- •Используемые сокращения
- •1 Цели и задачи
- •2 План-график
- •3 Анализ отклонений от плана-графика
- •4. Объект исследования.
- •5 Описание общего понимания работы системы.
- •6 Анализ и оценка системы внутреннего контроля в основных процессах.
- •6.1 Описание основных процессов.
- •6.2 Матрица целей и рисков.
- •6.3 Матрица контролей и результаты тестирования эффективности контролей.
- •6.4 Замечания и рекомендации.
- •7 Анализ и оценка общих компьютерных контролей.
- •7.1 Текстовое описание ит процессов
- •Управление учетными записями.
- •Создание резервных копий.
- •Мониторинг системы.
- •Доработка системы. Внесение изменений.
- •Внедрение системы.
- •7.2 Матрица рисков
- •7.3 Матрица контролей
- •7.4 Таблица разделения полномочий
- •7.5 Замечания и рекомендации
- •8 Проверка массивов данных системы на наличие ошибок
- •8.1 Проверка на дублирование информации
- •8.2 Проверка на наличие ошибок в связях между записями
- •9 Проверка правильности формирования отчетных форм.
- •9.1 Проверка правильности формирования отчета «Статистика по направлениям подготовки»
- •9.2 Проверка правильности формирования отчета «Статистика по структурным компонентам»
- •10 Выводы
- •10.1 Выводы по проверке основных процессов
- •10.2 Выводы по проверке компьютерных процессов
- •10.3 Выводы по проверке массивов данных и правильности формирования отчетных форм
- •11 Резюме членов команды
- •11.1 Резюме Богомоловой Светланы
- •11.2 Резюме Пирогова Павла Пирогов Павел
- •11.3 Резюме Тихоновой Марины
- •11.4 Резюме Швец Анны
- •Образование:
- •11.5 Резюме Маркова Константина Приложение 1. Повестки встреч
- •Приложение 2. Используемая литература
- •Приложение 3. Тексты sql-запросов
- •Приложение 4. Некоторые результаты проведения тестирования контролей
10.2 Выводы по проверке компьютерных процессов
№ |
Ситуация/ замечание |
Риск |
Рекомендация |
1. |
Пароли для входа в систему являются короткими, состоят из символов, не отличающихся по регистру (прим.: дата рождения).Отсутствует регулярное обновление паролей. Может привести к несанкционированному получению информации системы. |
Высокий |
При создании и смене паролей выводить подсказку о том, что пароль должен быть не менее 8 знаков, содержать буквы разного регистра и символы. Ввести сроки обновления паролей. |
2. |
Нет четкого разграничения полномочий и прав доступа к системе. Разработкой и администрированием занимаются одни и те же лица. Есть вероятность распространения данных. |
Высокий |
Задокументировать функции, разрешенные пользователям. Установить контроль руководства за нарушениями. |
3. |
Тестовые внедрения производятся в продуктивной среде, что может привести к сбоям системы |
Средний |
Разграничить среды на разработческую, тестовую и продуктивную |
4. |
Пользователь может размещать ссылки на сайты, не относящиеся к учебному процессу (в т.ч. на вредоносные) |
Средний |
Осуществлять проверку введенной ссылки на совпадение с популярными сайтами соц.сетей |
5. |
Инструкции пользователей не одобрены, вследствие чего могут считаться заказчиком некорректными |
Средний |
Создание инструкций компетентными сотрудниками. Проверка и утверждение этих инструкций руководством. |
6. |
Отсутствие плана действий при аварийной ситуации может привести к полной потере данных |
Средний |
Разработать план восстановления системы в случае аварии |
7. |
Заявки на изменения (системы, базы данных, настроек) зачастую происходят в устной форме, либо по электронной почте. Результатом может стать их неисполнение. |
Средний |
Разработать форму (шаблон) заявок с возможностью контролирования выполнения запроса пользователя |
8. |
Пользователи не извещаются об обновлениях. Усовершенствования остаются незамеченными. |
Низкий |
Сделать всплывающее окно, появляющееся при внедрении обновлений и усовершенствований. |
9. |
Пользователи системы не знают о разработчиках и их авторских правах. |
Низкий |
Добавить информацию о разработчиках и дате создания системы |
10.3 Выводы по проверке массивов данных и правильности формирования отчетных форм
№ |
Ситуация/замечание |
Риск |
Рекомендация |
1. |
В результате проверки на дублирование данных было обнаружено, что в таблице objects имеет место дублирование магистерской программы «Технология интегральной наноэлектроники» |
Высокий |
1. Удалить дублирующую информацию; 2. Осуществить код, который не позволит ввести строку, дублирующую уже имеющуюся строку по содержанию определенного поля, если заранее известно, что повторение в этом поле недопустимо. |
2. |
В таблице objects обнаружилось, что столбец “ID_TYPE” не имеет никаких связей с другими таблицами, что противоречит документации. |
Высокий |
Отредактировать связи в таблицах БД в соответствии с документацией. |
3. |
После нескольких переименований при попытке очередного переименования модуля произошла ошибка. Подобная ситуация может подорвать доверие пользователя к системе. |
Средний |
Дополнительное тестирование отчета, с целью выявления причины ошибки и доработка системы. |