSM 160

Аудит 161Журнал событий 161Журнал несоответствий 163

Список несоответствий 163Просмотр информации о несоответствии 164Формирование выборки несоответствий 164Согласование или отклонение несоответствия 166Просмотр дополнительной информации о несоответствиях в настройках МСЭ 166

Системный журнал 167Список открытых сессий 167Просмотр информации о сессии 167

Приложение 168Форматы файлов данных ОШС 168

Plain Text 168



XML 168MS Excel 170

Форматы файлов данных ППО 171Plain Text 171XML 174Windows Script 176

Файл данных о связанных учетных записях и сотрудниках 180Настройка адаптеров импорта 181

Список адаптеров 181Адаптер импорта ОШС из базы данных "1С: Предприятие" 182Адаптер импорта ППО из базы данных "1С: Предприятие" 183Адаптер импорта ОШС из Active Directory 184Адаптер импорта из XML-файлов 185Адаптер импорта из файлов MS Excel 185Адаптер импорта из текстовых файлов 186Универсальный адаптер импорта ОШС 186Адаптер импорта Windows Script 189Адаптер импорта из КУБ 190Адаптер импорта данных из LOTUS 6.5/8.5 и СЭДО "БОСС-Референт" 191

Правила именования объектов 192Язык описания правил 192Перечень типовых правил именования 194

Настройка режима аудита на контроллере домена 196Программа PlatformEditor 197Комбинации клавиш 199

Терминологический справочник 200

Документация 205



Список сокращенийАС Автоматизированная система

ИД Идентификатор должности

ИП Идентификатор подразделения

ИС Информационная система

ИФЛ Идентификаторфизического лица

ОШС Организационно-штатная структура

ПО Программное обеспечение

ППО Прикладное программное обеспечение

СУЗ Система управления заявками

ЦС Центр сертификации

ЭП Электронная подпись



ВведениеРуководство предназначено для администраторов изделия "Системакомплексного управления безопасностью" (далее — система КУБ). В немсодержатся сведения, необходимые для настройки системы.

Условныеобозначения

В руководстве для выделения некоторых элементов текста используется рядусловных обозначений.Внутренние ссылки обычно содержат указание на номер страницы с нужнымисведениями. Ссылки на другие документы или источники информации разме-щаются в тексте примечаний или на полях.Важная и дополнительная информация оформлена в виде примечаний. Степеньважности содержащихся в них сведений отображают пиктограммы на полях.• Так обозначается дополнительная информация, которая может содержать

примеры, ссылки на другие документы или другие части этого руководства.• Такой пиктограммой выделяется важная информация, которую необходимо

принять во внимание.• Эта пиктограмма сопровождает информацию предостерегающего характера.

Исключения. Некоторые примечания могут и не сопровождаться пиктограммами. А на полях,помимо пиктограмм примечаний, могут бытьприведены и другие графические элементы, например,изображения кнопок, действия с которыми упомянуты в тексте расположенного рядом абзаца.

Соглашенияо терминах

Некоторые термины, содержащиеся в тексте руководства, уникальны для сис-темы КУБ, другие используются в специфическом смысле, третьи выбраны изсоображений краткости. Смысл основной части терминов объясняется по ходуизложения материала при первом их употреблении в тексте руководства.

Выполнениетиповыхопераций

Заполнение текстовых полей. Если при вводе имени или пароля быланеправильно нажата какая- либо клавиша, удалите ошибочно набранныесимволы в строке ввода с помощью клавиши <Backspace> или <Delete> и зановоповторите ввод символов.Ввод пароля. Поле для ввода пароля является символьным, на экране каждыйсимвол пароля отображается как "*" (звездочка). Помните, что при вводе пароляразличаются строчные и прописные буквы, кириллица и латиница. Допущенныепри вводе ошибки исправляются так же, как и при заполнении текстового поля.

Другиеисточникиинформации

Сайт в Интернете. Если у вас есть доступ к сети Интернет, вы можете посетитьсайт компании "Трастверс" ( http://www.trustverse.ru/ ) или связаться спредставителями компании по электронной почте ([email protected]).



http://www.infosec.ru/

Глава 1Программа управления сервером КУБНазначение программы управления сервером КУБ

Программа управления сервером КУБ представляет собой Windows-приложение,предназначенное для настройки параметров системы КУБ сотрудниками СИБ.Конфигурирование осуществляют при вводе системы КУБ в эксплуатацию или вдругих случаях, чтобы оптимально настроить систему для использования заявок.Основная цель конфигурирования — достичь наиболее точного соответствиямодели КУБ организационно- штатной структуре предприятия и политикеинформационной безопасности.Конфигурирование системы основано на генерации и выполнении заявок. Текстзаявок формируется с помощью модуля генерации текста заявок по результатамвыполненных в Программе управления сервером КУБ.

Запуск программы управления сервером КУБДля запуска программы управления:

• Нажмите кнопку "Пуск" на панели задач и активируйте в главном менюWindows команду "Программы\КУБ\Программа Управления КУБ" или исполь-зуйте ярлык программы управления на рабочем столе. На экране появитсяглавное окно программы управления и произойдет соединение с серверомКУБ.

Примечание. После соединения с сервером КУБ производится проверка версий ПО. Есливерсии сервера и программы управления не совпадают, на экран выводится соответствующеепредупреждение и соединение с сервером разрывается.

Интерфейс программы

Главное окноГлавное окно программы управления сервером КУБ выглядит следующим обра-зом:



В левой части основного окна программы отображается организация объектов,зарегистрированных в системе КУБ. Объекты организованы в видеиерархического списка: они распределены по группам, а группы в свою очередьобъединены в категории. Например, в категории "Орг. структура" содержатсягруппы объектов "Подразделения", "Должности", "Сотрудники". Для просмотраи управления группами объектов предназначены специальные областиглавного окна:• панель переходов, в которой отображаются группы выбранной категории и

названия остальных категорий;• список папок, в котором в виде иерархического списка отображены все

группы и категории объектов.

Примечание.Эти окна являются взаимозаменяемыми. Для управления объектами достаточноотображатьв главном окне программы только одно из этих окон.

В таблице ниже перечислены группы объектов, распределенные по категориям.

Табл.1 Объекты системы КУБ

Категория Группы объектов

Орг. структура Подразделения

Должности

Сотрудники

Управление Роли

Ответственности

Объекты АС Агенты и ресурсы

Учетные записи

Группа учетных записей

Сертификаты

Организационные единицы

Сетевые сущности Сети

Сетевые группы

Сетевые взаимодействия Маршруты

Сетевые правила

Шаблоны параметров взаимодействия

Правила фильтрации

Объекты ПАК Компьютеры ПАК

Шаблоны ПАК

Документы Журнал заявок

Инструкции

Журналы Журнал несоответствий

Журнал событий

Системный журнал

В правой части главного окна программы управления — информационномокне — содержится список объектов выбранной группы. Объекты каждойгруппы представлены в виде двух списков:• в виде общего списка;• в виде иерархического списка (если он предусмотрен).Для перехода между списками используйте вкладки в верхней части информа-ционного окна.



Для каждого объекта, выбранного в информационном окне, отображаютсяследующие дополнительные сведения:• в панели свойств приведена информация о свойствах выбранного объекта;• во вспомогательном окне отображаются объекты, связанные с выбранным

объектом (если таковые предусмотрены). Объекты в этом окне представленыв виде списков. Для перехода между списками используйте вкладки в ниж-ней части окна.

Элементы управленияНастройку программы и управление объектами системы КУБ осуществляют с по-мощью команд меню и кнопок панели инструментов. Перечень элементов управ-ления представлен в таблице ниже.

Табл.2 Элементы управления

Кнопка Команда Описание

Файл > Вход пользователя Подключает к серверу КУБ

Файл > Выход пользователя Отключает от сервера КУБ

Файл > Чтение данных Считывает данные из базы данныхсервера КУБ. Сделанныеизменения при этом несохраняются

Файл > Сохранить данные Сохраняет измененные данныев базе данных сервера КУБ

Файл > Сохранить схемузаявки

Сохранение схемы заявки вовнешнем файле

Файл > Загрузить схемузаявки

Загрузка схемы заявки из внешнегофайла

Файл > Создание резервнойкопии

Создание резервной копии базыданных КУБ

Файл > Выход Завершает работу программыуправления

Правка >… Зависит от контекста. Операциис выбранными элементами таблицыописаны в процедурах ниже

Фильтр…(команда контекстногоменю в информационномокне)

Вызывает на экран диалоговое окнодля определения условий выборкив заданном окне

Новая выборка…(команда контекстногоменю в информационномокне)

Вызывает на экран диалоговое окнодля определения условий выборки.Для отображения выбранныхзаписей будет открыта новаявкладка в информационном окне

Закрыть выборку(команда контекстногоменю в информационномокне)

Закрывает отображаемую вкладкус выборкой

Обновляет информацию в открытомокне, а также повторно запускаетостановленную процедуру(например, выборку или чтениеданных из базы данных сервераКУБ)

Останавливает выполняемуюпроцедуру



Кнопка Команда Описание

Переходит к предыдущей записи

Переходит к следующей записи

Переходит к первой записи

Переходит к последней записи

Вид > Компоненты >… Открывает подменю с перечнемгрупп объектов. Выберите нужнуюгруппу для отображения еесодержимого

Вид > Панелиинструментов >…

Открывает подменю с перечнемпанелей инструментов. Приналичии отметки панельотображается на экране

Вид > Дерево компонентов Отображает/скрывает панельиерархического списка объектов

Вид > Панель Outlook Отображает/скрывает панельпереходов

Вид > Заголовок Отображает/скрывает заголовокотображаемого перечня объектов

Вид > Строка состояния Отображает/скрывает строкусостояния

Вид > Подчиненныепредставления >Свойства

Отображает/Скрывает панельсвойств выбранного объекта

Вид > Подчиненныепредставления >…

Отображает/Скрываетсоответствующую вкладку вовспомогательном окне

Инструменты > Мастера >… Открывает подменю с перечнеммастеров программы управления.Выберите нужное название длявызова мастера на экран

Инструменты >Справочники >…

Открывает подменю с перечнемсправочников программыуправления. Выберите нужноеназвание для отображениясправочника

Инструменты > Настройки… Вызывает на экран диалоговое окно"Параметры" для установкинастроек программы управления

Справка > РегистрацияВызывает на экран диалоговое окнодля регистрации лицензий.

Справка > О программе… Вызывает на экран окно синформацией об авторских правахи версии программы



Настройка интерфейсаНастройка интерфейса программы управления сервером КУБ выполняется с по-мощью меню "Вид".

Для отображения панели переходов:

• Вызовите меню "Вид" и активируйте команду "Панель Outlook". Если слева откоманды содержалась отметка, она будет удалена, а панель переходов винформационном окне — скрыта. При повторном выполнении этого действияотметка будет восстановлена и отображение панели переходов вновь будетразрешено.

Для отображения списка папок:

• Вызовите меню "Вид" и активируйте команду "Дерево компонентов". Еслислева от команды содержалась отметка, она будет удалена, а окно группобъектов в информационном окне — скрыто. При повторном выполненииэтого действия отметка будет восстановлена и отображение окна группобъектов вновь будет разрешено.

Для отображения заголовка группы объектов:

• Вызовите меню "Вид" и активируйте команду "Заголовок". Если слева откоманды содержалась отметка, она будет удалена, а заголовок выбраннойгруппы объектов в информационном окне — скрыт. При повторном выпол-нении этого действия отметка будет восстановлена и отображение заголовкагруппы объектов вновь будет разрешено.

Для отображения дополнительной информации о выбранном объекте:

1. Вызовите меню "Вид" и выберите команду "Подчиненные представления".Раскроется список дополнительных окон и таблиц для выбранного объекта.

2. Выполните следующие действия:• для отображения (скрытия) панели свойств установите (удалите) отметку

слева от команды "Свойства";• для отображения (скрытия) вкладок во вспомогательном окне установите

(удалите) отметку слева от названия вкладки.

Если отменить отображение всех вкладок во вспомогательном окне, то вспомогательноеокно также не будет отображаться на экране.

Для отображения панелей инструментов:

• Вызовите меню "Вид\Панель инструментов" и активируйте одну или нес-колько команд:• "Стандартные";• "Навигация";• "Компоненты";• "Справочники".Каждой команде соответствует панель инструментов. Если слева от командысодержалась отметка, она будет удалена, а соответствующая панель инстру-ментов в информационном окне — скрыта. При повторном выполнении этогодействия отметка будет восстановлена и отображение панели инструментоввновь будет разрешено.

Для отображения строки состояния:

• Вызовите меню "Вид" и активируйте команду "Строка состояния". Если слеваот команды содержалась отметка, она будет удалена, а строка состояния —скрыта. При повторном выполнении этого действия отметка будетвосстановлена и отображение строки состояния вновь будет разрешено.



Настройка программы управления сервером КУБДля настройки программы:

1. Вызовите меню "Инструменты" и активируйте команду "Настройки…".На экране появится диалоговое окно с параметрами настроек программы.

Примечание. Параметры в группе "Заявка" относятся только к заявкам, созданным впрограмме управления.

2. Укажите значения параметров:

Время длявыполнениясервером заявки,часов

Время ожидания выполнения заявки сервером в часах. Припревышении указанного срока заявка считается просроченной

Ожидатьзавершениявыполнениязаявки

При наличии отметки на экран выводится окно уведомления отекущем процессе выполнения заявки

Максимальноеколичествоэлементовв выборке

Устанавливает максимальный размер выборкив информационном окне. При превышении этой величиныотображается только указанная часть выборки

Установитьнастройкиинструментовпо умолчаниюпри завершенииприложения

При наличии отметки пользовательские настройки интерфейсадействительны только в течение текущего сеанса работыпрограммы

Показыватьтолькосертификаты с e-mail текущегосотрудника

При наличии отметки в поле "Сертификат" в раскрывающемсясписке в диалоге создания заявки выводятся сертификатытолько текущего сотрудника (того, кто вошел в систему). Приотсутствии отметки в этом поле будет списокзарегистрированных сертификатов всех сотрудников

Форматотображенияполного имениучетных записейи групп учетныхзаписей

Устанавливает формат отображения в программе управленияимен учетных записей и групп учетных записей:• стандартный — <путь><краткое имя>;• <краткое имя>,<путь>

3. Перейдите к вкладке "Сетевые настройки" и укажите значения параметров:

Имя сервера Сетевое имя сервера КУБ

Использоватьпользовательскиенастройкисоединения

При отсутствии отметки для двух параметров этой группыбудут использованы значения по умолчанию. При наличииотметки будут использованы значения, введенныепользователем

Количествопопытоксоединения

Количество автоматически повторяемых попыток подключенияпрограммы управления к серверу КУБ

Интервалвремени дляпопытки…

Интервал времени (в секундах), по прошествии которогонеобходимо повторить попытку

Автоматическоесоединение ссервером

При наличии отметки производится автоматическоесоединение с сервером при запуске программы. Приотсутствии отметки для соединения с сервером нажмитекнопку "Вход пользователя" на панели инструментов

4. Для закрытия окна с сохранением внесенных изменений нажмите кнопку"OK".



Общие процедурыКосновным процедурам при работе с программой управления сервером КУБ отно-сятся:• переход к списку объектов;• обновление информации в списках объектов;• чтение информации из базы данных сервера КУБ;• сохранение внесенных изменений в базе данных сервера КУБ.

Примечание. Изменения, внесенные в программу управления, но не сохраненные в базе данныхсервера КУБ, выделяются жирным шрифтом. При сохранении в базе данных измененияоформляются в виде заявок.

Переход к списку объектовДля перехода к нужному списку объектов:

1. В главном окне программы управления на панели переходов выберитенужную категорию объектов (см. рис. на стр. стр.11).Подназванием категории появятся кнопки с названиями групп объектов, вхо-дящих в выбранную категорию.

2. Нажмите кнопку с названием нужной группы.Список объектов выбранной группы появится в информационном окне прог-раммы управления.

Обновление информации в таблицахДля обновления информации в таблицах:

• Нажмите кнопку "Обновить" на панели инструментов программы управ-ления.Изменения, внесенные в список объектов, будут обновлены во всехсвязанных списках.

Чтение информации из базы данныхДля чтения данных из базы данных сервера КУБ:

1. Вызовите меню "Файл" и активируйте команду "Чтение данных".На экране появится диалоговое окно с предупреждением.

2. Нажмите кнопку "Да".

Предупреждение.Внесенные ранее изменения не будут сохранены в базе данных сервераКУБ.

Будет произведено чтение данных из базы данных сервера КУБ. Информацияво всех таблицах будет обновлена.

Сохранение изменений в базе данныхИзменения в базу данных сервера КУБ вносятся путем формирования заявок. Вданной версии программы управления при создании заявок не формируется:• автоматический список согласующих лиц для всех заявок;• принудительный список согласующих лиц для всех заявок, кроме заявок в

свободной форме.Таким образом:• каждая заявка, кроме заявки в свободной форме, в любом случае

принимается к исполнению;• заявка в свободной форме сразу принимается к исполнению, если для нее не

сформирован принудительный список согласующих лиц.



Все вышесказанное относится только к заявкам, сформированным в программеуправления. К заявкам, сформированным в СУЗ, эти правила не относятся.

Для сохранения изменений в базе данных сервера КУБ:

1. Вызовите меню "Файл" и активируйте команду "Сохранить данные".На экране появится диалоговое окно "Сохранение заявки".

2. В поле "Контрольноевремя исполнениязаявки" укажите датуи время оконча-ния исполнения заявки. Для выбора даты в календаре нажмите кнопку вправой части поля.

Примечание. Контрольное время не может быть меньше значения, установленного по умол-чанию в параметрах настройки сервера КУБ; автоматически учитываются выходные ипраздничные дни.

3. В случае необходимости установите отметку в поле "Отложить исполнениезаявки" и укажите дату и время начала исполнения заявки.

Примечание. Если отметка в данном поле:• установлена, то заявка будет принята к исполнению немедленно после формирования;• не установлена, то сформированная заявка будет иметьстатус "Отсрочена" и будет принята

к исполнению в указанный срок.

4. В случае необходимости установите отметку в поле "Пересмотр требованийзаявки" и укажите дату и время, когда будет послано уведомление о необхо-димости пересмотреть требования заявки.

Данная функция предназначена для создания временного доступа к ресурсам компании.Временный доступ организуется так: уполномоченное должностное лицо создает заявку длянаделения нужного сотрудника определенными правами доступа. При создании заявки в поле"Требуется пересмотр требований заявки" ставится отметка и указываются дата и время, когданеобходимо получить уведомление. В указанный срок лицу, создавшему заявку, придетуведомление по электронной почте, содержащее информацию о заявке. Для отменывременного доступа сотрудника к ресурсам необходимо создать новую заявку ссоответствующими требованиями.

5. При необходимости формирования ЭП заявки выберите сертификат дляподписи заявки в раскрывающемся списке поля "Сертификат".

Условия отображения сертификатов в списке:• адрес электронной почты сотрудника должен совпадать с адресом электронной почты в

соответствующемполе сертификата;• сертификат должен бытьдействительным;• назначение сертификата должно соответствовать назначению сертификатов, указанных

при установке сервера КУБ;• издателем сертификата должен быть центр сертификации (ЦС), входящий в список

доверенныхЦС, указанных при установке сервера КУБ.

6. В поле "Описание заявки" при необходимости добавьте комментарий впроизвольной форме.

После сохранения заявки изменение описания невозможно.

7. Если необходимо прикрепить файл (или файлы) к заявке, перейдите навкладку "Приложенные файлы" и с помощью кнопки "Добавить" добавьте всписок нужные файлы.Для удаления файлов из списка используйте кнопки "Удалить" и "Удалитьвсе".

8. Нажмите кнопку "OK".На экране появится сообщение программы управления: "Выполнение заявкисервером…".После того как сообщение перестанет отображаться на экране, заявка будетсохранена в базе данных сервера КУБ.

Для просмотра информации о заявке перейдите к группе "Журнал заявок" и нажмите кнопку"Обновить" на панели инструментов.



Сохранение изменений во внешнем файлеНабор изменений, производимых в программе управления до того, как будетвыполнено сохранение этих изменений в базу данных КУБ (создание заявки),называется схемой заявки. Этот набор изменений можно сохранить во внешнемфайле, а затем при необходимости загрузить. Если после загрузки измененийвыполнить создание заявки, то в заявку будут включены только те изменения,которые были сохранены в загруженномфайле.

Сохранение схемы заявкиСохранение схемы заявки во внешнем файле может быть выполнено на любомэтапе внесения изменений в программу управления. В файл будут сохраненыизменения, внесенные в программу управления с момента последнего созданиязаявки.

Для сохранения схемы заявки:

1. Выполните действия в программе управления, которые необходимо сохра-нить во внешнемфайле.

2. Вызовите меню "Файл" и активируйте команду "Сохранить схему заявки…".На экране появится стандартное диалоговое окноWindows для сохраненияфайла.

3. При необходимости измените имя и путь сохранения файла и нажмите кноп-ку "Сохранить".

Примечание. По умолчанию схема заявки сохраняется в папке "C:\ProgramFiles\Infosec\Cube\Configurator\Logs" в файле schema.xml.

Схема заявки будет сохранена в указанномфайле.

Загрузка схемы заявкиЗагрузка схемы заявки может быть выполнена в любой момент, когда возникнетнеобходимость вернуться к сохраненному во внешнем файле состоянию прог-раммы управления. После загрузки схемы заявки будут утеряны все изменения,внесенные с момента последнего создания заявки.

Примечание. После загрузки схемы заявки можно сразу сохранить загруженное состояние прог-раммы управления в виде заявки (см. стр. стр.17) либо продолжатьвноситьизменения в программу.

Для загрузки схемы заявки:

1. Вызовите меню "Файл" и активируйте команду "Загрузить схему заявки…".На экране появится стандартное диалоговое окноWindows для выборафайла.

2. Выберите нужный файл (схемы заявок хранятся в файлах с расширениемxml) и нажмите кнопку "Открыть".

Примечание.Если до этого ни разу не производилосьсохранение схемы заявки (см. процедурувыше), то файл *.xml не существует.

На экране появится предупреждающее сообщение о том, что все изменения,произведенные пользователем после создания последней заявки, будутутрачены.

3. Нажмите кнопку "Да" в окне сообщения.Будет загружена выбранная схема заявки, т. е. набор тех изменений впрограмме управления, которые были сохранены в файле *.xml.

Управление таблицамиСведения о выбранном объекте представлены в информационном окне втабличном виде. Программа Cправления снабжена развитым инструментариемдля работы с таблицами:• фильтрация записей;



• сортировка записей;• перемещение столбцов;• выбор отображаемых столбцов.

Фильтрация записейФильтрация записей предусмотрена для списка объектов в информационномокне. Выбранные записи могут быть отображены как на имеющейся, так и нановой вкладке информационного окна. Пользовательские установки фильтрасохраняются после завершения работы с программой управления.

Для отбора нужных записей:

1. Вызовите контекстное меню для любой записи в информационном окне иактивируйте одну из следующих команд:• "Фильтр…" для отображения выбранных записей на той же вкладке;

Совет.Можно также воспользоваться кнопкой "Фильтр" в панели инструментов.

• "Новая выборка…" для отображения выбранных записей на новойвкладке.

На экране появится диалоговое окно для определения условий отбора.

Для каждой таблицы предусмотрено свое диалоговое окно для фильтрации.Все диалоговые окна сконструированы следующим образом. Каждое окносодержит ряд вкладок:• Вкладка "Общие" предназначена для фильтрации по свойствам объектов.

Набор настраиваемых параметров индивидуален для каждой таблицы.• Вкладки для фильтрации по связанным объектам.

2. Определите значения параметров отбора в полях вкладки "Общие".3. Для каждой следующей вкладки при необходимости сформируйте список

записей из связанных таблиц, по которым будет производиться фильтрация.



Для добавления и управления записями используйте кнопки справа:

Добавить… Открывает диалоговое окно для поиска объектов (см. стр. стр.21)

Удалить Удаляет выбранные записи

Выбрать все Выбирает все записи

Очистить все Снимает выделение с выбранных записей

Удалить все Удаляет все записи

4. Если отображаемые записи не должны являться параметрами фильтрации,удалите отметку в поле "Использовать".

5. Нажмите кнопку "OK" для выполнения отбора.Диалоговое окно закроется, а в списке объектов будут отображены только тезаписи, которые удовлетворяют заданным условиям отбора.

Удаление вкладки с дополнительной выборкойВыбранные записи могут быть отображены в информационном окне как наимеющейся, так и на новой вкладке информационного окна.

Для удаления вкладки:

1. Перейдите к удаляемой вкладке.2. Вызовите меню "Правка" и активируйте команду "Закрыть выборку".

Поиск объектовПоиск объектов выполняют в различных процедурах для указания объектов иформирования списков.

Для поиска объектов:

1. Вызовите на экран диалоговое окно "Поиск объектов".



2. В группе "Фильтр" укажите параметры для поиска нужных записей:• в раскрывающемся списке выберите способ фильтрации записей;• в поле поиска введите слово или часть слова для поиска нужных записей;

Примечание.Чтобы отобразитьвсе записи связанной таблицы, оставьте это поле пустым.

• нажмите кнопку "Искать".В поле "Результат поиска" будут отображены выбранные записи.

3. Установите отметки напротив тех записей, которые будут отображены в диа-логе фильтрации объектов. Отметки установите вручную либо используйтекнопки:

Выбрать все Устанавливает отметки напротив всех записей

Очистить все Удаляет установленные отметки

Примечание. В некоторых процедурах множественный выбор не требуется и поля для уста-новки отметок отсутствуют. В этом случае выделите в списке нужную запись.

4. Нажмите кнопку "ОК".

Примечание. Чтобы выбрать отмеченные записи и продолжить работу в окне "Поиск объек-тов", нажмите кнопку "Применить".

Сортировка записей

Для сортировки записей:

• Наведите курсор мыши на заголовок столбца и нажмите левую кнопку мыши.Список будет отсортирован по данному полю в алфавитном порядке (длятекстовых полей) или в порядке возрастания (для цифровых полей).Повторное нажатие кнопки мыши изменяет порядок сортировки напротивоположный.

Управление столбцамиНастройки столбцов в информационном и вспомогательном окнах сохраняются ипри следующем запуске программы управления.



Для перемещения столбцов:

1. Наведите курсор мыши на заголовок перемещаемого столбца и нажмителевую кнопку мыши. Не отпуская кнопку, перетащите поле в нужное место.Синей чертой на экране будет показано место, которое займет столбец.

2. Отпустите кнопку. Столбец займет указанное место.

Для скрытия столбца:

1. Вызовите контекстное меню столбца, который необходимо скрыть, и акти-вируйте команду "Скрыть колонку".

2. Выбранный столбец перестанет отображаться на экране.

Для отображения столбца:

1. Вызовите контекстное меню столбца, справа от которого необходимоотобразить скрытый столбец. В меню "Добавить колонку" активируйте наз-вание нужного столбца.

2. Выбранный столбец будет отображен на экране.

Завершение работы программыДля завершения работы программы управления:

• Активируйте в меню "Файл" команду "Выход".



Глава 2Импорт организационно-штатной структурыиз сторонних источников

В системе КУБ реализована возможность импорта данных об организационно-штатной структуре (ОШС) предприятия из следующих источников:• база данных автоматизированной системы управления "1С: Предприятие";• каталог Active Directory контроллера домена;• текстовые файлы;• XML-файлы;• файлы MS Excel;• сервер КУБ филиала организации;• система, предоставляющая соответствующий интерфейс для использования

Windows Script Host со скриптами, написанными на языке JavaScript илиVBScript.

Импорт ОШС выполняется с помощью подсистемы синхронизации. Подсистемасинхронизации работает в составе сервера КУБ.Импортом управляют с помощью мастера программы управления сервером КУБ.Порядок работы с мастером для всех источников импорта одинаков. Однакопроцедура настройки импорта ОШС включает индивидуальную настройкуспециализированных адаптеров для каждого из источников импорта. Процедурынастройки адаптеров описаны в соответствующем разделе.В процедуре импорта ОШС из XML- файлов предусмотрена возможностьимпортировать в систему КУБ произвольные (настраиваемые пользователем)атрибуты сотрудников, должностей, подразделений, номенклатурныхдолжностей и физическихлиц, невходящие всписок стандартныхсвойств объек-тов ОШС.

Импорт ОШС с помощью мастераДля импорта ОШС:

1. Вызовите в меню "Инструменты" подменю "Мастера" и активируйте одну изследующих команд:

Импорт ОШС на сервере… для запуска серверного варианта импорта

На экране появится стартовое окно мастера импорта ОШС.



2. Заполните поля диалога и нажмите кнопку "Далее >".

Источникиданных

Перечень источников импорта данных. Для формированиясписка используйте кнопки:Добавить — открывает диалоговое окно со списком адаптеров.Выберите нужный адаптер и настройте его (см. стр. стр.181);Изменить — открывает диалоговое окно настройки выбранногоадаптера (см. стр. стр.181);Удалить — удаляет выбранный адаптер из списка.Примечание. Для адаптера импорта ОШС из текстового файлавходные данные из текстового файла должны быть в форматеUTF-8.

Подразделение,в которое будетпроизведенимпорт

Наименование подразделения, в составе которого находитсяобновляемое подразделение. Для выбора в списке используйтекнопку "Выбрать…".Примечание. При первоначальном импорте данных ОШС в окневыбора объектов будет существовать только один объект сназванием предприятия, который формируется при установкепрограммы управления.

Произвестиповторноесвязываниеобъектов ОШС

При наличии отметки поиск ранее внесенных объектов(подразделений, должностей физических лиц) будетпроизводиться без учета значения идентификатора объекта.Определение идентификатора объекта см. на стр. стр.168

Кнопка"Фильтр"

Вызывает диалоговое окно для настройки фильтраимпортируемых данных (см. стр. стр.28).



Кнопка"Импортируе-мые свойства"

Вызывает перечень параметров объектов ОШС, значения которыхдолжны быть импортированы в систему КУБ.

Поле "Учетнаязапись"

Отображает имя пользователя, под которым будет запущенадаптер. При первом запуске мастера поле пустое.

Кнопка"Изменить"

Вызывает диалоговое окно для задания/изменения параметровучетной записи, под которой будет запущен адаптер импортаОШС.

Поле"Разрядность"

Импорт ОШС предусматривает использование как 32-хразрядного адаптера, так и 64-х разрядного. По умолчаниюсистема автоматически выбирает разрядность адаптера, при этомв поле отображается значение "по умолчанию". Рекомендуется неизменять это значение.В исключительных случаях для принудительного заданияразрядности адаптера используется кнопка, расположеннаясправа.

Поиск объектовпроизводитьнезависимо отрегистровсимволов

При наличии отметки поиск объектов выполняется без учетарегистра символов.

Тип заявки Наименование заявки.

Контрольноевремяисполнениязаявки

Предельный срок исполнения заявки.

На экране появится итоговое окно мастера.Вокне отображается номерсозданной заявки.

3. Для завершения работы мастера нажмите кнопку "Готово".4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Внимание! Для контроля за создаваемыми при синхронизации ОШС заявками, с массовымудалением сотрудников в следствии ошибок выгрузки данных из источника кадровых данных,должна бытьсоздана ответственность "Контрольимпорта ОШС". Ответственность срабатываетпри привышении количества уволенных сотрудников в заявке, указанного в настройкахответственности.

Настройка автоматической синхронизации ОШСПредусмотрена возможность автоматической синхронизации (обновления) дан-ных об организационно-штатной структуре подразделений предприятия с дан-ными, представленными в источнике их импорта. Отличие процедурыавтоматической синхронизации от процедуры импорта ОШС заключается в том,что при повторном импорте ранее внесенные данные из базы данных неудаляются, а при автоматической синхронизации данные, которых нет висточнике импорта, удаляются из базы данных системы КУБ.

Для настройки автоматической синхронизации ОШС:

1. Вызовите в меню "Инструменты" подменю "Мастера" и активируйте одну изследующих команд:

Автоматическая синхронизацияОШС на сервере…

для запуска серверного вариантаавтоматической синхронизации ОШС

На экране появится окно мастера автоматической синхронизации ОШС.



2. Заполните поля вкладки "Параметры синхронизации".

Включитьсинхронизацию

Установка отметки включает автоматическую синхронизациюОШС с указанными параметрами.

Источникиданных

Перечень источников импорта данных. Для формированиясписка используйте кнопки:Добавить — открывает диалоговое окно со списком адаптеров.Выберите нужный адаптер и настройте его (см. стр. стр.181);Изменить — открывает диалоговое окно настройки выбранногоадаптера (см. стр. стр.181);Удалить — удаляет выбранный адаптер из списка.Примечание. Для адаптера импорта ОШС из текстового файлавходные данные из текстового файла должны быть в форматеUTF-8.

Повторение/Расписание

Отображает расписание автоматического выполнениясинхронизации. Для определения расписания используйтекнопку "Изменить".Примечание. Для каждого источника данных создается своерасписание.

Подразделение,в которое будетпроизведенимпорт

Наименование подразделения, в составе которого находитсяобновляемое подразделение. Для выбора в списке используйтекнопку "Выбрать…".Примечание. При первоначальном импорте данных ОШС в окневыбора объектов будет существовать только один объект сназванием предприятия, который формируется при установкепрограммы управления сервером КУБ.

Кнопка "Фильтр" Вызывает диалоговое окно для настройки фильтраимпортируемых данных (см. стр. стр.28).

Кнопка"Импортируемыесвойства"

Вызывает перечень параметров объектов ОШС, значениякоторых должны быть импортированы в систему КУБ.

Поле "Учетнаязапись"

Отображает имя пользователя, под которым будет запущенадаптер. При первом запуске мастера поле пустое.



Кнопка"Изменить"

Вызывает диалоговое окно для задания/изменения параметровучетной записи, под которой будет запущен адаптер импортаОШС.

Поле"Разрядность"

Импорт ОШС предусматривает использование как 32-хразрядного адаптера, так и 64-х разрядного. По умолчаниюсистема автоматически выбирает разрядность адаптера, приэтом в поле отображается значение "по умолчанию".Рекомендуется не изменять это значение.В исключительных случаях для принудительного заданияразрядности адаптера используется кнопка, расположеннаясправа.

Поиск объектовпроизводитьнезависимо отрегистровсимволов

При наличии отметки поиск объектов выполняется без учетарегистра символов

3. Перейдите к вкладке "Параметры заявки" и заполните соответствующиеполя.

Тип заявки Наименование заявки

Контрольноевремя…

Предельный срок времени выполнения заявки на синхронизациюОШС в часах. Время не может быть меньше значения, установленногопо умолчанию в параметрах настройки сервера КУБ. Автоматическиучитываются выходные и праздничные дни

4. Нажмите кнопку "OK" для завершения настройки параметров авто-матической синхронизации ОШС.

Внимание! Для контроля за создаваемыми при синхронизации ОШС заявками, с массовымудалением сотрудников в следствии ошибок выгрузки данных из источника кадровых данных,должна бытьсоздана ответственность "Контрольимпорта ОШС". Ответственность срабатываетпри привышении количества уволенных сотрудников в заявке, указанного в настройкахответственности.

Настройка фильтра импорта данных ОШСНастройка фильтра импорта является частью следующих процедур:• импорт ОШС с помощью мастера (см. стр. стр.24);• настройка автоматической синхронизации ОШС (см. стр. стр.26).Процедура настройки фильтра начинается с полной выгрузки данных ОШС изисточника. Такая выгрузка может занять значительное время.

Для настройки фильтра:

1. Вызовите диалоговое окно "Настройка фильтра".Начнется полная выгрузка данных из источника.



На вкладке "Структура подразделений" в поле "Название" отобразитсясписок всех подразделений ОШС, указанных в выбранном источнике импор-та.

2. Удалите отметку у тех подразделений, данные об ОШС которых не требуетсяимпортировать в систему КУБ. Наименования этих подразделенийпереместятся в поле "Фильтр".

3. Перейдите на вкладку "Должности". В поле "Наименование" отобразитсясписок всех должностей, имеющихся в выбранном источнике импорта.

4. Удалите отметкуу техдолжностей, которыене требуетсяимпортировать в сис-тему КУБ.

5. Перейдите на вкладку "Сотрудники". Установите указатель мыши на вкладкеи правой кнопкой мыши вызовите контекстное меню. Выберите команду"Добавить". На экране появится окно диалога "Поиск объектов".

6. Нажмите кнопку "Искать". В поле "Объекты" появится список всехсотрудников подразделений, указанных в выбранном источнике импорта.

Совет.Для контекстного поиска введите в поле "Поиск" полностью или частично фамилию, имяили отчество нужного сотрудника и нажмите кнопку "Искать".

7. Отметьте тех сотрудников, сведения о которых не требуется импортировать всистему КУБ. Нажмите кнопку "OK" для закрытия окна "Поиск объектов" ипереноса выбранных сотрудников в настройки фильтра.

8. Нажмите кнопку "OK" для закрытия диалога "Настройка фильтра".



Глава 3Ручное управление организационно-штатной структурой

В программе управления сервером КУБ реализован специализированный пере-чень инструментов, с помощью которых можно создавать и корректировать дан-ные об ОШС предприятия. Доступ к перечню инструментов осуществляется черезкаталог "Орг. структура", который включает папки "Подразделения","Должности" и "Сотрудники". Доступ в указанные папки можно осуществитьтакже с помощью соответствующих ярлыков в области переходов главного окнапрограммы.Ручной режим ввода и корректировки данных при использовании процедурыавтоматической синхронизации ОШС не рекомендуется.

Управление подразделениями

Список подразделенийВ программе управления можно просмотреть список зарегистрированных всистеме КУБ подразделений предприятия, а также списки номенклатурныхдолжностей и сотрудников каждого из подразделений.

Для перехода к списку подразделений:

• В области переходов выберите категорию "Орг. структура" и нажмите кнопку"Подразделения".В главном окне отобразится перечень подразделений, зарегистрированных всистеме КУБ.

На вкладке "Список подразделений" отображается перечень подразделений валфавитном порядке. На вкладке "Иерархия подразделений" — в порядкеподчиненности.В дополнительном окне на одноименных вкладках отображаются следующиесведения для выбранного в списке подразделения:• Сотрудники;• Должности;• Структура должностей;



• Организационные единицы.

Регистрация нового подразделенияВ списке подразделений ОШС при необходимости можно зарегистрировать новоеподразделение. Подразделение может иметь один из следующих статусов:• юридическое лицо;• подразделение;• отдел.Подразделение верхнего уровня иерархии (корневое подразделение) должноиметь статус "Юридическое лицо". В этом подразделении нельзя назначатьруководителя, создавать должности и назначать на должности сотрудников.Сразу после установки системы КУБ создается подразделение, имеющеекатегорию "Служба автоматизации" и с одноименным названием. В системеможет быть зарегистрировано более одной службы автоматизации (сотрудникилюбой из служб автоматизации могут быть как актуализирующими, так иисполнителями для агентов КУБ). Остальные подразделения регистрируютсяпользователем самостоятельно.

Для регистрации нового подразделения:

1. Перейдите к списку подразделений.2. Вызовите меню "Правка" и в подменю "Мастера…" активируйте команду

"Создание подразделения".На экране появится стартовое окно мастера для создания подразделений.

3. Укажите регистрационные параметры нового подразделения:

Наименование Укажите наименование нового подразделения

Вышестоящееподразделение

Нажмите кнопку "Выбрать" для выбора вышестоящегоподразделения из диалога "Поиск объектов"

Уровень В раскрывающемся списке выберите статус подразделения

Категория Из раскрывающегося списка выберите категорию новогоподразделения

Подразделениеактивно

Установите отметку для регистрации функционирующегоподразделения

Копироватьструктурудолжностей…

Установите отметку, если необходимо скопировать структурудолжностей из уже существующего подразделения. Для еговыбора нажмите кнопку "Выбрать" и укажите подразделение вдиалоге "Выбор объектов"

Максимальноеколичество…

Укажите максимальное количество сотрудников, которое можноназначать на каждую должность в создаваемом подразделении

4. Нажмите кнопку "Далее >" для перехода к диалогу для выбора должностей.Укажите или измените набор должностей в создаваемом подразделении.

5. Нажмите кнопку "Далее >" для перехода к диалогу для выбора руководителяподразделения. Заполните поля диалога:• установите отметку в поле "Назначить руководителя подразделения",

если следует назначить руководителя;• в раскрывающемся списке в поле "Должность" выберите нужное зна-

чение;• в поле "Сотрудник" укажите сотрудника, назначаемого на должность

руководителя подразделения.6. Нажмите кнопку "Далее >" для перехода к завершающему диалогу мастера. В

нем будут приведены параметры нового подразделения.7. Для подтверждения нажмите кнопку "Готово".8. Сохраните внесенные изменения в базе данных (см. стр. стр.17).



Корректировка свойств подразделенияСвойства подразделения ОШС предприятия, установленные при его регистрациии внесенные в базу данных системы КУБ, можно корректировать с помощьюПрограммы управления сервером КУБ.

Для корректировки свойств подразделения:

1. Перейдите к списку подразделений и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранного подразделения.

2. Перейдите к панели свойств и внесите необходимые изменения:

Название Введите наименование подразделения

Категорияподразделения

Выберите в раскрывающемся списке категориюподразделения

Директор Укажите руководителя подразделения. Длявыбора в окне "Поиск объектов" (см. рис. настр. стр.19) нажмите кнопку в правой части поля

Уровень Выберите в раскрывающемся списке уровеньусловной иерархии подразделения:• юридическое лицо;• подразделение;• отдел.

Активность Выберите в раскрывающемся списке признакактивности подразделения:• активно — в подразделении числятсясотрудники, допущенные к ресурсамкорпоративной информационной системы;

• неактивно — в подразделении отсутствуютсотрудники, допущенные к ресурсамкорпоративной информационной системы.

Вышестоящееподразделение

Выберите в раскрывающемся спискенаименование вышестоящего подразделения

3. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Назначение категории вышестоящего подразделенияКатегорию подразделения можно назначить всем подчиненным ему под-разделениям.Под подчиненными подразделениями подразумеваются все подраз-деления, стоящие ниже в иерархической структуре.

Примечание.Если у подчиненного подразделения уже была определена категория, то при выпол-нении этой операции она будет изменена.

Для назначения категории вышестоящего подразделения:

1. Перейдите к списку подразделений и выберите подразделение, категориюкоторого следует назначить всем подчиненным ему подразделениям.

2. В меню "Правка" активируйте команду "Установить категорию дочерних под-разделений".Всем подчиненным подразделениям будет присвоена категория выбранногоподразделения.


Удаление подразделения из спискаС помощью программы управления можно удалить подразделение из списказарегистрированных в системе КУБ подразделений ОШС предприятия.



Удалить можно только то подразделение, которое не содержит сотрудников,стоящих на должностях. Поэтому предварительно необходимо снять с должностивсех сотрудников удаляемого подразделения (см. стр. стр.40).

Для удаления подразделения:

1. Перейдите к списку подразделений и выберите в списке нужную запись.2. Выберите вкладку "Сотрудники" в дополнительном окне подчиненных

представлений и убедитесь, что в удаляемом подразделении нетсотрудников, стоящих на должностях.

3. Вызовите меню "Правка" и активируйте команду "Удалить подразделение".На экране появится предупреждение о начале процедуры удаления подраз-деления из списка.

4. Для удаления подразделения из списка подтвердите продолжение проце-дуры удаления.

При попытке удаления подразделения, которое содержит сотрудников, стоящих на должностях,на экран будет выдано аналогичное предупреждение с перечнем таких сотрудников.


