- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Замечания и рекомендации
№ |
Ситуация/замечание |
Риск |
Рекомендация |
1 |
Отсутствие настроек парольной политики у такого пользователя как администратор БД. |
Высокий |
Для увеличения безопасности доступа, необходимо ввести настройки парольной политики администратору БД. |
2 |
Невозможность определения групп пользователей. |
Средний |
Следует ввести возможность пользователя относится к нескольким группам, иначе работа в системе не будет удобной. |
Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
Процесс разделения прав и полномочий в системе заключается в разбиении пользователей на группы с целью разграничения их возможностей при работе с системой. В текущий момент с ИРРО работают следующие категории пользователей: администраторы, главные операторы, операторы и преподаватели. В группу “преподаватель” пользователи попадают путём внесения их персональной информации в базу данных деканатами и отделом кадров. Главные операторы и операторы назначаются администратором системы. Возможность совершения группами пользователей определённых операций указана в документе “Таблица разделения прав доступа”.
Для обеспечения разграничения прав доступа необходима авторизация сотрудника на сайте. При авторизации пользователя в скрипте системы происходит проверка на принадлежность к определённой группе.
Текстовое описание контролей процесса
Процесс разделения прав и полномочий в ИРРО фактически не имеет функционирующих контролей. Единственный контроль, являющийся автоматическим контролем обнаружения, является неэффективным и требует регулярного участия работников системы. Данным контролем является журнал событий, существующий для отслеживания изменений в системе. Следующие события, относящиеся к рассматриваемому процессу, не отслеживаются журналом, делая его достаточно бесполезным:
смена группы пользователя, в определённых случаях изменяющая права пользователя;
смена типа учётной записи пользователя;
регистрация работником системы нового пользователя.
При этом, исходя из настроек журнала, изменение групп пользователей не должно отслеживаться, хотя такая опция существует. Стоит отметить тот факт, что хотя журнал и не отмечает регистрацию новых пользователей, удаление пользователей им отслеживается. Ввиду своей неэффективности, журнал событий в действительности практически не просматривается администраторами.
Все риски, указанные в матрице рисков, за исключением риска №3 (“Неполучение пользователем необходимых прав”) является возможными результатами некачественной работы сотрудников института, как работающих непосредственно с системой, так и не связанных с ней напрямую. Создание эффективных контролей для некоторых из них со стороны ИРРО не представляется возможным.
Матрица рисков
№ |
Риск |
Описание риска |
Вероятность |
Влияние |
Комментарии |
1 |
Ошибочное получение пользователем прав преподавателя |
Ввиду ошибки отдела кадров при вводе информации любые пользователи системы могут получить возможности преподавателя |
Низкая |
Высокое |
|
2 |
Ошибочное получение пользователем прав оператора, главного оператора и администратора |
Ввиду ошибки администратора при выдаче прав какие-либо пользователи могут получить избыточные права |
Низкая |
Высокое |
|
3 |
Неполучение пользователем необходимых прав |
В случае принадлежности преподавателя/студента к нескольким подразделениям/группам, он не получает доступа ни к одному из них |
Высокая |
Низкое |
Данные пользователи хранятся в группе #MULT# исследуемой системы, которая насчитывает 35 активных пользователей |
4 |
Несанкционированное изменение прав пользователей |
Выдача администратором избыточных прав конкретным пользователям |
Низкая |
Высокое |
|
5 |
Наличие прав у пользователей, завершивших работу в системе |
Учётные записи сотрудников, завершивших работу в институте, не лишены активного статуса |
Средняя |
Среднее |
|
6 |
Выдача пользователям прав людьми, не имеющими на то полномочий |
Доступ к базе данных людьми, не ответственными за занесение информации и возможная вредоносная деятельность |
Низкая |
Высокое |
|