- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Матрица рисков
№ |
Риск |
Описание риска |
Вероятность |
Влияние |
Комментарии |
1 |
Назначение легкого пароля администратору БД |
Возможно назначить легкий пароль администратору БД. При несанкционированному доступе к БД возможно добавление/редактирование/удаление данных без какой-либо фиксации этих действий |
Высокая |
Высокое |
У такого пользователя как администратор БД отсутствуют настройки парольной политики |
2 |
Авторизация неактивного пользователя |
Возможен вход в систему неактивного пользователя |
Низкая |
Среднее |
Активность пользователя не изменится в БД РПК, если не поменять ее в БД МИЭТ. Активность пользователя может быть изменена в БД МИЭТ, но не изменена в БД РПК. |
3 |
Невозможность определения групп пользователей |
Группа пользователя из БД МИЭТ равна #MULT# и пользователь не получает никаких прав в системе ИРРО |
Средняя |
Низкое |
Используемая БД МИЭТ не поддерживает множественность подразделений/групп пользователя (например, если преподаватель работает на нескольких кафедрах, то в БД МИЭТ он будет иметь подразделение #MULT# и система не сможет определить его кафедры). |
4 |
Назначение легкого пароля администратору системы ИРРО |
Возможность назначить легкий пароль |
Низкая |
Высокое |
Вероятность низкая, т.к. в системе ИРРО существуют настройки парольной политики у администратора и они должны работать |
5 |
Подбор пароля администратора системы специальными программами (скриптами) |
Возможность подобрать пароль администратора системы специальными программами (скриптами) и совершить дальнейшие несанкционированные деяния в системе |
Средняя |
Высокое |
|
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1 |
Авторизация неактивного пользователя |
Описание: система не допускает авторизацию неактивных пользователей. Цель: предотвратить возможность доступа к системе неактивного пользователя (например, уволенного сотрудника). Результат: блокировка доступа неактивного пользователя. |
Регулярно |
Контроль обнаружения |
Автоматический контроль |
Процедура: воспроизведение. В системе тестовому пользователю убрали флаг его активности. Результат: При авторизации неактивного пользователя система выдала сообщение «Ваш логин заблокирован». Вход в систему невозможен. Исполнитель: Локтева Т. Дата: 22.02.2012 |
Контроль полностью покрывает риск |
2 |
Назначение легкого пароля администратору системы ИРРО |
Описание: в системе существуют и установлены параметры сложности, которым должен удовлетворять пароль администратора системы ИРРО. Цель: избежание назначения легкого пароля администратору системы ИРРО Результат:
|
Регулярно |
Предупредительный контроль |
Автоматический контроль |
Процедура: наблюдение. Попытка создания администратора с легким паролем «1234». Результат: При попытке сохранения пользователя система выдала сообщение о том, что пароль пользователя должен быть не менее 10 символов длиной, должен содержать буквы верхнего и нижнего регистра латинского алфавита, цифры и знаки пунктуации. Исполнитель: Локтева Т. Дата: 22.02.2012 |
Контроль полностью покрывает риск |
3 |
Подбор пароля администратора системы специальными программами (скриптами) |
Описание: через 3 попытки неправильного ввода пароля администратора в форме авторизации пользователя в систему появляется CAPTCHA Цель: предотвращения возможности подбора пароля администратора системы специальными программами (скриптами) и совершения дальнейших несанкционированных деяний в системе |
Регулярно |
Предупредительный контроль |
Автоматический контроль |
Процедура: воспроизведение. Попытка подбора пароля главного администратора системы. Результат: Через 3 попытки неправильного ввода пароля администратора в форме авторизации пользователя в систему появилась CAPTCHA. Исполнитель: Локтева Т. Дата: 22.02.2012 |
Контроль полностью покрывает риск |