Управление должностями

Список должностейВ программе управления можно выполнить просмотр списка должностей всехподразделений предприятия, зарегистрированных в системе КУБ, а также спис-ков сотрудников, занимающих эти должности.

Для перехода к списку должностей:

• В области переходов выберите категорию "Орг. структура" и нажмите кнопку"Должности".В главном окне отобразится перечень должностей, зарегистрированных всистеме КУБ.

Дляпросмотраподчиненности должностей вподразделенияхпредприятия перей-дите на вкладку "Иерархия должностей" в области списков объектов.Выберите вкладку "Сотрудники" во вспомогательном окне связанных объектовдля просмотра всех сотрудников предприятия, занимающих данную должность.



Регистрация новой должностиВ списке должностей подразделений предприятия при необходимости можнозарегистрировать новую должность.

Для регистрации новой должности:

1. Перейдите к списку должностей.2. Вызовите меню "Правка" и активируйте команду "Создать должность…".

На экране появится стартовое окно мастера для создания должности.3. Укажите основные свойства должности и нажмите кнопку "Далее >".

Подразделение Подразделение, в котором регистрируется новая должность. Длявызова диалога "Поиск объектов" нажмите кнопку "Выбрать" (см.стр. стр.21).

Вышестоящаядолжность

Установите отметку в поле "Вышестоящая должность" и укажитеее. Для вызова диалога "Поиск объектов" нажмите кнопку"Выбрать" (см. стр. стр.21).


Максимальное количество сотрудников подразделения, которыемогут занимать данную должность. При значении "0",установленном по умолчанию, количество сотрудников неограничивается.

На экране появится диалог "Создание нескольких должностей".4. Нажмите кнопку "Добавить…" и выберите в списке с помощью процедуры

"Поиск объектов" (см. стр. стр.21 ) должность или несколько должностей,которые будут зарегистрированы в указанном подразделении.

Совет. Если наименования регистрируемой должности в списке номенклатурных должностейнет, нажмите кнопку "Создать" и в появившемся диалоге "Создание должности" введитенаименование новой должности.

5. Нажмите кнопку "Далее >" для перехода к окну "Подчиненные должности".6. Нажмите кнопку "Добавить…" и выберите с помощью процедуры "Поиск

объекта" (см. стр. стр.21) подчиненные должности.7. Нажмите кнопку "Далее >" для перехода к окну "Назначение ролей".8. Нажмите кнопку "Добавить…" и выберите с помощью процедуры "Поиск

объекта" (см. стр. стр.21) роли, которые закрепляются за должностями.9. Нажмите кнопку "Далее >" для перехода к заключительному окну мастера.10.Проверьте правильность указанных свойств новой должности. При необхо-

димости их коррекции используйте кнопку "< Назад".Для регистрации новой должности в списке должностей ОШС предприятиянажмите кнопку "Готово".

Новая должностьбудет выделена в списке должностей жирнымшрифтом.

11.Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Удаление должностиС помощью программы управления можно удалить из базы данных системы КУБдолжность из списка зарегистрированных должностей.Удалить можно только ту должность подразделения, на которую не назначенысотрудники. При наличии сотрудника на должности необходимо его снять сдолжности (см. стр. стр.40).

Для удаления должности:1. Перейдите к списку должностей и выберите в списке нужную запись.2. Выберите вкладку "Сотрудники" во вспомогательном окне и убедитесь, что

нет сотрудников, назначенных на эту должность.3. Вызовите меню "Правка" и активируйте команду "Удалить должность".



Наименование должности будет удалено из списка должностей.

При попытке удаления должности, на которую назначен сотрудник, на экран будет выданосоответствующее предупреждение.


Корректировка должностного доступаС помощью программы управления можно корректировать должностной доступпутем добавления ролей, копирования должностного доступа из другихдолжностей и лишения должности ранее закрепленной за ней роли.

Добавление ролей

Для добавления ролей:

1. Перейдите к списку должностей и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранной должности.

2. Вызовите меню "Правка" и активируйте команду "Установить должностнойдоступ…".

3. Используя процедуру "Поиск объекта" (см. стр. стр.21), укажите роли, кото-рые необходимо добавить выделенной должности.

Скорректированная должность будет выделена жирным шрифтом в списке должностей.Обновленный переченьролей будет показан на вкладке "Роли" вспомогательного окна.


Копирование ролей

Для копирования ролей:

1. Перейдите к списку должностей и выберите в списке должность,должностной доступ которой необходимо скопировать.

2. Вызовите меню "Правка" и активируйте команду "Копировать роли вдолжность…".

3. Используя процедуру "Поиск объекта" (см. стр. стр.21), укажите должность,которой будут назначены роли, аналогичные скопированной должности.

Скорректированная должностьбудет выделена жирнымшрифтом в списке должностей.


Лишение должности роли

Для лишения должности ранее закрепленной за ней роли:

1. Перейдите к списку должностей и выберите в списке должность, которуюнеобходимо лишить ранее закрепленной за ней роли.

2. Перейдите во вспомогательном окне на вкладку "Роли" и выберитеудаляемую роль.

3. Правой кнопкой мыши вызовите контекстное меню и активируйте команду"Лишить роли".



Назначение сотрудников на должностьДля назначения на должность:

1. Перейдите к списку должностей и выберите в списке нужную запись.2. Выберите во вспомогательном окне вкладку "Сотрудники" и убедитесь, что

на данной должности количество работающих сотрудников не превышаетмаксимального значения.



3. Вызовите меню "Правка" и активируйте команду "Назначить сотрудников надолжность…".

4. Используя процедуру "Поиск объекта" (см. стр. стр. 21 ), укажитесотрудников, которые будут назначены на выбранную должность.



Изменение подчиненности должностиДля изменения подчиненности должности:

1. Перейдите на вкладку "Иерархия должностей" и выберите в спискедолжность, для которой необходимо изменить подчиненность.

2. Вызовите меню "Правка" и активируйте команду "Копировать".3. Выберите в списке должность, которой будут подчинена скопированная

должность.4. Вызовите меню "Правка" и активируйте команду "Вставить".

Выбранная должность займет новое положение в списке "Иерархиядолжностей".



Отмена подчиненности должностиДля отмены подчиненности:

1. Перейдите к списку должностей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Отменить подчиненность".



Изменение максимального количества сотрудников,назначенных на должностьДля корректировки максимального количества:

1. Перейдите к списку должностей и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранной должности.

2. Выберите во вспомогательном окне вкладку "Сотрудники" и убедитесь, чтона данной должности количество работающих сотрудников не превышаетнового значения.

3. Перейдите в панель "Свойства" и внесите новое значение в поле"Максимальное количество".



Управление сотрудникамиСотрудником в системе КУБ называется физическое лицо, занимающее какую-либо должность. Одно физическое лицо может занимать несколько должностей,образовывая таким образом несколько сотрудников.

Список сотрудников предприятияВ программе управления сервером КУБ можно выполнить просмотр спискасотрудников всех подразделений предприятия, зарегистрированных в системеКУБ, а также перечень связанных с каждым сотрудником учетных записей,ролей, сертификатов, заместителей и точек доступа.



Для перехода к списку сотрудников:

• В области переходов выберите категорию "Орг. структура" и нажмите кнопку"Сотрудники".В главном окне отобразится перечень сотрудников, зарегистрированных всистеме КУБ.

Регистрация нового сотрудникаОдновременно с регистрацией сотрудника регистрируется новое физическоелицо. Можно зарегистрировать только физическое лицо, без назначения надолжность.После регистрации сотрудника в списке "Сотрудники" и в списке "Физическиелица" образуются новые записи. Если было зарегистрировано толькофизическое лицо, то новая запись образуется только в списке "Физическиелица".

Для регистрации нового сотрудника:

1. Перейдите к списку сотрудников.2. Вызовите меню "Правка" и активируйте команду "Создать сотрудника…".

На экране появится диалог "Создание сотрудника" для ввода персональныхданных о сотруднике.Заполните следующие поля:

ФамилияИмяОтчество

Введите соответствующие данные.Поле "Фамилия" является обязательным для заполнения

Пол Выберите из раскрывающегося списка нужное значение

Сторонняякомпания

Введите наименование компании (если данное физическое лицоявляется сотрудником сторонней компании)

Комментарий Введите дополнительные сведения

3. Нажмите кнопку "Далее >" для перехода к диалогу для назначениясотрудника на должность (должности).Укажите должности, на которые следует назначить сотрудника. Для добав-ления и управления записями используйте кнопки справа:

Добавить… Открывает диалоговое окно для поиска объектов





Очистить все Отменяет выделение выбранных записей


Для регистрации физического лица не указывайте должность. Перейдите к выполнению п. 8.

4. Нажмите кнопку "Далее >" для перехода к следующему диалогу.

5. Заполните следующие поля в таблице "Сотрудники":

Почта Укажите адрес электронной почты сотрудника

Рабочий телефон Укажите основной номер телефона сотрудника

Дополнительный телефон Укажите дополнительный номер телефона

Примечание. Переход к режиму редактирования ячейки осуществляют двойным нажатиемлевой кнопки мыши с небольшиминтерваломмежду нажатиями.

6. Чтобы предоставить сотруднику доступ к системе КУБ, нажмите кнопку"Доступ к системе КУБ…".Появится диалог импорта учетной записи.

7. Выберите учетную запись (см. п.п. 3 — 5 процедуры на стр. стр.48).

Предварительно необходимо указатьадрес электронной почты в таблице "Сотрудники".

8. В таблице "Роли сотрудника" укажите роли, которые необходимо присвоитьрегистрируемому сотруднику. Для добавления и управления записями втаблице используйте кнопки справа.

9. Нажмите кнопку "Далее >" для перехода к завершающему диалогу.Будет произведена регистрация нового сотрудника в системе КУБ. Ходпроцесса будет отображаться на экране в виде индикатора прогресса.По завершении процесса на экране появится заключительный диалогмастера, в котором будут представлены параметры нового сотрудника.

10.Для подтверждения нажмите кнопку "Готово".



Совет.Для просмотра зарегистрированного физического лица перейдите к списку физическихлиц, зарегистрированных в системе КУБ. Для этого в меню "Инструменты | Справочники" акти-вируйте команду "Физические лица".


Корректировка свойств сотрудникаСвойства сотрудника, установленные при его регистрации и внесенные в базуданных системы КУБ, можно корректировать с помощью программы управлениясервером КУБ.

Для корректировки свойств сотрудника:

1. Перейдите к списку сотрудников и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранного сотрудника.

2. Перейдите в окно "Свойства" и внесите необходимые изменения в соответ-ствующие поля:

Почта Введите адрес электронной почты сотрудника

Рабочий телефон Введите основной номер телефона сотрудника

Дополнительныйтелефон

Введите дополнительный номер телефона сотрудника

Статус Выберите в раскрывающемся списке статус сотрудника(работает/заблокирован/недоступен)


Назначение физического лица на должностьФизическое лицо, зарегистрированное в системе КУБ, можно назначить надолжность в подразделении. В результате в системе КУБ образуется новыйсотрудник.

Для назначения физического лица на должность:

1. Перейдите к списку физических лиц (см. стр. стр.61) и выберите нужнуюзапись.

2. Вызовите меню "Правка" и активируйте команду "Назначить надолжности…".На экране появится диалог "Поиск объектов".

3. Укажите должности, на которые следует назначить физическое лицо, и наж-мите кнопку "ОК".ВсистемеКУБ будет зарегистрирован новый сотрудник. Дляпросмотра инфор-мации о нем перейдите во вспомогательное окно на вкладку "Сотрудники".


Перемещение сотрудника на другую должностьСотрудника, зарегистрированного в системе КУБ, можно переместить на другуюдолжность в любое подразделение предприятия. При этом сотруднику авто-матически будут назначены новые роли. Имеющиеся должностные ииндивидуальные роли при перемещении на другую должность можно как сохра-нить, так и удалить.

Для перевода сотрудника на другую должность:

1. Перейдите к списку сотрудников и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Переместить на

должность…".На экране появится диалог "Поиск объектов".

3. Выполните следующие действия:



• укажите должность, на которую переводится сотрудник;• при необходимости сохранения на новой должности уже имеющихся

ролей установите отметки в полях "Копировать индивидуальные роли" и"Копировать должностные роли";

• Нажмите кнопку "ОК".4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Снятие сотрудника с должностиСотрудника, зарегистрированного в системе КУБ, можно снять с занимаемойдолжности.

Для снятия сотрудника с должности:

1. Перейдите к списку сотрудников и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Снять с должности".

На экране появится запрос на подтверждение процедуры.3. Нажмите кнопку "Да". Сотрудник, снятый с должности, будет удален из

списка сотрудников.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Увольнение сотрудникаУвольнение сотрудника в системе КУБ означает снятие сотрудника со всехдолжностей, которые он занимает, то есть удаление информации о нем из списка"Сотрудники". Соответствующая запись из списка "Физические лица" при этомне удаляется.Для увольнения сотрудника необходимо, чтобы все обязанности по обработкезаявок (согласование, актуализация и исполнение), назначенные сотруднику,были выполнены или делегированы другому сотруднику (о процедуределегирования см. ниже).Если сотрудник занимает только одну должность, то процедуры снятия сдолжности и увольнения для него равноценны.

Для увольнения сотрудника:

1. Перейдите к списку сотрудников и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Уволить".

На экране появится запрос на подтверждение процедуры.3. Нажмите кнопку "Да". Уволенный сотрудник будет удален из списка

сотрудников.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Сравнение сотрудниковВ системе КУБ реализована процедура сравнения сотрудников. Имеется возмож-ность сравнивать между собой любое количество сотрудников, а также выбиратькритерии для сравнения. Сравнение производится по каждому критерию. Порезультатам сравнения выводится отчет для просмотра. В таблице,представленной ниже, приведены критерии сравнения сотрудников и способыих применения.

Табл.3 Критерии сравнения сотрудников

Критерийсравнения Описание

Роль В отчет попадают роли, которыми обладают все сравниваемыесотрудники. Учитываются должностные и индивидуальные ролисотрудников, а также их дочерние роли.



Ответственность В отчет попадают ответственности, которыми обладают всесравниваемые сотрудники. Учитываются ответственности,полученные через должностные и индивидуальные роли, а такжечерез все дочерние роли.

Доступ кресурсам

В отчет попадают ресурсы, доступом к которым обладают всесравниваемые сотрудники. Учитывается доступ, полученный черездолжностные и индивидуальные роли, а также через все дочерниероли.

Общие правадоступа

Критерий доступен для выбора, только если выбран критерий"Доступ к ресурсам". В этом случае в отчет попадают только правилаи права доступа, общие для всех сравниваемых сотрудников.

Доступ к АС В отчет попадают агенты, на которых у всех сравниваемыхсотрудников имеются учетные записи.

Доступ в КУБ В отчет попадают сотрудники, имеющие доступ в систему КУБ, атакже сотрудники, не имеющие доступ в систему КУБ.

Запускпрограммыуправлениясервером КУБ

Критерий доступен для выбора, только если выбран критерий"Доступ в КУБ". В этом случае в отчет попадают только сотрудники,имеющие права на запуск программы управления.

Для сравнения сотрудников:

1. В меню "Инструменты | Мастера" активируйте команду "Мастер сравнениясотрудников…". На экране появится стартовый диалог мастера.

2. Сформируйте список сотрудников, которых необходимо сравнить, и уста-новите отметки возле необходимых критериев для сравнения. Для форми-рования списка используйте кнопки в правой части диалога.

Примечание. Имеется возможность быстрого внесения сотрудников в список. Для этого впредставлении "Сотрудники" выберите нужных сотрудников и в меню "Правка" активируйтекоманду "Сравнить…". На экране появится стартовый диалог мастера сравнения с ужесформированным списком сотрудников.

3. Установите отметки возле нужных критериев сравнения. Необходимо указатьхотя бы один критерий.

4. Нажмите кнопку "Далее >". Ход процесса будет отображаться на экране ввиде индикатора прогресса.



По завершении процесса на экране появится заключительный диалогмастера, в котором будет представлен отчет с результатами сравнения.

5. Нажмите кнопку "Готово" для закрытия диалога.

Объединение сотрудниковДанная процедура предназначена для ликвидации дублирующих записей осотруднике в базе данных КУБ. Одна из записей сохраняется в базе данных,остальные автоматически удаляются. Все роли дублирующих записейобъединяются под указанным именем.

Для объединения сотрудников:

1. Перейдите к списку сотрудников и выберите в списке записи, которые нужнообъединить.

2. Вызовите меню "Правка" и активируйте команду "Объединить…".На экране появится стартовый диалог мастера.

3. Выберите запись, которую необходимо сохранить, и нажмите кнопку"Далее >".Наэкранепоявится заключительныйдиалог мастерас информацией о резуль-тате объединения.

4. Проверьте правильность введенных данных и нажмите кнопку "Готово".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Делегирование обязанностей сотрудникаДелегирование обязанностей сотрудника — это передача невыполненныхобязанностей сотрудника по обработке заявок (согласование, актуализация иисполнение). Обязанности можно делегировать либо все вместе одномусотруднику, либо по отдельности разным сотрудникам.

Для делегирования обязанностей:

1. Перейдите к списку сотрудников и выберите сотрудника, обязанности кото-рого делегируются другому сотруднику.

2. В меню "Правка | Делегировать" активируйте нужную команду:

Все Для делегирования всех обязанностей одному сотруднику

Согласование Для делегирования обязанностей по согласованию заявок

Актуализация Для делегирования обязанностей по актуализации заявок

Исполнение Для делегирования обязанностей по исполнению инструкций

На экране появится диалог "Делегировать".3. Заполните поля диалога:

• в поле "Сотрудник" укажите сотрудника, которому необходимоделегировать обязанности. Для этого нажмите кнопку "Выбрать", ука-жите нужного сотрудника в диалоге "Поиск объектов" и нажмите кнопку"ОК";

• в поле "Комментарий" при необходимости введите дополнительнуюинформацию.


Назначение заместителейСотруднику в системе КУБ может быть назначен один или несколькозаместителей. Заместителем называется сотрудник, которому делегируютсяобязанности (согласование и актуализация заявок, регистрация выполненияинструкций) в течение того времени, пока сотрудник, которого он замещает,имеет статус "заблокирован" или "недоступен". Если сотрудник имеет нес-



кольких заместителей, то обязанности делегируются тому из них, кто имеетнаивысший ранг и статус "работает".Список заместителей сотрудника отображается во вспомогательном окне навкладке "Заместители".

Для назначения заместителей:

1. Перейдите к списку сотрудников и выберите сотрудника, которомуназначается заместитель.

2. Вызовите меню "Правка" и активируйте команду "Добавить заместителей".На экране появится диалог "Поиск объектов".

3. В поле выбора установите отметку у тех сотрудников, которые будутназначены заместителями. Нажмите кнопку "OK" для добавления выбранныхсотрудников в список заместителей.


Для изменения рангаРанг заместителя определяет порядок выбора сотрудника, которому будет авто-матически делегировано согласование, если ответственный заблокирован илинедоступен. Ранг устанавливается в соответствии с положением сотрудника всписке заместителей.

Для установки ранга заместителей:

1. Выберите нужного сотрудника и во вспомогательном окне перейдите квкладке "Заместители".

2. Для перемещения записей в списке используйте следующие командыконтекстного меню:

Переместить в начало Перемещает выбранную запись в начало списка

Переместить вверх Перемещает выбранную запись на одну позицию вверх

Переместить вниз Перемещает выбранную запись на одну позицию вниз

Переместить в конец Перемещает выбранную запись в конец списка


Назначение сертификатаСотрудник в системе КУБ может быть связан с одним или несколькимисертификатами.

Сетрификат нельзя переназначитьна другого сотрудника.

Список сертификатов сотрудника отображается во вспомогательном окне навкладке "Сертификаты".

Для назначения сертификата:

1. Перейдите к списку сотрудников и выберите сотрудника, которомуназначается сертификат.

2. Во вспомогательном окне перейдите к вкладке "Сертификаты".3. В контекстном меню используйте команду "Связать с сертификатом..."

В полученном списке будут отображаться сертификаты, связанные с выбранным сотрудником, атакже сертификаты, не связанные ни с одним из сотрудников. Для связанных сертификатов отметкауже установлена, их нельзя назначитьили отменить.

4. В поле выбора установите отметку у тех сертификатов, с которыми будетсвязан сотрудник. Нажмите кнопку "OK" для добавления выбранныхсертификатов в список.

В списке




Удаление связи сертификата с сотрудником:

Нельзя удалить связь сертификата с сотрудником. Можно только отозвать серти-фикат (см. стр. стр.119).



Глава 4Общесистемные настройкиНастройка параметров сервера КУБ

Значения параметров сервера КУБ задаются при его установке. При этом частьпараметров задается явно, а часть — устанавливается по умолчанию.В программе управления предусмотрено изменение параметров сервера КУБ.Параметры условно распределены по следующим группам:

База данных Параметры подключения к базе данных, параметры резервногокопирования базы данных (см. стр. стр.46)

Отладочнаяинформация

Параметры, определяющие состав сведений, необходимых дляпередачи в службу технической поддержки. Сведения передаются позапросу службы технической поддержки в случаях возникновенияошибок или вопросов, связанных с работой сервера (см. стр. стр.46)

Дампы Параметры дампов (см. стр. стр.46)

Рассылкаписем

Параметры рассылки оповещений об обработке заявок (см.стр. стр.46)

Подпись заявок Параметры, определяющие использование ЭП и сертификатов (см.стр. стр.47)

Дополнительно Сведения о выходных и праздничных днях, необходимые для расчетаконтрольного времени согласования заявок (см. стр. стр.48)

Вызов окна настройкиДля изменения значений параметров:

1. Вызовите меню "Инструменты" и активируйте команду "Параметры сервера".Появится диалог "Параметры сервера.

Группы параметров распределены по соответствующим вкладкам диалога.



2. Для изменения параметра перейдите на нужную вкладку диалога, укажитетребуемое значение и нажмите кнопку "OK".

База данныхДля настройки параметров базы данных:

1. Вызовите на экран окно настройки (см. стр. стр.45) и перейдите к вкладке"База данных".

2. Заполните или откорректируйте поля вкладки:

Сервер Имя сервера базы данных. Задается при установке сервера КУБ(см. документ [4] в списке документов на стр. стр.205).

База данных Имя экземпляра базы данны. Задается при установке сервера КУБ(см. документ [4] в списке документов на стр. стр.205).

Пользователь Имя пользователя, под которым сервер КУБ соединяется с БД.Задается при установке сервера КУБ (см. документ [4] в спискедокументов на стр. стр.205).

Пароль Пароль пользователя. Задается при установке сервера КУБ (см.документ [4] в списке документов на стр. стр.205).

Частотапопытоксоединения

Количество попыток соединения с базой данных в единицувремени (секунду).

Путь длярезервногокопирования

Место хранения резервной копии базы данных.

3. Для изменения расписания резервного копирования нажмите кнопку"Изменить" и внесите необходимые изменения.

4. Для завершения настройки нажмите кнопку "OK".

Отладочная информацияДля настройки отладочной информации:

1. Вызовите на экран окно настройки (см. стр. стр.45) и перейдите к вкладке"Отладочная информация".

2. Расставьте отметки в соответствии с требованиями службы технической под-держки.


ДампыДля настройки дампов:

1. Вызовите на экран окно настройки (см. стр. стр.45) и перейдите к вкладке"Дампы".

2. При необходимости измените настройку дампов и нажмите кнопку "OK".

Рассылка писемДля настройки рассылки оповещений:

1. Вызовите на экран окно настройки (см. стр. стр.45) и перейдите к вкладке"Рассылка писем".



2. Укажите IP-адрес или DNS-имя SMTP-сервера.3. Если на почтовом сервере включена аутентификация SMTP, введите имя и

пароль пользователя SMTP.

В систему КУБ (начиная с версии 2.11), помимо существующих алгоритмов авторизации (CRAM-MD5, LOGIN, PLAIN)добавлена авторизация NTLM (встроенная авторизация Windows)

Для остальных версий поддерживается только базовая аутентификация на SMTP-сервере.

Если для доступа к Exchange-серверу используется доменная учетная запись, необходимо вActive Directory исключитьустаревание ее пароля.

4. Введите имя или адрес отправителя, от имени которого будут рассылатьсяоповещения.

5. Введите временной интервал между отправками оповещений (в секундах).6. Установите отметку, если необходимо, чтобы в оповещение включался

исходный XML-файл.

Исходный XML-файл, на основании которого генерируется оповещение, может использоватьсядля отладки.

7. Установите отметку, если необходимо сохранять исходный XML-файл насервере.


Подпись заявокДля настройки порядка использования ЭП:

1. Вызовите на экран окно настройки (см. стр. стр.45) и перейдите к вкладке"Подпись заявок".

2. Выберите режим работы подсистемы ЭП.



Мягкий При создании, согласовании и отклонении заявки ЭП в обязательномпорядке не требуется. Проверка ЭП на сервере будет осуществлятьсятолько при наличии ЭП, при ее отсутствии заявка считаетсядействительной.

Жесткий При создании заявки требуется ЭП создателя, при согласовании илиотклонении заявки требуется ЭП согласующих, т. е. ЭП требуется ипроверяется в обязательном порядке.

Комбинированный

ЭП требуется и проверяется только при согласовании или отклонениизаявки. Подпись создателя заявки не требуется.

Более подробно о режимах работы подсистемы ЭП см. в документе [1] всписке документов на стр. стр.205.

3. В поле "Доверенные издатели сертификатов" введите наименования техиздателей, чьи сертификаты должны отображаться пользователю приподписании заявки.

4. В поле "Назначения сертификатов (OID)" укажите типы сертификатов, кото-рые должны отображаться пользователю при подписании заявки.


ДополнительноДля учета праздничных дней:

1. Вызовите на экран окно настройки (см. стр. стр.45) и перейдите к вкладке"Дополнительно".

2. Укажите праздничные дни. При вводе используйте формат дд.мм;.

Выходные дни и переносы выходных дней при расчете контрольного времени согласованияучитываются автоматически.


Предоставление доступа к системе КУБПри необходимости сотруднику предприятия можно предоставить доступ ксистеме КУБ. Доступ реализуется созданием учетной записи системы КУБ.Сотрудник может иметь несколько таких учетных записей.В свойствах сотрудника, которому предоставляется доступ к системе КУБ, долженбыть указан адрес электронной почты.

Для предоставления доступа:

1. Перейдите к списку сотрудников (см. стр. стр.36).2. Вызовите меню "Правка" и активируйте команду "Предоставить доступ в

КУБ…".На экране появится диалог для импорта учетной записи.

3. Выберите в раскрывающемся списке контроллер домена, в которомзарегистрирован сотрудник.

4. В поле "Имя сотрудника" введите полностью или частично имя нужногосотрудника и нажмите кнопку "Искать".В поле "Учетные записи" отобразятся результаты поиска.

5. Выберите учетную запись сотрудника, которому предоставляется доступ всистему КУБ, и нажмите кнопку "OK".


Синхронизация системыПри синхронизации системы формируются индивидуальные роли иустанавливаются связи между сотрудниками и ролями. Для этого администраторв мастере синхронизации сопоставляет учетные записи пользователей с



сотрудниками. Требуется назначить каждому сотруднику те учетные записи,которые необходимы для выполнения его должностных обязанностей.Одновременно с назначением учетных записей сотрудникам назначаются серти-фикаты.Сопоставление учетных записей с сотрудниками может выполняться как вавтоматическом режиме, так и в ручном.Для автоматического сопоставления используется следующий алгоритм:• в наименовании учетной записи отбрасывается префикс и оставляется имя

пользователя. Например, в наименовании учетной записи"…/администрация/Иван. И. Иванов" будет отброшен префикс"…/администрация/" и оставлено имя "Иван И. Иванов";

• для каждого сотрудника генерируется имя в соответствии с правиломименования объектов "Пользователь: Полное имя" (см. стр. стр.96);

• полученные имена сотрудников и учетных записей сравниваются и присовпадении имен данному сотруднику назначается данная учетная запись.

Результаты автоматического сопоставления можно корректировать вручную.В тех случаях, когда автоматическое сопоставление по каким-либо причинам не-возможно или нецелесообразно, можно использовать заранее подготовленныйтекстовый файл, содержащий сведения о связанных учетных записях исотрудниках. Описание файла приведено в Приложении на стр. стр.180.При совместной синхронизации агентов Windows/AD и MS Exchange присвоениесотрудникам почтовых адресов осуществляется автоматически по результатамсопоставления учетных записей с сотрудниками.После назначения сотрудникам учетных записей система автоматически выпол-няет следующие действия:• преобразует имеющиеся группы пользователей в индивидуальные роли;• на основании членства пользователей в группах и сопоставленных учетных

записей устанавливает связи сотрудников с ролями. Роли, создаваемые впроцессе синхронизации, имеют бесцветную область доступа. Если цветобласти доступа у роли и у учетной записи различается, то цвет области дос-тупа учетной записи меняется на цвет области доступа роли.

Для синхронизации системы:

1. Вызовите меню "Инструменты" и в подменю "Мастера" активируйте команду"Синхронизация системы…".На экране появится стартовый диалог мастера синхронизации.



2. В поле "Платформа" вызовите на экран список и отметьте в нем нужное наз-вание платформы.В диалоге отобразится перечень установленных агентов этой платформы.

3. Отметьте в списке те агенты, синхронизацию которых необходимо выпол-нить.

4. При необходимости использования автоматического сопоставления уста-новите отметки в нужных полях:

Загружатьданные освязыванииучетныхзаписей

Включает режим загрузки данных о связанных учетных записяхи сотрудниках из заранее подготовленного текстового файла иблокирует режим автоматического связывания учетных записей

Автоматическоесвязываниеучетныхзаписей

Включает режим автоматического сопоставления учетныхзаписей и сотрудников

Связыватьнеиспользуемыеучетные записи

Включает режим автоматического сопоставлениянеиспользуемых учетных записей и сотрудников

Автоматическоесвязываниесертификатов

Включает режим автоматического сопоставления сертификатови сотрудников (используется при настройке агента PKI)

Связыватьсистемныесертификаты

Включает режим автоматического сопоставления системныхсертификатов и сотрудников (используется при настройкеагента PKI)

5. Нажмите кнопку "Далее >".Если была установленаотметка в поле"Загружать данныео связывании учет-ных записей", на экране появится диалог "Загрузка данных".



Перейдите к п. 6.Если отметка в поле "Загружать данные о связывании учетных записей" небыла установлена, на экране появится диалог "Загрузка данных",приведенный и описанный в п. 7 . Ознакомьтесь с описанием диалога иперейдите к п. 8.

6. Нажмите кнопку "Обзор" и в стандартном диалоге укажите текстовый файл сданными о связанных учетных записях и сотрудниках.Начнется загрузка данных из текстового файла, и в диалоге "Загрузка дан-ных" появятся сведения о возможности назначения сотрудникам учетныхзаписей.Сведения отображаются в виде списка со следующими колонками:• учетная запись;• сотрудник;• статус.Поле "Статус" может принимать следующие значения:

OK Загрузка записи прошла успешно.

Не существует указаннойучетной записи

В системе не существует учетной записи с такимименем

Дублирование имениучетной записи

В системе существует более одной учетнойзаписи с указанным именем

Учетная запись уже связаннас сотрудником

В системе учетная запись уже связана ссотрудником

Не существует сотрудника В системе не существует сотрудника с такимименем

Дублирование сотрудника В системе существует более одного сотрудника суказанными атрибутами



Значение "OK" в поле "Статус" означает, что данному сотруднику будетназначена соответствующая учетная запись.

При возникновении ошибки во время загрузки или обработки файла выводится соответ-ствующее сообщение.

При необходимости полученную информацию можно скопировать в тексто-вый файл или в таблицу Excel стандартными средствами через буфер обме-на. Скопировать можно как отдельную строку, так и несколько выбранныхстрок или все строки списка. Для копирования выделите нужную строку (илистроки) и скопируйте их в буфер обмена.

7. После просмотра сведений нажмите кнопку "Далее >".На экране появится диалог "Назначение сотрудникам учетных записей исертификатов".



Диалог предназначен для:• корректировки результатов назначения сотрудникам учетных записей на

основе данных текстового файла;• ручного назначения сотрудникам учетных записей и сертификатов;• корректировки результатов автоматического назначения сотрудникам

учетных записей и сертификатов.В левой части диалога представлен список учетных записей и сертификатов.В списке отображаются уже установленные связи между учетными записямии сотрудниками.

Учетныезаписи в списке сгруппированыпо агентам. Для просмотрасвязи раскройте группу учет-ных записей и выберите нужную учетную запись. Если связь установлена, наименование учет-ной записи и соответствующее имя сотрудника отображаются синим цветом.

Кроме того, для каждой связанной пары учетная запись — сотрудник указанаобласть доступа.В правой части диалога представлен список сотрудников. Сотрудники, кото-рым уже назначена учетная запись, выделены в списке синим цветом.При необходимости отметьте нужные режимы отображения в левой нижнейчасти диалога.

Примечание.На этомшаге имеется возможностьизменить следующие параметры учетной за-писи:• признак активности (неактивности). Используйте для назначения этого признака кнопки

"Активная" и "Неактивная";• цвет области доступа. Для ее изменения вызовите контекстное меню нужной учетной за-

писи и активируйте пункт "Областьдоступа". В раскрывающемся списке выберите нужныйцвет.

8. При необходимости внесите изменения: удалите связь или установитеновую.• Для удаления связи выберите нужную учетную запись или сертификат и

нажмите кнопку "Удалить связь".



• Для установления новой связи в списке учетных записей выберитенужную учетную запись или сертификат, далее в списке сотрудниковвыберите соответствующего сотрудника и затем нажмите кнопку"Связать".

Рекомендации:• записи можно сопоставлять путем перетаскивания. Для этого захватите мышью нужную

записьв списке сотрудников и перетащите ее к соответствующей учетной записи;• для поиска учетных записей или сотрудников по фамилии используйте кнопку "Поиск…".

9. Нажмите кнопку "Далее >".На экране появится заключительный диалог мастера синхронизации.

10.Выполните проверку введенных данных и нажмите кнопку "Готово".11.Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Физическое удаление объектов

О программе DbCleanerФизическое удаление устаревших данных из системы возможно только с по-мощью программы DbCleaner. Эта программа поставляется в составедистрибутива сервера КУБ и предназначена для решения следующих задач:• поиск и анализ устаревших данных;• физическая очистка базы данных КУБ от устаревших данных.Перечень объектов, удаляемых с помощью программы DbCleaner, приведен втаблице ниже. Поиск удаляемых объектов ограничивается конечной датой поис-ка, задаваемой пользователем. Удаляются объекты старше этой даты.

Табл.4 Перечень удаляемых объектов

Объект Примечание



Заявка Удаляются заявки, удовлетворяющие следующим условиям:• дата и время создания заявки входят в заданный пользователемвременной промежуток с открытой начальной границей;

• заявка имеет один из статусов: "выполнена", "отклонена","ошибка" (т. е. просрочена одна из фаз — согласование,актуализация, исполнение или произошла ошибка на сервере).

Инструкция Удаляются инструкции, удовлетворяющие следующим условиям:• инструкция связана с заявкой, обладающейвышеперечисленными признаками;

• инструкция имеет статус "выполнена";• если на инструкцию ссылается запись из журналанесоответствий, то это несоответствие должно иметь статус"недействительно".

Событие Удаляются события из журнала событий, произошедшие в указанныйпользователем временной промежуток с открытой начальнойграницей.

Несоответствие Удаляются несоответствия из журнала несоответствий.Несоответствия удаляются вместе с событием или инструкцией, скоторой они связаны, при этом они должны иметь статус"недействительно".

Другиеобъекты

К ним относятся, например, сотрудники, должности, подразделения,категории подразделений, сертификаты, ответственности, агенты,серверы. Удаляемые объекты должны удовлетворять следующимусловиям:• объект отмечен как удаленный (т. е. является удаленнымлогически). Примером логически удаленного объекта являетсяуволенный сотрудник — он не отображается в таблицахпрограммы управления сервером КУБ, но не удален из базыданных КУБ;

• на объект нет ссылок из заявок, которые не удаляются;• на объект нет ссылок из других таблиц.

Удаление устаревших данных выполняют в следующей последовательности:• настройка программы (см. стр. стр.57);• формирование и анализ предварительного отчета (см. стр. стр.57);• удаление объектов (см. стр. стр.58).

Отчеты, формируемые в программе DbCleanerВ программе DbCleaner формируются два вида отчетов:• предварительный отчет — содержит информацию о тех объектах, которые

могут быть удалены. Формируется по требованию пользователя;• итоговый отчет порезультатам удаления — содержитинформацию об удален-

ных объектах. Формируется автоматически после выполнения процедурыудаления объектов.

Сформированныеотчеты сохраняются на диске в папке, указанной в окне управ-ления программой DbCleaner. Каждый отчет сохраняется в двух файлах:• в файле с расширением *.htm (в формате HTML), который сразу после форми-

рования отчета выводится на экран в окне обозревателя Internet Explorer;• в файле с расширением *.log (в текстовомформате).

Примечание.В название каждого файла входят текущие дата, время и другая информация.

Предварительный отчет состоит из следующих частей:• заголовок отчета — содержит название отчета, информацию о сессии пользо-

вателя, а также дату и время создания отчета и конечную дату поиска;• таблица с перечнем всех заявок, созданных до конечной даты поиска (как

подлежащих удалению, так и не подлежащих удалению). Описание полейтаблицы см. ниже;



• таблица с перечнем тех объектов, которые могут быть удалены. Описаниеполей таблицы см. ниже;

• сводная информация, содержащая количество всех найденных заявок, атакже количество заявок и количество объектов, предназначенных дляудаления.

Примечание. Информация о таких объектах, как инструкции, события и несоответствия, впредварительном отчете не отображается.

Итоговый отчет состоит из следующих частей:• заголовок отчета — содержит название отчета, информацию о сессии пользо-

вателя, а также дату и время создания отчета и конечную дату временногопромежутка, за который было выполнено удаление;

• таблица с перечнем всех удаленных объектов (включая заявки). Описаниеполей таблицы см. ниже;

• сводная информация, содержащая количество всех удаленных заявок и коли-чество всех удаленных объектов.

Табл.5 Таблица заявок в предварительном отчете

Поле Описание

Идентификатор Номер заявки в системе КУБ

Времясоздания

Дата и время создания заявки

Создатель Ф.И.О. создателя заявки

Заголовок Тип заявки

Статус Состояние заявки на момент последнего запуска DbCleaner. Можетпринимать следующие значения:• "выполнена" — заявка выполнена;• "отклонена" — заявка отклонена;• "ошибка" — произошла ошибка на сервере либо заявка имеетстатус "просрочена актуализация", "просрочено выполнение","просрочено согласование", "неподписанная", "нетактуализирующих".

Удаляемость Признак, принимающий одно из значений:• "да" — заявка может быть удалена;• "нет" — заявка не может быть удалена.

Табл.6 Таблица объектов в предварительном и итоговом отчетах

Поле Описание

Идентификатор Номер объекта в системе КУБ

Тип объекта Обозначает тип объекта в системе КУБ. Может принимать следующиезначения:• "Department" — подразделение;• "Post" — должность;• "Personage" — сотрудник;• "Demand" — заявка (только для таблицы итогового отчета) и т. д.

Объект Имя объекта в системе КУБ

Запуск программы DbCleanerПрограмма DbCleaner может быть запущена только пользователем, входящим вгруппу локальных администраторов компьютера, на котором установленсервер КУБ.

Для запуска программы:

1. Перейдите в папку, в которой установлен сервер КУБ.



Примечание.По умолчанию сервер системы КУБ устанавливается в папкуC: \ ProgramFiles \ Infosec \Cube \Server.

2. Найдите и запустите файл DbCleaner.exe.На экране появится окно управления утилитой.

Управление осуществляют с помощью кнопок в нижней части окна.

Кнопка Действие

Анализ Запускает процедуру предварительного анализа данных.

Удаление Запускает процедуру удаления устаревших данных.

Подробнее >> Открывает дополнительное окно для отображения инфор-мации о ходе выполнения процедуры. Чтобы закрытьдополнительное окно, нажмите кнопку "Подробнее >>"еще раз.

Отмена Прерывает процедуру удаления, при этом производитсяоткат выполненных операций.

Опрограмме…

Выводит на экран окно с информацией о версии утилиты.Для выхода из окна нажмите кнопку "ОК".

Настройка программы DbCleanerК настройкам программы относятся:• установка конечной даты поиска;• определение папки для сохранения файлов отчетов.

Для настройки программы:

1. Запустите программу DbCleaner (см. стр. стр.56).2. В поле "Окончание периода" введите конечную дату поиска. Будет

осуществлен поиск объектов старше этой даты.

Примечание. Дату можно ввести вручную или выбрать из календаря. Для вывода на экранкалендаря нажмите кнопку в поле "Окончание периода".

3. Определите папку для сохранения файлов отчетов. Для этого нажмите кноп-ку справа от поля "Отчет", в появившемся окне укажите новую папку и наж-мите кнопку "ОК".

Формирование предварительного отчетаДля получения предварительного отчета:

1. Запустите утилиту DbCleaner (см. стр. стр.56).2. Выполните настройку программы (см. выше).



Примечание. Для просмотра подробной информации о построении отчета нажмите кнопку"Подробнее >>" в окне управления программой. Информация будет отображаться воткрывшемся дополнительном окне. Чтобы закрыть дополнительное окно, нажмите кнопку"Подробнее <<" еще раз.

3. Нажмите кнопку "Анализ" для формирования предварительного отчета.Ход выполнения процесса будет отображаться в строке прогресса.

По завершении процесса готовые отчеты будут сохранены в указаннойпапке. Отчет в формате HTML будет выведен на экран в окне обозревателяInternet Explorer.

Примечание.Если при построении отчета произошла ошибка, то результаты будут сохраненытолько в файле *.log. Файл *.htm создан не будет, соответственно, окно обозревателя с отчетомне будет выведено на экран.

Кроме того, на экране появится сообщение о завершении процесса.4. Нажмите кнопку "ОК", чтобы закрыть окно с сообщением.

Удаление объектовЕсли прервать процесс удаления,то все удаляемые объекты останутся в базе дан-ных. После завершения процесса удаления восстановление удаленных объектовневозможно.

Для удаления объектов:

1. Запустите утилиту DbCleaner (см. стр. стр.56).2. Выполните настройку программы (см. стр. стр.57).

Примечание.Для просмотра подробной информации о ходе процесса удаления нажмите кноп-ку "Подробнее >>" в окне управления программой. Информация будет отображаться воткрывшемся дополнительном окне. Чтобы закрыть дополнительное окно, нажмите кнопку"Подробнее <<" еще раз.

3. Нажмите кнопку "Удаление" для запуска процесса удаления объектов.Ход выполнения процесса будет отображаться в строке прогресса.

Примечание. Чтобы прервать процесс удаления, нажмите кнопку "Отмена". На экране поя-вится сообщение с просьбой подтвердить отмену удаления. Нажмите кнопку "Да" в окне сооб-щения. Все удаленные данные будут восстановлены.



По завершении процесса создаются итоговые отчеты, которые будутсохранены в указанной папке. Итоговый отчет в формате HTML будетвыведен на экран в окне обозревателя Internet Explorer.

Примечание.Если при удалении объектов произошла ошибка, то результаты будут сохраненытолько в файле *.log. Файл *.htm создан не будет, соответственно, окно обозревателя с отчетомне будет выведено на экран.

Кроме того, на экране появится сообщение о завершении процесса.4. Нажмите кнопку "ОК", чтобы закрыть окно с сообщением.

