- •1. Цели и задачи
- •2. Границы изучения процесса и ограничения
- •3. План-график работ
- •4. Организация внутреннего контроля в Wikipedia, описание политик, контрольных процедур высокого уровня
- •Контрольные процедуры высокого уровня и организация внутреннего контроля Контрольная среда (Control Environment)
- •Корпоративная культура
- •Критерии отбора людей на высшие административные позиции
- •Риск-менеджмент (Risk Assessment)
- •Ограничение доступа
- •Способы авторизации операций
- •Внешний аудит
- •Мониторинг (Monitoring)
- •5. Процесс создания статей
- •6. Процесс администрирования:
- •7. Организация общих контрольных процедур ит
- •8. Таблица рисков
- •9. Таблица разделения полномочий и прав доступа:
- •10. Таблицы контрольных процедур и тестирования:
- •11. Выводы
- •12. Список замечаний и рекомендаций
- •13. Список использованных учетных записей
- •14. Список созданных и обновленных статей
- •15. Использованная литература
- •16. Резюме членов команды
- •1. Алена Локтева
- •4. Павел Никифоров
- •5. Анна Овсянникова
10. Таблицы контрольных процедур и тестирования:
№ |
Риск |
Кр. описание контроля |
Частота контроля |
Контроль предупредительны/ обнаружения |
Контроль ручной/ автоматический |
Тестирование контроля |
Выводы |
1 |
|
Описание: проверка администраторами новых статей, их содержания. Цель: нахождение и устранение недостатков. Результат: исправление статьи или ее удаление. Если статья нарушает правила Wikipedia, администратор оставляет предупреждение ее автору. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: Воспроизведение. а) С сайта МИЭТ была скопирована статья в Wikipedia про факультет ИнЭУП, в которую была добавлена реклама. Через 2 дня было сделано направление на эту статью со статьи про МИЭТ в Wikipedia. б) Попытка написать статью про факультет ПРИТ. Результат: а) Через два дня после размещения статья была удалена, так как нарушала авторские права. б) Статья удалена, так как не удовлетворяет требованиям информативности, энциклопедичности, нарушает авторские права. Исполнитель: а) Локтева Алена. Учетная запись: Alenuwka88. б) Струкова Александра. Учетная запись: Alexandra S Дата: а) 16.02.09 – 18.02.09. б) 22.02.09-24.02.09. |
Контроль работает хорошо. |
2 |
|
Описание: проверка администраторами свежих правок. Цель: проверка корректности исправлений, соответствия правилам Wikipedia. Результат: если исправления корректны, администратор оставляет их, в противном случае – возврат к предыдущему варианту статьи. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: Воспроизведение. а) удалена информация со страницы колледж электроники и информатики, б) исправлен год награждения МИЭТ орденом трудового красного знамени с 1984 на 1985, в) сделана запись в статье о МИЭТе: МИЭТ – лучший ВУЗ страны. Я его люблю. г) в статье про Иридиум сделана правка числовых значений. Результат: а, б, в) исправления отслежены и удалены в течение дня. Участнику Annyshka_5 как новичку вынесено предупреждение. г) исправления до сих пор не замечены и не исправлены. Исполнитель: а, б, в) Овсянникова Анна, логин Annyshka_5. г) Струкова Александра. Дата: а, б, в) 11.02.08. г) 17.02.09. |
В большинстве случаев контроль работает, но в некоторых ситуациях ошибки могут быть незамечены. |
3 |
|
Описание: более пристальный контроль за действиями участника, допускающего ошибки. Цель: контроль деятельности участника; выявить, были ошибки участника случайными или умышленными. Результат: если ошибки случайны – предупреждение, если умышленны – блокировка пользователя. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: Воспроизведение. Участником, который скопировал статью про факультет ИнЭУП (и которая была удалена), была добавлена статья про кафедру ИПОВС, также нарушающая авторские права. Результат: Статья удалена в течение дня администратором Alex Spade, ранее удалившим статью про ИнЭУП. Исполнитель: Локтева Алена. Учетная запись: Alenuwka88. Дата: 18.02.09. |
Контроль эффективен. |
4 |
|
Описание: проверка жалоб участников на необъективность действий администрации. Цель: проверка работы администрации. Результат: выявление недобросовестных администраторов и отстранение их от должности. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: Наблюдение. Результат: обнаружены жалобы участников на бездействие арбитражного комитета, на несправедливые выборы, блокировку IP-адресов без причины. Например |
Контроль производится не всегда в срок. |
5 |
|
Описание: проверка заявок пользователей. Цель: улучшить качество статей. Результат: качественная статья. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: наблюдение. Результат: Администраторы производят обработку запросов Запросы к администраторам и выполнение, запросы к бюрократам |
Контроль достаточен. |
6 |
Запуск ботов для создания учетных записей |
Описание: при создании учетной записи необходим ввод слова с картинки. Боты не смогут определить, что на ней написано. Цель: предотвратить возможность использования ботов для создания учетных записей. Результат: аккаунты создаются реальными пользователями. |
Единожды |
Предупредительный контроль |
Автоматический |
Процедура: Воспроизведение. Результат: При вводе не того слова, что на картинке – ошибка. Исполнитель: Мельников Леонид. Дата: 12.02.09. |
