- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Замечания и рекомендации
№ |
Ситуация/замечание |
Риск |
Рекомендация |
2.2 |
Отсутствие настроек парольной политики у такого пользователя как администратор БД. |
Высокий |
Для увеличения безопасности доступа, необходимо ввести настройки парольной политики администратору БД. |
3.1 |
Внедрение SQL запроса (SQL injection) |
Высокий |
Следует добавить фильтр на наличие в параметрах скриптов sql запросов, добавить преобразования типов параметров (если известно, что параметр имеет тип int - т.е. он целого типа, то необходимо преобразование параметра к целому типу), добавить одинарные кавычки в sql запросы к БД для значений атрибутов таблиц БД. |
Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
Система ИРРО создана на платформе «1С-Битрикс», которая имеет дискреционную политику безопасности – политика безопасности, основанная на дискреционном управлении доступом (Discretionary Access Control), которое определяется двумя свойствами:
все субъекты и объекты идентифицированы;
права доступа субъектов на объекты системы определяются на основании некоторого внешнего по отношению к системе правила.
Основным элементом систем дискреционного разграничения является матрица доступов. Матрица доступов – это матрица размером , строки которой соответствуют субъектам (в нашем случае это столбцы матрицы), а столбцы соответствуют объектам (в нашем случае это строки). При этом каждый элемент матрицы доступов определяет права доступа субъекта s на объект o, где – множество прав доступа.
В системе «1С-Битрикс» используется групповое разграничение прав доступа, которое является развитием политики дискреционного разграничения прав доступа. Под субъектами понимаются группы пользователей, а в качестве объектов выступают операции в системе ИРРО.
В настоящее время в системе ИРРО существуют следующие категории пользователей:
администратор;
главный оператор;
оператор;
преподаватель.
Для обеспечения разграничения прав доступа необходима авторизация пользователей на сайте.
При авторизации пользователя в системе происходит обновление ФИО, даты рождения, подразделения пользователя из единой БД пользователей МИЭТ. Единая БД МИЭТ заполняется отделом кадров (для сотрудников) и деканатами (для студентов).
В соответствии с подразделением пользователя в БД МИЭТ в БД ИРРО ему присваивается соответствующая группа Битрикс, находясь в которой он получает набор прав в системе ИРРО.
Так, автоматически свои группы пользователей получают преподаватели в системе. Главной проблемой (риском), которая может возникнуть на этом этапе это ситуация, когда преподаватель работает на нескольких кафедрах. Тогда в БД МИЭТ в поле подразделения ему будет указано слово #MULT# и в системе ИРРО будет не возможно автоматически присвоить данному преподавателю группы пользователей. Это надо будет сделать вручную.
Также вручную пользователям системы ИРРО присваиваются права оператора и главного оператора.
Возможности каждой категории пользователей указаны в «Таблице разделений прав и полномочий в системе». Предоставление прав каждой категории пользователей жестко указано в коде скриптов системы.