Завершение работы программы DbCleanerДля завершения работы:

• В окне управления программой нажмите кнопку с изображением крестика влевом верхнем углу.Программа будет закрыта.

Резервное копирование базы данных КУБПо требованию пользователя программы управления на сервере КУБ создаетсякопия базы данных КУБ.

Для создания резервной копии базы данных:

1. В меню "Файл" активируйте команду "Создание резервной копии…".На экране появится диалог для подтверждения действия.

2. Нажмите кнопку "Да".Будет производиться создание резервной копии базы данных на сервереКУБ. Выполнение операции отображается на экране в виде индикаторапрогресса. По окончании операции на экране появится диалог,информирующий о создании резервной копии базы данных.

3. Нажмите кнопку "Готово" для выхода из диалога.

Регистрация лицензийСуществуют следующие типы лицензий:• лицензия на сервер:

• с поддержкой подсистемы учета сетевых взаимодействий;• без поддержки подсистемы учета сетевых взаимодействий.

• лицензия на платформу.Лицензия на сервер устанавливает максимальное количество зарегистри-рованных сотрудников в системе. Лицензия на платформу устанавливает макси-мальное количество сотрудников, которые имеют учетные записи на агентахплатформы, либо их учетные записи входят в группы на агентах платформы,либо их учетные записи имеют доступ к ресурсам, контролируемым агентамиданной платформы. Лицензия на демоверсиюсервера имеет ограничение по вре-мени действия.

Для регистрации лицензий:

1. В меню "Справка" активируйте команду "Регистрация…".На экране появится диалог "Лицензии" со списком зарегистрированныхлицензий.

2. Нажмите кнопку "Добавить".На экране появится диалог "Добавление лицензий".

3. Введите серийный номер лицензии и нажмите кнопку "OK".Добавленная лицензия будет отображаться в списке зарегистрированныхлицензий.

4. Нажмите кнопку "Закрыть" для выхода из диалога "Лицензии".





Глава 5Управление справочникамиСправочник "Физические лица"

Данный справочник предназначен для регистрации и учета физических лиц.При импорте организационно- штатной структуры из сторонних источниковсправочник формируется и обновляется автоматически.

Список физических лицДля перехода к списку физических лиц:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Физические лица".В главном окне отобразится перечень физических лиц, зарегистрированныхв системе КУБ.

Для управления объектами используйте команды меню "Правка".

Корректировка регистрационных параметров физических лицДля корректировки регистрационных параметров:

1. Перейдите к списку физических лиц и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранного физическоголица.


Имя Персональные данные

Отчество

Фамилия

Пол

Заметки Дополнительные сведения (необязательный параметр)

Сторонняякомпания

Наименование компании (если данное физическое лицо являетсясотрудником сторонней компании)


Справочник "Номенклатурные должности"Данный справочник предназначен для регистрации и учета номенклатурныхдолжностей. При импорте организационно-штатной структуры из стороннихисточников справочник формируется и обновляется автоматически.

Список номенклатурных должностейДля перехода к списку номенклатурных должностей:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Номенклатурные должности".В главном окне отобразится перечень номенклатурных должностей,зарегистрированных в системе КУБ.

Для управления объектами используйте команды меню "Правка".

Регистрация должностиДля регистрации должности:

1. Перейдите к списку номенклатурных должностей.



2. Вызовите меню "Правка" и активируйте команду "Создать номенклатурнуюдолжность".В список должностей будет добавлена новая запись.

3. Введите имя новой роли и нажмите <Enter>.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Удаление должностейЗапрещено удаление должностей, связанных с подразделениями.

Для удаления должности:

1. Перейдите к списку номенклатурных должностей и выберите в спискенужную запись.

2. Вызовите меню "Правка" и активируйте команду "Удалить номенклатурнуюдолжность".Выбранная запись будет удалена из списка немедленно.


Справочник "Категории подразделений"Данный справочник предназначен для регистрации и учета категорий под-разделений.

Список категорий подразделенийДля перехода к списку категорий подразделений:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Категории подразделений".В главном окне отобразится перечень имеющихся категорий подразделений.

Для управления объектами используйте команды меню "Правка".При создании базы данных системы КУБ подразделению "Службаавтоматизации" автоматически назначается одноименная категория. Вторуюкатегорию такого типа создать нельзя.

Регистрация категории подразделенияДля регистрации категории подразделения:

1. Перейдите к списку категорий подразделений.2. Вызовите меню "Правка" и активируйте команду "Создать категорию".

В список категорий подразделений будет добавлена новая запись.3. Введите имя новой категории и нажмите <Enter>.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Настройка свойствДля настройки свойств:

1. Перейдите к списку категорий подразделений и выберите в списке нужнуюзапись.


Имякатегории

Наименование категории



Тип категории Тип категории подразделения. Выберите в раскрывающемсясписке:• Администрация;• Бизнес-подразделения общего назначения;• Кадровая служба;• Служба информационной безопасности.

Описание Дополнительные сведения (необязательный параметр)


Удаление категории подразделенияЗапрещено удаление категорий, связанных с подразделениями.

Для удаления категории подразделения:

1. Перейдите к списку категорий подразделений и выберите в списке нужнуюзапись.

2. Вызовите меню "Правка" и активируйте команду "Удалить категорию".Выбранная запись будет удалена из списка немедленно.


Справочник "Категории ролей"Данный справочник предназначен для регистрации и учета категорий ролей.

Список категорий ролейДля перехода к списку категорий ролей:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Категории ролей".В главном окне отобразится перечень категорий ролей, зарегистрированныхв системе КУБ.Для управления объектами используйте команды меню "Правка".

Регистрация категории ролейДля регистрации категории ролей:

1. Перейдите к списку категорий ролей.2. Вызовите меню "Правка" и активируйте команду "Создать категорию".

В список категорий ролей будет добавлена новая запись.3. Введите имя новой категории и нажмите <Enter>.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).


1. Перейдите к списку категорий ролей и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранного объекта.


Имя Наименование категории ролей



Тип Признак отображения ролей в СУЗ. Выберите в раскрывающемсясписке:• Общая— для отображения ролей данной категории в СУЗ;• Служебная — для скрытия ролей данной категории в СУЗ.

У пользователей, у которых в настройках профиля включена настройка"Скрытьслужебные роли" для следующихмастеров:

-Управление типовымдоступом подразделений

-Управление индивидуальнымдоступом

-Универсальное управление доступом

В раскрывающемся списке отображаться будут только категории ролей стипом "Общая".

Комментарий Дополнительные сведения (необязательный параметр)


Удаление категории ролейЗапрещено удаление категорий, связанных с ролями.

Для удаления категории ролей:

1. Перейдите к списку категорий ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Удалить категорию".

Выбранная запись будет удалена из списка немедленно.3. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Справочник "Платформы"Данный справочник предназначен для регистрации, учета и настройкиосновных свойств платформ, поддерживаемых системой КУБ. Исходный списокплатформформируется на основе перечня установленных компонентов серверасистемы КУБ.

Список платформДля перехода к списку платформ:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Платформы".В главном окне отобразится перечень платформ, зарегистрированных всистеме.

Регистрация платформыРегистрация новой платформы в справочнике выполняется при импортеописания платформы. Удаление платформ из справочника не допускается.

Для регистрации платформы:

1. Перейдите к списку платформ.2. Вызовите меню "Правка" и активируйте команду "Импорт описания плат-

формы".На экране появится одноименный диалог.

3. Укажите имя файла с описанием платформы. Для выбора файла в стан-дартном диалоге MS Windows используйте кнопку "Обзор…".

4. Нажмите кнопку "OK".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).



Настройка свойствВозможность настройки свойств предоставляется не для всех платформ. Составнастраиваемых свойств платформы зависит от специфики поддерживаемыхресурсов.

Для настройки свойств:

1. Перейдите к списку платформ и выберите в списке нужную запись.2. Перейдите к панели свойств и внесите необходимые изменения:

Именапользователей

Определяет действие режима синхронизации именпользователей в соответствии с именами сотрудников. Выберитев раскрывающемся списке:• Не синхронизировать — при изменении имен сотрудниковимена сопоставленных им пользователей не меняются;

• Синхронизировать — при изменении имен сотрудниковгенерируются инструкции на изменение сопоставленных импользователей в соответствии с правилами генерации имен.

Имена групп Определяет действие режима синхронизации имен групппользователей в соответствии с именами ролей. Выберите враскрывающемся списке:• Не синхронизировать — при изменении имен ролей именасопоставленных им групп пользователей не меняются;

• Синхронизировать — при изменении имен ролейгенерируются инструкции на изменение сопоставленных имгрупп пользователей в соответствии с правилами генерацииимен.

Именакаталоговпользователей

Определяет действие режима синхронизации имен каталоговпользователей в соответствии с именами подразделений.Выберите в раскрывающемся списке:• Не синхронизировать — при изменении имен подразделенийимена сопоставленных им каталогов пользователей неменяются;

• Синхронизировать — при изменении имен подразделенийгенерируются инструкции на изменение сопоставленных имкаталогов пользователей в соответствии с правиламигенерации имен.

Автоматическаяблокировка ПЯ

Определяет действие режима блокировки (временногоотключения) почтовых ящиков пользователей по статусу.Выберите в раскрывающемся списке:• Запрещена — блокировка не включается;• Разрешена — блокировка включается при любом статусеучетной записи пользователя, отличном от статуса "наработе".


Справочник "Категории ресурсов"Данный справочник предназначен для регистрации и учета категорий ресурсов.

Список категорий ресурсовДля перехода к списку категорий ресурсов:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Категории ресурсов".В главном окне отобразится перечень категорий ресурсов, зарегистри-рованных в системе КУБ.Для управления объектами используйте команды меню "Правка".



Регистрация категории ресурсовДля регистрации категории ресурсов:

1. Перейдите к списку категорий ресурсов.2. Вызовите меню "Правка" и активируйте команду "Создать категорию".

В список категорий подразделений будет добавлена новая запись.3. Введите имя новой категории и нажмите <Enter>.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).


1. Перейдите к списку категорий ресурсов и выберите в списке нужную запись.2. Перейдите к панели свойств и внесите необходимые изменения:

Имякатегории

Наименование категории

Комментарий Дополнительные сведения (необязательный параметр)

Областьдоступа

Значение по умолчанию при определении области доступа дляресурсов данной категории


Справочник "Протоколы"Данный справочник содержит перечень всех протоколов, используемых вуправлении настройками межсетевых экранов. Кроме самих протоколов всправочнике содержатся также группы протоколов. В группу могут входитьлюбые протоколы, содержащиеся в справочнике.Первоначально справочник автоматически при установке сервера КУБзаполняется базовыми протоколами и группами. Впоследствии можно удалять идобавлять новые протоколы, создавать и удалять группы и изменять их состав.

Список протоколовДля перехода к списку протоколов:

• Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Протоколы".В главном окне отобразится перечень протоколов и групп.

Перечень протоколов представлен в виде иерархического списка. Корнемиерархической структуры является базовый IP-протокол. Следующий уровеньиерархии составляют базовые протоколы TCP, UDP и ICMP. В свою очередькаждый из этих протоколов может содержать протоколы нижнего уровня(прикладные протоколы).Кроме базовых протоколов в справочнике содержатся 3 группы, созданные авто-матически при установке сервера КУБ.

Добавление нового протоколаДобавлять в справочник можно только прикладные протоколы. При добавлениинеобходимо выбрать "родительский" протокол. "Родительским" может быть одиниз базовых протоколов.

Для добавления нового протокола:

1. Выделите в справочнике базовый ("родительский") протокол, вызовите кон-текстное меню и выберите команду "Создать прикладной протокол".Появится диалог настройки свойств добавляемого протокола.



2. Введите системное и отображаемое имя и нажмите кнопку "Далее >".Появится диалог настройки дополнительных свойств протокола.

3. Введите значения параметров. Для этого:• Если "родительским" был выбран IP-протокол, укажите номер протокола.• Если "родительским" был выбран один из других базовых протоколов,

укажите диапазоны номеров порта назначения и порта источника.• Нажмите кнопку "Далее >".Появится диалог завершения настройки, отображающий свойства протокола.

4. Проверьте значения параметров и нажмите кнопку "Готово".В справочнике появится новый протокол, выделенный жирнымшрифтом.

5. Сохраните внесенные изменения (см. стр. стр.18).

Удаление протоколаДля удаления протокола:

1. Выделите в справочнике протокол, вызовите контекстное меню и выберитекоманду "Удалить".Появится диалог, предупреждающий об удалении.

2. Для удаления нажмите кнопку "Готово".Протокол будет удален из справочника.

Создание новой группыДля создания в справочнике новой группы:

1. Вызовите в справочнике контекстное меню и выберите команду "Создатьгруппу протоколов".Появится диалог настройки свойств создаваемой группы.

2. Введите системное и отображаемое имя и нажмите кнопку "Далее >".Появится диалог завершения настройки, отображающий свойства группы.

3. Проверьте значения параметров и нажмите кнопку "Готово".В справочнике появится новая группа, выделенная жирнымшрифтом.


Добавление протоколов в группуДля добавления протоколов:

1. Выделите в справочнике группу, вызовите контекстное меню и выберитекоманду "Присоединить протокол".Появится стандартный диалог поиска объектов.

2. Используя фильтр и кнопку "Искать", загрузите список протоколов, отметьтенужные и нажмите кнопку "OK".Выбранные протоколы добавятся в группу.


Исключение протокола из группыДля исключения протокола:

• Выделите в группе протокол, вызовите контекстное меню и выберитекоманду "Исключить протокол".Протокол будет исключен из группы.



Удаление группы протоколовДля удаления группы:

• Выделите в справочнике группу, вызовите контекстное меню и выберитекоманду "Удалить".Группа будет удалена, а входящие в нее протоколы останутся в справочнике.

Справочник "Элементы ПАК"Данный справочник содержит перечень всех элементов ПАК — программныхкомпонентов и устройств, используемых в подсистеме контроля программно-аппаратной конфигурации компьютеров. Кроме самих элементов в справочникесодержатся также группирующие элементы, созданные администратором.Каждый группирующий элемент включает в себя дочерние элементы из числасодержащихся в справочнике.Элементы ПАК заносятся в справочник автоматически при установке выносныхмодулей агентов.В справочнике администратор может выполнять следующие операции:• создавать и удалять группирующие элементы;• добавлять в состав группирующего элемента дочерние элементы из числа

содержащихся в справочнике;• исключать дочерние элементы из состава группирующего элемента;• изменять значение признака "общий" (см. стр. стр.156).

Список элементов ПАКДля перехода к списку элементов ПАК:

1. Вызовите меню "Инструменты", затем подменю "Справочники" и акти-вируйте команду "Элементы ПАК".В главном окне отобразится список элементов.Для каждого элемента в списке указываются:• имя;• тип;• признак "общий";• комментарий.

Создание группирующего элементаДля создания группирующего элемента:

1. Вызовите в справочнике контекстное меню и выберите команду "Создатьэлемент".Появится диалог Общие настройки".

2. Ведите имя создаваемого элемента, укажите его тип и нажмите кнопку"Далее >".Появится диалог "Дочерние элементы ПАК".

3. Нажмите кнопку "Добавить" и в стандартном диалоге "Поиск объектов" выбе-рите элементы, которые должны войти как дочерние в состав создаваемогогруппирующего элемента.

4. Нажмите кнопку "Далее >" в диалоге "Дочерние элементы ПАК".Появится окно завершения настройки, отображающее свойства элемента.

5. Проверьте правильность введенных данных и нажмите кнопку "Готово".В справочник добавится новый группирующий элемент.



Удаление группирующего элементаДля удаления группирующего элемента:

• Выделите удаляемый элемент в списке, вызовите контекстное меню и выбе-рите команду "Удалить элемент".

Добавление дочернего элементаДля добавления дочернего элемента:

1. Выберите в списке группирующий элемент, вызовите контекстное меню ивыберите команду "Добавить элемент".Появится стандартный диалог поиска объектов.

2. Используя фильтр и кнопку "Искать", загрузите список элементовсправочника, выберите нужный дочерний элемент и нажмите кнопку "OK".Дочерний элемент добавится в состав группирующего элемента.

Исключение дочернего элементаДля исключения дочернего элемента из группирующего:

• Выделите дочерний элемент в списке, вызовите контекстное меню и выбе-рите команду "Исключить элемент".

Изменение значения признака "общий"Для изменения признака "общий":

1. Выберите в списке элемент и выделите поле "Общий".В правой части поля появится кнопка вызова списка значений.

2. Нажмите кнопку вызова списка и выберите нужное значение.



Глава 6Управление ролями и ответственностямиУправление ролями

Роль — объект системы КУБ, определяющий права доступа сотрудников к ресур-сам и их обязанности в системе. Для наделения сотрудников правами доступа кресурсам роли связывают с должностями или непосредственно с сотрудниками.Существуют следующие типы ролей:• обычная;• системная;• предопределенная;• временная индивидуальная;• бизнес.Системные, предопределенные и временные индивидуальные роли создаютсясистемой КУБ автоматически, роли типа "обычная" и "бизнес" создаются вруч-ную. Временную индивидуальную роль можно изменить на обычную.Имеются ограничения на управление ролями типа "предопределенная". Ролиэтого типа нельзя назначать сотрудникам и должностям, связывать сответственностями, а также делать их дочерними по отношению к другим ролям.Переименование и удаление предопределенных ролей невозможно.Временнаяиндивидуальная роль создаетсяпри легализации (пользователь прог-раммы управления сервером КУБ не может создать роль этого типа) для каждойучетной записи, имеющей индивидуальные права. Учетная запись связывается сэтой ролью. Изменять временную индивидуальную роль можно только на рольтипа "обычная". Добавление новых ресурсов в эту роль с сохранением ее типанедопустимо. При добавлении в нее ресурсов происходит преобразование этойроли в роль с типом "обычная". Кроме того, роль этого типа не может бытьразделена и она, подобно системным и предопределенным ролям, не участвует внормализации.Бизнес-роль в отличие от других типов ролей представляет собой контейнер, вкоторый могут включаться другие роли, предоставляющие доступ к ресурсам.Сама бизнес-роль доступ к ресурсам не предоставляет. При создании бизнес-роли соответствующая ей учетная запись группы пользователей в ИС несоздается. Бизнес-роль предназначена для объединения нескольких ролей, в томчисле — связанных с группами разных платформ, без образования новой учет-ной записи и используется для удобства администрирования системы КУБ.Операции с бизнес-ролями имеют следующие ограничения:

• Для бизнес-роли нельзя определять доступ к ресурсам.• Бизнес-роль может включаться только в бизнес-роль.• При нормализации ролей бизнес-роль нельзя объединять с другими

типами ролей и наоборот.• Нельзя изменить тип роли, предоставляющей доступ к ресурсам, на тип

"бизнес-роль".

Понятие области доступаОбластью доступа в системе КУБ называются ресурсы, доступ к которымопределяется некоторым количеством ролей и учетных записей. Принад-лежность роли либо учетной записи к определенной области доступаобозначается цветом. Объекты, не входящие ни в одну из существующихобластей доступа, обозначаются как бесцветные.



Назначить область доступа для группы ролей можно с помощью специальногомастера (см. стр. стр.80).

Список ролейДля перехода к списку ролей:

• В области переходов выберите категорию "Управление" и нажмите кнопку"Роли".В главном окне отобразится перечень ролей, зарегистрированных в системеКУБ.

Регистрацию и настройку ролей, а также установку связей с другими объектамисистемы КУБ можно выполнить следующими способами:• раздельно — с помощью отдельных команд меню "Правка";• комплексно — с помощью мастера "Создание роли".

Вызов мастера "Создание роли"Для вызова мастера:

1. Перейдите к списку ролей.2. Вызовите меню "Правка" и активируйте команду "Мастер создания роли…".

На экране появится стартовое окно мастера.3. Выполните указания мастера. Описание отдельных окон мастера см. в

соответствующих подразделах текущего раздела. Для перехода междушагами используйте следующие кнопки:• Далее > — для перехода к следующему шагу;• < Назад — для возврата к предыдущему шагу.

4. На последнем шаге проверьте правильность внесенных изменений и наж-мите кнопку "Готово".В список ролей будет добавлена новая запись.


Регистрация ролейДля регистрации роли:

1. Перейдите к списку ролей.2. Вызовите меню "Правка" и активируйте команду "Создать роль".

В список ролей будет добавлена новая запись.3. Введите имя новой роли и нажмите <Enter>.4. Перейдите к панели свойств и определите значения параметров роли.5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Настройка ролейРедактировать можно только роли типа "обычная", "бизнес" и "системная". Ролитипа "предопределенная" редактировать невозможно.

Для настройки роли:

1. Перейдите к списку ролей и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранной роли.


Тип Выберите в раскрывающемся списке тип роли

Имя Введите наименование роли

Категория Выберите в раскрывающемся списке категорию роли

Комментарий Введите дополнительные сведения




В раскрывающемся списке выберите нужный цвет области доступа.Для временной индивидуальной роли изменение области доступаневозможно.


Создание иерархии ролейИмеется возможность установки иерархических зависимостей между ролями.Каждая роль может иметь несколько родительских и несколько дочерних ролей.Родительская роль включает в себя права дочерних ролей.В качестве дочерней в бизнес-роль нельзя добавлять предопределенную роль.Добавляемая как дочерняя, бизнес-роль может включаться только в бизнес-роль.

Установка связи между ролями

Для установки связи:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте нужную команду:

Родительские роли… Определяет родительские роли для данной роли

Дочерние роли… Определяет дочерние роли для данной роли

На экране появится диалог "Поиск объектов".3. Выберите с помощью процедуры "Поиск объекта" (см. стр. стр.21) те роли,

которые будут родительскими или дочерними для роли, выбранной в п. 1.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Удаление связи между ролями

Для удаления связи:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Перейдите к нужной вкладке во вспомогательном окне:

Дочерние роли Для удаления связи с дочерней ролью

Родительские роли Для удаления связи с родительской ролью

3. Выберите в списке роли, связи с которыми необходимо разорвать. Длявыбора нескольких записей используйте клавиши "Shift" и "Ctrl".

4. Вызовите на экран контекстное меню и активируйте одну из следующихкоманд:

Удалить дочерниероли

Для удаления связи с дочерней ролью (отображается навкладке "Дочерние роли")

Удалитьродительскиероли

Для удаления связи с родительской ролью (отображается навкладке "Родительские роли")


Предоставление доступа к ресурсамС помощью данной процедуры для роли определяют перечень доступных ресур-сов и права доступа к ним. Данная процедура к бизнес-ролям не применяется.


1. Перейдите к списку ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Добавить доступ к ресур-

сам".На экране появится окно мастера "Конфигурирование роли".



3. В группе полей "Фильтр" укажите параметры выбора ресурсов:

Агент Выберите в раскрывающемся списке нужный агент

Тип ресурса Выберите в раскрывающемся списке нужный тип ресурса

Имя ресурса Введите часть имени объекта или имя объекта целиком

4. Нажмите кнопку "Поиск".В поле "Ресурсы" отобразится перечень объектов, соответствующихуказанным параметрам.

5. Выберите в списке нужный ресурс и на вкладках "Правила" и "Права"определите для него параметры доступа.

При определении параметров доступа на вкладках "Правила" и "Права" действуют следующиеправила:• При включении правила автоматически включаются все правила, у которых список прав не

выходит за рамки списка прав включенного правила.• При выключении правила автоматически выключаются все правила, у которых список прав

включает в себя все права из выключенного правила.Кроме того, для некоторых агентов и типов ресурсов доступ к ресурсуможет задаваться толькоправилами (вкладка "Права" недоступна).

Для копирования параметров доступа используйте кнопку "Копироватьдоступ". Для установки скопированных параметров доступа используйтекнопку "Установить доступ".Ресурсы, доступ к которым был изменен, отображаются в перечне символамисинего цвета.

6. Нажмите кнопку "Далее >".На экране появится заключительное окно мастера.

7. Проверьте правильность внесенных изменений и нажмите кнопку "Готово".




Изменение прав доступа к ресурсуДанная процедура предназначена для изменения прав доступа роли квыбранному ресурсу.

Для изменения прав доступа:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Во вспомогательном окне на вкладке "Ресурсы" выберите нужный ресурс.3. Вызовите контекстное меню и активируйте команду "Изменить доступ…".

На экране появится диалог "Доступ к ресурсу".

4. На вкладках "Правила" и "Права" определите параметры доступа.5. Нажмите кнопку "OK".6. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Отмена доступа к ресурсуС помощью данной процедуры удаляют ресурс из списка доступных длявыбранной роли.

Для отмены доступа:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Во вспомогательном окне на вкладке "Ресурсы" выберите нужный ресурс.3. Вызовите контекстное меню и активируйте команду "Лишить доступа".

Ресурс будет немедленно удален из списка доступных.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Привязка ответственностей к ролиДля привязки ответственностей:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Добавить

ответственности…".На экране появится диалог "Поиск объектов".

3. Выберите с помощью процедуры "Поиск объекта" (см. стр. стр. 21 ) теответственности, которые будут привязаны к роли, выбранной в п. 1.




Привязка ролей к должностямПривязку ролей к должностям выполняют для установки должностного доступа кресурсам и назначения должностных обязанностей.

Для привязки роли к должностям:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Добавить должностной

доступ…".На экране появится диалог "Поиск объектов".

3. Выберите с помощью процедуры "Поиск объекта" (см. стр. стр. 21 ) тедолжности, которые будут привязаны к роли, выбранной в п. 1.


Назначение ролей сотрудникамРоли сотрудникам назначают для установки индивидуального доступа к ресур-сам и определения индивидуальных обязанностей.

Для назначения роли сотрудникам:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Добавить индивидуальный

доступ…".На экране появится диалог "Поиск объектов".

3. Выберите с помощью процедуры "Поиск объекта" (см. стр. стр.21 ) техсотрудников, которым будет назначена роль, выбранная в п. 1.


Нормализация структуры ролейНормализация структуры ролей включает в себя следующие действия:• удаление дублирующих ролей (устранение дублирующих связей);

Пример дублирующих ролей. Рассмотрим роль, имеющую дочернюю роль. Обе роли одно-временно назначены должности или сотруднику. Такие роли являются дублирующими, так какобеспечивают доступ к ресурсам и через родительскую, и через дочернюю роль (дляпредоставления доступа достаточно назначить только родительскую роль, так как она предос-тавляет доступ не только к своей, но и к дочерней роли).

• удаление ролей, не имеющих прав и обязанностей (т. е. не связанных ни сресурсами, ни с ответственностями) и не являющихся при этом системнымиили группами с внешним доступом;

• удаление временных индивидуальных ролей, не имеющих прав доступа исвязей с группой. Роли, имеющие различные области доступа, не могут бытьобъединены. Для каждого набора ролей с одинаковой областью доступа иодинаковым доступом будет создана группа объединяемых ролей;

• преобразование индивидуальных ролей в должностные.Для нормализации структуры ролей предусмотрен одноименный мастер.Нормализацию обычно проводят после выполнения синхронизации системы. Ре-комендуется проводить нормализацию ролей также после удаления агента. Вэтом случае в процессе нормализации будут удалены системные роли,связанные с удаленным агентом. Другим способом удалить такие роли не-возможно.

Для нормализации структуры ролей:

1. Вызовите меню "Инструменты" и в подменю "Мастера" активируйте команду"Нормализация ролей…".На экране появится стартовый диалог мастера нормализации.

2. Выберите действия, которые требуется выполнить:



Объединить роли с одинаковымиправами и обязанностями

Установите отметку, чтобы найти ивыбрать роли для объединения

Удалить пустые роли Установите отметку, чтобы найти иудалить пустые роли

Преобразовать индивидуальныероли в должностные

Установите отметку, чтобы найти ивыбрать роли для преобразования

3. Нажмите кнопку "Далее >".Появится следующий диалог мастера, вид которого зависит от выбранных вп. 2 действий.Если было выбрано "Объединить роли с одинаковыми правами иобязанностями", перейдите к п. 4.Если было выбрано "Удалить пустые роли", перейдите к п. 5.Если было выбрано "Преобразовать индивидуальные роли в должностные",появится диалог мастера для преобразования индивидуальных ролей вдолжностные (см. п. 6). Перейдите к выполнению п. 7.

4. В каждой группе ролей, образующих дублирующие связи, отметьте те роли,которые требуется объединить.

По умолчанию группе объединенных ролей будет присвоено имя той роли вгруппе, которая имеет наибольшее количество связей с сотрудниками,должностями и другими ролями. Имеется возможность присвоить группе имялюбой роли из группы. Для этого вызовите раскрывающийся список в строкес именем группы и выберите нужное имя.

После выбора имени его можно отредактироватьвручную.

Нажмите кнопку "Далее >".Появится следующий диалог мастера, вид которого зависит от выбранных вп. 2 действий.Если было выбрано "Удалить пустые роли", перейдите к п. 5.Если было выбрано "Преобразовать индивидуальные роли в должностные",перейдите к п. 6.

5. Скорректируйте список пустых ролей, подлежащих удалению, и нажмитекнопку "Далее >".



Появится следующий диалог мастера, вид которого зависит от выбранных вп. 2 действий.Если было выбрано "Преобразовать индивидуальные роли в должностные",перейдите к п. 6.Если не было выбрано "Преобразовать индивидуальные роли вдолжностные", на экране появится диалог отчета (см. п. 8). Перейдите квыполнению п. 9.

6. Нажмите кнопку "Далее >".На экране появится диалог мастера для преобразования индивидуальныхролей в должностные.



7. Установите отметку для тех ролей, у которых необходимо разорвать связь ссотрудником и нажмите кнопку "Далее >".На экране появится диалог мастера для удаления избыточных связей ролей сдолжностями.

8. Выберите связи ролей с должностями, которые необходимо удалить. Дляэтого установите отметку возле нужных должностей.Нажмите кнопку "Далее >".На экране появится заключительный диалог мастера, в котором будетпредставлен отчет с результатами работы. В отчет входит следующая инфор-мация:• список объединенных ролей;• список удаленных ролей;• список ролей, переведенных из индивидуальных в должностные;• список удаленных ролей, образовывавших избыточные связи с

должностями.9. Нажмите кнопку "Готово" для закрытия диалога.10.Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Преобразование должностной роли в индивидуальнуюВыбранные пользователем должностные роли можно преобразовать виндивидуальные роли для всех сотрудников, назначенных на эту должность.Должностной доступ для выбранной роли удаляется.

Для преобразования роли:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Во вспомогательном окне на вкладке "Должности" выберите нужные записи

и в контекстном меню активируйте команду "Преобразовать должностнуюроль в индивидуальные".Будет произведено преобразование ролей. Ход процесса будет отображатьсяна экране в виде индикатора прогресса.



По завершении процесса на экране появится заключительный диалогмастера, в котором будет представлен отчет с результатами преобразования.В отчет входит следующая информация:• должность, для которой удалена выбранная роль;• список сотрудников, которым назначена индивидуальная роль.

3. Нажмите кнопку "Готово" для закрытия диалога.4. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Преобразование временной индивидуальной роли в обычнуюВременную индивидуальную роль можно преобразовать в обычную роль.

Для преобразования роли в обычную:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. В контекстном меню активируйте команду "Преобразовать временную

индивидуальную роль в обычную…".На экране появится диалог с информацией о преобразовании, которое будетвыполнено.

3. Нажмите кнопку "Да" в окне диалога.Будет выполнено преобразование роли.


Разделение ролейПод разделением ролей подразумевается операция, применяемая к роли,связанной с ресурсами нескольких подразделений. В результате даннойоперации такая роль разделяется на несколькоролей, каждая из которых предос-тавляет доступ к ресурсам, принадлежащим только одному подразделению.Поиск и разделение ролей выполняются с помощью одноименного мастера.

Пример работы мастера разделения ролей. Имеются ресурсы с именами "Ресурс_1" и "Ресурс_2",владельцами которых являются подразделения "Подразделение_1" и " Подразделение_2". Роль сименем "Роль_1" связана с "Ресурсом_1" и "Ресурсом_2". В результате работы мастера разделенияролей будут созданы новые роли, названия которых образуются из имени исходной роли и имениподразделений-владельцев, разделенных символом "::". В данном примере будут созданы роли:"Роль_1::Подразделение_1", связанная с "Ресурсом_1" и "Роль_1::Подразделение_2", связанная с"Ресурсом_2". У исходной роли "Роль_1" удаляется связь с ресурсами "Ресурс_1" и "Ресурс_2".Кроме того, "Роль_ 1" делается родительской для ролей "Роль_ 1::Подразделение_ 1"и "Роль_1::Подразделение_2".

Кроме поиска и разделения ролей, связанных с ресурсами нескольких под-разделений, мастер выполняет поиск ролей, не связанных ни с какимиресурсами, и ролей, связанных с ресурсами, для которых не установлено подраз-деление-владелец.Временные индивидуальные роли не обрабатываются мастером разделенияролей.

Для разделения ролей:

1. В меню "Инструменты | Мастера" активируйте команду "Мастер разделенияролей".На экране появится стартовый диалог мастера.

2. Установите отметку в поле "Разделять системные роли".3. Нажмите кнопку "Далее >". Будет произведен поиск и разделение ролей. Ход

процесса будет отображаться на экране в виде индикатора прогресса.По завершении процесса на экране появится заключительный диалогмастера, в котором будет представлен отчет с результатами поиска иразделения. В отчет входит следующая информация:• список ролей, не связанных ни с какими ресурсами;• список ролей, для которых не установлено подразделение-владелец;



• список дочерних (образованных в результате разделения) ролей.Выводится отдельно для каждой разделяемой роли.

4. Нажмите кнопку "Готово" для закрытия диалога.5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Удаление ролейУдалить можно только роли, относящиеся к типам "обычная" и "системная".Роли, относящиеся к типу "предопределенная", удалить невозможно. Запрещенотакже удаление ролей, связанных с должностями. При удалении роли, входящейв иерархическую цепочку, удаляется только выбранная роль, а иерархическаяцепочка распадается на две.

Для удаления роли:

1. Перейдите к списку ролей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Удалить роль".

Примечание.Если роль не является корневой, на экране появляется запрос на удаление. Дляудаления роли нажмите кнопку "Да".


Установка области доступа для ролейСпециальный мастер позволяет устанавливать области доступа одновременнодля группы ролей. При этом:• для предопределенной роли и роли, у которой родительская роль является

предопределенной, область доступа не может быть изменена с помощьюданного мастера. Ее можно менять только в панели свойств;

• если область доступа роли меняется с бесцветной на цветную, то одно-временно так же изменяются области доступа ее дочерних и родительскихролей.

Для установки области доступа для группы ролей:

1. В меню "Инструменты | Мастера" активируйте команду "Установка областидоступа для ролей".На экране появится стартовый диалог мастера.



2. Заполните поля диалога.

Роль, областьдоступа

Укажите роли, для которых следует изменить область доступа.Для этого нажмите кнопку "Добавить" и в появившемся диалоге"Поиск объекта" выберите нужные роли.


В раскрывающемся списке выберите область доступа, которуюследует назначить указанным ролям.

Обесцвечиватьвсе множестворолей

Если отметка установлена, то будут обесцвечены все дочерние иродительские роли в иерархии, начиная с выбранной роли. Еслиотметка не установлена, то обесцвечиваются непосредственнородительские и дочерние роли для выбранной роли.

3. Нажмите кнопку "Далее >".Будет произведено назначение областей доступа для выбранных ролей. Наэкране появится диалог мастера с информацией об этом.


Разделение ролей по областям доступаСпециальный мастер позволяет устанавливать соотношение между категориямиресурсов и областями доступа и изменять область доступа соответствующихролей. Разделение ролей производится следующим образом:• процесс разделения ролей производится от родительской роли к дочерним.

Пустые роли и роли, предоставляющие доступ к ресурсам одной категории,не разделяются. Предопределенные и временные индивидуальные ролиприравниваются к бесцветным ролям и не окрашиваются;

• при разделении смешанной роли (роли, предоставляющей доступ к ресурсамразных категорий) будет создана новая роль, причем если у исходной ролиесть цветная дочерняя роль, то созданная новая роль будет иметь отличныйот этого цвет. Имя создаваемой роли формируется из имени исходной роли,символов "::" и имени категории ресурсов.

Для разделения ролей по областям доступа:

1. В меню"Инструменты | Мастера" активируйте команду"Распределение ресур-сов по областям доступа".На экране появится стартовый диалог мастера.



2. Для каждой категории ресурсов установите нужное значение области дос-тупа. Для этого вызовите раскрывающийся список в строке с областью дос-тупа и выберите нужное значение. По умолчанию для всех категорийустановлено значение "бесцветная".

3. Нажмите кнопку "Далее >".Система приступит к разделению ролей. Ход выполнения процесса будетотображаться на экране в виде индикатора прогресса. Результат работымастера будет отображен в заключительном диалоге мастера.


Контроль распределения ролей по областям доступаПосле распределения объектов по областям доступа или выполнения каких-либоопераций по предоставлению доступа к ресурсам в системе могут появиться ролисо смешанным доступом. Смешанный доступ означает, что роль предоставляетдоступ не только к определенному множеству ресурсов, но и к другим ресурсам,не входящим в это множество. При предоставлении пользователям доступа копределенному множеству ресурсов наличие ролей со смешанным доступомприводит к противоречию требованиям безопасности. Поэтому при определениидоступа пользователей к ресурсам необходимо выявить и исключить наличиеролей со смешанным доступом (например, с помощью разделения ролей).Для поиска в системе ролей со смешанным доступом используется специальныймастер. В мастере предусмотрены 2 варианта поиска. В первом варианте поискосуществляется для задаваемого множества ресурсов. По результатам поискастроитсяграф ролей, предоставляющихдоступ к этимресурсам, по которому мож-но определить наличие ролей со смешанным доступом. Далее список ролей сосмешанным доступом выводится отдельно.Во втором варианте поиск осуществляется для задаваемого множества учетныхзаписей. По результатам поиска строится граф ролей, связанных с этимиучетными записями. Далее выводится отдельный список ролей со смешаннымдоступом, т. е. ролей, имеющих также связи с учетными записями, не входящимив заданное множество.

Для контроля распределения ролей по областям доступа:

1. В меню "Инструменты | Мастера" активируйте команду "Контроль рас-пределения ролей по областям доступа".На экране появится стартовый диалог мастера для выбора варианта конт-роля:

Контролировать ресурсы Поиск ролей для задаваемого множестваресурсов

Контролировать учетныезаписи

Поиск ролей, связанных с учетными записями

2. Выберите нужный вариант и нажмите кнопку "Далее >".На экране появится следующий диалог мастера.• Если был выбран режим "Контролировать ресурсы", то диалог пред-

назначен для формирования множества ресурсов на основаниипринадлежности к той или иной категории. Перейдите к п. 3.

• Если был выбран режим "Контролировать учетные записи", то диалогпредназначен формирования множества учетных записей. Перейдите кп. 7.

3. .Для включения ресурсов определенной категории в задаваемое множествопоставьте соответствующую отметку и нажмите кнопку "Далее >".Появится диалог со списком всех ресурсов указанной категории.

4. При необходимости удалите или добавьте в список другие ресурсы.

Для удаления или добавления используйте кнопки "Удалить" и "Добавить".

5. Нажмите кнопку "Далее >".



Начнется поиск ролей, предоставляющих доступ к заданному множествуресурсов. В результате на экране появится диалог.

В верхней части диалога представлен граф ролей. Отображаются как роли,непосредственно связанные с ресурсами, так и роли, связанные черездочерние или родительские роли и роли, которые предоставляют смешанныйдоступ. Пиктограммы ролей со смешанным доступом выделены краснымцветом.В нижней части диалога отображается список ресурсов, к которым предос-тавляет доступ выбранная роль.

6. Нажмите кнопку "Далее >".Начнется генерация отчета. Результат отчета — список ролей со смешаннымдоступом — будет выведен на экран. Перейдите к п. 11.

7. Для задания множества учетных записей выберите их типы и укажитеагентов. Для этого установите отметку в поле "Тип учетных записей", враскрывающемся списке отметьте нужные типы и затем укажите агентов.Нажмите кнопку "Далее >".Появится диалог корректировки списка множества учетных записей.

8. Откорректируйте список учетных записей.

Для удаления или добавления используйте кнопки "Удалить" и "Добавить".

9. Нажмите кнопку "Далее >".Начнется поиск ролей, связанных с учетными записями, входящими взаданное множество. Результат будет представлен в виде диалога,описанного в п. 5 . В нижней части диалога добавлена вкладка "Учетные за-писи", отображающая учетные записи, связанные с выбранной ролью.

10.Нажмите кнопку "Далее >".Начнется генерация отчета. Результат отчета — список ролей со смешаннымдоступом — будет выведен на экран.

11.Для завершения работы мастера нажмите кнопку "Готово".



Типовой доступ подразделенийТиповой доступ - это механизм предоставления доступа основанный на том, чтосотрудники и подразделения обладают одинаковым набором прав доступа/ролей.В представлении "Подразделения" типовой доступ отображается как дочернеепредставлени, в котором можно просматривать и редактировать список ролей,являющихся типовым доступом для выбранного подразделения.Для выбранного подразделения в поле типового доступа в отобразятся роли,относящиеся к типовому доступу этого подразделения, если было выбрано нес-колько подразделений, то отобразится информация, относящаяся к первомувыбранному подразделению.В случае, если подразделение не выбрано, поле типового доступа в дочернемпредставлении будет пустым.В поле дочернего представления "Типовой доступ" можно просматривать иредактировать список ролей, являющихсятиповым доступом выбранного подраз-деления. Через контекстное меню доступны команды "Добавить роль", "Удалитьроль" и информация.Команда "Добавить роль" активирует окно поиска объектов, в котором пожновыбрать одну или несколько ролей. При добавлении новой роли, Программауправления сервером проверяет наличие добавленной роли в типовом доступеодного из родительских подразделений вверх по иерархии и при наличиидобавляемой роли в типовом доступе родительских подразделений выдаетсяпредупреждение. Назначение роли при этом не блокируется.Команда "Удалить роль" позволяет удалить выбранную роль. Если роль невыбрана, то команда недоступна.Команда "Информация" открывает представления Роли и показываетвыбранную роль. Если роль не выбрана, то команда недоступна.Если у подразделения есть родительское подразделение, у которого так же естьтиповой доступ, такие роли отображаться у дочернего подразделения не будут.Соответственно не будет возможности их редактировать.Мастер "Типовой доступ"

Для настройки типового доступа:1. Откройте Программу управления сервером КУБ и войдите в нее.2. В меню "Инструменты" выберите "Мастера".3. В появившемся списке мастеров, выберите "Типовой доступ".

На экране отобразится диалог "Типовой доступ":



4. Отметьте подразделения, которым необходимо назначить типовой доступ.5. В случае, если при назначении типового доступа, необходимо учитывать

области доступа, поставьте отметку в поле "Учитывать области доступа".6. Нажмите "Далее>".7. Проверьте список изменений и нажмите "Готово".

Усиленная парольная защита для группыПри необходимости можно включить усиленную парольную защиту для группыучетных записей.Усиленная парольная защита необходима для ограничения прав пользователейна выполнение операций, которые могут привести к изменению прав доступапользователей без согласования с ответственными лицами. Для выполнениянаиболее критичных операций необходимо присутствие двух различныхсотрудников.При включении усиленной парольной защиты, пароли запоминаются в текущейсессии и используются для аутентификации при критических операциях.



Повторно вводить пароли при совершении различных критических операций втекущей сессии не нужно.В случае, если текущая сессия была завершена, после повторного соединения ссервером, для выполнения критических операций, необходимо ввести паролиеще раз.Защита паролей включается без создания завяки.

