- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
Доступ пользователя к системе можно заблокировать вручную, либо он может быть заблокирован автоматически.
Вручную доступ пользователя к системе можно заблокировать при редактировании пользователя.
Также при ручном добавлении группы пользователю можно указать период активности пользователя в данной группе. По истечению срока пользователь перестанет числится в данной группе и потеряет набор прав, которые давала данная группа пользователей. Если данной группой будет группа «Локальные пользователи», то пользователь не сожжет войти в систему.
Возможность подключения к данным напрямую?
Да, возможно.
Находясь в локальной сети МИЭТ и имея логин и пароль пользователя БД, можно получить прямой доступ к данным в БД. Например, это можно сделать через программу SQL Server Management Studio.
Тема интервью |
Процесс доработки системы и внесения изменений |
Интервьюер |
Локтева Т.А. |
Респондент |
Берёза Е.О. |
Дата |
24.02.2012 |
Каким образом происходит доработка системы, внесение изменений?
Доработка системы и внесения изменений происходят следующим образом. Если в системе необходимо что-либо доработать, то создается копия дорабатываемого скрипта (скриптов), в данную копию вносят изменения. Также перед внесением изменений разрабатывается план и порядок (алгоритм) внесения изменений.
После того, как все изменения внесены, осуществляется тестирование новых изменений и все системы в целом самим программистом (т.к. изменения в одних частях системы могут привести к ошибкам в её других частях). После тестирования программистом измененную систему тестирует другие программисты системы, сам заказчик изменений и специальные люди (чаще всего из подразделения Учебного отдела и Вычислительного центра).
Опытные программисты (их всего 3 человека) осуществляют работу с копиями изменяемых скриптов системы на том же сервере, где и находится весь Web-интерфейс системы.
Менее опытные программисты производят работу над изменяемыми скриптами на тестовом сервере, где установлена кроссплатформенная сборка веб-сервера xampp (Apache+MySQL+PHP+Perl+Дополнительные библиотеки) и на тестовом сервере не установлена CMS 1C-Битрикс, которая есть на сервере ИРРО, отвечающем за его Web-интерфейс.
Также на тестовом сервере происходит создание новых интерфейсов системы, но это также только менее опытные программисты. 3 опытных программиста всегда работают на реальном сервере.
Пишется ли заявка на изменение?
Заявка на изменение чаще всего осуществляется в устной форме, либо в письменной в виде письма на e-mail главного программиста системы, либо менеджера по организации работ по созданию системы ИРРО.
Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Как я уже говорил, чаще всего заявка на изменение осуществляется в устной форме, и сам заказчик на словах объясняет либо менеджеру, либо главному программисту системы что необходимо добавить или изменить в системы.
Официальные документы (с подписями и ответственными лицами) не создаются.
Это происходит из-за того, что система разрабатывается при очень малом количестве ресурсов (основным из которых является время программистов) и больших объемов работ, и чтобы уменьшить время на доработку и внесения изменений в системе, убран этап подачи официальной заявки на изменение (доработку).
После внесения изменений (доработки системы) программистом пишется технический отчет и общий отчет о проделанной работе.
Кем вносятся изменения в систему?
Конечно же, программистами. Если изменения в системе связаны с изменениями данных в БД, изменения её структуры, то может быть еще привлечен администратор БД.
Есть ли контроль после внесения изменения? Он автоматический/ручной?
Да есть. Контроль ручной и заключается в тестировании измененной системы программистами, специально обученными тестировщиками и пользователями системы.
Описываются и подтверждаются ли внесенные изменения? Если да, то кем и в каком виде?
Все внесенные изменения описываются и подтверждаются в техническом отчёте (электронный файл) программистом, внесшим изменения.
Подтверждение внесенных изменений это тоже своего рода контроль?
Думаю да, потому что, если программист подтверждает изменения в системе в виде технического отчёта, то он берет на себя ответственность (контроль) за внесенными изменениями.
Какие, на твой взгляд, могут быть риски? Например, риск не утверждения заявки? риск того, что внесенные изменения не работают?
Риски могут быть в том, что внесенные изменения в одной части системы могут повлечь за собой ошибки в абсолютно другой, на первый взгляд не совсем связанной с данной, частью системы. И эти ошибки могут быть не выявлены на этапе тестирования, и проявится на этапе использования системы.
Тема интервью |
Процесс эксплуатации и текущей поддержки системы |
Интервьюер |
Никтин Д.А. |
Респондент |
Берёза Е.О. |
Дата |
17.02.2012 |
Какие существуют категории пользователей информационной системы? Какими правами наделена каждая категория пользователей ИС?
По ответам на данные вопросы составлена таблица прав пользователей.
Кто может назначать права?
Права преподавателям назначают в деканатах/отделе кадров; операторы и главные операторы назначаются администратором. Дать кому-то права администратора может только другой администратор.
Кто может изменять права?
Права может изменять только администратор.
Как происходит назначение/разделение прав?
Выбранные пользователи заносятся в соответствующие группы (администраторы, ИРРО, ИРРО - редактор структуры; преподаватели заносятся в группу своей кафедры)
Как отслеживается изменение прав?
Фактически, никак.
Каким образом регистрируются новые пользователи в ИС?
В деканатах/отделе кадров. Администратор также может создавать пользователей.
Для каких сотрудников существуют учётные записи?
Для абсолютно всех, т.е. включая людей, не имеющих реального отношения к учёбе.
Как контролируется недопустимость изменения прав людьми, которые этого делать не должны?
Фактически, никак.
Какие угрозы существуют в случае ошибочного назначения прав?
Те, кому будут присвоены права, получат возможности полученной группы со всеми вытекающими обстоятельствами (см. таблицу прав пользователей)
Как можно восстановить данные при чьей-либо вредоносной деятельности (удалении данных)?
Вручную, при этом удаляются все связи и все дочерние объекты, если такие существуют.
Возможны ли исключения в правах определённого пользователя одной категории?
Волей администратора, всё что угодно.
Права пользователей, работавших над ИРРО, но завершивших данную работу?
При проставлении увольнения/отчисления в деканате/отделе кадров учётная запись пользователя при попытке входа в систему становится неактивной. Пользователей не удаляют.
Просматривают ли администраторы учётные записи/логи в качестве контролей?
Без определённой надобности, нет.
Используется ли импорт пользователей?
Нет, он и не работает в данный момент.
Даёт ли что-то нахождение в группе employees?
Нет, просто группа со всеми сотрудниками МИЭТа.
Группа #MULT# - та самая, в которой состоят сотрудники с двумя подразделениями и имеют проблемы с отображением дисциплин?
Да.
Какое влияние оказывает тип учётной записи на права?
Никакого.
Имеют ли люди с типом учётной записи #MULT#, но не состоящие в данной группе, проблемы с отображением?
Нет, если в группе не состоят, то у них вручную проставлены кафедры.
Где указано число дисциплин в УП для проверки в статистике?
В таблице objects используемой базы данных, атрибут COUNT_DIS.
Количество ИР=количество файлов в профиле/программе?
Да.
Контрольные мероприятия – единственные файлы, не являющиеся ИР?
Да.
Если на месте, подразумевающем наличие ИР, пустота, то там соответственно нет ИР?
Нет, значит ИР просто загружен без имени.
Если у ИР нету имени, то и доступа к нему нет?
Да.
Дополнительно полученная информация в ходе обсуждения групп и их пользователей:
Администраторские права даёт нахождение в группе Администраторы (ID=1); все пользователи должны состоять в группе Локальные пользователи (ID=12); главный оператор состоит и в группе ИРРО, и в группе ИРРО – редактор структуры.