7 Анализ и оценка общих компьютерных контролей.
7.1 Текстовое описание ит процессов
Управление учетными записями.
Создание учетной записи.
При первом входе под своим логином, система обращается к другой БД, откуда берется информация о пользователе, и создается учетная запись в ИРРО. Логин и пароль стандартны для МИЭТа.
Активация учетной записи.
Активация происходит автоматически при первом входе в систему после процесса создания учетной записи.
Авторизация.
1.3.1. Авторизация в системе ИРРО,
1.3.2. Авторизация в СУБД.
Система проверяет логин и пароль на соответствие, и дает пользователям (в зависимости от их категории) различные права и доступ к ресурсам.
Изменение активности учетной записи.
Временная приостановка или возобновление работы учетной записи.
Редактирование прав доступа.
Назначение или удаление прав доступа различным категориям пользователей.
Создание резервных копий.
2.1 Создание копий БД.
Создание резервных копий БД на случай возникновения каких-либо проблем, аварийных ситуаций или краха системы.
2.2 Создание копий скриптов.
Создание резервных копий скриптов на случай возникновения проблем или краха системы.
2.3 Создание копий файлов.
Создание резервных копий файлов на случай возникновения проблем или краха системы.
Мониторинг системы.
3.1 Использование системы Zabbix.
Веб-интерфейс мониторинга системы. Используется для контроля за состоянием системы и обеспечения стабильности. Отслеживает следующие параметры:
3.1.1 Загрузка процессора,
3.1.2 Использование ОЗУ,
3.1.3 Сетевой трафик,
3.1.4 Состояние процессов на сервере,
3.1.5 Свободное дисковое пространство.
3.2 Анализ состояния системы.
На основе полученных с помощью системы Zabbix данных проводится анализ состояния системы и выявление неполадок.
3.3 Исправление ошибок.
Исправляются ошибки, выявленные в процессе анализа состояния системы.
Доработка системы. Внесение изменений.
4.1 Редактирование существующих интерфейсов.
Процесс редактирования, дополнения и улучшения существующих интерфейсов.
4.2 Разработка новых интерфейсов.
Разработка новых интерфейсов, необходимых для системы.
4.3 Расширение функциональности системы.
Внесение в систему изменений, направленных на расширение функциональности. Добавление новых опций.
Внедрение системы.
5.1 Обучение пользователей.
Обучение пользователей работе с системой: проведение семинаров, презентаций и контрольно-проверочных процедур.
5.2 Создание инструкций.
Создание инструкций по работе с системой для различных категорий пользователей.
5.3 Распределение ролей и доступа.
Назначение различным категориям пользователей разных прав доступа.
5.4 Тестирование.
Тестирование системы на наличие ошибок, сбоев и неисправностей.
5.5 Мониторинг.
Отслеживание работы системы на этапе внедрения, выявление ошибок и их устранение.
7.2 Матрица рисков
№ |
Цель |
Описание риска |
Вероятность (высокая/ средняя/ низкая) |
Важность |
Комментарии |
1.1 |
Разграниченный доступ к системе. |
1.Несанкционированный доступ к системе, если отсутствует пароль для входа в систему или отсутствуют ограничения на логин и пароль |
Высок. |
Средн.