Включение усиленной парольной защитыДля включения усиленной парольной защиты:1. В области переходов выберите представление "Группы учетных записей".2. Перейдите к вкладке "Иерархия групп учетных записей" и выберите группу

"Все пользователи".3. Вызовите контекстное меню и выберите пункт "Включить усиленную

парольную защиту".

4. В появившемся диалоге "Пароли" введите "Пароль пользователя 1" и"Пароль пользователя 2".Пароли должны соответствовать следующим требованиям:• длинна пароля должна быть не менее 8 символов;• пароль должен содержать не менее 1 заглавной буквы;• пароль должен содержать не менее 1 строчной буквы;• пароль должен содержать не менее 1 спецсимвола (например: !,№,@ и

т.д.);• пароль может быть введен как кириллицей, так и латиницей;

5. Нажмите "Ок".



Отключение усиленной парольной защитыДля отключения усиленной парольной защиты:1. В области переходов выберите представление "Группы учетных записей".2. Перейдите к вкладке "Иерархия групп учетных записей" и выберите группу

"Все пользователи".3. Вызовите контекстное меню и выберите пункт "Отключить усиленную

парольную защиту".4. В появившемся диалоге "Пароли" введите "Пароль пользователя 1" и

"Пароль пользователя 2".5. Нажмите "Ок".

Изменение паролейДля изменения паролей:1. В области переходов выберите представление "Группы учетных записей".2. Перейдите к вкладке "Иерархия групп учетных записей" и выберите группу

"Все пользователи".3. Вызовите контекстное меню и выберите пункт "Изменить пароли".4. В появившемся диалоге "Пароли" заполните следующие поля:

• Текущий пароль - введите текущий пароль пользователя.• Новый пароль - введите новый пароль пользователя.• Подтверждение пароля - введите новый пароль пользователя еще раз,

тем самым подтвердив его.5. Нажмите "Ок".

Управление ответственностямиОтветственность — объект системы КУБ, определяющий обязанностисотрудников. Чтобы обязанности назначить сотрудникам, ответственностисвязывают с ролями, а роли затем связывают с должностями илинепосредственно с сотрудниками.

Ответственности создаются и регистрируются не только в Программе управления сервером, но и вСУЗ. Так как, в Программе управления сервером не реализованы некоторые фильтры, которыереализованы в СУЗ (например, фильтр по подразделениям в ответственности "Контроль доступа кресурсам агентов"), настоятельно рекомендуется использовать СУЗдля создания и редактированияответственностей.

Список ответственностейДля перехода к списку ответственностей:

• В области переходов выберите категорию "Управление" и нажмите кнопку"Ответственности".В главном окне отобразится перечень ответственностей, зарегистри-рованных в системе КУБ.

Автоматическое создание и распределение ответственностейАвтоматическое создание и распределение ответственностей выполняют с по-мощью мастера "Распределение ответственностей". Ответственности создаютсяи назначаются сотрудникам по заранее определенным правилам. Имеетсявозможность ручной корректировки автоматически созданныхответственностей.



Создание и распределение ответственностей выполняется поэтапно. На каждомэтапе создаются и распределяются ответственности одного типа. Типыответственностей и категории сотрудников, которым эти ответственностиприсваиваются, представлены в таблице ниже.

Табл.7 Типы ответственностей и категории сотрудников

Тип ответственности Категория сотрудников

Контроль выполнения инструкций Ответственные за агенты

Контроль доступа к ресурсам агентов

Контроль доступа к ресурсамподразделений

Контроль назначения ролей Руководитель подразделения

Контроль изменения структурыподразделений

Контроль исполнения заявок Руководитель подразделения

Контроль несоответствий в системе Ответственные за агенты

Контроль полномочий сотрудников Руководитель службы информационнойбезопасности

Контроль создания заявок Руководитель подразделения

Контроль создания/удаленияресурсов

Ответственные за агенты

Контроль штата подразделений

Контроль штатного расписания

Контроль измененияответственностей

После сохранения в системе будут созданы ответственности и роли,ответственности будут привязаны к ролям, а роли назначены сотрудникам. Дляролей будет установлена категория "Ответственности".

Для вызова мастера:

1. Перейдите к списку ответственностей.2. В меню "Правка" активируйте команду "Распределение ответственностей…".

На экране появится стартовое окно мастера.3. Перейдите к панели свойств и внесите необходимые изменения.

Тип Отметьте те типы ответственностей, которые требуется создать ираспределить

Отменитьраспределение…

Установите отметку, если необходимо удалить ответственности,созданные с помощью этого мастера ранее

4. Нажмите кнопку "Далее >".На экране появится следующее окно мастера.



В левом окне отображается автоматически сформированный переченьответственных сотрудников.

5. При необходимости скорректируйте список. Для этого выполните следующиедействия:• в списке подразделений выберите нужную запись;• в списке сотрудников выберите соответствующего сотрудника;• нажмите кнопку "Назначить".

Рекомендации:• Записи можно сопоставлять путем перетаскивания. Для этого захватите мышью нужную

запись в списке сотрудников и перетащите ее к соответствующей записи списка под-разделений;

• для удаления связи выберите нужную учетную записьи нажмите кнопку "Удалитьсвязь";• для удаления всех связей нажмите кнопку "Удалитьвсе".

6. 6.При необходимости скорректируйте вид обязанности. Для этого выполнитеследующие действия:• в списке подразделений выберите нужную запись;• установите отметку в одном из двух полей "Согласование" или

"Уведомление".7. Нажмите кнопку "Далее >".

На экране появится следующее окно мастера, аналогичное приведенномувыше.

8. Для этого и следующих аналогичных окон выполните действия, описанные впп. 5–7.

9. На последнем шаге проверьте правильность внесенных изменений и наж-мите кнопку "Готово".В список ответственностей и в список ролей будут добавлены новые записи.


Регистрация ответственностиРегистрацию ответственности выполняют с помощью мастера "Созданиеответственности". Этот мастер предоставляет возможность зарегистрироватьновую ответственность, настроить ее свойства и связать ответственность сролями.

Для вызова мастера:

1. Перейдите к списку ответственностей.



2. Вызовите меню "Правка" и активируйте команду "Создатьответственность…".На экране появится стартовое окно мастера.

3. Выполните указания мастера. Описание отдельных окон мастера см. всоответствующих подразделах текущего раздела. Для перехода междушагами используйте следующие кнопки:• Далее > — для перехода к следующему шагу;• < Назад — для возврата к предыдущему шагу.

4. На последнем шаге проверьте правильность внесенных изменений и наж-мите кнопку "Готово".В список ответственностей будет добавлена новая запись.


Настройка ответственностейСуществуют следующие виды ответственности:

Уведомление Сотрудникам поступают сообщения для ознакомления

Согласование Обязывает сотрудников согласовывать поступающие им заявки

Параметр "Порядок согласования" определяет этап, на котором осуществляетсясогласование заявки. При наличии нескольких согласующих именно на этомэтапе сотруднику будет направлено уведомление на согласование заявки.Параметр "Делегирование" определяет порядок делегирования обязанностейсотрудника в его отсутствие:

Никогда Делегирования не происходит. Система согласует заявку автоматически

Всегда Осуществляется поиск руководителя данного сотрудника. Поискосуществляется снизу вверх по иерархии должностей. Обязанностиделегируются сотруднику, который присутствует на работе и не являетсяавтором или участником заявки.

Кромевысших

Высшее руководство организации при поиске руководителя нерассматривается.

Параметр "Согласовать за всех" влияет на результат согласования заявки:

Да Для согласования заявки необходимо положительное решение хотя бы одногосогласующего.

Нет Для согласования заявки необходимо положительное решение всех согласующих.

Для настройки ответственности:

1. Перейдите к списку ответственностей и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранной роли.


Имя Введите наименование ответственности.

Делегирование Выберите в раскрывающемся списке вид делегирования.

Порядоксогласования

Введите уровень ратификации (число от 0 до 1000000). Поумолчанию уровень ратификации равен 0.

Согласование/Уведомление

Выберите в раскрывающемся списке вид обязанности.

Актуализирующий Укажите актуализирующего сотрудника. Для выбора в окне"Поиск объектов" (см. рис. на стр. стр.19) нажмите кнопку вправой части поля. Удаление актуализирующего сотрудниканевозможно.



Исполнитель поумолчанию

Укажите исполнителя по умолчанию. Выбирается из спискасотрудников. Используйте кнопку выбора и стандартнуюпроцедуру "Поиск объектов". Если исполнитель поумолчанию не указан, им становится актуализирующийсотрудник.

Согласоватьза всех

Выберите в раскрывающемся списке нужное значение (поумолчанию "Нет").

Количествоудаленныхсотрудников

Параметр используется только для ответственности"Контроль импорта ОШС".Укажите максимальное количество уволенных сотрудников взаявке, при превышении которого будет срабатыватьответственность.Если значение = "0", ответственность будет срабатывать длявсех заявок.По умолчанию значение = "999999".


Привязка ответственностей к ролямДля привязки ответственностей:

1. Перейдите к списку ответственностей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Установить набор ролей…".

На экране появится диалог для выбора ролей. По умолчанию диалог содер-жит перечень ролей, привязанных к выбранной ответственности.

3. Сформируйте список ролей, к которым будет привязана ответственность,выбранная в п. 1. Для этого используйте кнопки в правой части окна:






4. Нажмите кнопку "ОК".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Установка фильтровЭта процедура устанавливает фильтр для заявок. Заявки можно фильтровать поагентам, подразделениям или категориям подразделений.

Примечание. Ответственность, связанную с вышестоящим подразделением, необходимодополнительно связать с теми нижестоящими подразделениями, с которыми связаныответственности на согласование заявок того же типа, что и первая ответственность. В противномслучае заявки сотрудникам вышестоящего подразделения поступатьне будут.

Для установки фильтра:

1. Перейдите к списку ответственностей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте одну из следующих команд:

• "Изменить набор агентов…";• "Изменить набор подразделений…";• "Изменить набор категорий подразделений…".На экране появится перечень соответствующих объектов.

3. Сформируйте список объектов, с которыми будет связана ответственность,выбранная в п. 1. Для этого используйте кнопки в правой части окна:








4. Нажмите кнопку "ОК".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Удаление ответственностейДля удаления ответственности:

1. Перейдите к списку ответственностей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Удалить ответственность".

Примечание. Если ответственность связана с ролью, на экране появляется запрос на удаление.Для удаления ответственности нажмите кнопку "Да".




Глава 7Управление агентами и ресурсамиСписок агентов и ресурсов

Для перехода к списку агентов и ресурсов:

• В области переходов выберите категорию "Объекты АС" и нажмите кнопку"Агенты и ресурсы".В главном окне отобразится перечень агентов и ресурсов, зарегистри-рованных в системе КУБ.

На вкладке "Иерархия агентов" отображается иерархический список агентов иресурсов. У межсетевого экрана Cisco для каждого интерфейса контролируемогоустройства создаются 2 отдельных агента — для входящего и исходящего тра-фика.На вкладках "Список агентов" и "Список ресурсов" отдельно отображаютсяперечни агентов и ресурсов соответственно.

Управление агентами

Регистрация агента в системе КУБРегистрацию агента выполняют перед установкой выносного модуля агента.Установку выносного модуля агента осуществляют только на основании заявки,сформированной программой управления при регистрации агента.

Примечание. Агент ППО отличается от других агентов отсутствием выносного модуля и поэтомуимеет некоторые особенности управления (см. Порядок установки агента ППОна стр. стр.100).

Перед регистрацией агента необходимо зарегистрировать лицензию на этотагент (см. стр. стр.59).

Для регистрации агента:

1. Перейдите к списку "Агенты и ресурсы".2. В меню "Правка" активируйте команду "Регистрация агента…".

На экране появится стартовый диалог мастера регистрации агента.3. Укажите регистрационные параметры агента:

Отображаемоеимя

Наименование агента

Комментарий Дополнительная информация об агенте (необязательныйпараметр)

Вышестоящийагент

Наименование вышестоящего агента по отношению крегистрируемому (при создании иерархии агентов)



Платформа Наименование платформы:• при регистрации агента Windows/AD выберите платформу"Сервер Windows 2000";

• при регистрации агента PKI выберите платформу"Инфраструктура открытых ключей";

• при регистрации агента ППО выберите платформу ссоответствующим названием;

• при регистрации агента Континент выберите платформу содноименным названием;

• при регистрации агента Secret Net выберите платформу"Домен Secret Net";

• при регистрации агента Check Point Smart Center выберитеплатформу с одноименным названием;

• при регистрации агента межсетевого экрана выберитесоответственно платформу "Континент" или "Cisco";

• при регистрации агента ПАК выберите соответственноплатформу "Программно-аппаратная конфигурация";

• при регистрации агента ITSM для конкретной системывыберите соответствующую ей платформу ("Интеграция ссистемой HP SM");

• при регистрации агента NAS выберите платформу "Сетевоехранилище".

Ответственный Сотрудник, ответственный за регистрируемый агент.Примечание. В этот список включены только те сотрудники, укоторых имеется учетная запись системы КУБ с указаннымадресом электронной почты.

Исполнитель Сотрудник, ответственный за выполнение инструкций,сформированных этим агентом (по умолчанию).

Примечание.В этот списоквключены только тесотрудники, у которых име-ется учетная записьсистемы КУБ с указаннымадресом электроннойпочты.

Примечание. Кнопка "Импортировать описание платформы…" запускает процедуру импортаописания платформы с помощью одноименного мастера (см. стр. стр.101). Используется толькопри регистрации агентов ППО.

4. Нажмите кнопку "Далее >" для перехода к следующему диалогу мастера. Видэтого диалога будет различным для каждого типа регистрируемого агента.Заполните поля диалога:

Доменное имякомпьютера дляустановки выноснойчасти агента

Объект "Хост" системы КУБ. При регистрации агента ППОэто поле заполняются, если планируется производитьимпорт данных ППО при помощи выносного модуля ППО.• Для выбора зарегистрированного объектаиспользуйте кнопку "…" (см. стр. стр.21).

• Для создания нового — кнопку "Создать" (см.стр. стр.138)

Доменное имякомпьютера, которыйбудетконтролироваться

Только для агента NAS. Введите доменное имя компьютерас установленным сервером сетевых хранилищ.

Адрес компьютера, накотором установленмежсетевой экран

Только для агента межсетевого экрана. Для выборакомпьютера из списка зарегистрированных объектовиспользуйте кнопку "…" (см. стр. стр.21).

Название экземпляраагента

При регистрации агента ППО при необходимостиизмените название, сгенерированное автоматически.

Домен, с которымпроизводитсясинхронизация

Нажмите кнопку справа от поля для выбора в стандартномдиалоге Windows нужного домена (для агентаWindows/AD).

5. Нажмите кнопку "Далее >" для перехода к диалогу "Выбор типаответственности".



Укажите типы ответственностей, которые необходимо присвоить агенту. Дляэтого установите отметку возле нужных типов ответственностей.

Совет.Используйте кнопки "Выбрать все" и "Очистить все" для того, чтобы установить или уда-литьотметки возле всех приведенных объектов.

6. Нажмите кнопку "Далее >" для перехода к диалогу "Ввод ответственности"мастера установки.Укажите ответственности, которые необходимо присвоить агенту. Для этогоустановите отметку возле нужных типов ответственностей.

Совет.Используйте кнопки "Выбрать все" и "Очистить все" для того, чтобы установить или уда-литьотметки возле всех приведенных объектов.

7. Нажмите кнопку "Далее >" для генерации нового объекта. Ход процессабудет отображаться на экране в виде индикатора прогресса.По завершении процесса на экране появится заключительный диалог"Настройка завершена" мастера установки, в котором будут перечисленыпараметры регистрируемого объекта.

8. Проверьте введенные данные и нажмите кнопку "Готово".В списке "Агенты и ресурсы" наименование вновь зарегистрированногоагента будет выделено жирнымшрифтом.

9. Сохраните внесенные изменения в базе данных (см. стр. стр.17).В результате регистрации будет сформирована инструкция на установку агентаи направлено оповещение исполнителю.

Выбор режима утверждения инструкцийПредусмотрена возможность выбора режима утверждения инструкций(актуализации заявки): ручной или автоматический.По умолчанию исполнителей инструкций система назначает автоматически, аутверждение исполнителей (актуализацию заявки) администратор выполняетвручную.

Примечание.Исполнителем назначается ответственный за агента. Если ответственный за агентаотсутствует или заблокирован, то исполнителем назначается ответственный за родительскогоагента. Если исполнителя определить не удалось, то формируется несоответствие "нетответственного" и заявке присваивается статус "ошибка". Если для данного вида заявок включенрежим автоматического исполнения инструкций , то исполнительне назначается.

Для выбора режима утверждения инструкций:

1. Перейдите к списку агентов и ресурсов и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранного агента.

2. Перейдите к панели свойств и выберите поле "Доверенные исполнители", азатем в раскрывающемся списке выберите нужное значение:

Нет Утверждение исполнителей администратор исполняет вручную

Да Назначение и утверждение исполнителей исполняется автоматически


Ввод внешнего имени агентаПредусмотрена возможность указать внешнее имя для каждого агента ....

По умолчанию внешнее имя пустое.

Для ввода внешнего имени агента:




2. Перейдите к панели свойств и выберите параметр "Внешнее имя", укажитезначение параметра.

3. Сохраните внесенные изменения в базе данных (см. стр. 1).

Настройка правил именования объектовПеред запуском процесса синхронизации рекомендуется настроить правилаименования объектов для платформы и агента. Если настроить эти правила всоответствии с правилами формирования имен пользователей на предприятии,то при синхронизации системы можно использовать автоматический режимсопоставления учетных записей пользователей с сотрудниками.Правила,определенные дляплатформы, определяютправила именования объек-тов для всех агентов данной платформы, кроме тех случаев, когда правилаопределены для агента индивидуально. Приоритет правил именования,определенных для агента, выше приоритета правил именования, определенныхдля платформы.Язык описания правил и перечень типовых правил именования представлены вПриложении на стр. стр.168.

Для настройки правил именования объектов:

1. Перейдите к списку "Агенты и ресурсы".2. Вызовите меню "Правка" и активируйте нужную команду:

• редактировать правила именования для платформы;• редактировать правила именования для агента.На экране появится диалог для настройки правил.

3. Заполните поля диалога:

Платформа/Агент

Перечень платформ/агентов, зарегистрированных в системеКУБ. Выберите в раскрывающемся списке нужное значение

Список правил Перечень правил именования объектов. Выберите враскрывающемся списке нужное значение

Правилоименованияобъектов

Текст правила. Внесите необходимые изменения

4. Для проверки корректности внесенных изменений нажмите кнопку"Проверить".



Система выполнит правило со значениями, указанными в таблице "Пара-метры правила". В поле "Результаты проверки" будет отображен конечныйрезультат выполнения правила или указана причина сбоя.

5. После окончания редактирования правила нажмите кнопку "ОК".6. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Управление агентом Windows

Выбор режима исполнения инструкцийПри выполнении операций с учетными записями и предоставления доступа кресурсам существуют два режима исполнения инструкций: вручную или авто-матически. Выбор режима исполнения возможен для следующих видовинструкций:• создание учетных записей;• управление учетными записями;• удаление учетных записей;• управление ресурсами.

Для выбора режима исполнения инструкций:

1. Перейдите к списку агентов и ресурсов и выберите в списке агент Windows.На панели свойств отобразятся характеристики выбранного агента.

2. Перейдите к панели свойств и выберите поле с названием вида инструкций,а затем в раскрывающемся списке выберите значение параметра.

Режим исполнения инструкции Значение параметра

Ручной Назначать исполнителей

Автоматический Распределять агенту


Генерация пароля для новой учетной записиИмеется возможность задать режим генерации пароля при автоматическом соз-дании новой учетной записи. Режим генерации предполагает назначение поль-зователю пустого или случайного пароля.Для режима автоматического создания учетных записей предусмотрена рас-сылка оповещений о завершении исполнения соответствующей инструкции.Оповещение высылается ответственному за агента по электронной почте ивключает в себя сведения о созданной учетной записи и сгенерированный па-роль (если используется режим генерации случайного пароля).Настройка режима генерации пароля и рассылки оповещений выполняются всвойствах агента. При наличии в системе нескольких агентов настройка вы-полняется отдельно для каждого из них.

Для настройки режима генерации пароля и рассылки оповещений:


2. Перейдите к панели свойств и в группе "Автоматическое выполнение" выбе-рите поле "Пароли учетных записей", а затем в раскрывающемся спискевыберите режим ("пустые" или "случайные").

3. В группе "Автоматическое выполнение" выберите поле "Рассылка паролей",а затем в раскрывающемся списке выберите режим ("не рассылать" или"рассылать").




Формирование инструкций на блокировку учетной записиПолитика безопасности, принятая в организации, может требовать блокировкиучетной записи сотрудника, уходящего в отпуск. Имеется режим автомати-ческого формирования инструкции на блокировку учетной записи приназначении сотруднику статуса "заблокирован".

Для формирования инструкций на блокировку учетной записи:


2. Перейдите к панели свойств и выберите поле "Блокировка по отпуску", азатем в раскрывающемся списке выберите нужное значение:

Разрешена Инструкция на блокировку учетной записи создается автоматически

Запрещена Инструкция на блокировку учетной записи не создается


Синхронизация учетных записей и сотрудниковВ настройках агента Windows предусмотрена синхронизация учетных записей игрупп учетных записей с сотрудниками. При этом настройка разделяется на:• синхронизацию имен;• синхронизацию свойств учетных записей и сотрудников.Синхронизация имен означает, что при изменениях в имени сотрудника (фами-лия, имя, отчество) или в имени роли, назначенной сотруднику, будут сформи-рованы инструкции на внесение соответствующих изменений в имя учетной за-писи или в имя группы учетных записей.Синхронизация свойств означает, что при изменениях в свойствах сотрудника(например, при переводе сотрудника на другую должность или в другое под-разделение) будут сформированы инструкции на внесение соответствующихизменений в свойства учетной записи. Такими свойствами являются:• организация;• отдел;• должность;• телефон;• дополнительный телефон;• ФИО;• описание.Для настройки синхронизации имен и свойств в агенте используются соответ-ственно параметры "Имена пользователей/Имена групп" и "Свойства пользова-телей". Каждый из этих двух параметров может принимать одно из 3-х зна-чений:

Значениепараметра Описание

По умолчанию Имя учетной записи (группы учетных записей) определяетсяадминистративными настройками платформыWindows

Синхронизировать При изменении имени сотрудника (роли) или свойствформируются инструкции на соответствующее изменение имениучетной записи (группы учетных записей) или свойств

Несинхронизировать

При изменении имени сотрудника (роли) или свойств имя учетнойзаписи (группы учетных записей) или свойства остаютсяпрежними



Для настройки синхронизации имен:


2. Перейдите к панели свойств и выберите поле "Имена пользователей" или"Имена групп", а затем в раскрывающемся списке выберите значениепараметра.


Для настройки синхронизации свойств учетных записей:


2. Перейдите к панели свойств и выберите в группе "Настройки управления"поле "Свойства пользователей", а затем в раскрывающемся списке выбери-тезначение параметра.

3. Сохраните внесенные изменения в базе данных (см. стр.стр.17 ).Для тонкой настройки синхронизации параметры можно настраивать отдельно укаждой учетной записи или группы учетных записей. В этом случаесинхронизация имени сотрудника (роли) и имени учетной записи (группы учет-ных записей) будет выполняться или не выполняться в зависимости от значенияпараметра, установленного в свойствах самой учетной записи (группы).Значение параметра, установленное в свойствах учетной записи (группы),имеет более высокий приоритет по отношению к значению, установленному всвойствах агент Windows. В свою очередь, значение, установленное в свойствахагента, имеет приоритет перед административными настройками платформыWindows. Если значение параметра в свойствах учетной записи (группы) — "поумолчанию", это означает, что оно будет выбрано из свойств агента. Если в свой-ствах агента тоже указано "по умолчанию", будут использоваться адми-нистративные настройки платформы Windows.Настройка синхронизации в свойствах учетных записей приведена на стр.стр.114.

Удаление учетных записейВ настройках агента Windows в зависимости от определенных условийпредусмотрено удаление или блокировка учетной записи, удаление групп учет-ных записей.

Для настройки удаления учетных записей:


2. Перейдите к панели свойств и выберите поле "Удаление пользователей", азатем в раскрывающемся списке выберите значение параметра.

Значениепараметра Описание

По умолчанию Учетная запись будет удалена или сохранена в зависимости отнастроек в ОС

При потередоступа

Учетная запись будет удалена при потере доступа

При увольнении При увольнении сотрудника учетная запись будет удалена

Сохранять приувольнении

При увольнении сотрудника учетная запись будетзаблокирована и перемещена в специальный каталог




Для настройки каталога, куда будут автоматически перемещатьсязаблокированные учетные записи удаленных сотрудников:

1. Перейдите к списку агентов и ресурсов и выберите в списке агентWindows/AD.На панели свойств отобразятся характеристики выбранного агента.

2. Перейдите к панели свойств и выберите поле "Каталог уволенныхпользователей"и в поле для ввода укажите путь к нужному каталогу.


Для настройки удаления групп учетных записей:


2. Перейдите к панели свойств и выберите поле "Удаление групп", а затем враскрывающемся списке выберите значение параметра.

Значение параметра Описание

По умолчанию Группа учетных записей будет удалена или сохранена взависимости от настроек в ОС

При потере доступа Группа учетных записей будет удалена при потере доступа

При удалении роли При удалении всех ролей, связанных с группой, даннаягруппа учетных записей будет удалена


Управление агентом ППОАгент ППОможет быть установлен следующими способами:• выносной модуль агента ППО установлен на удаленном компьютере. При

этом загрузка и обновление (импорт) данных ППО на сервер КУБ про-изводится при помощи выносного модуля агента ППО;

• агент ППО не имеет выносного модуля. При этом импорт данных на серверКУБ производится с помощью программы управления.

В связи с этим агент ППО имеет некоторые особенности управления.

Порядок установки агента ППОУстановку агента ППО выполняют в следующей последовательности:1. Разработка описания платформы (см. стр. стр.197).2. Импорт описания платформы в систему КУБ (см. стр. стр.101).3. Подготовка файла данных (см. стр. стр.171).4. Регистрация агента ППО в системе КУБ (см. стр. стр.93).5. Импорт данных ППО (см. стр. стр.101).Перед установкой агента ППО необходимо получить следующие сведения оконтролируемой системе:• наличие пользователей и групп;• ограничения на состав групп;• возможность блокировки пользователей (учетных записей);• принятое наименование объектов системы;• способы уникальной идентификации;• типы ресурсов;• номенклатура прав доступа к ресурсам;• зависимости между правами доступа.



Импорт описания платформыОписание платформы представляет собой файл в формате XML, в которомсодержатся следующие сведения:• параметры управления платформой;• типы ресурсов;• права и правила доступа.Описание платформы выполняют в программе PlatformEditor (см. стр. стр.197).Импорт описания платформы в систему КУБ выполняют в программе управленияпри регистрации платформы в справочнике платформ (см. стр. стр.64) или приработе со списком агентов и ресурсов (см. ниже).

Для импорта описания платформы:

1. Выберите в списке папку "Агенты и ресурсы".2. Вызовите меню "Правка" и активируйте команду "Импорт описания плат-

формы…".На экране появится одноименный диалог.

3. Укажите имя файла с описанием платформы. Для выбора файла в стан-дартном диалоге MS Windows используйте кнопку "Обзор…".

4. Нажмите кнопку "OK".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Импорт данных ППОИмпорт данных ППО в систему КУБ выполняется из указанных источников дан-ных в базу данных системы КУБ. Одновременно можно импортировать данныетолько для одного адаптера, указав при этом несколько источников. В ходепроцедуры источники данных для импорта проверяются на ошибки. Данные сошибками импортированы не будут.Входные данные для адаптера импорта ППО из текстового файла должны быть вформате utf-8

Для импорта данных ППО:

1. Выберите в списке папку "Агенты и ресурсы", а затем на вкладке "Иерархияагентов" выберите нужный агент.

2. Вызовите меню "Правка" и активируйте команду "Импорт данных ППО…".На экране появится стартовый диалог мастера импорта данных.

3. Сформируйте список источников импорта данных. Для этого используйтекнопки:

Добавить Открывает диалоговое окно со списком адаптеров. Выберите нужныйадаптер и настройте его (см. стр. стр.181);

Изменить Открывает диалоговое окно настройки выбранного адаптера (см.стр. стр.181);

Удалить Удаляет выбранный адаптер из списка

В стартовом диалоге мастера импорта отобразятся указанные источники дан-ных.

4. Нажмите кнопку "Далее >".Начнется импорт данных из указанного источника в буфер. Процессотображается в виде индикатора. Одновременно производится проверка дан-ных. В случае возникновения ошибки на экране появится соответствующеесообщение, а импорт будет прекращен. По окончании процесса импорта поя-вится диалог для формирования заявки на импорт.

5. Укажите параметры заявки и нажмите кнопку "Готово".




Сертификатдля подписизаявки

Электронно подпись. Выберите из раскрывающегося списка. Дляпросмотра сведений о сертификате в стандартном окне Windowsиспользуйте кнопку "О сертификате…". Только для локальноговарианта.


Предельный срок времени выполнения заявки на синхронизациюОШС в часах. Время не может быть меньше значения, установленногопо умолчанию в параметрах настройки сервера КУБ. Автоматическиучитываются выходные и праздничные дни.

Данные будут импортированы из указанных источников в базу данных сис-темы КУБ. В журнале заявок появится заявка на импорт данных ППО состатусом "выполнена".

Настройка автоматической синхронизации данных ППОАвтоматическая синхронизация предназначена для обновления данных всистеме КУБ в соответствии с указанным расписанием. При этом данные, кото-рые отсутствуют в источнике импорта, удаляются из базы данных системы КУБ.

Для настройки автоматической синхронизации ППО:

1. Вызовите в меню "Инструменты" подменю "Мастера" и активируйте команду"Автоматическая синхронизация ППО".На экране появится окно мастера автоматической синхронизации ППО.

2. Заполните поля вкладки "Параметры синхронизации".

Включитьсинхронизацию

Установка отметки включает автоматическуюсинхронизацию данных ППО с указанными параметрами.

Повторение Отображает расписание автоматического выполнениясинхронизации. Для определения расписания используйтекнопку "Изменить".

Источники данных Перечень источников импорта данных. Для формированиясписка используйте кнопки:Добавить — открывает диалоговое окно со спискомадаптеров. Выберите нужный адаптер и настройте его (см.стр. стр.181);Изменить — открывает диалоговое окно настройкивыбранного адаптера (см. стр. стр.181);Удалить — удаляет выбранный адаптер из списка.

Агент, для которогобудет произведенимпорт

Наименование агента, для которого выполняется импортданных.Для выбора из списка используйте кнопку "Выбрать".

Запусксинхронизации

Установите отметку, если требуется информировать озапуске синхронизации.

Сохранениеизменений

Установите отметку, если требуется информировать опроцедуре сохранения изменений.

Создание заявки Установите отметку, если для проведения процедурысинхронизации требуется создавать заявку.

3. При установленной отметке "Создание заявки" перейдите к вкладке "Пара-метры заявки" и заполните соответствующие поля.


Сертификатдля подписизаявки

Электронно подпись. Выберите из раскрывающегося списка. Дляпросмотра сведений о сертификате в стандартном окне Windowsиспользуйте кнопку "О сертификате…". Только для локальноговарианта.




Предельный срок времени выполнения заявки на синхронизациюОШС в часах. Время не может быть меньше значения, установленногопо умолчанию в параметрах настройки сервера КУБ. Автоматическиучитываются выходные и праздничные дни.

4. Нажмите кнопку "OK" для завершения настройки параметров авто-матической синхронизации данных ППО.

При использовании процедуры автоматической синхронизации данных ППО всенеобходимые изменения вносятся в источник данных ППО и импортируются присинхронизации. До этого момента не допускается присвоение вручную с по-мощью программы СУЗ статуса "выполнена" для инструкций, определяющихвносимые изменения в платформу ППО.

Управление агентом ППО и адаптером для MS SharePoint 2007

Порядок установкиДля совместной работы с MS SharePoint 2007 необходимо выполнить установкуагента ППО и адаптера для MS SharePoint 2007. Установку рекомендуетсяпроизводить в следующем порядке:1. Зарегистрировать агента ППО.2. Установить выносную часть (веб-сервис) адаптера для MS SharePoint 2007.3. Установить агент ППО и настроить импорт данных.

Регистрация агентаПеред регистрацией агента необходимо зарегистрировать лицензию на этотагент (см. стр. стр.59).

Для регистрации агента:

1. Выполните процедуру регистрации, описанную на стр. стр.93.После завершения регистрации в журнале заявок появится новая заявка.

2. Перейдите в журнал заявок, выберите вновь созданную заявку и вовспомогательном окне перейдите на вкладку "Фазы".

3. Вызовите во вспомогательном окне контекстное меню и выберите в немкоманду "Актуализировать".Заявка на установку агента будет переведена в статус "выполняется".

Установка выносной части адаптера для MS SharePoint 2007Выносная часть адаптера устанавливается на компьютер, на котором уста-новлено ПОMicrosoft Office SharePoint Server 2007.

Для установки выносной части:

1. Поместите установочный компакт-диск в привод CD-ROM и запустите наисполнение файл Setup\AgentSharePoint\Setup.exe, находящийся на этомдиске.Мастер установки выполнит подготовку к установке ПО выносной части.После завершения подготовительных действий на экране появитсястартовое окно мастера установки.

Для управления процессом установки используйте кнопки:• "Назад" —возврат к предыдущемудиалогу;• "Далее" —переход к следующемудиалогу;• "Отмена" —прекращение установки.

2. Ознакомьтесь с информацией, содержащейся в стартовом окне, и нажмитекнопку "Далее >" для продолжения установки.На экране появится окно с текстом лицензионного соглашения.



3. Ознакомьтесь с содержанием лицензионного соглашения, прочитав его доконца. Если вы согласны с условиями лицензионного соглашения, отметьтеполе "Я принимаю условия лицензионного соглашения" и нажмите кнопку"Далее >".

Если вы не согласны с условиями лицензионного соглашения, нажмите кнопку "Отмена". В этомслучае установка не будет произведена.

На экране появится окно выбора папки для установки выносной части.4. Укажите папку для размещения файлов программы. Для этого используйте

кнопку "Изменить".

По умолчанию файлы программы размещаются на системном диске в папкеC:\Program Files\Common Files\Microsoft Shared\Web ServerExtensions\12\ISAPI\.

5. Нажмите кнопку "Далее >".На экране появится окно с сообщением о готовности к установке.

6. Нажмите кнопку "Установить".Мастер установки приступит к копированию файлов на жесткий диск ком-пьютера. Ход процесса копирования отображается на экране в виде индика-тора прогресса. После завершения копирования файлов и регистрациипрограммных модулей на экране появится окно с информацией о завер-шении установки выносной части.

7. Для завершения процедуры нажмите кнопку "Готово".

Установка агента ППО и настройка импорта данныхАгент устанавливается на компьютер, указанный в процедуре регистрацииагента.

До начала установки в домене должна быть создана стандартными средствами учетная запись, подкоторой система КУБ будет обращаться к семейству узлов SharePoint.

Для установки агента ППО и настройки импорта:

1. Поместите установочный компакт-диск в привод CD-ROM и запустите наисполнение установочный файл для агента.Мастер установки выполнит подготовку к установке ПО агента. После завер-шения подготовительных действий на экране появится стартовое окномастера установки.

2. Ознакомьтесь с информацией, содержащейся в стартовом окне, и нажмитекнопку "Далее >" для продолжения установки.На экране появится окно с текстом лицензионного соглашения.

3. Ознакомьтесь с содержанием лицензионного соглашения, прочитав его доконца. Если вы согласны с условиями лицензионного соглашения, отметьтеполе "Я принимаю условия лицензионного соглашения" и нажмите кнопку"Далее >".

Если вы не согласны с условиями лицензионного соглашения, нажмите кнопку "Отмена". В этомслучае установка не будет произведена.

На экране появится окно выбора папки для установки агента.4. Укажите папку для размещения файлов программы. Для этого используйте

кнопку "Изменить".

По умолчанию файлы программы размещаются на системном диске в папкеC:\Program Files\Infosec\Cube\.

5. Нажмите кнопку "Далее >".На экране появится окно "Папка для файлов данных ППО".

6. Укажите папку для хранения файлов данных. Для этого используйте кнопку"Изменить".



По умолчанию файлы данных будут сохраняться на системном диске в папке C:\Documents andSettings\All Users\Application Data\Infosec\Cube\BBImport\.

7. Нажмите кнопку "Далее >".На экране появится окно выбора способа установки (полная иливыборочная).

8. Выберите способ установки "Выборочная" и нажмите кнопку "Далее >".На экране появится окно выбора компонентов.

9. В списке адаптеров выберите "Импорт для SharePoint 2007" и нажмите кноп-ку "Далее >".На экране появится окно "Настройка соединения с сервером КУБ".

10.Введите имя сервера КУБ и нажмите кнопку "Далее >".

При необходимости воспользуйтесь кнопкой "Обзор".

На экране появится окно с сообщением о готовности к установке.11.Нажмите кнопку "Установить".

Мастер установки приступит к копированию файлов на жесткий диск ком-пьютера. Ход процесса копирования отображается на экране в виде индика-тора прогресса. После завершения копирования файлов и регистрациипрограммных модулей на экране появится окно с информацией о завер-шении установки агента.

12.Нажмите кнопку "Готово".На экране появится окно утилиты выгрузки данных ППО.

13.Нажмите кнопку "Добавить".На экране появится список источников импорта (адаптеров).

14.Выберите в списке адаптер SharePoint и нажмите кнопку "Добавить".На экране появится окно настройки адаптера.

15.Заполните вручную следующие поля:

Адрес сайта Адрес семейства узлов SharePoint

Имяпользователя

Имя, зарегистрированное в домене, под которым система КУБобращается к семейству узлов SharePoint (см. примечание настр. стр.104)

Домен Имя домена

Пароль Пароль пользователя, под именем которого система КУБ обращаетсяк семейству узлов SharePoint



Нажмите кнопку "OK".На экране появится список агентов, указанных при регистрации.На рисунке проиллюстрирован случай, когда в системе был зарегистрировантолько один агент.

16.Выберите в списке нужный агент и нажмите кнопку "Добавить".На экране появится стандартное окно настройки задания.

17.При необходимости измените параметры задания.18.В поле "От имени" введите имя пользователя, указанное в п. 14, и нажмите

кнопку "Задать пароль".Появится стандартный диалог задания пароля.

19.Задайте пароль, указанный в п. 14 , и в окне настройки задания нажмитекнопку "OK".На экране появится заполненное окно утилиты выгрузки данных ППО.

20.Если необходимо создать задания для других адаптеров, нажмите кнопку"Добавить" и повторите п.п. 12–18 данной процедуры.

21.Если необходимо выполнить импорт данных непосредственно из окна на-стройки утилиты, выберите в списке источников адаптер и нажмите кнопку"Запустить" (кнопка активна только после выбора адаптера).В результате запустится импорт и откроется окно, отображающее ход еговыполнения.

О выполнении импорта свидетельствует его статус, который можетпринимать одно из 3-х значений:• Идет импорт;



• Импорт завершен успешно (с указанием ссылки на xml- файл срезультатом импорта);

• Импорт завершился с ошибкой (с указанием кода ошибки и ссылки налог-файл).

22.Закройте окно, отображающее ход выполнения импорта.

При закрытии окна импорт не прекращается. Результат импорта или ход его выполнения можнопосмотретьв "Планировщике задач " Windows.

23.Для завершения процедуры нажмите кнопку "OK".В результате в системе автоматически создается задание, которое можнозапустить вручную. После запуска выполняется импорт, и соответствующаязаявка переводится в статус "выполнено".

Управление агентом NASУправление агентом включает в себя назначение режима исполнения инструк-ций (вручную или автоматически), настройку режима контроля ресурсов сете-вого хранилища и управление отображением наследуемых прав доступа к ресур-сам.

Режим исполнения инструкцийВ рамках управления правами доступа пользователей к ресурсам сетевого хра-нилища в системе КУБ предусмотрено как ручное, так и автоматическое испол-нение инструкций на изменение прав доступа.

Для назначения режима исполнения инструкций:

1. Перейдите к списку агентов и ресурсов и выберите в списке агент NAS.На панели свойств отобразятся характеристики выбранного агента.

2. Перейдите к панели свойств и в группе "Автоматическое выполнение" враскрывающемся списке выберите значение параметра в соответствии сустанавливаемым режимом.

Режим исполнения инструкции Значение параметра

Ручной Назначать исполнителей

Автоматический Распределять агенту


Режим контроля ресурсовРежим задает глубину вложенности подлежащих контролю ресурсов сетевогохранилища и определяется значением параметра "Режим контроля", устанавли-ваемым для ресурсов типа "сетевой том" и "каталог".Описание значений параметра и их применимость к типу ресурса приведены втаблице ниже.

Значениепараметра Применение Описание

Не задан Каталог Необходимость контроля задается в свойствахродительского ресурса.

Неконтролировать

Сетевой томКаталог

Контролируется только существование ресурса.Права доступа к ресурсу и его параметрыресурса не контролируются.При назначении ролевого доступа к такомуресурсу инструкции переводятся в состояние"Ошибка выполнения".Если ролевой доступ был задан до установкирежима "Не контролировать", при смене режимабудут сгенерированы несоответствия.



Только каталог Каталог Контролируются права доступа только к ка-талогу.

Содержимоекаталога

Каталог Контролируются права доступа к файлам ка-талога и вложенным каталогам.

Полностью Сетевой томКаталог

Контролируется все дерево объектов данногоресурса.

Только том Сетевой том Контролируются права доступа только к се-тевому тому.

Том и каталог Сетевой том Контролируются права доступа к сетевому тому ивсем хранящимся в нем каталогам.

Для настройки режима контроля:

1. Перейдите к списку агентов и выберите агента NAS.Для выбранного агента раскроется иерархический список ресурсов сетевогохранилища.

2. Выделите в раскрывшемся списке ресурсов сетевой том.На панели свойств отобразятся параметры выбранного ресурса.

3. Перейдите к панели свойств, и в группе "Управление" для параметра "Ре-жим контроля" выберите из раскрывающегося списка значение параметра,руководствуясь описанием, приведенным в таблице выше.

4. При необходимости установите нужное значение параметра для каталоговсетевого тома.

5. При необходимости выполните п.п. 3 -4 для других сетевых томов.

По умолчанию для сетевых томов установлено значение "Том и каталог".


В процессе настройки или внесения изменений в режим контроля параметр "Состояние" в свой-ствах соответствующего ресурса принимает значение "Не актуально". После завершения скани-рования ресурсов и передачи агентом данных в систему КУБ параметр меняет значение на"Актуально".

Отображение наследуемых прав доступаДля отображения в программе управления наследуемых прав доступа к ресурсамсетевого хранилища используется параметр ресурса "Наследование прав".Параметр может принимать одно из 2-х значений: "запрещено" и "разрешено".

Значение параметра Описание

Запрещено Для данного ресурса агент передает в систему КУБ сведенияо всех правах доступа, включая права, наследуемые отродительского ресурса.

Разрешено Для данного ресурса агент передает в систему КУБ све-дения только о явно заданных правах доступа. Сведе-ния онаследуемых правах не передаются.

Для настройки отображения наследуемых прав:

1. Перейдите к списку агентов и выберите агента NAS.Для выбранного агента раскроется иерархический список ресурсов сетево-гохранилища.