Контроль достаточен |
7 |
Взлом созданных аккаунтов |
Описание: создание пароля для аккаунта. Цель: авторизация пользователей. Результат: учетные записи защищены. |
Каждый раз при авторизации |
Предупредительный контроль |
Автоматический |
Процедура: Воспроизведение. Создана учетная запись. Результат: Создание учетной записи с паролем в 1 цифру прошло успешно. Исполнитель: Мельников Леонид. Дата: 12.02.09. |
Контроль недостаточен. Необходимо поставить ограничения по паролю минимум на 6 символов с использованием букв и цифр. |
8 |
Вандализм |
Описание: каждое изменение в статьях записывается в журнал правок с указанием времени и размером изменения. Далее пользователи и администраторы проверяют правильность изменений. Цель: если внесенные изменения неправильны, отменить их и вернуть первоначальный вид статьи. Результат: вандалов банят по ip-адресам, а так же по тем ip-адресам, под которыми была осуществлена авторизация данного аккаунта. Под забаненными ip-адресами нельзя создавать аккаунты, править статьи. |
1 раз/1 изм |
Контроль обнаружения |
Ручной/ автоматический контроль |
Процедура: Воспроизведение. Удалил часть статьи. Результат: Администратор исправил все изменения с предупреждением внесения ip-адреса в бан. При повторном изменении бессрочный бан. При авторизации на другом компьютере забанивается ip-адрес этого компьютера. Если ip-адрес забанен, нельзя создавать аккаунт. Исполнитель: Мельников Леонид Дата: 13.02.09. |
Контроль достаточен для пользователей с 1 ip-адресом. При перезагрузке модема ip-адрес меняется. Появляется возможность создания нового аккаунта. |
9 |
Запуск ботов для создания и корректировки статей |
Описание: при добавлении внешней ссылки необходимо ввести слово с картинки, что не может сделать бот. Цель: предотвратить использование ботов для создания и корректировки статей. Результат: внешние ссылки добавляются реальными пользователями. |
Единожды |
Предупредительный контроль |
Автоматический |
Процедура: Воспроизведение. Результат: При вводе не того слова, что на картинке – ошибка. Исполнитель: Мельников Леонид. Дата: 13.02.09. |
Контроль недостаточен. Необходимо проверять контрольным словом постоянно до некоторой уверенности в пользователе. |
10 |
Заражение пользователей вирусами |
Описание: использование антивируса на сервере. Цель: удаление/лечение зараженных файлов. Результат: пользователи защищены от вирусов. |
Постоянно |
Предупредительный контроль |
Автоматический |
Процедура: Наблюдение. Результат: Во время работы с Wikipedia вирусов червей и других угроз не обнаружено. Попытка заражения вирусами Исполнитель: Мельников Леонид. Дата: 11.02.09 – 16.02.09. |
Контроль достаточен |
11 |
Массовая атака на статью |
Описание: закрытие доступа к правкам статьи. Цель: защита статьи. Результат: статья недоступна для правок. |
1раз/5 изм |
Предупредительный контроль |
Ручной/ автоматический контроль |
Процедура: Воспроизведение. 5 неверных изменений подряд с разных ip-адресов. Результат: Доступ к правкам закрыт администратором. Исполнитель: Мельников Леонид. Дата: 14.02.09. |
Контроль достаточен |
12 |
Выбор некомпетентного сотрудника |
Описание: проверка соответствия администратора требованиям. Цель: отсев неподходящих претендентов. Результат: компетентность сотрудников. |
По мере подачи заявок |
Предупредительный контроль |
Ручной контроль |
Процедура: наблюдение. Результат: В информации об участнике можно видеть, как выполнены требования, голосование за правила, требуемые к кандидатам |
Контроль довтаточен |
13 |
Выбор некомпетентного сотрудника
|
Описание: проведение голосования. Цель: отсев неподходящих претендентов. Результат: компетентность сотрудников. |
По мере подачи заявок |
Предупредительный контроль |
Ручной контроль |
Процедура: наблюдение. Результат: рассмотрим на примере конкретной заявки |
Контроль достаточен |
14 |
|
Описание: контроль за работой администрации (администраторы, стюарды, бюрократы). Цель: предотвращение административного произвола. Результат: выявление недобросовестной администрации. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: наблюдение. Результат: Отстранение Арбитражным комитетом недобросовестного администратора |
Контроль достаточен |
15 |
Создание большого числа виртуалов со злым умыслом |
Описание: чекъюзер контролирует ip-адреса пользователей, попавших под подозрение. Цель: выявление виртуалов. Результат: удаление или блокировка виртуалов. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: наблюдение. Результат: можно ознакомиться с результатами работы чекъюзеров |
Контроль достаточен |
16 |
|
Описание: ревизор проверяет правки. Цель: удаление непубличной персональной информации, удаление потенциально порочащей информации, устранение нарушений авторского права, контроль действий других ревизоров. Результат: корректные статьи. |
|
|
|
Процедура: наблюдение. Результат: запросы к ревизорам |
Контроль достаточен |
17 |
|
Описание: патрулирующий проверяет статью. Цель: проверка статьи на соответствие правилам Wikipedia. Результат: отметка о патрулировании. |
Регулярно |
Контроль обнаружения |
Ручной контроль |
Процедура: наблюдение. Результат: Список патрулированных статей |
Контроль достаточен |