- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Замечания и рекомендации
№ |
Ситуация/замечание |
Риск |
Рекомендация |
1 |
Ошибочное получение пользователем прав преподавателя |
Средний |
Проверка данных пользователей, введённых в отделе кадров/деканатах. |
2 |
Ошибочное получение пользователем прав оператора, главного оператора или администратора |
Низкий |
Усовершенствование существующего контроля. |
3 |
Неполучение пользователем необходимых прав |
Высокий |
Усовершенствование существующего скрипта для исключения риска. В качестве временной меры возможно ручное редактирование всех учётных записей, подверженных риску. |
4 |
Несанкционированное изменение прав пользователей |
Низкий |
Усовершенствование существующего контроля. Выдача администраторских прав только людям с высоким кредитом доверия. |
Таблица разделения прав и полномочий системы и её анализ
Категории пользователей Права доступа |
Администратор |
Главный оператор |
Оператор |
Преподаватель |
Создание модуля |
+ |
+ |
+ |
+ |
Переименование модуля |
+ |
+ |
+ |
+ |
Удаление модуля |
+ |
+ |
+ |
+ |
Изменение порядка сортировки модуля внутри дисциплины |
+ |
+ |
+ |
+ |
Создание темы |
+ |
+ |
+ |
- |
Переименование темы |
+ |
+ |
+ |
- |
Удаление темы |
+ |
+ |
+ |
- |
Изменения порядка сортировки темы внутри модуля |
+ |
+ |
+ |
- |
Прикрепление файлов |
+ |
+ |
+ |
+ |
Удаления файлов |
+ |
+ |
+ |
+ |
Прикрепление тестов |
+ |
+ |
+ |
+ |
Удаление тестов |
+ |
+ |
+ |
+ |
Переименование дисциплины |
- |
+ |
- |
- |
Изменение семестра дисциплины |
- |
+ |
- |
- |
Перемещение дисциплины между ООП |
- |
+ |
- |
- |
Удаление дисциплины |
- |
+ |
- |
- |
Просмотр статистики по структурным компонентам объектов системы |
+ |
+ |
+ |
- |
Просмотр статистики по направлениям подготовки |
+ |
+ |
+ |
- |
Просмотр справочника УГСНП |
+ |
+ |
+ |
- |
Редактирование групп пользователей |
+ |
- |
- |
- |
Редактирование данных пользователя |
+ |
- |
- |
- |
Просмотр даты и времени загрузки файла на сервер |
+ |
+ |
+ |
+ |
Права доступа, имеющиеся у всех пользователей системы, по сути не требуют выделения, так как по отношению к ним не происходит реального разделения. Однако, ввиду важности данных прав, имеет смысл пересмотреть наличие конкретных прав у определённых групп пользователей, дабы ликвидировать избыточность возможностей текущих пользователей системы.
Рекомендуется лишить группу администраторов прав создания, переименования, удаления модуля, а также прикрепления и удаления файлов и тестов. В случае необходимости наличия подобных прав у человека, являющегося администратором, создать ему учётную запись с правами оператора.
Изменение прав определённой группы пользователей возможно лишь путём редактирования кода программы, что неудобно. Рекомендуется организовать хранение групп пользователей и их прав в базе данных и создать интерфейс для их редактирования.