2. Выделите в раскрывшемся списке требуемый ресурс.На панели свойств отобразятся параметры выбранного ресурса.

3. Перейдите к панели свойств и в группе "Управление" для параметра "На-следование прав" выберите из раскрывающегося списка нужное значение.




Управление ресурсами

Определение владельца ресурсаПри определении подразделения-владельца для родительского ресурса всемдочерним ресурсам автоматически назначается этот же владелец.

Для определения владельца ресурса:

1. Перейдите к списку ресурсов и выберите в списке нужную запись.2. Перейдите к полю "Ответственный/Владелец" и нажмите кнопку в правой

части поля.На экране появится диалог "Поиск объектов". Укажите нужный объект.(см. стр. стр.21).


Определение критичности ресурсаВ зависимости от степени значимости ресурсов для информационной системыустанавливается уровень критичности каждого ресурса. Степень значимостиопределяется администратором самостоятельно по необходимости обеспеченияконфиденциальности, целостности и доступности ресурса.Количество уровней критичности не ограничивается. По умолчанию всем ресур-сам присвоен нулевой, т. е. самый низкий уровень критичности.

Для определения уровня критичности ресурса:

1. Перейдите к списку ресурсов и выберите в списке нужную запись.2. Перейдите к полю "Критичность" и введите нужное значение уровня.3. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Определение общекорпоративных ресурсовОбщекорпоративным ресурсом считается ресурс, доступ к которому имеютсотрудники более чем одного подразделения. Для определенияобщекорпоративных ресурсов используется мастер. Мастер анализирует доступ,предоставляемый к каждому ресурсу, и на основе анализа присваивает емуинформативный признак: общекорпоративный или обычный ресурс. К обычнымотносятся ресурсы, доступ к которым имеет только одно подразделение.Кроме определения общекорпоративных ресурсов в мастере предусмотренавозможность изменить владельца ресурса.

Для определения общекорпоративных ресурсов:

1. В меню "Инструменты | Мастера" активируйте команду "Мастер поискаобщекорпоративных ресурсов".Появится стартовое окно мастера.



2. Задайте минимальный уровень подразделения. Возможные значения:• юридическое лицо;• подразделение;• отдел.Подразделения, имеющие доступ к ресурсу, определяются на основаниизаданного минимального уровня подразделения. При выборе уровня"юридическое лицо" все сотрудники считаются работающими в ближайшемпо иерархии юридическом лице. При выборе уровня "подразделение"сотрудники отделов считаются работающими в ближайшем по иерархииподразделении.

3. Для того, чтобы владельцем общекорпоративных ресурсов назначить службуавтоматизации, поставьте отметку в поле "Изменение владельца…" и затемукажите типы ресурсов, для которых это должно быть выполнено.

4. Нажмите кнопку "Далее >".Начнется определение общекорпоративных ресурсов и затем появится окно срезультатами работы мастера в виде списков:• общекорпоративных ресурсов;• ресурсов, доступ к которым имеет только одно подразделение;• ресурсов, для которых нельзя определить владельца;• ресурсов с установленным подразделением-владельцем.

5. Для завершения работы мастера нажмите кнопку "Готово". Сохранитевнесенные изменения в базе данных (см. стр. стр.17).

Выбор режима контроля ресурсовПо умолчанию агент Windows/AD контролирует доступ только к сетевым ресур-сам (папкам, к которым предоставлен общий доступ по сети). Чтобы контро-лировать доступ к папкам и файлам, входящим в состав сетевого ресурса, нужнозадать режим контроля в свойствах этого ресурса.



После изменения режима контроля ресурсов агент приступит к регистрации но-вых ресурсов. По окончании регистрации выполните процедуру легализации но-вых ресурсов.

Для выбора режима контроля:

1. Перейдите к списку агентов и ресурсов и выберите в списке нужную запись.На панели свойств отобразятся характеристики выбранного ресурса.

2. Перейдите к панели свойств и выберите поле "Режим контроля", а затем враскрывающемся списке выберите нужное значение:

Неконтролировать

Не контролировать содержимое данной папки

Деревоподкаталогов

Контролировать всю иерархию подкаталогов данной папки

Подкаталоги Контролировать подкаталоги первого уровня данной папки

Подкаталогии файлы

Контролировать файлы и подкаталоги первого уровня даннойпапки

Полностью Контролировать всю иерархию подкаталогов и содержащихсяв них файлов

Файлы Контролировать файлы, содержащиеся в данной папке

3. Сохраните внесенные изменения в базе данных (см. стр. стр.17).В процессе регистрации новых ресурсов параметры "Содержание каталога" и"Содержание подкаталогов" в списке свойств имеют значение"неактуально". После завершения регистрации эти параметры приобретаютзначение "актуально".

Легализация ресурсовЕсли агент был установлен после выполнения синхронизации системы, топоявляются новые ресурсы, не связанные с ролями. Кроме того, в системе могутпоявиться ресурсы, у которых права для групп и ролей не совпадают. Процедуралегализации предназначена для решения следующих задач:• привязка новых ресурсов к ролям;• синхронизация прав для групп и ролей.

Для легализации ресурсов:

1. Перейдите к списку агентов и ресурсов.2. Вызовите меню "Правка" и активируйте команду "Легализация ресурсов…".

На экране появится стартовый диалог мастера легализации.



3. В поле "Платформа" вызовите на экран список и отметьте в нем нужное наз-вание платформы.В поле "Агенты" отобразится перечень установленных агентов этой плат-формы.

4. Отметьте в списке "Агенты":• для легализации прав доступа учетных групп на ресурсы отметьте

агента, которому принадлежат ресурсы,• для легализации учетных записей выберите агента, которому принад-

лежат учетные записи.• если делается легализация и прав доступа, и учетных записей, то выбе-

рите обоих агентов. 5. Заполните следующие поля диалога:


Укажите количество ресурсов, которое должно легализоваться впроцессе работы мастера.

Легализацияресурсов

Установите отметку, если необходимо легализовать ресурсы,доступ к которым не указан в роли, привязанной к группе учетнойзаписи.

Легализацияправ наресурсы

Установите отметку, если необходимо легализовать ресурсы,доступ к которым у роли и у привязанной к ней группе учетныхзаписей различается.Для продолжения работы мастера необходимо установить отметкув этом либо в предыдущем поле. Если установить отметку в обоихполях, то для легализации будут отобраны ресурсы, доступ длякоторых у ролей и групп различается.

Легализацияучетныхзаписей

Установите отметку, если необходимо создавать временнуюиндивидуальную роль для каждой учетной записис индивидуальным доступом.

6. Нажмите кнопку "Далее >".На экране появится следующий диалог мастера, в котором представленыресурсы, отвечающие указанным критериям.



Примечание. Если была установлена отметка возле параметра "Легализация учетных запи-сей", то в этом диалоге мастера будет представлена дополнительная вкладка "Индивидуальныйдоступ" для выбора учетных записей для легализации.

Отметки установлены возле указанного количества ресурсов. При необхо-димости установите или удалите отметки возле тех ресурсов, для которыхнеобходимо выполнить привязку к ресурсам или синхронизацию прав. Дляпросмотра прав доступа выбранного ресурса используйте кнопку "Права дос-тупа".

7. Если необходимо создавать временные индивидуальные роли, перейдите навкладку "Индивидуальный доступ" и отметьте учетные записи, для которыхдолжна быть выполнена легализация.

8. Нажмите кнопку "Далее >".Будет производиться процедура легализации ресурсов. Выполнениепроцесса будет отображаться на экране в виде индикатора прогресса. Длявсех выбранных ресурсов и связанных с ними групп учетных записей иролей будут скопированы права на ресурс из группы учетных записей всоответствующую роль. Кроме того, если в п. 4 была установленасоответствующая отметка, производится легализация учетных записей. Приэтом создаются временные индивидуальные роли, которые связываются сучетной записью и сотрудником.Результат работы мастера будет отображен в заключительном диалоге.

9. Для подтверждения нажмите кнопку "Готово". Сохраните внесенныеизменения в базе данных (см. стр. стр.17).

Установка категории ресурсаОтдельному ресурсу можно назначить категорию (категории).1. Перейдите к списку агентов и ресурсов и в контекстном меню нужного

ресурса активируйте команду "Установить категорию ресурса…".На экране появится диалог "Поиск объекта" (см. стр. стр.21).

2. Выберите категории, которые следует назначить ресурсу, и нажмите кнопку"ОК".Выбранный ресурс будет причислен к указанным категориям. Для ихпросмотра перейдите к вкладке "Категории ресурса" во вспомогательномокне.



Глава 8Управление объектами информационнойсистемыУчетные записи

Учетная запись — объект системы КУБ, который описывает учетную запись,поддерживаемую некоторым сервисом ИС.

Список учетных записейДля перехода к списку учетных записей:

• В области переходов выберите категорию "Объекты АС" и нажмите кнопку"Учетные записи".В главном окне отобразится перечень учетных записей, зарегистрированныхв системе КУБ.

Синхронизация с сотрудникамиСинхронизация учетных записей с сотрудниками и ее настройка в свойствахагентаWindows описана на стр. стр.98.Для тонкой настройки синхронизации имен и свойств используются 2 параметраучетной записи/группы учетных записей: "Имена пользователей/Имена групп"и "Синхронизация свойств". Каждый из этих двух параметров может принимать3 значения, описанные в настройках агентаWindows, и имеющие более высокийприоритет (см. стр. стр.98).

Для настройки синхронизации имен:

1. Перейдите к списку учетных записей (групп учетных записей) и выберите всписке нужную учетную запись (группу).На панели свойств отобразятся характеристики выбранного объекта.

2. Перейдите к панели свойств и выберите поле "Имена пользователей" или"Имена групп", а затем в раскрывающемся списке выберите значение пара-метра.


Для настройки синхронизации свойств:

1. Перейдите к списку учетных записей (групп учетных записей) и выберите всписке нужную учетную запись (группу).На панели свойств отобразятся характеристики выбранного объекта.

2. Перейдите к панели свойств и выберите в группе "Настройки управления"поле "Синхронизация свойств", а затем в раскрывающемся списке выберитезначение параметра.


Определение системных учетных записейУчетной записи в системе КУБ можно присвоить статус "системная".

Примечание. Агент не требует удаления или переименования системных учетных записей в техслучаях, когда для обычных учетных записей это должно бытьпроизведено.

Для определения системной учетной записи:

1. Перейдите к списку учетных записей и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Системная".



Пиктограмма данной учетной записи изменит вид, а в меню слева от команды"системная" появится отметка.


Определение области доступа учетной записиДля каждой учетной записи по умолчанию определена бесцветная область дос-тупа. При необходимости можно изменить цвет области доступа. Это можновыполнить как для отдельной учетной записи, так и для нескольких учетныхзаписей одновременно.

Примечание. Изменение области доступа для учетных записей выполняется (при необходимости)на этапе настройки системы, если должен бытьсоблюден принцип разграничения доступак ресурсам.

Для изменения цвета области доступа у отдельной учетной записи:

1. Перейдите к списку учетных записей и выберите в списке нужную запись.2. В панели свойств в строке с параметром "Область доступа" в

раскрывающемся списке выберите нужный цвет области доступа.3. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Для изменения цвета области доступа у нескольких учетных записей:

1. Перейдите к списку учетных записей. С помощью фильтра определитенужную выборку (см. стр. стр.20) и выделите те учетные записи, у которыхнеобходимо изменить цвет области доступа.

2. В панели свойств в строке с параметром "Область доступа" враскрывающемся списке выберите нужный цвет области доступа.Для каждой из выделенных записей на экране будет появлятьсяинформационное сообщение об изменении цвета области доступа.

3. В окне сообщения нажмите кнопку:• "Да" — для изменения цвета области доступа и перехода к следующей за-

писи;• "Нет" — для перехода к следующей записи без изменения цвета области

доступа;• "Отменить" — для завершения процедуры.


Импорт учетных записей и предоставление доступа в КУБМастер импорта учетных записей и предоставления доступа вКУБИмпорт учетных записей домена, в котором установлен сервер КУБ, выполняют впрограмме управления сервером КУБ.

Для импорта учетных записей:

1) В области переходов выберите категорию «Объекты АС» и нажмите раздел«Агенты и ресурсы». В главном окне отобразится перечень агентов, зарегистри-рованных в системе РСУД.2) Перейдите к списку агентов и выберите агент Cube.3)Вызовите меню «Правка» и активируйте команду «Импортировать учетные за-писи в КУБ» (данную команду можно активировать из контекстного меню окна).На экране появится стартовое окно мастера импорта учетных записей ипредоставления доступа в КУБ.4) Укажите домен, из которого будет производится импорт, полное иличастичное наименование нужной учетной записи (если не поле остается пустым,выбраны будут все учетные записи домена). Нажмите <Искать>.



5) В открывшемся списке выберите одну или несколько учетных записей (уста-новите отметку) для предоставления доступа в КУБ и снимите отметку с учетныхзаписей лишаемых доступа в КУБ. Нажмите кнопку <Далее >.

Примечание. Кнопка <Далее > активна, если выбрана хотя бы одна учетная запись.

6) Проверьте правильность импортированных данных и нажмите <Finish>.7) Сохраните изменения в базе данных КУБ.

Лишение доступа в КУБ

Для лишения доступа в КУБ одного или нескольких сотрудников:

1) В области переходов выберите категорию «Орг. структура» и нажмите раздел«Сотрудники». В главном окне отобразится список сотрудников, зарегистри-рованных в системе РСУД.2) Перейдите к списку и выделите сотрудников, которые будут лишены доступав КУБ.3) Вызовите меню «Правка» и активируйте команду «Лишить доступа в КУБ»(данную команду можно активировать из контекстного меню окна). На экранепоявится стартовое окно мастера импорта учетных записей и предоставлениядоступа в КУБ.

Примечание. Нельзя лишитьдоступа сотрудника под которымпроизведен доступ в Программу управ-ления серверомКУБ.

4) В открывшемся окне проверьте список сотрудников, которые будут лишеныдоступа в КУБ. Нажмите <Да> для продолжения работы мастера или <Нет> - дляотмены лишения доступа.

5) Сохраните изменения в базе данных КУБ.

Настройка авторизации в КУБ пользователей по учетнымзаписям агентов, не являющихся агентами Windows/ADДанная настройка позволяет пользователям авторизоваться для работы с систе-мой КУБ.



Для настройки авторизации пользователей по учетным записямдомена Oracle IM (контролирующего домена):

1) Откройте файл C\Program Files\Infosec\Cube\Server\CubeServer.config впрограмме «Блокнот».2) Для поддержки авторизации в КУБ для каждого агента, из которых долженпроизводиться поиск учетных записей, добавьте в файл следующие строки:

a.<ClientService.Authentication.AgentsCount dt:dt="int"> количествоагентов </ClientService.Authentication.AgentsCount> – введите количествоагентов, используемых для авторизации.

Примечание. Данная строка должна бытьодна для всех агентов.

b. Для каждого агента добавьте следующие опциональные настройки:i.<ClientService.Authentication.Agent.1 dt:dt="string"> системное имяагента </ClientService.Authentication.Agent.1>– введите системное имяагента. Для заполнения системного имени агента необходимо открытьПрограмму управления сервером раздел «Агенты и ресурсы», выбратьнужный агент, в свойствах агента скопировать системное имя, вставитьскопированную информацию в данную строку;ii.<ClientService.Authentication.Agent.1.Domain dt:dt="string"> имядомена </ClientService.Authentication.Agent.1.Domain> – введите имядомена, на котором установлена платформа агента;iii. <ClientService.Authentication.Agent.1.Field dt:dt="string"> названиеполя</ClientService.Authentication.Agent.1.Field> – введите названиеполя, по которому будет производиться аутентификация пользователя(где искать SID или Logon). В случае, когда аутентификация должнапроизводиться по невыраженным свойствам поля, необходимо ввести наз-вание поля с префиксом Property (Property.название поля);iv.<ClientService.Authentication.Agent.1.Method dt:dt="string"> методаутентификации </ClientService.Authentication.Agent.1.Method> – ука-жите метод аутентификации:• SID – идентификационному номеру пользователя,• DomainLogon – по доменному Logon name пользователя,• Logon – по Logon name пользователя.

3) Сохраните и закройте файл.4) Откройте программу управления сервером КУБ и запустите мастерсинхронизации системы (см. раздел «Синхронизация системы»).5) Выберите агентов, выше указанных в файле CubeServer.config, установитенастройку «Автоматическое связывание учетных записей» (должна быть вклю-чена только данная настройка) и нажмите <Далее>.6) Свяжите учетные записи с сотрудниками (см. раздел «Синхронизация сис-темы») и нажмите <Далее>.7) Запустите синхронизацию, нажав <Finish>.

Группы учетных записейГруппаучетных записей — объект системыКУБ, который описывает группу учет-ных записей.

Список групп учетных записейДля перехода к списку групп:

• В области переходов выберите категорию "Объекты АС" и нажмите кнопку"Группы учетных записей".В главном окне отобразится перечень групп учетных записей, зарегистри-рованных в системе КУБ.



Определение системных группГруппе учетных записей в системе КУБ можно присвоить статус "системная".Этот статус рекомендуется назначать всем группам, необходимым для функ-ционирования тех систем, контроль которых в системе КУБ не проводится.

Примечание.Агент не требует удаления или переименования системных групп в тех случаях, когдадля обычных групп это должно бытьпроизведено.

Для определения системных групп:

1. Перейдите к списку групп учетных записей и выберите в списке нужнуюзапись.

2. Вызовите меню "Правка" и активируйте команду "Системная".Пиктограмма данной группы изменит вид, а в меню слева от команды"Системная" появится отметка.


Признак предоставления внешнего доступаВнимание! Не рекомендуется использовать атрибут "Внешний доступ". Для предоставления дос-тупа к ресурсам, не контролируемым системой КУБ, используйте агент ППО с платформой"Внешнияя система" ("КУБ Принципы построения" раздел "Агент ППО" стр. 1).

Для групп учетных записей определяется признак предоставления доступа кресурсам, не контролируемым системой КУБ (внешнего доступа). По умолчаниювсе группы учетных записей не предоставляют внешний доступ.

Примечание. Признак предоставления внешнего доступа используется при работе мастеранормализации и, кроме того, его определяют (при необходимости) на этапе настройки системы длятого, чтобы в дальнейшем правильно обрабатывались ответственности типа "Контроль доступак ресурсам агентов".

Для изменения признака предоставления внешнего доступа:

1. Перейдите к списку групп учетных записей и выберите в списке нужнуюзапись.

2. В панели свойств в строке с параметром "Внешний доступ" враскрывающемся списке выберите значение параметра:• "Да" — чтобы указать наличие внешнего доступа;• "Нет" — чтобы указать отсутствие внешнего доступа (по умолчанию).


СертификатыСертификат — объект системы КУБ, который описывает сертификат стандартаX.509.

Список сертификатовДля перехода к списку сертификатов:

• В области переходов выберите категорию "Объекты АС" и нажмите кнопку"Сертификаты".В главном окне отобразится перечень сертификатов, зарегистрированных всистеме КУБ.

Импорт сертификатаДанная процедура предназначена для ручного импорта сертификата.Используется для изолированных центров сертификации, на которые нельзяустановить выносной модуль агента PKI.



Примечание.Файлы формата *.cer применяются для хранения одиночных сертификатов. Файлы срасширением *.p7b позволяют упаковывать цепочки подтверждающих друг друга сертификатов. Вэтом случае будет осуществлен импорт всей цепочки сертификатов.

Для импорта сертификата:

1. Перейдите к списку сертификатов.2. Вызовите меню "Правка" и активируйте команду "Импорт сертификата…".

На экране появится окно настройки импорта сертификата.3. Заполните поля диалога:

Укажите имяфайла…

Введите имя файла с импортируемым сертификатом. Длявыбора файла в стандартном окне Windows используйте кнопку"…"

Типимпортируемогосертификата

Отметьте нужный тип сертификата

4. Нажмите кнопку "Готово".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Отзыв сертификатаДанная процедура предназначена для ручного импорта списка отзывасертификата. Используется для изолированных центров сертификации, на кото-рые нельзя установить выносной модуль агента PKI.

Для импорта списка отзыва сертификата:

1. Перейдите к списку сертификатов.2. Вызовите меню "Правка" и активируйте команду "Отзыв сертификатов…".

На экране появится одноименный диалог.3. Укажите имя файла со списком отзыва сертификатов и нажмите кнопку

"Готово".

Совет.Для выбора файла в стандартном окнеWindows используйте кнопку "…".


Организационные единицыОрганизационная единица — объект системы КУБ. Предназначен для описанияспецифических объектов разных платформ, требующих привязки корганизационно-штатной (подразделения) и/или проектной (рабочие группы)структуре предприятия. Примерами организационных единиц являютсяСертификационный центр (CA — Certification Authority) и Организационнаяединица (OU — Organization Unit) в Active Directory.

Список организационных единицДля перехода к списку организационных единиц:

• В области переходов выберите категорию "Объекты АС" и нажмите кнопку"Организационные единицы".В главном окне отобразится перечень организационных единиц, зарегистри-рованных в системе КУБ.

Настройка свойств организационных единицДанная процедура предназначена для настройки свойств организационныхединиц типа "Подразделение Active Directory". Имеется возможность настройкиследующих параметров:• создание подкаталога;• создание пользователя.



Параметр "Создание подкаталога" определяет возможность создания в ActiveDirectory новой OU при создании подчиненного подразделения. Параметр можетпринимать следующие значения:

Разрешено Если подразделение связано с организационной единицей, для которойразрешено создание подкаталогов, то при создании подчиненногоподразделения будет сформирована инструкция на создание OU в ActiveDirectory, которая подчинена OU, связанной с организационной единицей

Запрещено Если подразделение связано с организационной единицей, для которойзапрещено создание подкаталогов, то при создании подчиненногоподразделения инструкция на создание OU в Active Directoryформироваться не будет

Параметр "Создание пользователя" определяет условие создания учетной за-писи для нового сотрудника. Параметр может принимать следующие значения:

Приполучениидоступа

Учетная запись будет создана при назначении сотруднику роли (черездолжность или напрямую), у которой определен доступ к ресурсу,относящемуся к агенту данной организационной единицы

Припостановкенадолжность

Учетная запись будет создана при назначении сотрудника на должность вподразделении, относящемся к данной организационной единице

Для настройки организационной единицы:

1. Перейдите к списку организационных единиц и выберите в списке нужнуюзапись.На панели свойств отобразятся характеристики выбранной организационнойединицы.

2. Перейдите к панели свойств и внесите необходимые изменения.

Созданиеподкаталога

Выберите в раскрывающемся списке разрешение илизапрещение создания подкаталогов

Созданиепользователя

Выберите в раскрывающемся списке условие создания учетнойзаписи для нового сотрудника




Глава 9Управление заявками и инструкциямиУправление заявками

Изменения в информационной системе и в модели системы КУБ производятся,как правило, на основе заявок. Заявки могут быть созданы в СУЗ и в программеуправления. При этом СУЗ является инструментом, доступным большинствупользователей, и заявки, созданные при помощи СУЗ, строго проходят все этапысвоего существования. В отличие от СУЗ программа управления являетсяинструментом администратора со специальными правами. Использование прог-раммы управления предоставляет дополнительные возможности для внесенияизменений в информационную систему, например:• большинство заявок, созданных в программе управления, согласовываются

автоматически;• имеется возможность назначить дату пересмотра требований заявки;• предусмотрено изменение исполнителя инструкций вместо отсутствующего

сотрудника;• имеется возможность инициировать откат исполненной заявки (т. е. уста-

новить модель КУБ в состояние, предшествующее исполнению заявки).Программа управления предоставляет возможность выполнения следующихопераций над заявками и инструкциями:• формирование и просмотр выборки заявок и их параметров, а также просмотр

свойств инструкций, сформированных на основе заявок;• установление даты пересмотра заявок;• просмотр информации о возникших ошибках обработки заявок;• просмотр сведений об ЭП, использованной в заявке, и ее перепроверка;• повторное создание заявки;• формирование и просмотр выборки инструкций и их параметров, а также

свойств заявок, на основании которых разработаны инструкции;• назначение и удаление исполнителей инструкций;• делегирование прав на актуализацию заявок;• делегирование прав на регистрацию исполнения инструкций;• внесение комментария к инструкции и его просмотр;• прикрепление к заявке на этапе ее создания произвольных файлов с

возможностью последующего их извлечения и сохранения.

Список заявокДля перехода к списку заявок:

• В области переходов выберите категорию "Документы" и нажмите кнопку"Журнал заявок".В главном окне отобразится список заявок, сформированный в соответствии сустановленными настройками фильтра.

Примечание. При запуске программы управления в соответствии с настройками, принятыми поумолчанию, формируется список всех заявок за текущий день.



Формирование выборки заявокДля формирования выборки заявок:

1. В списке заявок вызовите контекстное меню и активируйте одну из следу-ющих команд:• "Фильтр…" для отображения выбранных записей на той же вкладке;• "Новая выборка…" для отображения выбранных записей на новой

вкладке.На экране появится диалог "Фильтр по заявкам" для формирования условий выборки.

2. Для формирования условий выборки на вкладке "Общие" установите отметкивыбора слева от наименования тех параметров заявки, значение которыхбудет учитываться, и внесите необходимые условия в соответствующие поля.

Номеразаявок

Укажите номера заявок, которые будут включены в выборку.

Номераинструкций

Укажите номера инструкций, которые были созданы на основе заявок,включаемых в выборку.

Тип Внесите наименование типа заявок, которые будут включены ввыборку:• наименование мастера заявок (для заявок, сформированных вСУЗ);

• "Конфигурирование системы" (для заявок, сформированных вПрограмме управления сервером КУБ);

• "Синхронизация ОШС" (для заявок, сформированных в Программеуправления сервером КУБ).

Текст Введите часть текста или текст целиком.

Статус В раскрывающемся списке установите отметку слева от наименованиястатуса заявок, который необходимо учитывать при формированиивыборки.

Дляустановки параметров, предусмотренных программой, используйте кноп-ку "По умолчанию".

3. Перейдите к вкладке "Период" для определения условий отбора повременным параметрам.



4. Для формирования условий выборки на вкладке "Период" установите отмет-ки выбора слева от наименования тех параметров заявки, значение которыхбудет учитываться, и внесите необходимые условия в соответствующие поля.

Датасоздания

Укажите период времени создания заявок, который необходимоучитывать при формировании выборки (по умолчанию указываютсязаявки, созданные за текущие сутки).

Контрольноевремя

Укажите период контрольного времени исполнения заявок, которыйнеобходимо учитывать при формировании выборки.

Датапересмотра

Укажите период времени, на который был назначен пересмотртребований заявок.

Выводитьзаявкиза текущийдень

Установите отметку для отображения заявок, созданных в течениетекущего дня.

5. Для каждой следующей вкладки при необходимости сформируйте списокзаписей из связанных таблиц, по которым будет производиться фильтрация(см. стр. стр.20).

6. Для завершения формирования условий выборки и вывода на экран списказаявок нажмите кнопку "OK" диалога "Фильтр по заявкам".

Установка даты пересмотра заявокДанная процедура предназначена для определения срока поступления уведом-ления о пересмотре требований заявки.

Для установки даты пересмотра заявки:

1. Выберите в "Журнале заявок" нужную запись.2. В меню "Правка" активируйте команду "Изменить дату пересмотра…". На эк-

ране появится диалог "Дата пересмотра заявки".3. Установите отметку в поле "Требуется пересмотр требований заявки" и ука-

жите нужную дату и время.4. Нажмите кнопку "OK".5. Сохраните внесенные изменения в базе данных (см. стр. стр.17).

Просмотр и сохранение приложенных файловПриложенные к заявкамфайлы отображаются во вспомогательном окне.

Для просмотра приложенных файлов:

1. Выберите в "Журнале заявок" нужную запись и перейдите вовспомогательном окне на вкладку "Список файлов".Во вспомогательном окне будет отображен список приложенных файлов суказанием их наименования и размера.

2. Для просмотра или сохранения файла выберите его в списке и используйтеконтекстное меню.Открытие и сохранение файла осуществляются стандартными средствамиОС.

Создание заявки в свободной формеДля формирования заявки в свободной форме в программе управленияпредусмотрен специальный мастер. С его помощью можно одновременносформировать несколько заявок в свободной форме. При этом для каждой заявкиуказывается категория ответственности, на основании которой производитсяобработка заявки.



Примечание. Категории ответственностей для обработки заявок в свободной форме формируютсяпользователем в группе объектов "Ответственности". При этом указывается тип ответственности"Заявки в свободной форме".

Актуализирующим для каждой заявки в свободной форме назначаетсядолжностное лицо, которое указывается в категории ответственности.Для заявок в свободной форме предусмотрено формирование принудительногосписка согласующих лиц.

Для создания заявки в свободной форме:

1. 1.Вызовите в меню "Инструменты" подменю "Мастера" и активируйтекоманду "Заявка в свободной форме…".На экране появится стартовое окно мастера создания заявки.

2. В раскрывающемся списке выберите "Тип запроса" и нажмите кнопку"Добавить".На экране появится поле для ввода текста заявки.

3. Введите текст заявки.4. При необходимости формирования нескольких заявок повторите пп. 2–3.5. Нажмите кнопку "Далее > для перехода к следующему окну мастера.6. На вкладке "Общие" в раскрывающихся полях соответствующих групп ука-

жите временные параметры заявки.

Отложитьисполнениезаявки

При необходимости установите отметку и укажите дату и времяначала исполнения заявки. Сформированной заявке будет присвоенстатус "отсрочена" до указанного срока. При отсутствии отметки вполе заявка будет принята к исполнению немедленно послеформирования.

Контрольноевремяисполнениязаявки

Введите с клавиатуры или укажите дату и время контроляисполнения заявки; время не может быть меньше значения,установленного по умолчанию в параметрах настройки сервера КУБ;автоматически учитываются выходные и праздничные дни.

Пересмотртребованийзаявки

Установите отметку в поле выбора, если требования заявки после ееисполнения необходимо пересмотреть через какое-то время, иукажите дату и время пересмотра заявки.



При необходимости подпишите заявку. Для этого в раскрывающемся спискеполя "Сертификат", расположенном в центральной части окна, выберитесертификат для формирования ЭП.

Условия отображения сертификатов в списке:• адрес электронной почты сотрудника должен совпадать с адресом электронной почты в

соответствующемполе сертификата;• сертификат должен бытьдействительным;• назначение сертификата должно соответствовать назначению сертификатов, указанных

при установке сервера КУБ;• издателем сертификата должен быть центр сертификации (ЦС), входящий в список

доверенныхЦС, указанных при установке сервера КУБ.

7. В поле "Описание заявки" при необходимости добавьте комментарий впроизвольной форме.

После сохранения заявки изменение описания невозможно.

8. При необходимости согласования заявки с другими сотрудниками перейдитек вкладке "Список согласующих".

9. Нажмите кнопку "Добавить". В открывшемся диалоге "Поиск объектов" наж-мите кнопку "Искать" и установите отметку слева от фамилий сотрудников, скем данная заявка должна быть согласована. Нажмите кнопку "OK" длязакрытия диалога.

Совет.Для ускорения процесса поиска необходимого сотрудника можно использоватьфильтр.В поле "Фильтр" введите полностью или частично фамилию или имя необходимого сотрудника инажмите кнопку "Искать".

10.Если необходимо прикрепить файл (или файлы) к заявке, перейдите навкладку "Приложенные файлы" и с помощью кнопки "Добавить" добавьте всписок нужные файлы.Для удаления файлов из списка используйте кнопки "Удалить" и "Удалитьвсе".

11.Нажмите кнопку "< Назад" для корректировки ранее установленных пара-метров или кнопку "Готово" для регистрации заявки в системе КУБ.

12.Для отображения зарегистрированной заявки в "Журнале заявок" нажмитекнопку "Обновить".

Поддержка форм для заявок в свободной формеПоддержка форм - это возможность настроить шаблон отвественностей с типом"Заявки в свободной форме" (ЗСФ), позволяющий задавать поля, необходимыедля заполнения в заявке, тип этих полей, обязательность их заполнения.

Просмотр информации об ошибкеПрограмма управления позволяет просмотреть информацию об ошибке,возникшей во время обработки заявки.

Для просмотра системной информации:

1. Выберите в "Журнале заявок" заявку, имеющую статус "ошибка".

Примечание.Статус заявки указан в поле "Статус" в панели свойств (см. рис. на стр. стр.121).

2. В меню "Правка" активируйте команду "Информация об ошибке…".На экране появится диалог с информацией о зафиксированной ошибке.

3. Для выхода из диалога нажмите кнопку "Cancel".



Просмотр сведений об ЭППодписанные заявки содержат в столбце "ЭП" соответствующую пиктограмму. Унеподписанных заявок этот столбец пустой.

Для просмотра сведений об ЭП:

1. Выберите в "Журнале заявок" заявку, подписанную ЭП.2. В меню "Правка" активируйте команду "Сведения о подписи…". На экране

появится диалог, содержащий сведения об ЭП, использованной в заявке.3. Для просмотра сведений о сертификате, подтверждающем подлинность

подписи, нажмите кнопку "Сертификат". Для повторной проверкидостоверности использованной ЭП нажмите кнопку "Перепроверитьподпись".

Повторное создание заявкиПовторное создание заявки может быть выполнено только для заявок, имеющиходин из следующих статусов:• "просрочено согласование";• "ошибка", если ошибка произошла до согласования заявки.

Примечание.Статус заявки указан в поле "Статус" в панели свойств (см. рис. на стр. стр.121).

Для повторного создания заявки:

1. Выберите в "Журнале заявок" заявку с соответствующим статусом.2. В меню "Правка" активируйте команду "Создать повторно…". На экране поя-

вится диалог "Сохранение заявки", содержащий параметры и текст заявки.3. При необходимости внесите изменения в поля диалога и нажмите кнопку

"ОК".Наэкране появится диалог,оповещающий о том,что заявка выполняется сер-вером.

4. После завершения выполнения сервером будет создана новая заявка спараметрами, указанными в предыдущем диалоге. Заявка появится в"Журнале заявок".

Примечание. Если повторно создавалась заявка, имеющая статус "просроченноесогласование", то новая заявка будет согласована автоматически.

Согласование и отклонение заявокС помощью программы управления выполняются операции согласования иотклонения заявки от имени назначенного исполнителя. На стадиисогласования предусмотрено изменение значения параметра "Контрольноевремя исполнения…", установленного при создании заявки.

Для согласования (отклонения) заявки:

1. Выберите в "Журнале заявок" нужную заявку.2. При необходимости изменитезначение параметра"Контрольное время испол-

нения заявки". Для этого отредактируйте содержимое поля "Срок выпол-нения" в журнале или на панели свойств. Изменение значения выполняетсявручную или с помощью вызываемого календаря.

Примечание. Значение параметра "Контрольное время исполнения заявки" может бытьменьшеуказанного в настройках сервера.

3. Во вспомогательном окне перейдите к вкладке "Фазы". В контекстном менюнужного элемента активируйте команду "Согласовать" ("Отклонить").

Примечание. Элементы фаз, которые входят в одну ответственность, в случае если уответственности значением параметра "Согласовать за всех" является "Да", выделяютсясерымцветом.



На экране появится сообщение о том, что операция будет необратима.4. Нажмите кнопку "ОК". На экране появится диалог для выбора ЭП.5. При необходимости электронной подписи выберите в раскрывающемся

списке ЭП назначенного исполнителя и нажмите кнопку "ОК".6. Будет выполнено согласование (отклонение) заявки от имени назначенного

исполнителя.

Примечание.Для согласования (отклонения) всех элементов фаз, выделенных серымцветом,достаточно согласования (отклонения)одного из таких элементов.

Делегирование согласования заявокС помощью программы управления выполняется делегирование согласованиязаявки от имени назначенного исполнителя.

Для делегирования согласования заявки:

1. Выберите в "Журнале заявок" нужную заявку.2. Во вспомогательном окне перейдите к вкладке "Фазы". В контекстном меню

нужного элемента активируйте команду "Делегировать".На экране появится одноименный диалог.

3. Заполните поля диалога:

Сотрудник Укажите сотрудника, которому делегируется согласование заявки.Для этого вызовите диалог "Поиск объектов" и выберите нужногосотрудника (см. стр. стр.21)

Комментарий При необходимости введите комментарий

4. Нажмите кнопку "ОК".Будет выполнено делегирование заявки от имени назначенногоисполнителя. В столбце "Назначенный исполнитель" появится имясотрудника, которому было делегировано согласование заявки.

Управление инструкциями

Список инструкцийДля перехода к списку инструкций:

• В области переходов выберите категорию "Документы" и нажмите кнопку"Инструкции".В главном окне на вкладке "Иерархия инструкций" отобразится списокинструкций, сформированный в соответствии с установленными настрой-ками фильтра.

Примечание. При запуске программы управления в соответствии с настройками, принятымипо умолчанию, формируется список инструкций, имеющих статус "создана" и "исполняется".

Формирование выборки инструкцийДля формирования выборки инструкций:

1. В списке инструкций вызовите контекстное меню и активируйте одну изследующих команд:• "Фильтр…" для отображения выбранных записей на той же вкладке;• "Новая выборка…" для отображения выбранных записей на новой

вкладке.На экране появится диалог "Фильтр по инструкциям" для формированияусловий выборки.



2. Для формирования условий выборки на вкладке "Общие" установите отметкислева от наименования тех параметров, которые необходимо учитывать, ивнесите необходимые условия в соответствующие поля:

Номераинструкций

Введите номера инструкций, которые будут включены в выборку.

Номеразаявок

Введите номера заявок, на основании которых созданы инструкции.

Статус В раскрывающемся списке установите отметку слева от наименованиятребуемого статуса инструкций, который должен учитываться приформировании выборки.

Ошибка В раскрывающемся списке установите отметку слева от наименованияошибки, возникшей при исполнении инструкции, если необходимоучитывать этот параметр при формировании выборки.

Параметры Информация о параметрах заявки.

Тип заявки Тип заявки.

Название Установите отметку и введите название инструкции или его часть.

Строитьдеревоинструкций

Укажите необходимый режим (вверх/вниз).


3. Перейдите к вкладке "Период". Установите отметки слева от наименованиятех параметров, которые необходимо учитывать, и внесите необходимыеусловия в соответствующие поля:

Датасоздания

Укажите период времени создания инструкций, который необходимоучитывать при формировании выборки.

Датаисполнения

Укажите период времени исполнения инструкций, которыйнеобходимо учитывать при формировании выборки.




5. Для завершения формирования условий выборки и вывода на экран спискаинструкций нажмите кнопку "OK" диалога "Фильтр по инструкциям".

Назначение исполнителя инструкцийВыполнение данной процедуры возможно только для инструкций, имеющихстатус "создана".

Для назначения исполнителя:

1. Перейдите к списку инструкций и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Назначить исполнителя…".

На экране появится диалог "Поиск объектов".3. Выберите с помощью процедуры "Поиск объекта" (см. стр. стр. 21 )

сотрудника, которому делегируется данная функция, и нажмите кнопку"OK".

4. Для отображения внесенных изменений в свойствах инструкции нажмитекнопку "Обновить".

Снятие исполнителя инструкцийВыполнение данной процедуры возможно только для инструкций, имеющихстатус "создана".

Для снятия исполнителя инструкции:

1. Перейдите к списку инструкций и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Снять исполнителя".3. Для отображения внесенных изменений в свойствах инструкции нажмите

кнопку "Обновить".

Добавление и просмотр комментариев к инструкцииВыполнение данной процедуры возможно только для инструкций, имеющихстатус "создана".

Для просмотра и добавления комментариев к инструкции:

1. Перейдите к списку инструкций и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Комментарии…". На экране

появится диалог для просмотра и ввода комментариев.



В верхней части диалога отображаются внесенные ранее комментарии.Новые комментарии вносят в поле, расположенное в нижней части диалога.

3. Введите необходимый комментарий и нажмите кнопку "Добавить".Введенный комментарий отобразится в верхней части диалога.

4. Для закрытия окна нажмите кнопку "Закрыть".

Делегирование актуализации и исполнения инструкцийВыполнение данной процедуры возможно только для инструкций, имеющихстатус "создана".

Для делегирования актуализации инструкций:

1. Перейдите к списку инструкций и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте одну из следующих команд:

• "Делегировать актуализацию…" — для делегирования функцииактуализации инструкций;

• "Делегировать исполнение…" — для делегирования функции испол-нения инструкций.

На экране появится диалог для выбора сотрудника, которому делегируетсяданная функция.

3. Выполните п. 3 процедуры делегирования на стр. стр.127.

Просмотр дополнительной информации к инструкциям длянастройки МСЭИнструкция для настройки МСЭ содержит сведения, необходимые для созданияправил фильтрации на определенном межсетевом экране. Для оперативногопросмотра этих сведений используют диалог "Информация о пропускнойспособности".

Для вызова диалога:

1. Перейдите к списку инструкций и выберите в списке нужную запись.2. В контекстном меню нужной инструкции активируйте команду "Информация

о пропускной способности".На экране появится одноименное диалоговое окно, на вкладках которого втабличном виде отображаются сведения, необходимые для создания правилфильтрации. Таблица содержит следующие поля:

Источник IP-адрес отправителя

Назначение IP-адрес получателя

Номер протокола Номер протокола IP-пакета

Порт отправителя Порт отправителя TCP и UDP-пакетов

Порт получателя Порт получателя TCP и UDP-пакетов

Тип Тип ICMP-пакета

Код Код ICMP-пакета

3. Для закрытия диалогового окна нажмите кнопку "OK".



Глава 10Управление межсетевыми экранамиОбщие сведения

Управление настройками межсетевого экранаВ системе КУБ имеется возможность контролировать параметры пропускнойспособности межсетевых экранов, используемых в составе АС. К такимпараметрам относятся номера протоколов, диапазоны адресов и портов и др.Контроль осуществляется на основании сведений об исходных настройкахмежсетевого экрана и текущих, отслеживаемых агентом. Исходные настройкивводятся в систему КУБ с помощью программы управления. При обнаружениинесоответствия между исходными и текущими настройками, вызваннымиизменениями параметров межсетевого экрана, эти несоответствия регистри-руются в журнале.На основании сведений "Журнала несоответствий" анализируются события,приведшие к расхождению исходных и текущих настроек межсетевого экрана, иделается вывод о необходимости внесения изменений в настройки параметровмежсетевого экрана или в исходные настройки в системе КУБ.Если изменения вносятся в настройки межсетевого экрана, это приводит кизменению параметров его пропускной способности. Агент транслируетсостояние межсетевого экрана в систему КУБ и, если обнаруживаетсянесоответствие между исходными настройками и текущими, эти несоответствияснова регистрируются в журнале. Так продолжается до тех пор, пока исходные итекущие настройки не совпадут.Если изменения вносятся в систему КУБ (в исходные настройки), в ней создаетсязаявка (или заявки) и далее в соответствии с общей концепцией выпускаютсяинструкции, направляемые исполнителям. Исполнителями, как правило, явля-ются сотрудники, ответственные за управление межсетевым экраном.Инструкции содержат сведения о том, какие параметры настроек нужно из-менить, чтобы привести в соответствие исходные и текущие настройки. Послевыполнения инструкций агент транслирует текущее состояние параметровмежсетевого экрана в систему КУБ и далее, как было описано выше, осущес-твляется сравнение с исходными (измененными) настройками.

