- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Матрица рисков
№ |
Риск |
Описание риска |
Вероятность |
Влияние |
Комментарии |
1 |
Пустое название переименованной дисциплины/модуля/темы |
Система не отслеживает пустое название дисциплины/модуля/темы |
Низкая |
Низкое |
|
2 |
Порядок следования модулей/тем не изменён |
Если не нажать на кнопку иконку , система не предупреждает о том, что изменения порядка не сохранены |
Высокая |
Среднее |
|
3 |
Новый/ая модуль/тема не добавлен/а |
Если не нажать на иконку , система не предупреждает о том, что модуль/тема не добавлены |
Высокая |
Высокое |
|
4 |
Случайное удаление дисциплины/модуля/темы |
Возможно случайно удалить дисциплину/модуль/тему |
Низкая |
Высокое |
При удалении дисциплины/модуля/темы полностью удаляется всё их содержимое без возможности отмены действия |
5 |
Случайное удаление ИР |
Возможность случайно удалить прикрепленный ИР |
Высокая |
Среднее |
В системе отсутствует подтверждение удаления прикрепленного ИР |
6 |
Удаление ИР из файлового хранилища ОРОКС |
Возможность полностью удалить прикрепленный ИР, не нужный для данной дисциплины в настоящий момент, но нужный для другой дисциплины или для этой же дисциплины, но в будущем |
Высокая |
Среднее |
|
7 |
Неуспешное удаление дисциплины/модуля/темы/ИР |
При неуспешном удалении дисциплины/модуля/темы/ИР система не выдаст никакого сообщения, а просто так и будет показывать сообщение о том, что идет удаление объекта |
Высокая |
Среднее |
|
8 |
Нехватка времени исполнения скрипта для удаления дисциплины/модуля/темы/ИР |
Если удаляемый объект имеет очень много дочерних объектов, то скрипту системы может не хватить времени выполнения для удаления данного объекта |
Средняя |
Высокое |
Из БД системы в данном случае могут удалится не все дочерние объекты родительского объекта. Как следствие этого, может неправильно работать статистика по объектам системы. |
Примечания. Для данного процесса также актуальны риски 1, 2, 6, 8, 9, 11-23 процесса занесения информации в ИРРО.
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1 |
Случайное удаление дисциплины/модуля/темы |
Описание: появление окна подтверждения процедуры при попытке удаления дисциплины/модуля/темы Цель: не допустить случайного удаления Результат: возможности случайного удаления ликвидированы |
Всегда |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Попытка удаления дисциплины/модуля/темы Результат: выводится окно, требующее ввести с клавиатуры «удал» для удаления темы, случайное удаление маловероятно Исполнитель: Агронская А.К. Дата: 22.02.12 |
Контроль полностью покрывает риск |
2 |
Удаление ИР из файлового хранилища ОРОКС |
Описание: при удалении ИР из системы ИРРО, ресурс не удаляется из файлового хранилища ОРОКС Цель: не допустить полного удаления ресурса из файлового хранилища ОРОКС, т.к. он может понадобится где-то еще в настоящем или будущем Результат: возможности полного удаления ресурса из файлового хранилища ОРОКС при удалении ИР из системы ИРРО отсутствует |
Всегда |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Удаление ресурса из системы ИРРО Результат: поиск ресурса в базе ОРОКС. Ресурс найден. Исполнитель: Агронская А.К. Дата: 23.02.12 |
Контроль полностью покрывает риск |
Замечания и рекомендации
№ |
Ситуация/замечание |
Риск |
Рекомендация |
1 |
|
|
|
Анализ и оценка общих компьютерных контролей системы
Процесс управление доступа к системе и данным
Описание процесса
Диаграмма |
Текстовое описание |
|
1.1. Для доступа в систему ИРРО пользователь предварительно должен активировать свою институтскую учетную запись. 1.2. Для авторизации в системе необходимо ввести логин и пароль пользователя. 1.3. Система аутентифицирует логин и пароль пользователя и авторизует пользователя в системе, если идентификационные данные правильные, иначе запрещает доступ к системе. |
|
1.2.1. По введенному логину пользователь ищется в БД МИЭТ. Если пользователь найден в БД МИЭТ, то из неё берутся все остальные данные учетной записи пользователя (ФИО, подразделение/группа, дата рождения, активность пользователя). Если пользователь не найден в БД МИЭТ, то на этапе 1.2.3. пользователь будет искаться в БД РПК. 1.2.2. Если система получила из БД МИЭТ данные учетной записи пользователя, то она проверяет наличие данного пользователя в БД РПК. Если пользователь уже есть в БД РПК, то происходит обновление его учетных данных и прав в системе. Если пользователя еще нет в БД РПК, то происходит добавление пользователя в систему и назначение ему групп пользователей, из которых затем формируется права доступа пользователя в системе. 1.2.3. На данном этапе в БД РПК по логину и паролю ищется пользователь. Если он найден , то проверяется его активность и, в случае если учетная запись пользователя активна, то осуществляется доступ к системе. Если пароль пользователя не верен или его учетная запись не активна, то осуществляется запрет на доступ пользователя к системе. |
|
2.1. Для доступа к данным БД используется СУБД, которая имеет свои учетные записи пользователей БД. Для авторизации пользователя в СУБД необходимо ввести его логин и пароль. 2.2. После ввода логина и пароля пользователя СУБД проверяет их на правильность, и в случае успеха авторизует пользователя в СУБД. В случае ввода ошибочного логина или пароля СУБД запрещает доступ пользователю. |