|
Вероятность риска достаточно высока, т.к. парольная политика не настроена |
2.Неавторизованный доступ к базе данных |
Средн. |
Средн. |
Добавление нового администратора базы данных должно быть одобрено |
||
3.Уволенные сотрудники и отчисленные студенты имеют доступ к системе |
Высок. |
Низк. |
Вероятность ситуации высока, но это не приведет к серьезным последствиям |
||
1.2 |
Создание правильной и полной структуры (дисциплина->модуль->тема). |
Изменение структуры системы и данных, если разработчик является администратором |
Средн. |
Средн. |
Подобные изменения важны для системы, т.к. структура должна соответствовать уч.плану |
1.3 |
Доступность информационных ресурсов. |
||||
1.3.1 |
Корректно прикрепленные информационные ресурсы. |
1.Содержимое excel-файла имеет недопустимые значения |
Высок. |
Низк. |
Степень важности низкая, т.к. в дальнейшем проводится проверка на допустимость значений |
2.Формат ИР не поддерживается системой. Загружаемый файл не добавлен
|
Средн. |
Средн. |
Вероятность возникновения средняя, т.к. большинство файлов допустимы системой, но на данный момент файлы docx не поддерживаются, что важно для заполнения |
||
3.Загружаемый файл не добавлен из-за превышенного объема. Преподаватель не загрузит научный фильм, т.к. система поддерживает файлы до 10Мб |
Низк. |
Средн. |
Вероятность возникновения низкая, т.к. зачастую ИР представляют собой текстовые файлы небольшого объема |
||
4.Несколько одинаковых файлов, что приводит к переполняемости системы |
Высок. |
Средн. |
Ситуация возникает часто. Важность средняя, т.к. переполняемость влияет на быстродействие системы |
||
5.Ссылка недоступна, т.к. не введено www.***** или http://**** |
Высок. |
Низк. |
Важность низкая, т.к. прописать в адресной строке www.***** или http://**** можно самостоятельно |
||
6.Заражение системы вирусами и посещение пользователями сторонних сайтов, если прикреплена ссылка на сайты, не относящиеся к учебному процессу (в т.ч. соц.сети и вредоносные) |
Низк. |
Высок. |
Вероятность возникновения низкая, т.к. заполнение происходит квалифицированными преподавателями |
||
1.4 |
Эксплуатация и текущая поддержка системы |
||||
1.4.1 |
Стабильная работа системы |
1.Файлы не загрузятся, либо загрузятся повторно при сбое/ «зависании» системы при добавлении файлов в БД |
Высок. |
Средн. |
Дублируемость файлов приводит к переполняемости и снижению быстродействия системы, но не краху системы, следовательно важность - средняя |
2.Сбои в системе, если тестирование изменений проводится самим разработчиком или в продуктивной среде (нет разделения на среды: разработческая, тестовая, продуктивная)
|
Высок. |
Низк. |
Риск неактуален, т.к. у института нет достаточного количества квалифицированных кадров для раздельного проведения разработок и тестов |
||
3.Заявка на изменения (системы, базы данных, настроек) осталась незамеченной и невыполненной из-за отсутствия документированной формы (шаблона) |
Средн. |
Средн. |
Риск средней важности, т.к. из-за невыполнения требуемых изменений система будет некорректно работать |
||
4.Возникновение аварийной ситуации, ведущей к краху системы |
Низк. |
Высок. |
Риск полного уничтожения системы в случае аварии, однако вероятность риска чрезвычайно мала |
||
5.Отсутствие лицензии или сертификата |
Низк. |
Высок. |
Риск влечет ненадежность работы системы |
||
1.4.2 |
Обеспечение сохранности данных |
1.Потеря данных в случае падения сервера
|
Низк. |
Высок. |
Риск полной потери данных, однако вероятность риска чрезвычайно мала |
2.Неправомерное проникновение в серверную. |
Низк. |
Высок. |
Нарушение физической безопасности серверов может привести к полной потере данных |
||
2.1 |
Взаимосвязь студентов и преподавателей посредством системы. |
||||
2.1.1 |
Полноценное внедрение системы |
1.Внедрение системы не будет одобрено менеджментом |
Низк. |
Высок. |
Отсутствие документального подтверждения (приказа о внедрении системы), и, следовательно, вероятность возникновения конфликтных ситуаций на этапе внедрения |
2.Инструкции пользователей будут некорректными (наличие орфографических ошибок, недостающее описание опций системы) или не будут одобрены |
Средн. |
Средн. |
Инструкции не согласованы с руководством, вследствие чего могут считаться заказчиком некорректными |
||
3.Неумение студентов и преподавателей правильно пользоваться системой |
Низк. |
Низк. |
Из-за отсутствия обучающих курсов существует вероятность того, что некоторые пользователи (например, преподаватели) не научатся работать системой и будут избегать ее использования |
||
2.1.2 |
Интеграция (совместимость ИРРО с другими системами) |
1.Отсутствие совместимости с аппаратным оборудованием |
Низк. |
Высок. |
В случае несовместимости ИРРО с аппаратным оборудованием запуск системы будет невозможен |
2.Невозможность (сложность) интеграции с уже существующей системой ОРОКС |
Средн. |
Средн. |
Часть информации для ИРРО берется из системы ОРОКС, несовместимость этих систем повлечет большие проблемы |
||
|
|
3.Отсутствие совместимости с определенными программами (Microsoft Office, видео- и аудио-проигрыватели, программы просмотра изображений) |
Средн. |
Высок. |
Риск чреват невозможностью работы системы с загружаемыми ИР |
|
|
||||