Управление доступом к ресурсамВ соответствии с общей концепцией системы КУБ доступ сотрудников к ресурсамоснован на сопоставлении сотрудника и роли. В свою очередь для ролиустанавливаются требуемые права доступа к тем или иным ресурсам. Дляописания настроек межсетевого экрана в системе КУБ используется понятиесетевого ресурса.Под сетевым ресурсом понимается ресурс, связанный с сервисом. В свою очередьсервис представляет собой сетевой узел (точка хостирования) и связанный с нимпротокол или список протоколов.Таким образом, сотрудник, связанный с ролью, получает доступ к сетевомуресурсу. Такой доступ называется "ролевым".Наряду с ролевым доступом в системе КУБ предусмотрен так называемыйтехнологический доступ, описывающий трафик сетевых служб.Технологический доступ используется в тех случаях, когда по каким- либопричинам не может быть применим (или нежелателен) ролевой доступ.Технологический доступ описывается с помощью технологических правил.После описания топологии, ролевого и технологического доступа в системе КУБавтоматически формируются правила фильтрации.



Порядок настройки в системе КУБДля настройки подсистемы управления межсетевым экраном необходимо выпол-нить следующее:1. Внести в справочник "Протоколы" все протоколы, используемые в

управлении межсетевыми экранами.Работу со справочником см. на стр. стр.66.

2. Зарегистрировать в системе КУБ все контролируемые сетевые объекты:подсети и входящие в них хосты, сетевые и исключающие группы, сервисы.Указать параметры перечисленных объектов.Описание регистрации и задания параметров сетевых объектов приведены впоследующих разделах (см. стр. стр.135, стр.138, стр.140, стр.141).Сервисы могут быть зарегистрированы позже при создании сетевых ресур-сов.

3. Зарегистрировать в системе КУБ ответственности, используемые вуправлении межсетевыми экранами.Регистрацию ответственности см. на стр. стр.89.

4. Зарегистрировать агента межсетевого экрана ("Континент" или "Cisco").Регистрация осуществляется выполнением общей для всех агентов проце-дуры, описанной на стр. стр.93.

5. Установить выносной модуль агента межсетевого экрана.Выносной модуль устанавливается на компьютер, указанный в заявке.Описание установки приведено в документе [4] (см. список документов настр. стр.205).

6. Описать взаимодействие объектов сети и выполнить привязку агента кконтролируемым объектам.Взаимодействие между зарегистрированными сетями, хостами и группамиописывается объектами категории "сетевые взаимодействия": маршрутами итехнологическими правилами. Поэтому для описания взаимодействия необ-ходимо в системе КУБ зарегистрировать (создать) все маршруты итехнологические правила. Создание маршрута включает в себя указаниеагента, контролирующего взаимодействие, т.е. привязку агента кконтролируемым объектам.Регистрацию маршрутов и технологических правил см. на стр. стр.145 истр.147.

7. Зарегистрировать сетевые ресурсы.Регистрация сетевого ресурса может выполняться одновременно срегистрацией сетевого сервиса (см. п. 2) или отдельно путем связывания ужеимеющегося сервиса с вновь регистрируемым ресурсом.Регистрация сервисов и ресурсов описана на стр. стр.141.

8. Создать категорию ролей, предоставляющих доступ к сетевым ресурсам, изанести ее в справочник "Категория ролей".Созданная категория используется только для ролей, предоставляющихдоступ к сетевым ресурсам.Описание справочника и регистрация категории приведены на стр. стр.63.

9. Создать роли, предоставляющие доступ к сетевым ресурсам, и связать с нимиответственности.В зависимости от требований создаются должностные и/илииндивидуальные роли.Роли создаются с помощью мастера "Создание роли" (см. стр. стр.71) или с по-мощью процедуры регистрации (см. стр. стр.71). Тип роли — обычная.



При создании роли указываются категория, созданная в п. 8 , иответственности, используемые в управлении межсетевыми экранами (см.п.3).

10.Предоставить доступ созданным ролям к сетевым ресурсам.С должностной ролью связываются все сетевые ресурсы, к которым онадолжна предоставлять доступ сотрудникам соответствующей должности.С индивидуальной ролью связываются только те сетевые ресурсы, доступ ккоторым должен предоставляться только определенным сотрудникам.Предоставление доступа роли к сетевому ресурсу описано на стр. стр.144.

11.Связать роли с должностями и сотрудниками.Процедуры связывания ролей с должностями и сотрудниками приведены настр. стр.75.

12.Определить точки доступа подразделений и сотрудников (см. стр. стр.145).13.Проверить наличие правилфильтрации (см. стр. стр.152).14.Проверить наличие несоответствий, сформированных агентом межсетевого

экрана.В "Журнале несоответствий" проверяется наличие несоответствий вида"недостаточный доступ" и "несанкционированный доступ". Для каждогонесоответствия во вспомогательном окне программы управления приводитсяего описание, в котором указываются источник, назначение и протокол.Дополнительно детализированная информация приводится в специальномдиалоге "Информация о пропускной способности".Описание работы с "Журналом несоответствий" см. на стр. стр.163.При обнаружении несоответствий необходимо предоставить сотрудникамнедостающие права доступа к сетевым ресурсам через роли, а также создатьтехнологические правила.Несоответствия, связанные с НСД, необходимо устранить корректировкойправил фильтрации. При этом, независимо от вида и содержания операцийпо корректировке правил, результат должен обеспечивать требуемуюпропускную способность.

Объекты сетевой инфраструктуры и их параметрыДля описания сетевой инфраструктуры и взаимодействия ее объектов впрограмме управления вводятся объекты категорий "Сетевые сущности" и"Сетевые взаимодействия":

Категорияобъектов Назначение Объекты

Сетевыесущности

Отображение и редактирование существующейсетевой инфраструктуры

ПодсетиДиапазоныадресовХостыСетевые группыИсключающиесетевые группыСервисы

Сетевыевзаимодействия

Отображение и редактирование взаимодействияобъектов категории "Сетевые сущности"

МаршрутыТехнологическиеправилаПравилафильтрации

Кроме перечисленных в таблице объектов в системе КУБ используются так назы-ваемые связанные объекты, являющиеся дочерними по отношению к "сетевымсущностям" и "сетевым взаимодействиям". Так, например, для объекта подсетьили хост связанными объектами являются сетевые интерфейсы, сетевые имена,а для объекта технологическое правило — точки применения правил и трассы.



Ниже в таблице приведен перечень объектов и связанных с ними дочернихобъектов.

Объект Связанный объект

ПодсетьХостСетевая группаИсключающая группа

Сетевой интерфейс

Сетевое имя

Взаимодействие

Сетевые пользователи

Сервис Ресурсы

Маршрут Точки применения

Технологическое правило Точки применения и трассы

В программе управления предусмотрено создание объектов (в том числе —связанных), задание и редактирование их параметров, а также выполнение собъектами определенных операций, таких как объединение, создание связеймежду ними и др.С объектами категории "сетевые сущности" могут быть выполнены следующиеоперации:

Объект Операция

Сеть Создание новой сети

Удаление сети

Задание диапазона адресов

Смена адреса сети

Смена диапазона адресов

Удаление ненужных диапазонов адресов

Создание связи между сетями

Хост Создание нового хоста

Удаление хоста

Смена адреса хоста

Добавление сетевых интерфейсов

Удаление сетевого интерфейса

Сетевая группа Создание сетевой группы

Удаление сетевой группы

Добавление сетевой сущности в группу

Удаление сущности из группы

Сервис Создание нового сервиса

Изменение параметров сервиса

Удаление сервиса

С объектами категории "Сетевые взаимодействия" могут быть выполненыследующие операции:

Объект Операция

Маршрут Создание маршрута

Удаление маршрута

Технологическое правило Создание технологического правила

Удаление правила



Для выполнения операций используются команды и мастера, вызываемые изконтекстного меню.

ФильтрыДля просмотра и поиска объектов категорий "сетевые сущности" и "сетевыевзаимодействия" можно использовать настраиваемые фильтры. Набор пара-метров настройки фильтра зависит от объекта.

Для настройки фильтра:

1. В информационном окне вызовите контекстное меню и выберите команду"Фильтр".Появится окно настройки фильтра.

В зависимости от объекта окно может содержать одну или несколько вкладок.2. Перейдите на нужную вкладку, отметьте параметр и укажите его значение.

Длясоставления списка значений используйте стандартные процедуры поис-ка и выбора объектов.

3. После настройки всех параметров нажмите кнопку "OK".

Сети

Список сетейСписок зарегистрированных сетей отображается в информационном окне.



Для перехода к списку сетей:

• В панели переходов выберите категорию объектов "Сетевые сущности" и вней — группу "Сети".В информационном окне отобразится список зарегистрированных сетей.Во вспомогательном окне приводится дополнительная информация освязанных объектах.

Регистрация сетиДля регистрации новой сети:

1. Откройте список сетей, вызовите в информационном окне контекстное менюи выберите команду "Создать новую сеть".Появится окно "Создание сети".

2. Введите имя сети, IP-адрес, маску и нажмите кнопку "Далее>".Появится окно завершения настройки.

3. Проверьте введенные данные и нажмите кнопку "Готово".В списке сетей появится новая запись, выделенная жирнымшрифтом.


Изменение адреса сетиДля изменения адреса и маски сети:

1. Выберите в списке нужную сеть, вызовите контекстное меню и выберитекоманду "Изменить адрес сети".Появится окно "Изменение адреса сети".

2. Ведите новый IP-адрес и маску и нажмите кнопку "OK".3. Сохраните внесенные изменения (см. стр. стр.18).

Задание диапазона адресовДля задания диапазона адресов:

1. В информационном окне вызовите контекстное меню и выберите команду"Создать диапазон адресов".Появится окно задания диапазона адресов.



2. В поле "Сеть" выберите из списка сеть, для которой задается диапазонадресов.

3. В поле "Имя" введите имя создаваемого диапазона.

Поле является необязательным. Если имя не вводится, оно будет автоматическисгенерировано на основании начального и конечного адресов диапазона.

4. Укажите начальный и конечный адрес диапазона и нажмите кнопку"Далее>".Начнется проверка корректности заданных адресов и после ее завершенияпоявится окно с результатом проверки.

5. Проверьте правильность введенных данных и нажмите кнопку "Готово".



В список объектов будет добавлена новая сеть.

Если при вводе данных была допущена ошибка, появится сообщение, описывающее причинуошибки. Нажмите кнопку "OK" и повторите процедуру сначала.


Изменение диапазона адресовДля изменения диапазона адресов:

1. Выберите сеть в списке объектов и раскройте следующий (нижний) уровеньиерархии.Появится список диапазонов адресов и хостов данной сети.

2. Выделите нужный диапазон адресов, вызовите контекстное меню и выбе-рите команду "Изменить адреса диапазона".Появится окно для изменения адресов.

3. Введите нужные адреса и нажмите кнопку "OK".4. Сохраните внесенные изменения (см. стр. стр.18).

Удаление диапазона адресовДля удаления диапазона адресов:

1. Выделите диапазон в списке и в контекстном меню выберите команду"Удалить".Появится окно предупреждения об удалении.

2. Для удаления нажмите кнопку "Готово" в окне предупреждения.Диапазон адресов будет удален.

Хосты

Список хостовСписки зарегистрированных хостов отображаются внутри папок соответ-ствующих сетей.

Для перехода к списку хостов:

• Выберите в списке нужную сеть и раскройте следующий (нижний) уровеньиерархии.Появится список хостов и диапазонов адресов данной сети.

Регистрация хостаПроцедура регистрации хоста включает в себя указание его имени, сетевогоадреса, сетевых интерфейсов и DNS-имени. Для уже зарегистрированного хостаможно изменить его статический адрес, добавить или удалить сетевые имена исетевые интерфейсы, а также изменить привязку сетевого имени к адресам.

Для регистрации хоста:

1. В информационном окне, отображающем список сетей, вызовите кон-текстное меню и выберите команду "Создать новый хост".Появится окно "Создание хоста".

2. Введите имя регистрируемого хоста.3. Для добавления сетевого интерфейса нажмите кнопку "Добавить",

расположенную справа.Появится окно "Параметры хоста".

4. Нажмите кнопку "Выбрать".Появится стандартный диалог поиска объектов (см. стр. стр.21).



5. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе КУБ объектов, выберите нужный и нажмите кнопку "OK".Имя выбранного объекта появится в поле "Сеть/подсеть" окна заданиясвойств интерфейса.

6. Если адрес должен быть статическим, установите соответствующую отметкуи введите адрес.Нажмите кнопку "OK".Если данные были введены правильно, в верхней части окна "Созданиехоста" появится строка, соответствующая указанному интерфейсу.

Если настройка была выполнена неправильно, появится окно, указывающее на ошибку.Нажмите кнопку "OK" и исправьте ошибку.

7. При необходимости добавьте следующий интерфейс.8. Нажмите кнопку "Далее" в нижней части окна "Создание хоста".

Появится окно завершения настройки, отображающее свойства хоста.9. Нажмите кнопку "Готово".

В списке зарегистрированных объектов "Сети" появится новый хост. Вовспомогательном окне на соответствующих вкладках будут отображатьсясвязанные объекты: сетевые интерфейсы и сетевые имена.

10.Сохраните внесенные изменения (см. стр. стр.18).

Удаление хостаДля удаления хоста:

1. Выделите в списке хост и вызовите команду "Удалить".Появится окно, предупреждающее об удалении.

2. Нажмите кнопку "Готово".Хост будет удален из списка зарегистрированных объектов.

Смена статического адреса хостаДля смены статического адреса хоста:

1. Выделите в списке хост и во вспомогательном окне перейдите на вкладку"Сетевые интерфейсы".

2. Выберите в списке нужный сетевой интерфейс, установите курсор в поле созначением "Адрес интерфейса" и дважды с задержкой нажмите левую кноп-ку мыши.Значение поля станет доступным для редактирования.

3. Введите новое значение и затем сохраните внесенные изменения(см. стр. стр.18).

Добавление сетевых интерфейсов хостаДля добавления сетевых интерфейсов:


2. Установите курсор в свободном месте вспомогательного окна, вызовите кон-текстное меню и выберите команду "Добавить сетевой интерфейс".Появится окно добавления сетевых интерфейсов.

3. Нажмите кнопку "Добавить" и далее добавьте интерфейс аналогичноописанному в процедуре регистрации хоста.В списке сетевых интерфейсов вспомогательного окна появится новый сете-вой интерфейс.




Удаление сетевого интерфейса хостаДля удаления сетевого интерфейса:


2. Выделите в списке сетевой интерфейс, вызовите контекстное меню и выбе-рите команду "Удалить сетевой интерфейс".

Сетевые группы

Список сетевых группСписок зарегистрированных сетевых групп отображается в информационномокне.

Для перехода к списку сетевых групп:

• В панели переходов выберите категорию объектов "Сетевые сущности" и вней —"Сетевые группы".В информационном окне отобразится список зарегистрированных сетевыхгрупп.

Регистрация сетевой группыДля регистрации сетевой группы:

1. Откройте список сетевых групп, вызовите в информационном окне кон-текстное меню и выберите команду "Создать сетевую группу".Появится окно "Создание сетевой группы".

2. Введите имя сетевой группы.3. Добавьте в группу узлы из списка зарегистрированных объектов. Для этого

нажмите кнопку "Добавить".Появится стандартный диалог поиска объектов (см. стр. стр.21).

4. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе КУБ объектов.

5. Отметьте объекты, подлежащие включению в группу, и нажмите кнопку"OK".Отмеченные объекты появятся в списке сетевых узлов окна "Создание сете-вой группы".

6. Нажмите кнопку "Далее >".Появится окно завершения настройки, отображающее свойства группы исписок дочерних сетевых узлов.

7. Нажмите кнопку "Готово".Новая группа появится в списке сетевых групп.


Удаление сетевой группыДля удаления сетевой группы:

• Выделите в списке сетевую группу, вызовите контекстное меню и выберитекоманду "Удалить сетевую группу".

Добавление сетевого узла в группуДля добавления сетевого узла:

1. Выделите в списке сетевую группу, вызовите контекстное меню и выберитекоманду "Добавить сетевой узел в группу".Появится стандартное окно "Поиск объектов".



2. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе КУБ объектов.

3. Отметьте объекты, подлежащие включению в группу, и нажмите кнопку"OK".


Удаление сетевого узла из группыДля удаления сетевого узла:

• Выделите в списке сетевую группу, раскройте список входящих в нее узлов,вызовите контекстное меню и выберите команду "Удалить сетевой узел изгруппы".

СервисыПод сервисом понимается сетевой узел (точка хостирования) и связанный с нимпротокол или список протоколов. Для описания ролевого доступа в системе КУБнеобходимо зарегистрировать все имеющиеся сервисы и связать их с ресурсами.

Список сервисовСписок зарегистрированных сервисов отображается в информационном окне.

Для перехода к списку сервисов:

• В панели переходов выберите категорию объектов "Сетевые сущности" и вней — группу "Сервисы".В информационном окне отобразится список зарегистрированных сервисов.Во вспомогательном окне приводится дополнительная информация освязанных объектах — ресурсах.

Регистрация сервисаПроцедура регистрации в системе КУБ сервиса включает в себя созданиесвязанного с ним ресурса. Таким образом, при регистрации сервиса в системесоздается сетевой ресурс. Тип создаваемого ресурса — "сервис".

Для регистрации нового сервиса:

1. Откройте списоксервисов, вызовитев информационномокне контекстное ме-ню и выберите команду "Создать сервис".Появится диалог "Создание сервиса".

2. Введите системное имя сервиса и нажмите кнопку, расположенную справа отполя "Протокол".Появится стандартный диалог поиска объектов (см. стр. стр.21).

3. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе КУБ протоколов, выберите нужный протокол и нажмите кнопку"OK".Диалог поиска объектов закроется, и выбранный протокол отобразится в диа-логе "Создание сервиса".

4. Если регистрируемый сервис должен быть "дочерним" по отношению ккакому-либо из уже зарегистрированных, нажмите кнопку, расположеннуюсправа от поля "Родительский сервис".Появится стандартный диалог поиска объектов (см. стр. стр.21).

5. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхсервисов, выберите родительский сервис и нажмите кнопку "OK".Диалог поиска объектов закроется, и "родительский" сервис отобразится вдиалоге "Создание сервиса".

6. Если требуется создать сетевой ресурс, установите соответствующуюотметку.



7. Нажмите кнопку "Далее >".Появится диалог "Сетевые узлы".

8. Нажмите кнопку "Добавить".Появится стандартный диалог поиска объектов (см. стр. стр.21).

9. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхсетевых объектов, установите отметку у нужных сетевых узлов и нажмитекнопку "OK".Диалог поиска объектов закроется.

При необходимости корректировки списка в диалоге "Сетевые узлы" используйте кнопки,расположенные справа.

10.Нажмите кнопку "Далее >".Появится окно завершения настройки, отображающее свойства сервиса исвязанный с ним ресурс.

11.Нажмите кнопку "Готово".Новый сервис появится в списке информационного окна.

При необходимости можно добавлятьили удалять связанные с сервисом ресурсы (см.стр. стр.143).


Изменение параметров сервисаДля зарегистрированных в системе сервисов предусмотрено выполнение следу-ющих операций:• замена протокола;• добавление и удаление точек хостирования;• добавление (корректировка) комментария.

Для замены протокола:

1. Выберите в списке сервис и на панели свойств выделите значение поля"Протокол".Справа появится кнопка вызова стандартного диалога поиска объектов.

2. Нажмите кнопку вызова и в открывающемся диалоге "Поиск объектов" выбе-рите требуемый протокол.

Для добавления или удаления точек хостирования:

1. Выберите в списке сервис и активируйте значение поля "Точкихостирования".

Совет. Для активации дважды с задержкой нажмите левую кнопку мыши или используйтеклавишуF2.

Справа появится кнопка вызова диалога.2. Нажмите кнопку вызова.

Появится диалог со списком точек хостирования.для данного сервиса.



3. Для добавления новой точки нажмите кнопку "Добавить" и в открывающемсястандартном диалоге поиска объектов загрузите список зарегистрированныхузлов.Выберите в списке нужный узел и нажмите кнопку "OK".Выбранный узел добавится в список диалога "Точки хостирования".Для удаления точки хостирования выберите ее в списке диалога (см. рисуноквыше) и нажмите кнопку "Удалить".

4. Нажмите кнопку "OK" в диалоге "Точки хостирования".Результат добавления или удаления отобразится в поле "Точкихостирования" информационного окна.

Для добавления и изменения комментария:

1. Выберите в списке сервис и на панели свойств выделите значение поля"Комментарий".

2. Введите или откорректируйте текст комментария.

Удаление сервисаУдаление сервиса возможно только в том случае, если он не имеет связанного сним дочернего объекта "ресурс".

Для удаления сервиса:

• Выделите сервис в списке, вызовите контекстное меню и выберите команду"Удалить сервис".

Добавление ресурсаПри необходимости сервису можно добавить связанный с ним ресурс.

Для добавления ресурса:

1. Выберите в списке сервис, во вспомогательном окне вызовите контекстноеменю и выберите команду "Создать сетевой ресурс".Появится окно "Создание ресурса".

2. Введите системное имя и отображаемое имя и нажмите кнопку "Далее >".

Вводимые имена должны совпадатьс именами, отображаемыми в списке ресурсов.

Появится окно завершения настройки, отображающее свойства ресурса.3. Нажмите кнопку "Готово".

Новый ресурс появится в списке вспомогательного окна.



Удаление ресурсаДля удаления ресурса:

1. Выделите ресурс в списке вспомогательного окна, вызовите контекстное ме-ню и выберите команду "Удалить сетевой ресурс".Появится диалог "Удаление сетевого ресурса".

2. Нажмите кнопку "Готово".

Изменение параметров ресурсаПосле создания ресурса можно задать или изменить его параметры. Такимипараметрами являются:• владелец;• ответственный;• исполнитель;• комментарий;• критичность.

Для изменения или задания параметров:

1. Выделите ресурс в списке вспомогательного окна.2. На панели свойств в разделе "Ресурс" выделите значение нужного параметра

и укажите или введите новое значение.

Предоставление доступа роли к сетевому ресурсуПрава доступа роли к сетевым ресурсам могут быть предоставлены одним из двухспособов. Первый способ описан в гл. 6 (см. раздел "Управление ролями",стр. стр.72). Ниже описан второй способ, основанный на выполнении проце-дуры при работе со списком "Иерархия агентов".


1. Выберите в списке "Иерархия агентов" сетевой ресурс типа "сервис" и перей-дите во вспомогательном окне на вкладку "Роли".

2. Вызовите во вспомогательном окне контекстное меню и выберите команду"Добавить доступ к ресурсу".Появится стандартный диалог "Поиск объектов".

3. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе КУБ ролей.

4. Установите отметки у тех ролей, которым должен быть предоставлен доступ кданному ресурсу, и нажмите кнопку "OK".Появится диалог "Доступ к ресурсу".

5. На вкладках "Правила" и "Права" определите параметры доступа и нажмитекнопку "OK".Во вспомогательном окне появится список ролей, получивших доступ к сете-вому ресурсу.


Изменение прав доступаТак же как и для обычных ресурсов, доступ к сетевому ресурсу можно отменитьили изменить.

Для отмены или изменения прав доступа:

1. Выберите в списке "Иерархия агентов" сетевой ресурс типа "сервис" и перей-дите во вспомогательном окне на вкладку "Роли".



2. Выберите во вспомогательном окне роль,вызовите контекстное меню и выбе-рите команду "Лишить доступа" или "Изменить доступ".

3. После выполнения команды "Изменить доступ" сохраните внесенныеизменения (см. стр. стр.18).

Определение точек доступаДля управления работой межсетевых экранов каждому сотруднику(подразделению) должно быть определено его расположение в общей топологиисети. С этой целью сотруднику (подразделению) назначаются так называемыеточки доступа. Точками доступа являются зарегистрированные в системеобъекты категории "сетевые сущности" — подсети, хосты, диапазоны адресов,сетевые группы. Таким образом осуществляется привязка сотрудника (подраз-деления)к сетевым узлам.Точки доступа отображаются во вспомогательном окне при просмотре спискасотрудников или подразделений (см. стр. стр.36). Предусмотрено добавление иудаление точек доступа выбранному в списке сотруднику (подразделению).

Для добавления точки доступа:

1. Выберите нужного сотрудника (или подразделение) и во вспомогательномокне перейдите к вкладке "Точки доступа".

2. Вызовите во вспомогательном окне контекстное меню и выберите команду"Создать сетевой узел".На экране появится диалог "Поиск объектов".

3. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе КУБ объектов (подсетей, хостов, диапазонов адресов, сетевыхгрупп).

4. Установите отметки у тех объектов, которые должны быть закреплены засотрудником как точки доступа, и нажмите кнопку "OK".Во вспомогательном окне появятся добавленные точки доступа.


Для удаления точки доступа:

1. Выберите нужного сотрудника (или подразделение) и во вспомогательномокне перейдите к вкладке "Точки доступа".

2. Выберите в списке точку доступа, вызовите контекстное меню и выберитекоманду "Удалить сетевой узел".Выбранная точка доступа будет удалена.

Маршруты

Список маршрутовСписок зарегистрированных маршрутов отображается в информационном окне.

Для перехода к списку маршрутов:

• В панели переходов выберите категорию объектов "Сетевые взаимо-действия" и в ней — группу "Маршруты".В информационном окне отобразится список зарегистрированныхмаршрутов.

Создание маршрутаСоздание маршрута может быть выполнено одним из 2 способов: созданиемсвязи между двумя сетями и созданием непосредственно маршрута. При этоммаршрут может быть составным, т. е. включать в себя другие маршруты.Процедура создания маршрута включает в себя привязку к нему агента (в томслучае, если необходимо контролировать данный маршрут).



Для создания связи между сетями:

1. В списке сетей с помощью клавиши <Ctrl> выделите две сети, междукоторыми должна быть установлена связь, вызовите контекстное меню ивыберите команду "Создать связь между сетями".Появится окно мастера "Создание связей между сетями".

2. Выберите источник и назначение. Для этого установите соответствующуюотметку (или отметки).Нажмите кнопку "Далее>".Появится окно завершения настройки с информацией о маршруте.

3. Проверьте правильность введенных данных и нажмите кнопку "Готово".Будет установлена связь между сетями. Связь будет отображаться вовспомогательном окне на вкладке "Взаимодействия".


Для создания маршрута:

1. В категории объектов "Сетевые взаимодействия" выберите группу"Маршруты".В информационном окне откроется список зарегистрированных маршрутов.

2. Вызовите контекстное меню и выберите команду "Создать маршрут".Появится окно "Создание маршрута".

3. Введите имя маршрута.4. Укажите источник и назначение. Для этого нажмите кнопку, расположенную

справаот соответствующего поля, и с помощью стандартной процедуры поис-ка выберите нужные объекты.

5. Если взаимодействие должно быть двусторонним, поставьте соответ-ствующую отметку.

6. Если известно, что данный маршрут должен контролироваться агентом исоответствующий агент уже зарегистрирован в системе КУБ, нажмите кноп-ку,расположеннуюсправа и с помощьюстандартной процедуры поиска выбе-рите нужный агент.

7. Если маршрут должен быть составным, поставьте соответствующую отметку.8. Нажмите кнопку "Далее>".



Если был указан составной маршрут, появится окно с возможными вариантами. Длядвустороннего взаимодействия будут представлены варианты по каждому из направлений.Выберите вариант и нажмите кнопку "Далее>".

Появится окно завершения настройки.9. Нажмите кнопку "Готово".

В списке информационного окна появится новый маршрут. Для составногомаршрута во вспомогательном окне на соответствующей вкладке будутотображаться точки применения.


Удаление маршрутаДля удаления маршрута:

• Выделите маршрут в списке, вызовите контекстное меню и выберитекоманду "Удалить маршрут".

Изменение параметров маршрутаУ зарегистрированного маршрута можно задать или изменить значения пара-метров. Такими параметрами являются имя маршрута и агент.

Для изменения или задания параметров:

1. Выделите маршрут в информационном окне.2. На панели свойств в разделе "Ресурс" выделите значение нужного параметра

и укажите или введите новое значение.

Технологические правилаТехнологические правила используются для описания технологического дос-тупа. При нарушении этих правил в системе КУБ выпускаются инструкции,регламентирующие внесение изменений в настройки межсетевого экрана.

Для перехода к списку технологических правил:

• В панели переходов выберите категорию объектов "Сетевые взаимо-действия" и в ней — группу "Технологические правила".В информационном окне отобразится список зарегистрированныхтехнологических правил. Во вспомогательном окне отображается списокточек применения и трасс.

Создание технологического правилаДля создания технологического правила:

1. Откройте папку "Сетевые взаимодействия", выберите группу"Технологические правила", вызовите в информационном окне контекстноеменю и выберите команду "Создать технологическое правило".Появится диалог настройки основных свойств технологического правила.



2. Введите имя правила, выберите состояние активности (активно/неактивно)и опцию управления трафиком (разрешить/запретить).Нажмите кнопку "Далее >".Появится диалог указания источников и назначений трафика.



3. Укажите источник и назначение. Для этого нажмите кнопку, расположеннуюсправа от соответствующего поля, и выберите нужные объекты.Нажмите кнопку "Далее >".Появится диалог задания точек применения и протоколов.



4. В верхней части диалога укажите точки применения. Для этого нажмитекнопку "Добавить" и в стандартном окне "Поиск объектов" выберите нужныемаршруты.При необходимости редактирования списка точек применения используйтекнопки, расположенные справа.

5. В нижней части диалога укажите протоколы. Для этого нажмите кнопку"Добавить" и в стандартном окне "Поиск объектов" выберите нужныепротоколы.При необходимости редактирования списка протоколов используйте кнопки,расположенные справа.Нажмите кнопку "Далее >".Появится диалог указания учетной записи, для которой должно действоватьданное правило.

6. Укажите учетную запись. Для этого нажмите кнопку "Добавить" и в стан-дартном окне "Поиск объектов" выберите нужную учетную запись (илисписок учетных записей).При необходимости редактирования списка учетных записей используйтекнопки, расположенные справа.Нажмите кнопку "Далее >".Появится окно завершения настройки с описанием правила.



7. Проверьте правильность введенных данных и нажмите кнопку "Готово".В список добавится новое правило.


Изменение параметров технологического правилаВ списке технологических правил можно изменить основные параметры пра-вила:• название;• источники;• назначения;• протоколы;• учетные записи.

Для изменения параметра:

• Активируйте соответствующее поле в списке правил и с помощью кнопки(кроме параметра "название") вызовите процедуру поиска объектов.Изменение названия осуществляется вручную. Кроме того, изменить наз-вание можно в панели свойств.Сохраните внесенные изменения (см. стр. стр.18).

Кроме изменения основных параметров технологического правилапредусмотрено:

• изменение активности (активно/неактивно);• изменение опции управления (разрешить/запретить);• добавление и удаление точек применения;• изменение агента в точке применения.



Для изменения активности:

• Выделите значение поля "Активность" в панели свойств и выберите нужноезначение.Сохраните внесенные изменения (см. стр. стр.18).

Для изменения опции управления:

• Выделите значение поля "Опция управления" в панели свойств и выберитенужное значение.Сохраните внесенные изменения (см. стр. стр.18).

Для добавления и удаления точек применения:

• Выберите правило в списке, вызовите во вспомогательном окне контекстноеменю и используйте соответствующую команду.Сохраните внесенные изменения (см. стр. стр.18).

Для изменения агента точки применения:

1. Выделите правило в списке и затем во вспомогательном окне выберитенужную точку применения.

2. В панели свойств выделите поле "Агент".Появится кнопка вызова диалога.

3. Нажмите кнопку вызова диалога и в стандартном диалоге поиска объектоввыберите нужный агент.


Удаление технологического правилаДля удаления правила:

• Выберите правило в списке, вызовите контекстное меню и выберите команду"Удалить".

Правила фильтрацииПосле выполнения всех настроек, связанных с ролевым доступом, и составлениятехнологических правил в системе КУБ автоматически создаются правила фильт-рации.Все правила фильтрации можно просмотреть в информационном окне.

Для просмотра правил фильтрации:

• В категории объектов "Сетевые взаимодействия" выберите группу "Правилафильтрации".В информационном окне откроется список правил.



Для каждого правила приводится следующая информация:• наименование правила;• источники трафика;• назначения трафика;• учетные записи;• протоколы;• комментарий.Для выбранного правила в панели свойств приводятся дополнительныесведения и информация об агенте.Во вспомогательном окне для выбранного правила на соответствующихзакладках можно просмотреть сведения о точках доступа сотрудников, трассах иролях.

Для просмотра и поиска правил фильтрации можно использовать настраиваемый фильтр (см.стр. стр.135).



Глава 11Контроль программно-аппаратнойконфигурации компьютеровОбщие сведения

Дляконтроляпрограммно-аппаратной конфигурации (ПАК)компьютеров исполь-зуютсяшаблоны.Шаблон описывает требования,предъявляемые к составу аппа-ратного и программного обеспечения компьютера, и составляетсяадминистратором средствами Программы управления сервером КУБ. Каждыйзарегистрированный в системе КУБ компьютер имеет ссылку насоответствующий шаблон.В процессе работы система КУБ постоянно отслеживает текущую конфигурациюкомпьютеров и сравнивает ее с содержанием соответствующего шаблона.Сведения о текущей программно- аппаратной конфигурации каждого ком-пьютера поступают от установленного на нем выносного модуля агента ПАК.В случае обнаружения несоответствия оно регистрируется в журнале. Наосновании анализа записей журнала несоответствий администратор принимаетрешение о внесении необходимых изменений в конфигурацию компьютера илив содержание соответствующего шаблона. Для внесения изменений админи-стратор формирует заявку. Формирование заявки и последующая ее обработкаосуществляются в соответствии с общим для системы КУБ порядком обработкизаявок.

Объекты и элементы ПАКДля управления работой подсистемы ПАК в модели КУБ используются понятияобъекты и элементы ПАК. К объектам относятся контролируемые компьютеры ишаблоны. Элементами являются устройства и программные компоненты, кото-рые должны быть установлены на контролируемом компьютере.Описание объектов и элементов и их взаимосвязь в главном окне Программыуправления сервером КУБотображаются в папках категории "Объекты ПАК".

Для просмотра объектов ПАК:

• В панели переходов выберите категорию объектов "Объекты ПАК" и в ней —группу "Компьютеры ПАК" или "Шаблоны".В информационном окне отобразится соответственно списокконтролируемых компьютеров или шаблонов.



Список компьютеровСписок контролируемых компьютеров формируется при регистрации агентов.Регистрация агентов описана в разделе "Настройка подсистемы ПАК" (см.стр. стр.156).В списке компьютер описывается следующими параметрами:• имя компьютера;• имя шаблона, связанного с данным компьютером;• признак доверенной конфигурации (да/нет).Признак доверенной конфигурации задает реакцию системы КУБ на фактобнаружения несоответствия между текущей ПАК и содержанием шаблона.Значение "да" указывает на то, что на компьютере могут быть установленылюбые элементы ПАК, не входящие в состав шаблона, и это не приводит кгенерации несоответствий. При установленном значении "нет" в случаенесовпадения текущей конфигурации с содержанием шаблона, в системе будутзарегистрированы несоответствия.Признак доверенной конфигурации устанавливается администратором.Во вспомогательном окне приводится список элементов текущей ПАК —устройств и программных компонентов.

Для просмотра сведений о текущей ПАК:

• В панели переходов выберите группу "Компьютеры ПАК" и выделите ком-пьютер с установленным выносным модулем агента.Во вспомогательном окне отобразится список установленных на компьютереэлементов ПАК.

Список шаблоновСписок шаблонов формируется администратором в ходе настройки подсистемыПАК. В составе каждого шаблона администратор определяет:• перечень элементов ПАК, представляющих устройства или программные

компоненты, которые должны быть установлены на компьютере;



• перечень элементов ПАК, представляющих классы устройства или програм-много обеспечения, один из дочерних элементов которых должен быть уста-новлен на компьютере;

• •перечень дочерних шаблонов ПАК, описывающих составные части конфи-гурации компьютера.Шаблон ПАК может включать несколько ссылок на одини тот же элемент ПАК, описывающий устройство. В таком случае, шаблонописывает аппаратную конфигурацию, имеющую не менее указанного коли-чества данных устройств.

Параметрами шаблона являются:• список элементов ПАК, входящих в шаблон;• родительский шаблон;• дочерний шаблон;• компьютер, с которым связан данный шаблон.Параметры выбранного в списке шаблона отображаются во вспомогательномокне на соответствующих вкладках.

Элементы ПАКЭлементы ПАК автоматически регистрируются в системе КУБ после установкивыносногомодуля агента и заносятся всправочник "Элементы ПАК". При необхо-димости администратор может создавать группирующие элементы ПАК изаносить их в справочник.Параметрами элемента ПАК являются:• имя;• тип;• признак "общий" (да/нет);• комментарий (необязательный параметр).Значение "да" признака "общий" указывает на то, что данный элемент ПАКможет быть установлен на любом компьютере, и это не приводит к генерациинесоответствий независимо от наличия элемента в шаблоне.Просмотреть список зарегистрированных в системе элементов ПАК можно всправочнике "Элементы ПАК" (см. стр. стр.68).В качестве промежуточного уровня для описания требований к ПАК исполь-зуются объекты элементов ПАК, описывающих классы устройств илипрограммные компоненты (групповые элементы). Групповые элементы ПАКописывают совокупность устройств или программных компонентов, соответ-ствующих некоему произвольному критерию группировки, определяемомуадминистратором КУБ. Включение в шаблон ПАК группового элементаподразумевает установку на компьютере любого из устройств или программныхкомпонент, описываемого дочерними элементами.

Настройка подсистемы ПАК

Общий порядок настройкиДля настройки контроля ПАК в системе КУБ необходимо выполнить следующее:• зарегистрировать агент для каждого компьютера с контролируемой ПАК;• установить выносной модуль агента на каждый контролируемый компьютер;• создать шаблоны и связать их с компьютерами.

Регистрация агентаРегистрация выполняется в соответствии с общей процедурой, описанной вГлаве 7 (см. стр. стр. 93 ). При этом указывается платформа "Программно-аппаратная конфигурация".



После завершения процедуры регистрации агента ПАК в списке компьютеровпоявится новый объект — компьютер, на котором должен быть установленвыносной модуль агента. Одновременно в системе будет создана заявка наустановку выносного модуля.

Установка выносного модуля агентаУстановка выполняется на основании заявки, созданной при регистрации агентаПАК. Описание установки приведено в [Документация].После установки выносного модуля агента сведения о текущей ПАК передаютсяв систему КУБ. Одновременно в справочник "Элементы ПАК" автоматическизаносятся элементы, обнаруженные на компьютере.Просмотреть сведения о текущей ПАК можно в списке компьютеров.

Создание шаблонаСоздать шаблон можно одним из двух способов:• создать новый шаблон и связать его с компьютером;• создать шаблон для компьютера на основе его текущей ПАК.

Для создания нового шаблона:

1. Откройте список шаблонов, вызовите в информационном окне контекстноеменю и выберите команду "Создать шаблон".Появится диалог "Общие настройки".

2. Ведите имя создаваемого шаблона, при необходимости введите его описание(комментарий) и нажмите кнопку "Далее >".Появится диалог "Элементы ПАК".

3. Нажмите кнопку "Добавить".Появится стандартный диалог "Поиск объектов".

4. Используя фильтр и кнопку "Искать", загрузите список зарегистрированныхв системе элементов ПАК.

5. Установите отметки у тех элементов, которые должны войти в составшаблона, и нажмите кнопку "OK".В диалоге "Элементы ПАК" появится список выбранных элементов.

6. Нажмите кнопку "Далее >".Появится диалог "Родительские шаблоны".

7. Если необходимо указать родительские шаблоны, нажмите кнопку"Добавить" и в стандартном диалоге "Поиск объектов" выберите нужныешаблоны.

8. Нажмите кнопку "Далее >".Появится диалог "Дочерние шаблоны".

9. Если необходимо указать дочерние шаблоны, нажмите кнопку "Добавить" ив стандартном диалоге "Поиск объектов" выберите нужные шаблоны.

10.Нажмите кнопку "Далее >".Появится окно завершения настройки, отображающее свойства шаблона.

11.Проверьте правильность введенных данных и нажмите кнопку "Готово".В список добавится новый шаблон.

Для создания шаблона на основе текущей ПАК:

1. Откройте список компьютеров, выберите компьютер, вызовите контекстноеменю и выберите команду "Легализовать конфигурацию ПАК".Появится диалог "Общие настройки".



2. Если у выбранного компьютера отсутствует шаблон, установите отметку вполе "Создать новый шаблон ПАК" (отметка устанавливается по умолчанию).Ведите имя создаваемого шаблона, при необходимости введите комментарий.

3. Если необходимо у создаваемого шаблона удалить признак довереннойконфигурации, установите отметку в поле "Сбросить флаг "Довереннаяконфигурация".

4. Нажмите кнопку "Далее >".Появится окно завершения настройки, отображающее свойства созданногошаблона.

5. Проверьте правильность введенных данных и нажмите кнопку "Готово".В поле "Шаблон" списка компьютеров появится имя нового шаблона.

Операции с объектами и элементами ПАКВ процессе настройки подсистемы ПАК и далее в процессе ее работы с объектамии элементами ПАК администратором могут выполняться операции,перечисленные ниже в таблице.

Операция Способ выполнения

Изменение имении описанияшаблона

Выделите соответствующее поле в списке шаблонов иоткорректируйте его содержание.

Удаление шаблона Выделите шаблон в списке, вызовите контекстное меню и выберитекоманду "Удалить шаблон".

Установлениесвязи шаблона скомпьютером

В списке компьютеров выделите поле "Шаблон", с помощьюпоявившейся кнопки загрузите список шаблонов и выберитенужный.Операцию можно также выполнить в панели свойств.

Удаление связимежду шаблоном икомпьютером

В списке компьютеров выделите поле "Шаблон" и удалите имяшаблона.

Добавление иудалениеэлементов ПАК изшаблона

Выберите в списке шаблон, перейдите во вспомогательном окне навкладку "Элементы ПАК", вызовите контекстное меню ииспользуйте соответствующую команду.



Добавление иудалениеродительских(дочерних)шаблонов

Выберите в списке шаблон, перейдите во вспомогательном окне навкладку "Родительские шаблоны ПАК" или "Дочерние шаблоныПАК", вызовите контекстное меню и используйте соответствующуюкоманду.

Изменение свойствэлемента ПАК

Операция выполняется в справочнике "Элементы ПАК" (см.стр. стр.68).Изменению подлежат имя, комментарий и признак "общий".

Создание элементаПАК

Операция выполняется в справочнике "Элементы ПАК" (см.стр. стр.68).Предусмотрено создание только группирующих элементов ПАК.При создании группирующего элемента должен быть указан хотябы один дочерний элемент.

Изменение спискадочернихэлементов

Операция выполняется в справочнике "Элементы ПАК" (см.стр. стр.68).Список дочерних элементов ПАК может быть изменен только длягруппирующих элементов.

Изменениешаблонакомпьютера

В списке компьютеров выделите поле "Шаблон", с помощьюпоявившейся кнопки загрузите список шаблонов и выберитенужный.Операцию можно также выполнить в панели свойств.

Изменениепризнакадовереннойконфигурации

В списке компьютеров выделите поле "Доверенная конфигурация",с помощью появившейся кнопки выберите нужное значение.Операцию можно также выполнить в панели свойств.

Копированиешаблона

Выберите в списке шаблон, вызовите контекстное меню и выберитекоманду "Копировать шаблон". Далее укажите имя и принеобходимости введите комментарий.



