- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1 |
Ошибочное получение пользователем прав оператора, главного оператора и администратора |
Описание: Просмотр администратором журнала событий Цель: Отслеживание возможного неправильного изменения профилей пользователей Результат: Выявление пользователей с ошибочными правами
|
По мере необходимости |
Обнаружения |
Автоматический/ручной |
Процедура: Воспроизведение. Создание нового пользователя, смена групп/выдача различных прав, удаление пользователя. Результат: Единственное, что отображено в журнале событий – удаление пользователя. Исполнитель: Никитин Д.А. Дата: 22.02.2012 |
Контроль неэффективен |
2 |
Несанкционированное изменение прав пользователей |
||||||
3 |
Наличие прав у пользователей, завершивших работу в системе |
Описание: При попытке авторизации установление неактивного статуса учётных записей пользователей, отмеченных в базе данных как ушедших из института Цель: Недопуск к работе с системой пользователей, потерявших на это право Результат: Только лица, причастные к институту в данный момент могут работать с системой
|
Регулярный |
Предупредительный |
Автоматический |
Процедура: Наблюдение. Просмотр списка пользователей на предмет активности/неактивности учётных записей бывших сокурсников Результат: Учётные записи отчисленных студентов неактивны Исполнитель: Никитин Д.А. Дата: 22.02.2012 |
Контроль эффективен |
Замечания и рекомендации
№ |
Ситуация/замечание |
Риск |
Рекомендация |
1 |
Ошибочное получение пользователем прав преподавателя |
Средний |
Проверка данных пользователей, введённых в отделе кадров/деканатах. |
2 |
Ошибочное получение пользователем прав оператора, главного оператора и администратора |
Низкий |
Усовершенствование существующего контроля. |
3 |
Неполучение пользователем необходимых прав |
Высокий |
Усовершенствование существующего скрипта для исключения риска. В качестве временной меры возможно ручное редактирование всех учётных записей, подверженных риску. |
4 |
Несанкционированное изменение прав пользователей |
Низкий |
Усовершенствование существующего контроля. Выдача администраторских прав только людям с высоким кредитом доверия. |
Процессы доработки системы, внесения изменений
Диаграмма |
Текстовое описание |
|
Заявка на изменение осуществляется заказчиком изменений в устной форме, либо в виде письма на e-mail главного программиста системы либо менеджера по организации работ по созданию системы ИРРО. Официальные документы (с подписями и ответственными лицами) не создаются.
По заявке на внесение изменений разрабатывается алгоритм (план и порядок) внесения изменений.
Программистом создается копия скриптов системы ИРРО
Изменения, согласованные программистом и заказчиком, вносятся программистом в копию скриптов системы ИРРО.
Программистом осуществляется тестирование новых изменений и всей системы в целом.
Измененная копия скриптов системы тестируется другими программистами системы, самим заказчиком изменений, персоналом из подразделения Учебного отдела и Вычислительного центра МИЭТ.
После успешного тестирования в реально работающую систему программистом вносятся изменения.
Все внесенные изменения описываются в техническом отчёте и общем отчете о проделанной работе на основе отчетов о тестировании измененной копии скриптов программистом, внесшим изменения. |