- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Текстовое описание контролей процесса
Процесс разделения прав и полномочий в ИРРО фактически не имеет функционирующих контролей. Единственный контроль, являющийся автоматическим контролем обнаружения, является неэффективным и требует регулярного участия работников системы. Данным контролем является журнал событий, существующий для отслеживания изменений в системе. Следующие события, относящиеся к рассматриваемому процессу, не отслеживаются журналом:
регистрация нового пользователя;
изменение групп пользователя;
изменение политики безопасности группы.
При этом, исходя из настроек журнала, изменение групп пользователей не должно отслеживаться, хотя такая опция существует. Стоит отметить тот факт, что хотя журнал и не отмечает регистрацию новых пользователей, удаление пользователей им отслеживается. Ввиду своей неэффективности, журнал событий в действительности практически не просматривается администраторами.
Все риски, указанные в матрице рисков, за исключением риска №3 (“Неполучение пользователем необходимых прав”) является возможными результатами некачественной работы сотрудников института, как работающих непосредственно с системой, так и не связанных с ней напрямую. Создание эффективных контролей для некоторых из них со стороны ИРРО не представляется возможным.
Матрица целей и рисков
№ |
Цель |
Описание риска |
Вероятность |
Влияние |
Комментарии |
1 |
Правильное назначение пользовательских прав в системе |
Ввиду ошибки отдела кадров при вводе информации любые пользователи системы могут получить возможности преподавателя |
Низкая |
Высокое |
|
2 |
Ввиду ошибки администратора при выдаче прав какие-либо пользователи могут получить права оператора, главного оператора или администратора |
Низкая |
Высокое |
|
|
3 |
В случае принадлежности преподавателя/студента к нескольким подразделениям/группам, он не получает доступа ни к одному из них |
Высокая |
Низкое |
Данные пользователи хранятся в группе #MULT# исследуемой системы, которая насчитывает 35 активных пользователей |
|
4 |
Отсутствие злоупотребления своими полномочиями со стороны администратора |
Умышленная выдача администратором избыточных прав конкретным пользователям |
Низкая |
Высокое |
|
5 |
Ввод информации только людьми, ответственными за её занесение |
Доступ к базе данных людьми, не ответственными за занесение информации и возможная вредоносная деятельность |
Низкая |
Высокое |
|
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1 |
Ошибочное получение пользователем прав оператора, главного оператора и администратора |
Описание: Просмотр администратором журнала событий Цель: Отслеживание возможного неправильного изменения профилей пользователей Результат: Выявление пользователей с ошибочными правами
|
Постоянный/ежегодный |
Обнаружения |
Автоматический/ручной |
Процедура: Воспроизведение. Создание нового пользователя, смена групп/выдача различных прав, удаление пользователя. Результат: Единственное, что отображено в журнале событий – удаление пользователя. Исполнитель: Никитин Д.А. Дата: 22.02.2012 |
Контроль неэффективен. Последствия наступления рисков не обнаруживаются. |
2 |
Несанкционированное изменение прав пользователей администратором |