Глава 12Интеграция с системами ITSM

В программе управления выполняется настройка параметров работы сервернойчасти подсистемы интеграции с ITSM-системами. Параметры и их описаниеприведены в таблице ниже.

Табл.8 Параметры настройки серверной части

Параметрнастройки Описание

Отключитьуведомление

Отключает стандартный механизм оповещения пользователей КУБ онеобходимости исполнения экспортируемых инструкций для указанныхагентов.

Уведомлениеоб ошибках

При включении этой настройки в случае ошибки при передаче любойинформации, посылается соответствующее сообщение по электроннойпочте ответственному за агента ITSM.

Фильтр поагентам

Указываются системные имена агентов, заявки с инструкциями которыхнеобходимо экспортировать во внешние ITSM системы. Именауказываются через “;”. Если значение этого параметра пустое,экспортируются все заявки. Имя может быть в формате <Системное имя>или в формате <Платформа>.<Системное имя>, если для несколькихагентов системные имена совпадают.Данная настройка также используется как фильтр агентов, для которыхотключаются уведомления системы «КУБ» о необходимости исполненияинструкций. В случае интеграции с двумя системами ITSM, если хотя быдля одной системы ITSM в фильтре прописан агент и для него отключеныуведомления, то у этого агента отключаются уведомления и для другойсистемы ITSM.

Таймаут приошибке

Количественное значение, задающее время в минутах, через котороебудет происходить попытка перепосылки информации, в случае еслипредыдущая посылка этой информации произошла с ошибкой.

Настройка параметров выполняется после регистрации агента целевой системыITSM и установки соответствующей данному агенту выносной части.

Для настройки параметров:

1. Перейдите к списку агентов и выберите установленного агента соответ-ствующей целевой системы.На панели свойств в разделе "Настройка управления" отобразятся значенияпараметров, установленные по умолчанию. Описание параметров см. в Пара-метры настройки серверной части.

2. Установите необходимые значения параметров.Для параметров "Отключить уведомление", "Уведомление об ошибках","Фильтр по агентам" установка значения параметра осуществляется выбором"Да" или "Нет".Для параметра "Таймаут при ошибке" введите числовое значение.Для настройки фильтра вызовите диалог "Фильтр по агентам" и введитесистемные имена агентов.

3. После настройки параметров сохраните внесенные изменения в базе дан-ных.



Глава 12АудитЖурнал событий

Для обеспечения контроля безопасности все изменения в информационнойсистеме (ИС) фиксируются соответствующими агентами платформ в виде собы-тий, перечень которых представлен в таблицах ниже.

Табл.9 Агент Active Directory

Описание события

Домен поставлен на контроль

Потеря контроля домена

Создание учетной записи пользователя

Удаление учетной записи пользователя

Включение учетной записи пользователя

Отключение учетной записи пользователя

Изменение системного имени пользователя

Установка основной группы для пользователя

Перемещение учетной записи пользователя

Изменение отображаемого имени пользователя

Создание учетной записи группы

Удаление учетной записи группы

Включение учетной записи в группу

Исключение учетной записи из группы

Изменение системного имени группы

Изменение типа группы

Изменение области действия группы

Изменение отображаемого имени группы

Перемещение учетной записи группы

Создание каталога учетных записей

Удаление каталога учетных записей

Переименование каталога учетных записей

Перемещение каталога учетных записей

Постановка ресурса на контроль

Удаление ресурса

Переименование ресурса

Изменение прав доступа к ресурсу

Ошибка контроля ресурса

Снятие ресурса с контроля



Табл.10 Агент Windows 2000


Установка ПО агента

Удаление ПО агента

Создание учетной записи пользователя

Удаление учетной записи пользователя



Переименование пользователя

Создание учетной записи группы

Удаление учетной записи группы



Переименование группы





Ошибка контроля ресурса

Снятие ресурса с контроля

Табл.11 Агент MS Exchange


Домен поставлен на контроль

Потеря контроля домена

Создание учетной записи пользователя почтового домена

Удаление учетной записи пользователя почтового домена



Изменение адреса пользователя почтового домена

Назначение почтового адреса группе

Снятие почтового адреса с группы



Изменение адреса







Табл.12 Агент инфраструктуры открытых ключей предприятия (PKI)


Удаление сертификата

Отзыв сертификата

Истечение срока действия сертификата

Создание пользовательского сертификата

Создание сертификата ЦС

Перевыпуск сертификата ЦС

Создание постороннего пользовательского сертификата

Создание постороннего сертификата ЦС

Создание ЦС

Удаление ЦС

Установка ПО агента

Отмена отзыва сертификата

Переключение ЦС в активное состояние

Переключение ЦС в неактивное состояние

Отсутствие действительного пользовательского сертификата

Отсутствие действительного сертификата ЦС

Табл.13 Агент "Континент"


Создание объекта

Изменение объекта

Удаление объекта

Информация о зарегистрированных событиях хранится в базе данных системыКУБ. Если зафиксированное агентом событие привело к изменению ИС, несовпадающему с состоянием модели, то в системе КУБ формируетсянесоответствие, которое также регистрируется в базе данных.Программа управления предоставляет возможность выполнения следующихопераций над событиями и несоответствиями:• формирование и просмотр выборки событий и их параметров;• формирование и просмотр выборки несоответствий и их параметров;• согласование или отклонение зафиксированного несоответствия.

Журнал несоответствий

Список несоответствийДля перехода к списку несоответствий:

• В области переходов выберите категорию "Журналы" и нажмите кнопку"Журнал несоответствий".В главном окне отобразится иерархический список агентов и зарегистри-рованных ими несоответствий.

При запуске программы управления в соответствии с настройками, принятыми по умолчанию,формируется список всех зарегистрированных несоответствий со статусом "действительные".



Просмотр информации о несоответствииВ зависимости от выбранной строки в "Журнале несоответствий" вовспомогательном окне "Описание" отображается следующая информация:• при выборе агента:

• наименование платформы и имя агента;• описание агента (если описание отсутствует или пустое, строка не выво-

дится);• полное наименование ответственного должностного лица (Ф.И.О.,

должность, подразделение);• при выборе записи о несоответствии:

• имя агента, который зафиксировал событие, вызвавшее несоответствие;• описание несоответствия;• время создания несоответствия;• сведения об инициаторе несоответствия;• название события и его основные параметры, указанные в окне

"Свойства" в группе полей "Общие";• сведения о закрывающем событии (если оно зарегистрировано),

аналогичные сведениям о событии, вызвавшем несоответствие;• сведения об инструкции (если она была создана для устранения

несоответствия).

Формирование выборки несоответствийВ системе КУБ предусмотрены следующие процедуры формирования выборкинесоответствий:• выборка с помощью основного фильтра;• выборка с помощью быстрого фильтра;• выборка аналогичных несоответствий.

Формирование выборки несоответствий с помощью основногофильтра

Для формирования выборки:

1. Перейдите к списку несоответствий.2. Вызовите контекстное меню и активируйте одну из следующих команд:

• "Фильтр…" — для отображения выбранных записей на той же вкладке;• "Новая выборка…" — для отображения выбранных записей на новой

вкладке.На экране появится диалог "Фильтр по несоответствиям" для формированиянеобходимой выборки.

3. Для формирования условий выборки на вкладке "Общие" отметьте те пара-метры несоответствий, значение которых будет учитываться, и внесите необ-ходимые условия в соответствующие поля:

Номернесоответствия

Укажите номера несоответствий, которые необходимо включить ввыборку.

Номер события Укажите номера событий, которые привели к несоответствиям,включаемым в выборку.

Номеринструкции

Укажите номера инструкций, разработанных для устранениянесоответствий.

Статус В раскрывающемся списке установите отметку слева отнаименования статуса, в котором находится несоответствие.



Учетная записьинициаторасобытия

Укажите частично или полностью учетную запись сотрудника,который зарегистрирован в качестве инициатора события,вызвавшего несоответствие.

Параметрысобытия

Укажите значение параметра, отображаемого в окне "Свойства" вгруппе полей "Общие".

Комментарий При необходимости введите произвольный текстовыйкомментарий к несоответствию.


4. Перейдите к вкладке "Период" для определения условий отбора повременным параметрам.

5. Для формирования условий выборки на вкладке "Период" установите отмет-ки выбора слева от наименования тех временных параметров, значениекоторых будет учитываться, и укажите необходимые условия в соответ-ствующих полях.

Дата создания Укажите начальные и конечные даты и время создания

Дата модификации Укажите начальные и конечные даты и время модификации


7. Для завершения формирования условий выборки и вывода на экран списканесоответствий нажмите кнопку "OK" в диалоге "Фильтр понесоответствиям".

Формирование выборки несоответствий с помощью быстрогофильтраДля ускорения и упрощения формирования выборки в Журнале несоответствийпредусмотрена процедура быстрого фильтра. Быстрый фильтр представляетсобой панель в верхней части информационного окна со списком объектов:

Быстрый фильтр обеспечивает поиск по наиболее часто используемымпараметрам:

• агент, который зафиксировал несоответствие;• статус несоответствия;• диапазон дат создания несоответствия.

Для формирования выборки:

• Укажите в полях быстрого фильтра необходимые значения и нажмите кнопку"Найти".

При использовании быстрого фильтра настройки основного фильтраигнорируются, но не изменяются . Аналогично, если позднее используетсяосновной фильтр, настройки в быстромфильтре не изменяются, но будутпроигнорированы.



Формирование выборки аналогичных несоответствийДля получения списка событий, аналогичных выбранному в Журналенесоответствий, в системе КУБ реализована процедура формирования выборкинесоответствий с аналогичными параметрами. При формировании даннойвыборки учитываются следующие параметры и их значения:

Статус Копируется из текущей выборки

Период Копируется из текущей выборки

Агент Выбирается агент, который зафиксировал событие, вызвавшеевыбранное несоответствие

Типсобытий

Копируется из выбранного несоответствия

Параметры фильтрации "Номер несоответствий", "Номер событий", "Номеринструкций", "Учетная запись инициатора события", "Параметры события" и"Сотрудник" при формировании выборки аналогичных несоответствий неучитываются.

Для формирования выборки аналогичных несоответствий:

1. Перейдите к списку несоответствий и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте команду "Найти аналогичные”.

Сформированная выборка отобразится на новой вкладке "Журналанесоответствий".

Согласование или отклонение несоответствияВыполнение данной процедуры возможно только для несоответствий, имеющихстатус "действительно".

Для согласования или отклонения несоответствия:

1. Перейдите к списку несоответствий и выберите в списке нужную запись.2. Вызовите меню "Правка" и активируйте одну из следующих команд:

• "Утвердить", если необходимо привести модель системы КУБ в состояние,соответствующее состоянию ИС;

• "Отклонить", если необходимо перевести состояние ИС в состояние,соответствующее модели системы КУБ.

Примечание.Некоторые несоответствия, обнаруженные агентами Active Directory и PKI, можнотолько утвердить.

Просмотр дополнительной информации о несоответствиях внастройках МСЭНесоответствия в настройках МСЭ регистрируют избыточный или недостаточныйдоступ, противоречащий модели КУБ. Эти сведения отображаются в диалоге"Информация о пропускной способности".

Для вызова диалога:

1. Перейдите к списку несоответствий и выберите в списке нужную запись.2. В контекстном меню нужной записи активируйте команду "Информация о

пропускной способности".На экране появится одноименное диалоговое окно, на вкладках которого втабличном виде отображаются сведения о недостаточном или избыточномдоступе. Таблица содержит следующие поля:

Источник IP-адрес отправителя

Назначение IP-адрес получателя

Номер протокола Номер протокола IP-пакета



Порт отправителя Порт отправителя TCP и UDP-пакетов

Порт получателя Порт получателя TCP и UDP-пакетов

Тип Тип ICMP-пакета

Код Код ICMP-пакета

3. Для закрытия диалогового окна нажмите кнопку "OK".

Системный журнал

Список открытых сессийСеансы работы пользователей с программными средствами системы КУБ можноконтролировать с помощью программы управления. Для каждого сеанса работыпользователя открывается отдельная сессия, позволяющая получить сведения отом, какой пользователь и с каким программным средством работает в данныймомент.Информация о текущих открытых сессиях пользователей отображается взакладке "Работающие пользователи" системного журнала.

Для перехода к списку сессий:

• В области переходов выберите категорию "Журналы" и нажмите кнопку"Системный журнал".В главном окне отобразится перечень всех сессий, открытых пользователямив программных средствах системы управления.

Просмотр информации о сессииДля каждой сессии в соответствующих колонках таблицы отображаетсяследующая информация:• тип открытой сессии, обозначающий, с каким программным средством

работает пользователь. Предусмотрены следующие типы:• UserTools — обозначает сессию работы с программой КУБ Ассистент;• DCS — обозначает сессию работы с системой управления заявками;• Configurator — обозначает сессию работы с программой управления сер-

вером КУБ;• SystemTools — обозначает сессию работы с программой DbCleaner;

• имя компьютера, на котором работает пользователь;• имя учетной записи пользователя;• Ф.И.О., должность и подразделение сотрудника;• дата и время открытия сессии;• время работы пользователя в данной сессии (в формате дни, часы и минуты).

Обновление списка сессийДля получения актуальных сведений о текущих открытых сессиях выполнитепроцедуру обновления информации в таблице (см. стр. стр.17).



ПриложениеФорматы файлов данных ОШС

Plain TextТекстовые файлы для импорта ОШС должны иметь фиксированный формат, вкотором не указывается иерархия подразделений. Наименование каждогоподразделения должно представляться в файле отдельной строкой, котораядолжна содержать идентификатор подразделения (ИП) и его наименование,разделенные знаком табуляции. За строкой наименования подразделенияследуют строки должностных лиц. Строки с должностными лицами должны со-держать следующую последовательность обязательных элементов: символтабуляции, идентификатор должности (ИД), поле "Наименование должности",идентификатор физического лица (ИФЛ), поле "Фамилия", поле "Имя". Затемследуют необязательные поля: "Отчество"; "Рабочий тел." и "E- Mail". Всеперечисленные элементы должны разделяться символом табуляции.Идентификаторы объектов (ИП, ИД и ИФЛ) представляют произвольнуюбуквенно- цифровую комбинацию и внутри каждой группы должны бытьуникальными для каждого типа объектов. Ниже приведен пример формататекстового файла:IИП1"Наименование подразделения 1

"ИД1"Должность 1"ИФЛ1"Фамилия 1"Имя"Отчество"Рабочий тел"E-Mail*"ИД2"Должность 2"ИФЛ2"Фамилия 2"Имя"Отчество"Рабочий тел"E-Mail"ИД2"Должность 2"ИФЛ3"Фамилия 3"Имя"Отчество"Рабочий тел"E-Mail"ИД3"Должность 3"ИФЛ4"Фамилия 3"Имя"Отчество"Рабочий тел"E-Mail

IИП2"Наименование подразделения 2"ИД4"Должность 4"ИФЛ5"Фамилия4"Имя"Отчество"Рабочий тел"E-Mail"ИД5"Должность 5"ИФЛ6"Фамилия 5"Имя"Отчество"Рабочий тел"E-Mail"ИД5"Должность 5"ИФЛ7"Фамилия 6"Имя"Отчество"Рабочий тел"E-Mail"ИД6"Должность 6"ИФЛ1"Фамилия 1"Имя"Отчество"Рабочий тел"E-Mail

Примечание.В примере первая и последняя строки должностныхлиц иллюстрируют случай, когдаодно физическое лицо занимает две должности в разных подразделениях (курсивом выделенынеобязательные поля).

XMLПри импорте ОШС из XML-файлов необходимо придерживаться следующихсоглашений по представлению импортируемых данных.• Каждый объект в файле представлен в виде XML-узла и имеет следующие

атрибуты:<ObjectType ID=”ObjectID” Key=”AttributesList” SourceID=“SourceID”>

Где:• ObjectType — тип объекта, соответствующий имени типа в системе КУБ

(Department, Position, Post, Personage и Employee).



• ObjectID — внутренний идентификатор объекта, генерируемый модулемимпорта из диапазона, установленного перед началом процедуры импор-та.

• AttributesList — список атрибутов объекта, уникальноидентифицирующих данный объект. Имена полей разделяютсязапятыми. В случае если ключевой атрибут является ссылкой на другойобъект, вместо значения подставляются ключевые поля объекта, накоторый ссылается данный атрибут. Для любого объекта также можетиспользоваться предопределенный атрибут "@Parent", являющийсяссылкой на родительский объект. В случае если родительский XML-узелявляется корневым, значением данного атрибута будет пустая строка.

• SourceID — постоянный во времени идентификатор объекта.Генерируется модулем импорта и позволяет проводить поискимпортированных объектов в системе КУБ. Формат идентификатора:<Идентификатор источника> .<Идентификатор объекта>.Идентификатор источника вычисляется как хеш-функция от типаисточника и существенных параметров импорта. Например, при импортеданных из 1С такими являются путь к базе данных либо имя сервера иимя информационной базы для удаленного соединения. Идентификаторобъекта должен сохранять свое значение между процедурами импорта, втом числе при изменении атрибутов объекта и перемещении объектоввнутри иерархии.

• Объект может иметь несколько атрибутов, которые описываются дочернимиXML-узлами следующего формата:

<Attribute Name=”AttributeName” Type=”AttributeType”Value=”AttributeValue”/>

Где:• AttributeName — наименование атрибута. Имя атрибута должно

совпадать с именем свойства соответствующего объекта КУБ.• AttributeType — тип атрибута. В настоящее время поддерживаются

следующие типы атрибутов: "string", "int", "double", "date", а такжессылочный тип. В случае ссылочного типа в данном атрибуте содержитсяимя типа объекта, находящегося в том же XML-документе.

• AttributeValue — значение атрибута. Для атрибутов ссылочного типахранится идентификатор объекта.

• Объект может иметь некоторое количество дочерних объектов.Предполагается, что в качестве дочерних будут выбираться объекты, укоторых в поле "Key" указан предопределенный атрибут "@Parent".

Для каждого узла (объекта) обязательным является атрибут SourceID —уникальный идентификатор импортируемого объекта в системе, из которой про-изводится импорт. В идентификаторе могут присутствовать любые символы, заисключением неотображаемых символов, а также символа ";" (точка с запятой).Идентификаторы объекта сравниваются с учетом регистра.Формат представления XML-узлов для отображения других параметров объекта вXML-документе при импорте из него данных ОШС представлен в в таблице ниже.

Табл.14 Формат объектов XML-файла для импорта ОШС

Тип объекта Ключ Атрибуты Обязательныеполя

Дочерниеобъекты

Department(подразделение)

@Parent;Name

Name —наименованиеподразделения;Director —идентификаторначальникаподразделения

Name Department;Post



Position(номенклатурнаядолжность)

Name Name —наименованиедолжности

Name Нет

Post (должность) @Parent;Position

Position —идентификаторноменклатурнойдолжности;MaxPersonageCount —максимальноеколичество ставок длядолжности

Position Post;Personage

Personage(сотрудник)

@Parent;Employee

Employee —идентификаторфизического лица;WorkStatus — статуссотрудника (0 —работает, 1 — неработает);WorkPhone — рабочийтелефон;OtherPhone — прочиетелефоны (домашние,мобильные);Email — e-mailсотрудника

Employee Нет

Employee(физическоелицо)

LastNameFirstNameSecondName

LastName — фамилия;FirstName — имя;SecondName —отчество;Gender — пол (0 —мужской, 1 —женский);Remark —комментарии;OutsideCompany —внешняя компания(для внештатныхсотрудников)

LastName Нет

Для добавления в импортируемые данные произвольных атрибутов, не вхо-дящих в список стандартных свойств объектов ОШС, эти атрибутыимпортируются в КУБ в виде невыраженных свойств объектов ОШС. Синтаксисопределения произвольных атрибутов такой же, как и для стандартных свойств:для каждого невыраженного свойства определяется дочерний XML-узел объектас именем "Attribute" и атрибутами этого узла "Name", "Type" и "Value":<Attribute Name="PropertyName" Type="string"Value="PropertyValue"/>В качестве системного имени невыраженного свойства должно браться значениеатрибута "Name" узла "Attribute", а в качестве значения невыраженногосвойства — значение атрибута "Value".

MS ExcelФайл MS Excel состоит из шапки отчета, заголовка списка подразделений ипроизвольного числа секций описания подразделений. Количество строк вшапке отчета и заголовке настраивается в параметрах импорта.Каждая секция описания подразделения состоит из строки с описанием подраз-деления, заголовка списка должностей и произвольного количества секций сназваниями должностей. В строке описания подразделения находятсянаименование и уникальный идентификатор подразделения. Каждый параметрзаписывается в отдельную ячейку строки. Колонка, с которой начинается опи-сание подразделения, может быть настроена пользователем. В наименовании



подразделений указывается полный путь к подразделению от корневого подраз-деления. Имена подразделений в пути разделяются настраиваемым символом-разделителем.Секция описания должности состоит из строки с описанием должности, заго-ловка списка сотрудников, а также произвольного количества строк с описаниемсотрудников, стоящих на данной должности. Строка описания должностисостоит из уникального идентификатора должности и ее наименования, а такжечисла, указывающего количество разрешенных штатных единиц(необязательный параметр). Каждый параметр записывается в отдельнуюячейку строки. Колонка, с которой начинаются заголовок и описаниедолжностей,сдвинута на однувправо относительно колонки с описанием подраз-деления.Строка описания сотрудника состоит из обязательных полей: уникальногоидентификатора сотрудника и фамилии, а также необязательных полей: имени,отчества, пола, комментария и наименования внешней организации (например,для прикомандированных сотрудников). Колонка, с которой начинаютсязаголовок и описание сотрудника, сдвинута на одну вправо относительноколонки с описанием должности.Заголовок отчета, а также заголовки секций (должностей и сотрудников) могутотсутствовать. В этом случае при настройке адаптера необходимо указать, что ихвысота равна нулю. Необязательные поля, используемые в файле — источникеимпорта, указываются при настройке адаптера. Если значение одного изуказанных необязательных полей для конкретного объекта отсутствует, тосоответствующая ячейка строки, отведенная для данного параметра, оставляетсяпустой.Уникальный идентификатор должен однозначно идентифицировать объектсреди других объектов того же типа. В идентификаторе могут присутствоватьлюбые символы, за исключением неотображаемых символов, а также символа “;”(точка с запятой). Идентификаторы объекта сравниваются с учетом регистра.На следующем рисунке приведен примерформата файла MS Excel.

Форматы файлов данных ППО

Plain TextФайл данных предназначен для импорта в систему КУБ сведений оразграничении прав доступа к ресурсам прикладной системы. Файл данныхимеет формат Plain Text и содержит следующие сведения:



• перечень учетных записей пользователей;• перечень групп пользователей;• перечень ресурсов с правами доступа, предоставляемыми пользователям и

группам.Для формирования файла в формате Plain Text используйте текстовый редактортипа "Блокнот".

Примерфайладанных

Структурафайладанных

Файл разбит на следующие секции:• UserAccounts;• UserGroupAccounts;• Resources.Первая строка секции — наименование секции.Вторая строка секции — наименования полей. Разделитель полей — символтабуляции. Имеются следующие типы полей:• обязательные;• дополнительные.Следующие строки — строки записей. Каждая строка — отдельная запись.Разделитель полей записи — символ табуляции. Запись может содержатьдополнительную информацию. Дополнительная информация помещается вдополнительные строки, которые начинаются с символа табуляции.Последняя строка секции — пустая.Если разные типы ресурсов имеют различный набор полей, то для каждого типаресурсов необходимо организовать отдельную секцию.

Секция UserAccountsСекция содержит перечень учетных записей пользователей.Обязательные поля:• Name (строка) — имя учетной записи пользователя;



• SystemId (строка) — идентификатор учетной записи (может совпадать сименем учетной записи);

• Builtin (целое число) — признак системной учетной записи (необязательноедля заполнения поле). Возможные значения:• 0 — обычная учетная запись;• 1 — системная учетная запись.

Дополнительные поля:Учетные записи могут иметь произвольное количество дополнительныхполей.Наименования этихполей указываются вовторой строкесекции и дол-жны совпадать с системными именами невыраженных свойств учетных запи-сей, указанных на этапе создания описания платформы.

Секция UserGroupAccountsСекция содержит перечень групп пользователей.Обязательные поля:• Name (строка) — имя группы пользователя;• SystemId (строка) — идентификатор группы (может совпадать с именем

группы);• Builtin (целое число) — признак системной группы (необязательное для

заполнения поле). Возможные значения:• 0 — обычная группа;• 1 — системная группа.

Дополнительные поля:Группы могут иметь произвольное количество дополнительных полей.Наименования этих полей указываются во второй строке секции и должнысовпадать с системными именами невыраженных свойств групп, указанныхна этапе описания платформы.В качестве дополнительной информации для групп пользователей могутбыть указаны системные имена входящих в них учетных записей и групп.Первым символом в данной строке должен быть символ табуляции.

Секция ResourcesСекция содержит перечень ресурсов с правами доступа, предоставляемымипользователям и группам.Обязательные поля:

• Type (строка) — тип ресурса. Наименование типа ресурса должносовпадать с системным именем одного из типов ресурсов, указанных вописании данной платформы.

• Name (строка) — наименование ресурса.Дополнительные поля:

Ресурсы могут иметь произвольное количество дополнительных полей.Наименования этих полей указываются во второй строке секции и должнысовпадать с системными именами невыраженных свойств ресурсов,указанных на этапе создания описания платформы.

Совет. Если разные типы ресурсов имеют различный набор невыраженных свойств, необходимодля ресурсов каждого типа организоватьотдельную секцию.

Права доступа к ресурсам указывают после каждого ресурса. Формат строки:• SystemId (строка) — системное имя учетной записи или группы;• AccessRights (список строк, разделенных запятой) — одно или более прав дос-

тупа данной учетной записи или группы к ресурсу. Наименование права дос-тупа должно совпадать с системным именем одного из прав доступа дляданного типа ресурса.



XMLОбщие принципы подготовки XML-файла см. на стр. стр.168 , формат объектовXML-файла данных ППО представлен ниже.

UserAccount — Учетная записьКлюч: <SystemId>,#AgentАтрибуты:• Name (строка) — имя учетной записи пользователя• SystemId (строка) — системный идентификатор учетной записи (может

совпадать с Name)• Builtin (int) — признак системной учетной записи

• 0 — обычная запись• 1 — системная учетная запись• 2 — динамически назначаемая учетная запись (например Creator)

• Enabled (boolean) — признак активности учетной записи• true — активна• false — заблокирована

Дочерние объекты: нет.Дополнительные свойства: свойства с произвольными именами, несовпадающими с основными. Свойства с префиксом "Principal." Попадают вобъект SecurityPrincipal, без префикса — в UserAccount.Ссылки: нет.

UserGroupAccount — Группа учетных записейКлюч: <SystemId>,#AgentАтрибуты:• Name (строка) — имя группы учетных записей• SystemId (строка) — системный идентификатор группы учетных записей

(может совпадать с Name)• Builtin (int) — признак системной группы учетных записей

• 0 — обычная группа• 1 — системная группа• 2 — динамически назначаемая группа (например All Users)

Дочерние объекты: нет.Дополнительные свойства: свойства с произвольными именами, несовпадающими с основными. Свойства с префиксом "Principal." Попадают вобъект SecurityPrincipal, без префикса — в UserGroupAccount.Ссылки:• Членство в группе• LinkType — "Member"• Type — "UserGroup" либо "UserGroupAccount"

Resource — РесурсКлюч: <Name>,#AgentАтрибуты:• Name (строка) — наименование ресурса• SystemId (строка) — системный идентификатор ресурса (может совпадать с

Name)• Type (ID типа ресурса) — тип ресурсаДочерние объекты:• Доступ к ресурсу



Дополнительные свойства: свойства с произвольными именами, несовпадающими с основными.Ссылки: нет.

AccessEntry — Доступ к ресурсуКлюч: <@Parent>, <Accessor>, <AccessRight>Атрибуты:• Accessor (ID Учетной записи либо группы) — субъект доступа• Access (ID Права/Правила доступа) — правило/право доступа к ресурсуДочерние объекты: нет.Дополнительные свойства: нет.Ссылки: нет.

Unit — Организационная единицаКлюч: <SystemId>,#AgentАтрибуты:• SystemId (строка) — системный идентификатор организационной единицы

(может совпадать с Name)• Type (ID типа ресурса) — тип организационной единицы• Name (строка) — имя организационной единицы• Parent (ID организационной единицы) — родительская организационная

единицаДочерние объекты: нет.Ссылки: нет.

AccessRule — Правило доступаПравило доступа не сохраняется в модель. Вместо этого производится попыткасвязать правило доступа с уже существующим в системе КУБ по ключу. В случаеесли связать правило доступа не удалось — генерируется ошибка.Ключ: <SystemName>,<ResourceType>Атрибуты:1. SystemName (строка) — наименование правила доступа2. ResourceType (ID типа ресурса) — тип ресурса, для которого применимо

правило доступаДочерние объекты: нет.Ссылки: нет.

AccessRight — Право доступаПраво доступа не сохраняется в модель. Вместо этого производится попыткасвязать право доступа с уже существующим в системе КУБ по ключу. В случаеесли связать право доступа не удалось — генерируется ошибка.Ключ: <SystemName>,<ResourceType>Атрибуты:• SystemName (строка) — наименование права доступа• ResourceType (ID типа ресурса) — тип ресурса, для которого применимо право

доступаДочерние объекты: нет.Ссылки: нет.

ResourceType — Тип ресурсаТип ресурса не сохраняется в модель. Вместо этого производится попыткасвязать тип ресурса с уже существующим в системе КУБ по ключу. В случае еслисвязать тип ресурса не удалось — генерируется ошибка.



Ключ: <Category>,#PlatformАтрибуты:• Category (строка) — наименование типа ресурсаДочерние объекты: нет.Ссылки: нет.

UnitType — Тип организационной единицыКлюч:@Platform, <SystemId>Атрибуты:• SystemId(строка) — системный идентификатор типа организационной

единицыДочерние объекты: нет.Ссылки: нет.

Windows ScriptСпециализированный скрипт может быть написан на одном из двух языковсценариев (VBScript или JScript) и для взаимодействия с универсальнымадаптером должен содержать в себе следующие обязательные процедуры:

functionGetParamsInfo(params)

Формирует и возвращает в переменной params список параметровимпорта, определяющих логику работы скрипта

functionCheckParams(params)

Проверяет настройки параметров импорта, переданные впеременной params

function Import(data, params)

Производит импорт данных

ПроцедураGetParamsInfo используется дляполучения списка параметров импор-та, определяющих логику работы скрипта при импорте данных. В процедурупередается объект, представляющий интерфейс ICubeImportParams,используемый для создания данного списка. Для каждого параметра в процедуреопределяют следующие свойства:• Name — краткое имя параметра;• Description — полное описание параметра;• Type — тип параметра. В данной версии поддерживаются типы:

• boolean — логический тип (COM тип VT_BOOL);• int — целое число (COM тип VT_INT4);• double — число с плавающей точкой (COM тип VT_R8);• string — строка (COM тип VT_BSTR);• file — имя файла (COM тип VT_BSTR);• enum — перечисляемое значение (COM тип VT_BSTR);

• AdditionData — дополнительные данные для:• file — маска для файлов (например “*.xml”);• enum — возможные значения параметра, разделенные символом “;”.

Для проверки параметров импорта, введенных пользователями, модуль импортавызывает функцию CheckParams. Данная процедура скрипта производит всевозможные проверки переданных параметров (проверяет соединение с серверомили базой, проверяет наличие файла и т. д.).Для выполнения процедуры импорта данных ППО модуль импорта вызываетфункцию Import с параметрами, указанными при настройке. В процедуру впараметре data передается интерфейс ICubeImportData, предназначенный дляформирования скриптом списка ресурсов, учетных записей и групп, а также дляуказания прав доступа учетных записей и групп к ресурсам. Ниже представлен



перечень интерфейсов, их свойств и методов, используемых при импорте дан-ных ППО с помощью универсального адаптера:1. ICubeImportParam — описывает свойстваобъекта, представляющего пара-

метр импорта, влияющий на логику работы скрипта.

Свойства:

Name Имя параметра

Description Описание параметра

Type Тип:целое число;действительное число;строка;файл;перечисление;логическое выражение.

Value Значение параметра

AdditionData Дополнительные данные, определены для типа:файл — маска выбора;перечисление — множество значений параметра.

2. ICubeImportParams — описывает свойства объекта, представляющегонабор параметров импорта.

Свойства:

Count Количество параметров

Item Выдает параметр по индексу

ItemByName Выдает параметр по имениПараметры: имя параметра, заданное в методе Add

Методы:

Add Добавляет параметрПараметры: имя параметра;тип параметра;описание параметра.

Clear Удаляет все параметры

RemoveAt Удаляет параметр по заданному индексу

Remove Удаляет параметр по заданному имени

3. ICubeImportAccessRight — описывает свойства объекта,представляющего один тип прав доступа к ресурсу определенного типа.

Свойства:

Name Имя типа прав доступа

ResourceType Тип ресурса

4. ICubeImportAccessRule — описывает свойства объекта, представляющеговсе типы прав доступа к ресурсу определенного типа, представленные вописании платформы.

Свойства:

Name Имя


5. ICubeImportUnit — описывает свойства объекта, представляющегоорганизационные единицы (каталоги) учетных записей.

Свойства:



SystemId Системный идентификатор организационной единицы

Name Имя организационной единицы

Parent Родительский объект

UnitTupe Тип организационной единицы

Property Невыраженные свойства организационной единицы, указанные вописании платформы

Методы:

CreateUnit Создает организационную единицу

6. ICubeImportUserAccount — описывает свойства объекта,представляющего учетную запись и ее связь с организационнымиединицами.

Свойства:

SystemId Системный идентификатор учетной записи

Name Имя учетной записи

Builtin Встроенная учетная запись

Enabled Разблокированная учетная запись

Property Невыраженные свойства учетной записи, указанные в описанииплатформы

Unit Связь учетной записи с организационной единицей

7. ICubeImportUserGroupAccount — описывает свойства объекта,представляющего группу учетных записей и ее связь с организационнымиединицами.

Свойства:

SystemId Системный идентификатор группы учетных записей

Name Имя группы учетных записей

Builtin Встроенная группа учетных записей

Property Невыраженные свойства группы учетных записей, указанные вописании платформы

Unit Связь группы учетных записей с организационной единицей

Методы:

AddMember Добавляет учетную запись в группу

8. ICubeImportResource — описывает свойства объекта, представляющегоресурс, представленный в описании платформы.

Свойства:

SystemId Системный идентификатор группы учетных записей

Name Имя группы учетных записей


Property Невыраженные свойства ресурса, указанные в описании платформы

Методы:

AddAccess Добавляет право доступа пользователя (учетной записи) к ресурсу

SetAccess Предоставляет право доступа пользователя (учетной записи) кресурсу

9. ICCubeImportData — описывает свойства объекта, представляющегоконфигуратор системы КУБ.



Методы:

GetAccessRightByName Предоставляет одно право доступа, определенноев описании платформы, по имени

GetAccessRuleByName Предоставляет все права доступа, определенные вописании платформы, по имени объекта

GetUserAccountById Обеспечивает обращение к учетной записи поидентификатору

GetUserAccountByName Обеспечивает обращение к учетной записи поимени

GetUserGroupAccountById Обеспечивает обращение к группе учетныхзаписей по идентификатору

GetUserGroupAccountByName Обеспечивает обращение к группе учетныхзаписей по имени

GetResourceById Обеспечивает обращение к ресурсу поидентификатору

GetResourceByName Обеспечивает обращение к ресурсу по имени

GetUnitById Обеспечивает обращение к организационнойединице по идентификатору

GetUnitByName Обеспечивает обращение к организационнойединице по имени

CreateUserAccount Обеспечивает импорт учетной записи

CreateUserGroupAccount Обеспечивает импорт группы учетных записей

CreateUserAccountEx Обеспечивает импорт внешней учетной записи

CreateUserGroupAccountEx Обеспечивает импорт внешней группы учетныхзаписей

CreateResource Обеспечивает импорт ресурса

CreateUnit Обеспечивает импорт организационной единицы

Ниже представлен пример текста скрипта для импорта данных, аналогичныхпредставленным в примере подготовки текстового файла (см. стр. стр.171).

Пример скрипта Function GetParamsInfo( ps){var variant = ps.Add( "Вариант", "enum", "descr_4");variant.Value = "один";variant.AdditionData = "один|два";}Function CheckParams( ps){for (var i=0; i < ps.Count; ++i)log.Print( ps.Item(i).Name + " = " + ps.Item(i).Value);}function Import( data, params){var variant = params["Вариант"];// USER ACCOUNTSvar ivanov = data.CreateUserAccount("a_ivanov", "A.Ivanov");ivanov.Builtin = 0;var petrov = data.CreateUserAccount("b_petrov", "B.Petrov");petrov.Builtin = 0;var sidorov = data.CreateUserAccount("c_sidorov", "C.Sidorov");sidorov.Builtin = 0;

// USER GROUP ACCOUNTS



var all_users = data.CreateUserGroupAccount("all_users", "All users");all_users.AddMember(ivanov);all_users.AddMember(sidorov);all_users.Builtin = 2;

var superall_users = data.CreateUserGroupAccount("superall_users", "SuperAllusers");superall_users.AddMember(all_users);

if (variant.Value == "один"){superall_users.AddMember(sidorov);}else{superall_users.AddMember(petrov);}superall_users.Builtin = 2;// RESOURCESvar res1 = data.CreateResource("RSid1","Банковские проводки1", "ResType1");res1.AddAccess(ivanov, data.GetAccessRightByName("Read", res1.ResourceType));res1.AddAccess(petrov, data.GetAccessRightByName("Read", res1.ResourceType));var res2 = data.CreateResource("RSid2","Банковские проводки2", "ResType2");res2.AddAccess(all_users, data.GetAccessRightByName("Read",res2.ResourceType));if (variant.Value == "один"){res2.AddAccess(petrov, data.GetAccessRightByName("Read", res2.ResourceType));res2.AddAccess(petrov, data.GetAccessRightByName("Read", res2.ResourceType));}else{res2.AddAccess (sidorov, data.GetAccessRightByName ("Read",res2.ResourceType));res2.AddAccess(sidorov, data.GetAccessRightByName("Read", res2.ResourceType));}// UNITSvar unit1 = data.CreateUnit("USid1","Unit1","UnitType1");var unit2 = data.CreateUnit("USid2","Unit2","UnitType2");}Представленный пример написан c использованием языка сценариев JScript ипозволяет произвести импорт тех же сведений, что и текстовый файл:• перечень учетных записей (USER ACCOUNTS);• перечень групп пользователей (USER GROUP ACCOUNTS);• перечень ресурсов с правами доступа, предоставляемыми пользователям и

группам (RESOURCES);• перечень каталогов пользователей (UNITS).В отличие от текстового файла (см. стр. стр.171 ) данный скрипт в качествепримера использования настраиваемых параметров импорта предусматривает взависимости от значения настраиваемого параметра "Вариант" ("один" или"два") два варианта формирования членства в группе и прав доступа к ресурсудля пользователей.

Файл данных о связанных учетных записях и сотрудникахНиже приведен пример содержания текстового файла со сведениями освязанных учетных записях и сотрудниках.Файл состоит из трех текстовых строк следующего формата:

<имя учетной записи><tab><Фамилия><Имя><Отчество> (<номенкла-турная должность>,<подразделение>)

cute- domain.ru/Отдел кадров/Ольга Соловьева <tab> Соловьева Ольга



(Менеджер, Отдел кадров)cute-domain.ru/Технический декпартамент/Игорь В. Ямщиков <tab> ЯмщиковИгорьcute-domain.ru/Бухгалтерия/Светлана В. Сергеева <tab> Сергеева СветланаВладимировна (Бухгалтер)

Настройка адаптеров импортаНастройка адаптера импорта является частью следующих процедур:• импорт ОШС с помощью мастера (см. стр. стр.24);• настройка автоматической синхронизации ОШС (см. стр. стр.26);• настройка автоматической синхронизации ППО (см. стр. стр.102);• импорт данных ППО (см. стр. стр.101).В системе КУБ реализована возможность импорта данных об организационно-штатной структуре предприятия из следующих источников:• база данных автоматизированной системы управления "1С: Предприятие"

(см. ниже);• каталог Active Directory контроллера домена;• XML-файлы;• файлы MS Excel;• текстовые файлы;• сервер КУБ филиала организации.Кроме того, импорт ОШС возможен с помощью универсального адаптера на базескрипта из систем, предоставляющих соответствующий интерфейс (например,база данных, com-объекты и т.п.).

Список адаптеровПеречень имеющихся в системе адаптеров отображается в диалоговом окневыбора источника импорта. Это окно вызывают на экран при формированиисписка источников импорта данных в указанных выше процедурах.

Для вызова диалогового окна настройки адаптера:

• Выберите в списке нужный адаптер и нажмите кнопку "Добавить".На экране появится окно настройки выбранного адаптера. Процедуры нас-тройки адаптеров представлены в следующих разделах:• Адаптер импорта ОШС из базы данных "1С: Предприятие" (см. ниже);• Адаптер импорта ППО из базы данных "1С: Предприятие" (см. ниже);• Адаптер импорта ОШС из Active Directory (см. стр. стр.184);• Адаптер импорта из XML-файлов (см. стр. стр.185);• Адаптер импорта из файлов Excel (см. стр. стр.185);• Адаптер импорта из текстовых файлов (см. стр. стр.186);• Универсальный адаптер импорта ОШС (см. стр. стр.186);• Универсальный адаптер импорта ППО (см. стр. стр.189);• Адаптер импорта из КУБ (см. стр. стр.190);• Адаптер импорта данных LOTUS 6.5.3 (см. стр. стр.191).



Адаптер импорта ОШС из базы данных "1С: Предприятие"Для настройки адаптера:

1. Вызовите диалоговое окно настройки адаптера.

2. В раскрывающемся списке выберите версию программы "1С: Предприятие".

Мастер импорта ОШС реализует взаимодействие с базой данных системы "1С: Предприятие"версий 7.7, 8.0, 8.1(2.1–2.4) и 8.1(2.5).

3. Для перехода к диалогу настройки параметров соединения нажмите кнопку"Добавить…".Вид появившегося диалогового окна зависит от выбранной версии прог-раммы "1С: Предприятие".

4. Настройте параметры соединения с базой данных "1С: Предприятие":

Пользователь 1С Имя пользователя, зарегистрированное в системе 1С.

Пароль Пароль для доступа к базе данных указанного пользователя.

Каталог базыданных

Имя каталога базы данных. Для выбора каталога в стандартномдиалоге MS Windows используйте кнопку "…". Для версии 8.0заполняется только при локальном доступе к базе данных.

На сервере 1С Установите отметку, если импортируемая база данныхнаходится на сервере 1С (для версии 8.0).

Сервер 1С Сетевое имя или IP-адрес компьютера, на котором расположенсервер 1С. Для указания сервера в стандартном диалогеMS Windows используйте кнопку "…". Поле настраивается приустановке отметки "На сервере 1С".

Информационнаябаза

Имя базы данных 1С. Поле настраивается при установкеотметки "На сервере 1С".

5. При работе с нестандартной конфигурацией перейдите к вкладке "Словарьтерминов".

6. В поле "Значение" введите наименования справочников и полей данных,используемые в источнике импорта.

7. При необходимости укажите тип импортируемого справочника. Для этогоперейдите к вкладке "Источник данных" (при импорте из 1С версии 8.0 ивыше).Выберите нужный справочник:



Управленческийучет

Установите отметку для того, чтобы данные были импортированыиз таблиц и справочников базы данных 1С, не связанных сорганизациями.

