Матрица контролей и результаты тестирования эффективности контролей

№

Риск

Краткое описание контроля

Частота контроля

Контроль предупредительный/обнаружения

Контроль ручной/автоматический

Тестирование контроля

Выводы

1

Ошибочное получение пользователем прав оператора, главного оператора и администратора

Описание:

Просмотр администратором журнала событий

Цель:

Отслеживание возможного неправильного изменения профилей пользователей

Результат:

Выявление пользователей с ошибочными правами

По мере необходимости

Обнаружения

Автоматический/ручной

Процедура:

Воспроизведение.

Создание нового пользователя, смена групп/выдача различных прав, удаление пользователя.

Результат:

Единственное, что отображено в журнале событий – удаление пользователя.

Исполнитель:

Никитин Д.А.

Дата:

22.02.2012

Контроль неэффективен

2

Несанкционированное изменение прав пользователей

3

Наличие прав у пользователей, завершивших работу в системе

Описание:

При попытке авторизации установление неактивного статуса учётных записей пользователей, отмеченных в базе данных как ушедших из института

Цель:

Недопуск к работе с системой пользователей, потерявших на это право

Результат:

Только лица, причастные к институту в данный момент могут работать с системой

Регулярный

Предупредительный

Автоматический

Процедура:

Наблюдение.

Просмотр списка пользователей на предмет активности/неактивности учётных записей бывших сокурсников

Результат:

Учётные записи отчисленных студентов неактивны

Исполнитель:

Никитин Д.А.

Дата:

22.02.2012

Контроль эффективен

№

Ситуация/замечание

Риск

Рекомендация

1

Ошибочное получение пользователем прав преподавателя

Средний

Проверка данных пользователей, введённых в отделе кадров/деканатах.

2

Ошибочное получение пользователем прав оператора, главного оператора и администратора

Низкий

Усовершенствование существующего контроля.

3

Неполучение пользователем необходимых прав

Высокий

Усовершенствование существующего скрипта для исключения риска. В качестве временной меры возможно ручное редактирование всех учётных записей, подверженных риску.

4

Несанкционированное изменение прав пользователей

Низкий

Усовершенствование существующего контроля. Выдача администраторских прав только людям с высоким кредитом доверия.

Диаграмма

Текстовое описание

1. Составление заявки на внесение изменений

Заявка на изменение осуществляется заказчиком изменений в устной форме, либо в виде письма на e-mail главного программиста системы либо менеджера по организации работ по созданию системы ИРРО. Официальные документы (с подписями и ответственными лицами) не создаются.

2. Создание алгоритма внесения изменений

По заявке на внесение изменений разрабатывается алгоритм (план и порядок) внесения изменений.

3. Создание копии скриптов системы

Программистом создается копия скриптов системы ИРРО

4. Внесение изменений в копию скриптов системы

Изменения, согласованные программистом и заказчиком, вносятся программистом в копию скриптов системы ИРРО.

5. Тестирование внесенных изменений

Программистом осуществляется тестирование новых изменений и всей системы в целом.

6. Тестирование внесенных изменений

Измененная копия скриптов системы тестируется другими программистами системы, самим заказчиком изменений, персоналом из подразделения Учебного отдела и Вычислительного центра МИЭТ.

7. Внесение изменений в работающую систему

После успешного тестирования в реально работающую систему программистом вносятся изменения.

8. Написание технического отчета и общего отчета о проделанной работе

Все внесенные изменения описываются в техническом отчёте и общем отчете о проделанной работе на основе отчетов о тестировании измененной копии скриптов программистом, внесшим изменения.