- •Курсовая работа
- •Цели и задачи.
- •План-график и анализ отклонений.
- •Объект исследования.
- •Описание общего понимания работы системы.
- •Анализ внедрения системы по заданным областям.
- •Система внутренних контролей (Controls outcome)
- •Интерфейсы (interfaces)
- •Общие компьютерные контроли (itgc)
- •Бизнес-процессы (Business processes)
- •Определение существенных бизнес-процессов
- •Работа по учебному плану. (Рисунок 2)
- •Выделение существенных рисков.
- •Выделение контрольных процедур
- •Цели бизнеса (Business case)
- •Выявление «узких» мест и подготовка рекомендаций по улучшению процесса.
- •Узкие места
- •Список замечаний и рекомендаций. (Таблица 6)
Объект исследования.
Объектом аудита является информационная система ОРОКС. Она представляет собой сетевую оболочку для организации и проведения полномасштабного обучения с использованием сетевых технологий.
Описание общего понимания работы системы.
Для составления описания системы были использованы различные источники информации:
Интервьюирование разных групп пользователей: студентов, преподавателей и разработчиков системы
Непосредственная работа с системой
Информация о системе из интернет - ресурсов
После проведения соответствующих мероприятий, мы выявили, что:
ОРОКС – это программный комплекс, обеспечивающий организацию и проведение обучения, в том числе тестирование, доступ к информационным ресурсам электронной коллекции МИЭТа.
Основные направления использования ОРОКС в МИЭТ:
Учебный процесс;
Система дистанционного обучения МИЭТ;
Также в системе существует раздел «Электронная библиотека», где после авторизации можно загрузить или найти интересующий Вас ресурс, после заполнения соответствующих полей представленной электронной формы.
В учебной системе ОРОКС осуществляется разграничение прав доступа. Вход в какую-либо категорию происходит после авторизации. В системе предусмотрены следующие основные категории пользователей, которые имеют определенные возможности:
«Для Студентов»
«Для преподавателей»
Преподаватель-методист
Преподаватель-куратор
«Для администраторов»
Учебный администратор,
Администратор системы
Анализ внедрения системы по заданным областям.
Система внутренних контролей (Controls outcome)
Анализ внедрения системы подразумевает, прежде всего, анализ системы внутренних контролей, которая состоит из следующих областей:
Контроли интерфейсов
Общие компьютерные контроли
Контроли бизнес – процессов.
В каждой области существуют свои риски. Для каждого риска должна предприниматься соответствующая контрольная процедура. Рассмотрим каждую область в отдельности.
Интерфейсы (interfaces)
В процессе работы были выявлены риски интерфейсов и следующие контрольные процедуры для их предотвращения (Таблица2):
Таблица 2. Матрица контролей и их тестирование
№ |
Риск |
Кр. описание контроля |
Частота контроля |
Контроль предупредительный/ обнаружения |
Контроль ручной/ автоматический |
Тестирование контроля |
Выводы |
1 |
Перехват авторизационных данных |
Описание: Усложнение доступа к системе Цель: обеспечить защиту от несанкционированного доступа к чужим данным
|
1 раз в год |
предупредительный |
автоматический |
Процедура: введение параметров установление пароля повышенной сложности Результат: повышение уровня безопасности
|
Обеспечивает защиту данных пользователя |
2 |
Ошибка авторизации |
Описание: Единовременная проверка соответствия пароля и всплывающие подсказки Цель: снижение вероятности ошибок, возможность быстрого обнаружения и исправления ошибки Результат: нет потери пароля, своевременное оповещение об ошибках |
При каждой авторизации |
обнаружения |
автоматический |
Процедура: проверка наличия всплывающих подсказок при наборе пароля
|
Обеспечивает обнаружение ошибок при авторизации |
3 |
Ошибка загрузки информационной формы |
Описание: Проверка соединений внутри системы Цель: обеспечение корректной работы системы
|
Каждый день |
предотвращения |
автоматический |
Процедура: Наблюдение за процессом установления соединений и просмотр отчетов Результат: полная загрузка нужных форм системы
|
Уменьшает возможность некорректной загрузки форм |
4 |
Материалы не найдены |
Описание: Ввод из допустимых значений Цель: осуществление правильного и качественного поиска
|
1 раз |
Предупредительный |
автоматический |
Процедура: наблюдение за вводом условий поиска Результат: уменьшение ошибок вследствие некорректного ввода значений
|
Делает возможным нахождение нужного материала |
5 |
Ошибка загрузки формы с результатами |
Описание: Наличие единой формы отображения Введение определенной формы отображение результата в соответствии с назначенными правами Цель: обеспечение доступа к данным, соответственно с назначенными правами доступа |
1 раз |
предупредительный |
автоматический |
Процедура: наблюдение за выводом результатов для разных групп пользователей Результат: единообразное и корректное отображение |
Обеспечивает правильную загрузку формы с результатами |
Исходя из данных таблицы, можно сказать, что основным риском является разглашение данных, нарушение корректности вывода данных, а для предотвращения их на данный момент используется только личный контроль пользователя, что на наш взгляд недостаточно для обеспечения надежности и правильности получаемых и передаваемых данных.