Бухгалтерскийучет

Установите отметку для того, чтобы данные были импортированыиз таблиц и справочников, связанных с организациями. Поумолчанию импортируются данные всех организаций. Еслинеобходимо импортировать данные только определенныхорганизаций, то укажите их названия в поле ниже. Длядобавления каждой организации нажмите кнопку "Добавить",введите ее название (так же, как в 1С) и нажмите клавишу"Enter".

8. Для закрытия диалога настройки параметров соединения и возврата кдиалогу настройки адаптера нажмите кнопку "OK".

9. Для закрытия диалога настройки адаптера нажмите кнопку "OK".

Адаптер импорта ППО из базы данных "1С: Предприятие"Для настройки адаптера:

1. Вызовите диалоговое окно настройки адаптера (см. стр. стр.181).

Если используется несколько информационных баз 1С и настройкаадаптеров для этих баз уже выполнялась, в диалоге будет представлен ихсписок.Для изменения настроек адаптера, выберите в списке информационную базуи нажмите кнопку "Изменить". Перейдите к п. 3.

2. Если в списке информационная база, из которой предполагаетсяимпортировать данные, отсутствует, нажмите кнопку "Добавить".Появится диалог настройки "Информационная база".



3. Настройте параметры соединения с базой данных:

Версия 1С Выберите версию 1С. Поддерживаются версии 8.0, 8.1 и 8.2

Наименованиеинформационнойбазы

Введите наименование, которое будет соответствоватьнаименованию адаптера.

Типрасположения

Установите тип расположения базы данных.

Каталогинформационнойбазы

Имя каталога базы данных. Для выбора каталога в стандартномдиалоге MS Windows используйте кнопку "…". Заполняется,если тип расположения — на данном компьютере или влокальной сети.

Сервер 1С Сетевое имя или IP-адрес компьютера, на котором расположенсервер 1С. Поле настраивается при установке отметки "Насервере 1С".

Информационнаябаза

Имя базы данных 1С. Поле настраивается при установкеотметки "На сервере 1С".

Пользователь 1С Имя пользователя, зарегистрированное в системе 1С.

Пароль Пароль для доступа к базе данных указанного пользователя.

При необходимости введите строку соединения. Для этого нажмите кнопку"Настроить" и укажите требуемые данные.

4. Для закрытия диалога настройки "Информационная база" и возврата кдиалогу настройки адаптера нажмите кнопку "OK".

5. Для закрытия диалога настройки адаптера нажмите кнопку "OK".

Адаптер импорта ОШС из Active DirectoryДля настройки адаптера:




2. Укажите параметры корневого подразделения ОШС в каталоге ActiveDirectory, откуда будут импортироваться данные:

Сервер Введите сетевое имя или IP-адрес контроллера домена

Корневоеподразделение

Введите полный путь или часть пути, однозначно определяющуюкорневое подразделение в каталоге Active Directory

3. Для подтверждения введенных данных и закрытия диалога настройки адап-тера нажмите кнопку "OK".

Адаптер импорта из XML-файловТребования к XML-файлам:

Импорт ОШС см. стр. стр.168

Импорт данных ППО см. стр. стр.174

При настройке адаптера можно указать в качестве источников несколько зара-нее подготовленных XML-файлов.

Для настройки адаптера:

1. Вызовите диалоговое окно настройки адаптера (см. стр. стр.181).2. Нажмите кнопку "Добавить" и с помощью стандартного диалога MS Windows

укажите пути к нужным XML-файлам.3. Для удаления ненужного файла выделите его и нажмите кнопку "Удалить".4. Для подтверждения введенных данных и закрытия диалога настройки адап-

тера нажмите кнопку "OK".

Адаптер импорта из файлов MS ExcelДанный адаптер предназначен для импорта данных ОШС из одного либо нес-кольких файлов MS Excel фиксированного формата. Импорт производится извсех листов каждого файла MS Excel. При импорте ОШС из файлов MS Excel к ихформату предъявляются специальные требования, которые должны бытьсоблюдены при подготовке таких файлов (см. стр. стр.170).При настройке адаптера можно указать в качестве источников несколько зара-нее подготовленных файлов Excel.



укажите пути к нужнымфайламMS Excel.3. Для удаления ненужного файла выделите его и нажмите кнопку "Удалить".4. Укажите количество строк, которое отведено для заголовка отчета.

Примечание.Если заголовок отсутствует, укажите 0.

5. Перейдите на вкладку "Настройка импорта секций".6. Настройте параметры описания подразделений:

Символ,разделитель имен

Введите символ, который используется в файле дляразделения имен, начиная с корневого.

Количество строкв заголовкесекции

Укажите количество строк, отведенное для заголовка спискаподразделений. Если заголовок отсутствует, укажите 0.

Колонка началаописания

Укажите колонку (столбец), с которой начинается заголовоки идентификатор подразделения (ИП).

7. Настройте параметры описания должностей:



Количество строкв заголовке секции

Укажите количество строк, отведенное для заголовка спискадолжностей. Если заголовок отсутствует, укажите 0.

Необязательныеполя

Установите отметку, если поле "Количество разрешенныхштатных единиц" необязательное.

8. Настройте параметры описания сотрудников:

Количество строкв заголовке секции

Укажите количество строк, отведенное для заголовка спискасотрудников. Если заголовок отсутствует, укажите 0

Необязательныеполя

Установите отметку слева от наименования тех полей, которыеявляются необязательными.


Адаптер импорта из текстовых файловТребования к текстовымфайлам:

Импорт ОШС см. стр. стр.168

Импорт данных ППО см. стр. стр.171

При настройке адаптера можно указать в качестве источников несколько зара-нее подготовленных текстовых файлов.



укажите пути к нужным текстовымфайлам.3. Для удаления ненужного файла выделите его и нажмите кнопку "Удалить".4. Для подтверждения введенных данных и закрытия диалога настройки адап-


Универсальный адаптер импорта ОШСДля импорта данных ОШС из контролируемой системы может использоватьсяуниверсальный адаптер, представляющий собой оболочку для запуска скрипта.Адаптер предоставляет скрипту необходимый для работы интерфейс. Скриптполучает информацию об объектах ОШС из контролируемой системы и черезполученный интерфейс передает информацию адаптеру.Для настройки адаптера необходимо предварительно в файле скрипта прописатьпараметры импорта:

• название базы данных;• имя сервера базы данных;• имя и пароль пользователя в строке соединения.

Пример скрипта приведен ниже, после процедуры настройки.Настройка адаптера заключается в указании файла скрипта.





2. Введите путь к файлу скрипта. Для поиска объекта нажмите кнопку"Пролистать".В диалоговое окно загрузится путь к файлу скрипта.


Примерскрипта

// Скрипт для импорта ОШС из базы данных// Проверьте строку соединения с базой данных connString

function Import(data) {// создаем логvar fso, log;fso = new ActiveXObject("Scripting.FileSystemObject");log = fso.CreateTextFile("database.log", true);var timeStart = new Date();log.WriteLine("Лог создан " + timeStart.getDate() + "." + timeStart.getMonth() +"." + timeStart.getFullYear() + " " +timeStart.getHours() + ":" + timeStart.getMinutes() + "." + timeStart.getSeconds());

// строка соединения с базой данныхvar connString;connString = "Driver={SQLServer};Server=SERVER\\SQLEXPRESS;Database=database;";//connString = "Provider=SQLOLEDB.1;Integrated Security=SSPI;Persist SecurityInfo=False;Initial Catalog=database;DataSource=SERVER\\SQLEXPRESS;Uid=sa;pwd=somepwd";

// открываем соединение с базой данныхvar connection;connection = new ActiveXObject("ADODB.Connection");connection.Open(connString);

// sql запрос к базе данныхvar sqlReq;sqlReq= "SELECT [Enterprise],[EnterpriseID],[Region]," +"[DepartmentID],[Department]," +" [Address], [EmployeeID], [EmployeeFamily], [EmployeeName],[EmployeeLastName], [EmployeePost], [EmployeePhone], [EmployeeIP],[EmployeeEmail],[EmployeeTabNum]" +"FROM [dbo].[database]";

// создаем recordset и открываем его с запросомvar rset;rset = new ActiveXObject("ADODB.Recordset");rset.Open(sqlReq, connection);



// пробегаем по recordsetif (!rset.EOF) {rset.MoveFirst;while (!rset.EOF) {var mainDepartment;if (rset("EnterpriseID").Value != null && rset("EnterpriseID").Value != "") {mainDepartment = data.AddDepartment(rset("Enterprise"), rset("EnterpriseID"));if (rset("Regions").Value != null)mainDepartment.Property("Region") = rset("Region");

if (rset("Department").Value != null && rset("Department").Value != "") {var department = mainDepartment.AddDepartment(rset("Enterprise") + "." + rset("DepartmentID"), rset("Department"));

if (rset("EmployeePost").Value != null && rset("EmployeePost").Value != "") {var position = data.AddPosition(rset("EmployeeID"), rset("EmployeePost"));var post = department.AddPost(rset("EmployeeID"), position);

if (rset("EmployeeName").Value != null && rset ("EmployeeFamily").Value != null&& rset("EmployeeName").Value != "" && rset("EmployeeFamily").Value != "") {var employee = data.AddEmployee(rset ("EmployeeID"), rset ("EmployeeName"),rset("EmployeeLastName"), rset("EmployeeFamily"));employee.gender = 1;employee.outsidecompany = "Местный";

var personage;personage = post.AddPersonage(rset("EmployeeID"), employee);if (rset("EmployeeEmail").Value != null)personage.Email = rset("EmployeeEmail");if (rset("EmployeeIP").Value != null) {personage.Property("IPAddress") = rset("EmployeeIP");employee.Property("IPAddress") = rset("EmployeeIP");}if (rset("EmployeeTabNum").Value != null && rset("EmployeeTabNum").Value != ""&& rset("EmployeeTabNum").Value != "(null)") {personage.Property("TableNum") = rset("EmployeeTabNum");employee.Property("TableNum") = rset("EmployeeTabNum");}}elselog.WriteLine("Отсутствует имя или фамилия (поля Name, Family): " + rset("EmployeeID"));}elselog.WriteLine("Позиция без названия (поле Post): " + rset("EmployeeID"));}elselog.WriteLine ("Департамент без названия (поле Department): " + rset("Enterprise") + "." + rset("DepartmentID"));}elselog.WriteLine("Главный департамент без названия (поле EnterpriseID): " + rset("Enterprise"));

rset.MoveNext();}}

// закрываем соединение с базой данных и освобождаем ресурсыrset.Close();delete rset;connection.Close();delete connection;



// сохраняем ОШС в xml файл//var xmlDoc;//xmlDoc = data.Result();//xmlDoc.save("database.xml");

// закрываем логvar timeEnd= new Date();log.WriteLine("Лог закрыт " + timeEnd.getDate() + "." + timeEnd.getMonth() + "."+ timeEnd.getFullYear() + " " +timeEnd.getHours() + ":" + timeEnd.getMinutes() + "." + timeEnd.getSeconds());log.Close();}

Адаптер импорта Windows ScriptДля унификации процесса разработки новых модулей импорта данных изприкладного программного обеспечения (ППО), контролируемого системой КУБ,разработан универсальный адаптер импорта данных ППО. Использованиеуниверсального адаптера импорта данных предполагает разработку специа-лизированного скрипта для конкретного типа контролируемого ППО, в которомопределяются логика и параметры импорта данных. Универсальный адаптерпредставляет собой оболочку для запуска специализированного скрипта ипредоставления ему необходимых для работы интерфейсов.Универсальный адаптер импорта предоставляет специализированному скриптуследующие интерфейсы:• интерфейс для получения информации из статических справочников;• интерфейс для создания объектов ППО и работы с ними.В свою очередь специализированный скрипт должен предоставить модулюимпорта следующие интерфейсы:• интерфейс для получения параметров импорта;• интерфейс для проверки параметров, введенных пользователем при нас-

тройке;• интерфейс для получения импортируемых данных ППО.Импорт данных ППО с использованием универсального адаптера импортавыполняют в следующей последовательности:1. Создается специализированный скрипт для импорта данных из

контролируемого ППО (см. стр. стр.176).2. На вкладке "Иерархия агентов" выбирается нужный агент и активируется

команда "Импорт данных ППО…".3. При выборе источника данных указывается "Универсальный адаптер импор-

та ППО".

4. Пользователь настраивает параметры импорта. Для этого на экран выво-дится диалог настройки параметров универсального адаптера импорта ППО.



5. В диалоге настройки пользователь с помощью стандартного диалогавыбирает файл со специализированным скриптом, а затем указывает зна-чение параметров импорта, определяющих логику работы выбранногоскрипта.

6. Универсальный адаптер импорта загружает выбранный скрипт и проверяетпараметры импорта, указанные пользователем при настройке. Если припроверке параметров происходит ошибка, пользователю выдается сооб-щение и предоставляется возможность продолжить редактирование пара-метров.

7. Универсальный адаптер импорта создает интерфейсы, необходимые дляпроведения импорта, загружает скрипт и параметры импорта. Затемзапускает процедуру импорта в скрипте, в которую передаются параметрыимпорта и вспомогательные интерфейсы.

8. Скрипт с помощью переданных вспомогательных интерфейсов производитимпорт данных и завершает работу.

9. Полученный XML-файл с импортируемыми данными передается в базу дан-ных системы КУБ для дальнейшей обработки.

Адаптер импорта из КУБАдаптер используется для импорта ОШС из сторонней ИС, в которой установленасистема КУБ.



2. Настройте параметры адаптера.

Протокол Выберите протокол обращения к серверу КУБ.



Имя сервера Введите DNS имя или IP-адрес сервера КУБ - источника данных.

Имяпользователя

Введите учетную запись пользователя, имеющего доступ в системуКУБ сторонней ИС.

Домен Введите имя домена, в котором зарегистрирована учетная записьпользователя, имеющего доступ в систему КУБ сторонней ИС.

Пароль Введите пароль пользователя.

3. Для проверки соединения нажмите кнопку "Проверить".4. Введите точку экспорта — идентификатор подразделения, начиная с кото-

рого должны браться данные (подразделение и ниже).5. Для подтверждения введенных данных и закрытия диалога настройки адап-


Адаптер импорта данных из LOTUS 6.5/8.5 и СЭДО "БОСС-Референт"Для настройки адаптера:


Если настройка адаптера выполняется первый раз, список баз (см. рисуноквыше) будет пустым.

2. Введите имя сервера Lotus Domino и пароль пользователя баз данных.3. Если необходимо выгружать информацию о подсистеме разграничения дос-

тупа СЭДО "БОСС-Референт", установите отметку в соответствующем поле иукажите имя каталога БД СЭДО "БОСС-Референт".Если выгрузка не требуется, удалите отметку.Нажмите кнопку "Обновить".

4. Отметьте базы данных, подлежащие контролю, и нажмите кнопку "OK".

При установке отметок используйте кнопки "Выделитьвсе" и "Очиститьвсе".

Диалоговое окно настройки адаптера закроется.



Правила именования объектовДанные правила предназначены для переименования объектов КУБ. Например,учетные записи пользователей переименовывают для сопоставления ссотрудниками в автоматическом режиме.

Язык описания правилВыражение состоит из произвольного числа строковых и числовых значений,переменных, вызовов встроенных функций, а также объединяющих ихоператоров и скобок.В выражениях могут использоваться следующие операторы: !, +, -, *, /, =, !=, <,<=, >, >=, &&, || (представлены в порядке убывания приоритета, см. таблицуниже).Строковые значения состоят из произвольного количества символов,заключенных в двойные кавычки ("). Для добавления в строку двойной кавычкинеобходимо включить в строку две двойные кавычки подряд ("").В качестве числовых значений можно использовать только целые числа.Через переменные передаются параметры для генерации имени. Список пере-менных для каждого правила можно посмотреть в мастере редактирования пра-вил именования.Для вызова функции необходимо указать ее имя и список аргументов череззапятую в скобках. Например, имя_функции (аргумент1, аргумент2,…).Для некоторых функций список аргументов может быть пустым.Предопределенные функции-операторы: EQUAL(param1, param2), NOT_EQUAL,LESS_ EQ, LESS, GREATER_ EQ, GREATER — функции- операторы сравнениячисловых значений строк. Результатом сравнения является “1” в случае истиныи “0” в противном случае. Если один из параметров не содержит число, тогенерируется исключение VariableNotExistsException. "Param1, param2" —числовые значения или идентификаторы, в которых хранятся числовыезначения.

Табл.15 Операторы правил именования объектов

Оператор Описание

! Оператор логического отрицания. Если операнд равен “” или “0” —результат операции “1”, если не равен — результат операции “0”.

+ Конкатенация (объединение) строк.

- Оператор вычитания.

* Оператор умножения.

/ Оператор деления. Операция деления ("/") возвращает число с плавающейточкой, кроме случая, когда оба значения являются целыми числами (илистроками, которые преобразуются в целые числа), которые делятся нацело -в этом случае возвращается целое значение. При делении по модулюоперанды преобразуются в целые числа (удалением дробной части) доначала операции.

==, !=,<, <=, >,>=

Операторы сравнения строк. Строки сравниваются с учетом регистра. Еслиодна строка короче другой, короткая строка дополняется нулевымисимволами. Результатом сравнения является “1” в случае истины и “0” — впротивном случае.

&& Оператор логического И.

|| Оператор логического ИЛИ.

Перечень функций правил именования объектов представлен в таблице ниже.



Табл.16 Функции правил именования объектов

Функция Описание

SUBSTR(string,first_char,count)

Возвращает count символов строки string, начиная с позиции first_char. Если first_char больше, чем длина строки, возвращается пустаястрока. Если в строке, начиная с first_char, меньше, чем countсимволов, возвращаются все символы до конца строки. Нумерациясимволов в строке начинается с 1.

TRANSLIT(string)

Возвращает транслитерированную строку string.

IF(condition,true_string,false_string)

Если condition — истинно (не равно “” или “0”), возвращает строкуtrue_string, иначе возвращает строку false_string.

UCASE(string) Возвращает строку string в верхнем регистре.

LCASE(string) Возвращает строку string в нижнем регистре.

REPLACE(string1,string2,string3)

Ищет в строке string1 вхождения строки string2 и заменяет этивхождения строкой, заданной string3.

LTRIM(string) Удаляет из начала строки string все пробельные символы.

RTRIM(string) Удаляет из строки string концевые пробельные символы.

NORMALIZE(string)

Выполняет “нормализацию” строки следующим образом — первыйсимвол строки переводится в верхний регистр, все остальные — внижний регистр.

LEN(string) Возвращает строку, которая содержит длину строки string всимволах.

LAST_PART(string1,string2)

Разделяет первую строку на части по любому из символов второйстроки и возвращает последнюю подстроку (позволяет, например,выделить имя объекта из полного пути к нему — актуально для ролей,сформированных из групп при синхронизации).

ADD (String1,String2)

Складывает. Получает на вход два параметра, содержащих строковоепредставление чисел. Результатом является округленный доменьшего по модулю целого числа результат операции в строковомпредставлении.Сепаратор зависит от настроек локали.

SUB (string1,string2)

Вычитает. Получает на вход два параметра, содержащих строковоепредставление чисел. Результатом является округленный доменьшего по модулю целого числа результат операции в строковомпредставлении.Сепаратор зависит от настроек локали.

MUL (string1,string2)

Умножает. Получает на вход два параметра, содержащих строковоепредставление чисел. Результатом является округленный доменьшего по модулю целого числа результат операции в строковомпредставлении.Сепаратор зависит от настроек локали.

DIV (string1,string2)

Делит. Получает на вход два параметра, содержащих строковоепредставление чисел. Результатом является округленный доменьшего по модулю целого числа результат операции в строковомпредставлении.Сепаратор зависит от настроек локали.

INT (string) Получает строковое представления числа, и округляет его к меньшемупо модулю целому числу.Сепаратор зависит от настроек локали.

FADD (string1,string2)

Складывает. Получает на вход 2 параметра - содержащие строковоепредставление чисел. Результатом является число с плавающейточкой, результат операции в строковом представлении.Сепаратор зависит от настроек локали.



FSUB (string1,string2)

Вычитает. Получает на вход 2 параметра - содержащие строковоепредставление чисел. Результатом является число с плавающейточкой, результат операции в строковом представлении.

Сепаратор зависит от настроек локали.

FMUL (string1,string2)

Умножает. Получает на вход 2 параметра - содержащие строковоепредставление чисел. Результатом является число с плавающейточкой, результат операции в строковом представлении.


FDIV (string1,string2)

Делит. Получает на вход 2 параметра - содержащие строковоепредставление чисел. Результатом является число с плавающейточкой, результат операции в строковом представлении.


Перечень типовых правил именованияВ данном разделе представлен перечень типовых правил именования, входящихв комплект поставки системы КУБ.

Табл.17 Домен Active Directory

Имя пра-вила Правило Описание

Группа: Имяв каталоге

SUBSTR(REPLACE_CHARS(LAST_PART(Role-Name,"/\"),";,=+<>","_"),1,58)+IF(nVariant>"1","("+nVariant+")","")

ли с добавлением числа в кон-це,если такая роль уже есть. Символы"/\.,=+<>" в имени заменяютсясимволом "_".

Группа: Имяучетной за-писи

SUBSTR(REPLACE_CHARS(LAST_PART(Role-Name,"/\"),"[]:;|=,+*?""<>","_"),1,250)+IF(nVariant>"1","("+nVariant+")","")

Первые 250 символов имени ролис добавлением числа в конце, еслитакая роль уже есть. Символы "/\[]:;|=,+*?<>" в именизаменяются символами "_".

Группа:Описание

"Ролевая группа КУБ для"+RoleName "Ролевая группа КУБ для" плюсимя роли.

Подразделе-ние AD: Имя вкаталоге

NORMALIZE(SUBSTR(REPLACE_CHARS(Depart-ment,"/\","_"),1,58))+IF(nVariant>"1"," ("+nVariant+")","")

Нормализованное имя подраз-деления, обрезанное до 58 сим-волов, плюс число, если такое имяуже существует. Символы "/\"заменяются на "_".

Подразделе-ние AD: Опи-сание

"Каталог пользователей подразделе-ния" +Department

"Каталог пользователей под-разделения" плюс имя подраз-деления.

Пользова-тель: Имя

SUBSTR(NORMALIZE(FirstName),1,64)

Первые 64 символа из норма-лизованного имени.

Пользова-тель: Имявхода в сис-тему

REPLACE_CHARS(IF(nVariant>"1",SUBSTR(IF(FirstName>"", LCASE(SUBSTR(TRANSLIT(FirstName), 1,1))+".","")+LCASE(TRANSLIT(LastName)),1,18)+nVariant,SUBSTR(IF(FirstName>"", LCASE(SUBSTR(TRANSLIT(FirstName), 1,1))+".","")+LCASE(TRANSLIT(LastName)),1,20)),"\/""[]:;|=,+*?<>@","_")

Первый символ транслитериро-ванного имени плюс 20 (либо 18,если нужно добавить номер) сим-волов транслитерированнойфамилии. Символы "\/"[]:;|=,+*?<>@" заменяются символом "_". Если такое имя уже есть,добавляется число.

Пользова-тель: Иници-ал

UCASE(SUBSTR(SecondName,1,1)) Первый символ отчества в верхнемрегистре.



Пользова-тель: Описа-ние

ShortName+", "+Post Первая буква имени плюс фа-милия плюс через запятуюдолжность.

Пользова-тель: Полноеимя

SUBSTR(REPLACE(REPLACE_CHARS(MSStyle-Name,"\;,=+<>","_"),"/","_"),1,58)+IF(nVariant>"1","("+nVariant+")","")

Первые 58 символов Ф.И.О. в фор-мате Имя О. Фамилия. Сим-волы"\/;,=+<>" заменяются символом"_". Если такое имя уже есть,добавляется число.

Пользова-тель: Фами-лия

SUBSTR(NORMALIZE(LastName),1,64)

Первые 64 символа из норма-лизованной фамилии.

Табл.18 Инфраструктура открытых ключей предприятия


Сертификат.Имя вла-дельца. Об-щее имя (CN)

IF(GREATER(LEN(FullName),64),SUBSTR(FullName, 1, 61)+"...",FullName)

Если полное имя больше 64 сим-волов, оно обрезается до 61символа и добавляется "..." .

Сертификат.Имя вла-дельца. Под-разделение(OU)

IF(GREATER(LEN(Department+","+Post),64),SUBSTR(Department+","+Post, 1, 61)+"...",Department+","+Post)

Если строка с именем должности иподразделения больше 64 сим-волов, оно обрезается до 61символа и добавляется "..." .

Сертификат.Имя вла-дельца.Электроннаяпочта

IF(GREATER(LEN(Email),0), IF(GREATER(LEN(Email),128), SUBSTR(Email, 1, 125)+"...",Email),"[email protected]")

"Ролевая группа КУБ для" плюсимя роли.

Табл.19 Почтовый домен MS Exchange


Группа:Псевдонимпочтовогоадреса

SUBSTR(NORMALIZE(LTRIMS(RTRIMS(REPLACE_CHARS( TRANSLIT(RoleName)," "";:@()[]<>,\",""),"."),".")),1,64)+IF(GREATER(nVariant,1),nVariant,"")

Первые 64 символа нормализо-ванного имени роли с удаленнымисимволами " ";:@()[]<>,\". Еслитакое имя уже есть, добавляетсячисло.

Пользова-тель: Псев-доним почто-вого адреса

RS(LCASE(SUBSTR(TRANSLIT(FirstName),1,1)) +"." + LCASE(TRANSLIT(LastName))," "";:@()[]<>,\",""),"."),"."),1,64)+IF(GREATER(nVariant,1),nVariant,"")

Первый символ транслитериро-ванного имени плюс "." плюс 64символа транслитерирован-нойфамилии. Символы " ";:@()[]<>,\"удаляются. Если такое имя ужеесть, добавляется число.

Табл.20 Сервер Windows 2000




Группа: Имяучетнойзаписи

SUBSTR(REPLACE_CHARS(LAST_PART(Role-Name,"\/"),"[]"":;|=,+*?<>@","_"),1,250)+IF(nVariant>"1"," ("+nVariant+")","")

Первые 250 символов имени ролис добавлением числа в конце, еслитакая роль уже есть. Символы "\/"[]:;|=,+*?<>@" в именизаменяются символом "_".

Группа:Описание

Ролевая группа КУБ для +RoleName "Ролевая группа КУБ для" плюсимя роли.

Пользова-тель: Имяучетной за-писи

REPLACE_CHARS(IF(nVariant>"1",SUBSTR(IF(FirstName>"", LCASE(SUBSTR(TRANSLIT(FirstName), 1,1))+".","")+LCASE(TRANSLIT(LastName)),1,18)+nVariant,SUBSTR(IF(FirstName>"", LCASE(SUBSTR(TRANSLIT(FirstName), 1,1))+".","")+LCASE(TRANSLIT(LastName)),1,20)),"\/""[]:;|=,+*?<>@","_")

Первый символ транслитериро-ванного имени плюс 20 (либо 18,если нужно добавить номер) сим-волов транслитерированнойфамилии. Символы "\/"[]:;|=,+*?<>@" заменяются на символ"_". Если такое имя уже есть,добавляется число.

Пользова-тель: Описа-ние

ShortName+", "+Post Первая буква имени плюс фа-милия плюс через запятуюдолжность.

Пользова-тель: Полноеимя

SUBSTR(FullName,1,256) Первые 256 символов полногоимени.

Табл.21 Универсальные группы


Группа: Имягруппы

NORMALIZE(TRANSLIT(RoleName))+IF(nVariant>"1",nVariant,"")

Нормализованное транслите-рированное имя роли и число,если такое имя уже есть.

Пользова-тель: Имяпользователя

IF(nVariant>"1",W2KAccountName+nVariant,W2KAccountName)

Транслитерированный первыйсимвол имени в верхнем регистреплюс нормализованнаятранслитерированная фамилия ичисло, если такое имя уже есть.

Табл.22 Агент ППО


Группа: Имяучетнойзаписи

IF(nVariant>"1",W2KAccountName+nVariant,W2KAccountName)

Имя учетной записи соответствуетимени учетной записи агентаWindows с добавлением числа вконце, если такая учетная записьуже есть.

*) нормализованное имя — первый символ имени в верхнем регистре, все ос-тальные символы в нижнем регистре.

Настройка режима аудита на контроллере доменаРежим аудита включают на контроллере домена при необходимости регистрациипользователя —инициаторасобытия. Настройкурежима аудитавыполняют сред-ствами администрирования политики безопасности контроллера домена.

Для настройки режима аудита:

1. Откройте окно администрирования политики безопасности контроллерадомена и откройте папку "Политика аудита".



2. В перечне политик выберите "Аудит доступа к объектам" и откройте диалогнастройки свойств этой политики. Для этого вызовите контекстное меню иактивируйте команду "Свойства".

3. Установите нужный режим регистрации и нажмите кнопку "OK".

Программа PlatformEditorПрограмма PlatformEditor предназначена для разработки описания платформ.

Примечание.Эта программа поставляется по дополнительному соглашению.

Описание платформы представляет собой файл в формате XML, в которомсодержатся следующие сведения:• параметры управления платформой;• типы ресурсов;• права и правила доступа.Главное окно программы PlatformEditor представлено на рисунке ниже.



В левой части окна отображается иерархический список объектов платформы,сгруппированных по разделам. В правой части — характеристики выбранногообъекта.Создание нового описания платформы или редактирование существующеговыполняют в этом окне. Описание команд меню представлено в таблице ниже.

Табл.23 Команды меню программы PlatformEditor

Команда Описание

Файл > Новый Загружает пустое описание

Файл > Открыть Вызывает на экран стандартный диалог MS Windows для выборафайла

Файл > Сохранить Сохраняет внесенные изменения в файл

Файл > Сохранитькак…

Вызывает на экран стандартный диалог MS Windows длясохранения файла

Файл > Выход Завершает работу программы

Правка > Вырезать Вырезает выбранный объект в буфер обмена

Правка >Копировать

Копирует выбранный объект в буфер обмена

Правка > Вставить Вставляет объект из буфера обмена в указанное место

Правка > Добавитьобъект

Вставляет новый объект в выбранный раздел

Правка > Удалитьобъект

Удаляет выбранный объект

Помощь > Опрограмме

Вызывает на экран диалог с информацией о версии программыи авторских правах

Для запуска программы:

• Запустите на исполнение файл PlatformEditor.exe.На экране появится главное окно программы.

Для создания нового описания платформы:

1. Вызовите меню "Файл" и активируйте команду "Новый".В левой части окна появится головной объект иерархического списка"Платформы".

2. Выберите раздел "Платформы", вызовите меню "Правка" и активируйтекоманду "Добавить объект".В иерархический список будет добавлен объект "Платформа".

3. Выберите объект "Платформа".В правой части окна отобразится перечень параметров выбранного объекта.

4. Укажите параметры объекта "Платформа":

Категория Выберите в раскрывающемся списке нужную категориюплатформы

Системноеимя

Введите уникальное имя платформы (рекомендуется использоватьтолько латинские символы)

Отображаемоеимя

Введите наименование платформы для отображения на экране

Описание Введите дополнительные сведения (необязательный параметр)

Созданиеагентов

В данной версии не поддерживается

Адаптерданных

Выберите в раскрывающемся списке:да — при наличии адаптера импорта данных;нет — при отсутствии адаптера импорта данных.



5. Добавьте в описание платформы необходимые объекты. Для каждогообъекта выполните следующие действия:• выберите нужный раздел;• вызовите меню "Правка" и активируйте команду "Добавить объект";• выберите добавленный объект и в левой части окна определите значения

его параметров.6. Сохраните описание платформы. Для этого вызовите меню "Файл" и выбе-

рите команду "Сохранить". При первом сохранении описания появится окнодля сохранения файла. Выберите нужную папку и укажите имя файла.

Для редактирования описания платформы:

1. Вызовите меню "Файл", активируйте команду "Открыть…" и в появившемсястандартном окне MS Windows выберите нужный файл с описанием плат-формы.В левой части окна появится головной объект иерархического списка"Платформы".

2. Раскройте иерархический список и внесите необходимые изменения.3. Сохраните внесенные изменения. Для этого вызовите меню "Файл" и выбе-

рите команду "Сохранить". Для сохранения описания в новом файле исполь-зуйте команду "Сохранить как…".

Комбинации клавишПеречень комбинаций клавиш, поддерживаемых в программе управления,приведен в таблице ниже.

Табл.24 Перечень комбинаций клавиш

Комбинацияклавиш Назначение

Esc Остановка загрузки данных в информационном окне

F5 Обновление данных в текущем информационном окне

Tab (либоAlt+F6)Shift+Tab

Переход в прямом (обратном) порядке между следующими окнами:список папок, информационное окно, вспомогательное окно, окносвойств

Shift+F10 Вызов контекстного меню для выделенного элемента

Ctrl+Page UpCtrl+Page Down

Переход к следующей (предыдущей) вкладке в информационномокне

Alt+Page UpAlt+Page Down

Переход к следующей (предыдущей) вкладке во вспомогательномокне

Delete Удаление объекта в информационном окне

Insert Создание объекта в информационном окне

Ctrl+C Копирование объекта

Ctrl+V Вставка объекта

Ctrl+F Установить фильтр для элементов в текущей вкладке винформационном окне

Ctrl+N Установить фильтр для элементов в информационном окне иотобразить их в новой вкладке

Ctrl+F4 Закрыть текущую вкладку в информационном окне



Терминологический справочникААгент ППО Агент платформы общего назначения, поддерживающий

возможность контролировать исполнение собственныхинструкций

Актуализация Фаза обработки заявки, связанная с назначением сотрудников,кото-рые будут исполнять требования заявки на уровнеобъектов ИС. В фазе актуализации при необходимости могутредактироваться параметры инструкций

Аудит Совокупность действий по учету всех изменений бизнес-объектов в системе

Аутентификация Средство для определения личности пользователя (дляприкладного сервиса) или доказательство достоверностиданных (для прикладного сервиса)

Аутентификацияпользователей

Средства, позволяющие системе дифференцироватьпользователей как по категориям, так и индивидуально.Используется для разграни-чения доступа к информационнымресурсам

Аутентификацияресурсов (сервисов)

Средства на стороне пользователя, позволяющие убедиться вдостоверности источника получения сервиса (отсутствиеподмены)

ББаза данныхсервера

База для хранения данных системы КУБ; устанавливается с сер-вером

ВВедение журналааудита

Процесс, связанный с сохранением всех изменений бизнес-объектов и их связей для дальнейшего построения отчетов

Выносной модульсистемного агента

Основан на принципе "тонкого" клиента. Реализует доставкувсех из-менений поддерживаемой платформы на сервернуючасть системного агента

ГГенерацияинструкций

Сформулированные результаты выполненных операций надобъекта-ми бизнес-логики применительно к объектам ИС

Генерациянесоответствий

Уведомления в системе о том, что произошли непредусмотренные заявками изменения в системе

Группа сетевыхпользователей

Правило проецирования сотрудников или других потребителейсервиса на основании их принадлежности к организационнойструктуре предприятия

ДДолжность Совокупность служебных прав и обязанностей

ЗЗаявка Электронный документ о необходимых изменениях в ИС

ИИмпорторганизационно-штатной структуры

Автоматическое заполнение организационно-штатной структурына основании данных, получаемых из систем кадрового учета идругих аналогичных источников



Импорт сетевойинфраструктуры

Ввод топологической информации предприятия вавтоматическом ре-жиме

Инсталляциясистемных агентов

Процесс установки выносных модулей системных агентов.Серверные модули устанавливаемых системных агентов должныбыть к этому мо-менту инсталлированы в составе сервера КУБ

Инструкция Электронный документ, содержащий указания по изменениюобъектов ИС

Исполнениеинструкций

Изменения в системе, производимые исполнителями наосновании по-лученных от ИС инструкций, а также изменения,производимые авто-матически

ККатегорияподразделения

Определяет роль данного подразделения в системе

Категория роли Способ группирования ролей

Категория ресурса Способ группирования ресурсов

Контрольисполнения заявки

Фаза обработки заявки, связанная с рассылкой уведомленийисполнителям инструкций, и ожидания оповещений обисполнении

ММаршрутсогласования

Порядок согласования заявки сотрудниками

ННастройкаорганизационно-штатной структуры

Процесс определения структуры ОШС, создания сотрудников ипостановки их на должности и т. п.

Настройка системы Ряд действий, направленных на введение системы вэксплуатацию после процесса инсталляции системы

Несоответствие Специальный объект, сигнализирующий о проблеме исвязывающий в единое целое событие от АС, инструкции,заявки и т. д.

Неформализованны-е заявки

Заявки в свободной форме

Номенклатурнаядолжность

Наименование профессии, которая указывается для должностейв штатной структуре предприятия (например: программист,инженер, логистик)

ООпределениесогласующих лиц

Алгоритм сервера КУБ (правила), позволяющий выбрать ипостроить маршрут согласования

Ответственность Объект системы КУБ, с помощью которого определяется —нужно ли реагировать на определенный класс событий,вызванных действиями заявки. Используется для автомати-ческого определения списка лиц, участвующих в согласованиизаявки

Отчет Документ, предоставляющий сведения о системе в целом илиотдель-ных ее частях

ППеренаправлениязаявок иинструкций

Действия, направленные на уведомления, с целью согласованияили исполнения ранее незадействованными лицами



Платформа (1) Определяет специфику ресурсов

Платформа (2) Обозначает программную и/или аппаратную среду (ОС, СУБД,межсе-тевой экран и пр.)

Подразделение Структурная единица предприятия

Подсеть Среда для сетевого взаимодействия устройств (хостов)

Подсистема сетевойбезопасности

Включает в себя специфичного системного агента плюс новыесущно-сти в рамках сервера КУБ

Подсистема сетевойинфраструктуры

Включает в себя редактор для ввода/редактирования иавтоматизированное средство для заполнения инфраструктуры

Подсистемауправления

Программа управления сервером КУБ и веб-портал системы(СУЗ)

Поиск заявок Процесс поиска заявок по определенным параметрам

Пользователь Аналог учетной записи, используемой в ИС

Пользовательскаякритическаяинформация

Ссылка на критические данные, при помощи которых сетевойпользователь или прикладной сервис аутентифицируются другперед другом

Правила обработкизаявок

Настройки, позволяющие серверу КУБ принимать решения вслучае неоднозначности процесса обработки заявки

Правило доступа Шаблонный набор прав доступа

Правило сетевойбезопасности

Условие прохождения сетевого трафика для каждой сетевойтрассы при условии наличия на трассах сетевых агентов безо-пасности. Правила делятся на глобальные и локальные правилабезопасности

Право доступа Элементарная разрешенная операция с ресурсом некотороготипа

Прикладной сервис Совокупность ресурсов или некоторой функциональности,доступной через сетевой доступ

Программауправлениясервером КУБ

Windows-приложение, предназначенное для настройки пара-метров системы КУБ сотрудниками СИБ и СА

Программноеобеспечение (ПО)

Набор программных средств, устанавливаемых на определенном[ых] хосте[ах] для обеспечения заданных прикладных сервисов

РРазвертываниесистемы

Набор действий по инсталляции системы (сервера КУБ,серверных модулей агентов) и начальные действия поконфигурированию системы

Распределенныйприкладной сервис

Сервис, части которого находятся на различных хостах

Ресурс Любой объект, к которому разграничивается доступ

Роль Объект бизнес-логики, определяющий права доступасотрудников к ресурсам в системе; в состав объекта входятресурсы и права доступа к ним, а также ответственности

ССервер КУБ Центральный компонент системы, осуществляющий

координацию работы всех остальных подсистем

Серверный модульсистемного агента

Модуль, реализующий логику генерации инструкций инесоответствий

Сетевая топология Совокупность подсетей и хостов, участвующих в сетевомвзаимодействии



Сетевая трасса Виртуальная линия на сетевой топологии, повторяющаядвижения сетевого трафика и соединяющая сетевого пользо-вателя с прикладным сервисом

Сетевой агентбезопасности

Устройство, исполняющее политику безопасности, называютсетевым агентом безопасности. Агенты безопасности делят нашлюз безопасности и клиент безопасности

Сетевой клиентбезопасности

Защищает хост, на котором он установлен

Сетевойпользователь

Сетевая проекция сотрудника или любого другого потребителяприкладных сервисов

Сетевой трафик Все устройства, вовлеченные в сетевую инфраструктуру,обмениваются сетевыми пакетами. Объем переданной илипринятой таким образом информации называется трафиком

Сетевой шлюзбезопасности

Защищает подсеть, ради которой установлен. По своей сутихосты за-щищаемой подсети делегируют ему свою защиту

Системауправлениязаявками

Веб-портал системы, используемый во всех фазах обработкизаявок. Механизм управления системой. Включает в себя всефазы обработки заявок — создание, согласование, обработкаалгоритма, генерация инструкций, актуализация и контрольисполнения

Системный агент(1)

Системный агент является специализированным программныммоду-лем, который представляет в системе КУБ отдельную частьИС

Системный агент(2)

Состоит из серверной и выносной частей

Событие Реакция системы на любые изменения объектов (сущностей)

Согласование Фаза обработки заявки, на которой определяется, непротиворечат ли требования заявки положениям политики ИБпредприятия

Сотрудник Физическое лицо, назначенное на должность

ТТаблицамаршрутизации

Правила прохождения сетевого трафика в пределах хоста

Технологическаясетевая трасса

Виртуальная линия на сетевой топологии, повторяющаядвижения сетевого трафика и соединяющая отдельные частираспределенного прикладного сервиса или агента с серверомКУБ

Тип ресурса Определяет номенклатуру прав доступа к ресурсу

Точка доступа Определяет способ получения (с сетевой точки зрения)прикладного сервиса

Точка сетевогосоединения

Точка соединения хоста с подсетью

Трансляция правилбезопасности

Генерация правил локальной политики безопасности для сете-вых агентов безопасности на основании правил глобальнойполитики безопасности

Транспорт агента Определяет расположение самого системного агента на сетевойтопологии

Трассировка правилбезопасности

Определяет расположение самого системного агента на сетевойтопологии

УУведомления Информационные сообщения, рассылаемые сотрудникам,

требующие принятия решения от сотрудника (уведомления-запросы) или не тре-бующие такового (простые уведомления)



Управлениесистемой

Совокупность процессов настройки (в том числе ипервоначальной) и стандартных бизнес-процессов (кадровыеоперации, реорганизация ор-ганизационно-штатной структуры,изменение полномочий сотрудников)

ФФизическое лицо Работник предприятия

ХХост Проекция аппаратного обеспечения на уровень сетевого взаимо-

действия

ЦЦикл обработкизаявки

Включает в себя все процессы обработки заявки на сервере КУБ

ШШтатноерасписание

Определяет должностной и количественный состав сотрудниковпод-разделения



Документация1. Система комплексного управления безопасностью КУБ.

Принципы построения и применения.Руководство администратора

2. Система комплексного управления безопасностью КУБ.Программа управления сервером КУБ.Руководство администратора

3. Система комплексного управления безопасностью КУБ.Система управления заявками.Руководство пользователя

4. Система комплексного управления безопасностью КУБ.Установка, изменение и удаление программногообеспечения.Руководство администратора

5. Система комплексного управления безопасностью КУБ.КУБ Ассистент.Руководство пользователя

6. Система комплексного управления безопасностью КУБ.Ввод в эксплуатацию.Руководство администратора

7. Система комплексного управления безопасностью КУБ.Система управления заявками.Инструкция

8. Система комплексного управления безопасностью КУБ.Краткое описание системы.Руководство администратора

