- •Используемые сокращения
- •1 Цели и задачи
- •2 План-график
- •3 Анализ отклонений от плана-графика
- •4. Объект исследования.
- •5 Описание общего понимания работы системы.
- •6 Анализ и оценка системы внутреннего контроля в основных процессах.
- •6.1 Описание основных процессов.
- •6.2 Матрица целей и рисков.
- •6.3 Матрица контролей и результаты тестирования эффективности контролей.
- •6.4 Замечания и рекомендации.
- •7 Анализ и оценка общих компьютерных контролей.
- •7.1 Текстовое описание ит процессов
- •Управление учетными записями.
- •Создание резервных копий.
- •Мониторинг системы.
- •Доработка системы. Внесение изменений.
- •Внедрение системы.
- •7.2 Матрица рисков
- •7.3 Матрица контролей
- •7.4 Таблица разделения полномочий
- •7.5 Замечания и рекомендации
- •8 Проверка массивов данных системы на наличие ошибок
- •8.1 Проверка на дублирование информации
- •8.2 Проверка на наличие ошибок в связях между записями
- •9 Проверка правильности формирования отчетных форм.
- •9.1 Проверка правильности формирования отчета «Статистика по направлениям подготовки»
- •9.2 Проверка правильности формирования отчета «Статистика по структурным компонентам»
- •10 Выводы
- •10.1 Выводы по проверке основных процессов
- •10.2 Выводы по проверке компьютерных процессов
- •10.3 Выводы по проверке массивов данных и правильности формирования отчетных форм
- •11 Резюме членов команды
- •11.1 Резюме Богомоловой Светланы
- •11.2 Резюме Пирогова Павла Пирогов Павел
- •11.3 Резюме Тихоновой Марины
- •11.4 Резюме Швец Анны
- •Образование:
- •11.5 Резюме Маркова Константина Приложение 1. Повестки встреч
- •Приложение 2. Используемая литература
- •Приложение 3. Тексты sql-запросов
- •Приложение 4. Некоторые результаты проведения тестирования контролей
7.3 Матрица контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
О/П |
Р/А |
Тестирование контроля (процедура, результат, исполнитель, дата) |
Выводы |
1.1 |
1.Несанкционированный доступ к системе, если отсутствует пароль для входа в систему или отсутствуют ограничения на логин и пароль |
Описание: Появление всплывающего окна «Пароль не может быть пустым», если пользователь не ввел пароль Цель: предотвращение неправомерного доступа к системе Результат: авторизация не осуществлена |
Несколько раз в день |
П |
А |
Процедура: интервью с разработчиком системы, наблюдение за попыткой авторизации без введения пароля Результат: неправомерный доступ к системе не осуществлен Исполнитель: Богомолова С. Дата:21.02.2012 |
Контроль малоэффективен, т.к. отсутствует парольная политика для пользователей (отсутствует сложность паролей) |
2. Неавторизованный доступ к базе данных |
Описание: существует политика паролей для администраторов (пароль должен содержать буквы верхнего и нижнего регистра, цифры и знаки препинания, и быть не менее 10 символов длиной) Цель: предотвращение неправомерного доступа к системе Результат: сложные пароли |
Несколько раз в день |
П |
А |
Процедура: интервью с администратором ИРРО Результат: парольная политика для администраторов реализована Исполнитель: Марков К. Дата: 27.02.2012 |
Контроль эффективен |
|
3. Уволенные сотрудники и отчисленные студенты имеют доступ к системе |
Описание: блокировка в БД МИЭТ (деканатом/отделом кадров), что поддерживается ИРРО. При авторизации будет выведена запись «Ваш логин заблокирован» Цель: предотвращение неправомерного доступа к системе и получения информации из нее Результат: блокирование доступа |
Дважды в год |
П |
Р+А |
Процедура 1: интервью с представителем руководства системы ИРРО Исполнитель 1: Тихонова М. Дата 1: 21.02.2012 Процедура 2: интервью с разработчиком системы Исполнитель 2: Марков К. Дата 2: 27.02.2012 Результат: Блокирование доступа осуществляется, но не всегда своевременно |
Контроль выполняется несвоевременно |
|
1.2 |
Изменение структуры системы и данных, если разработчик является администратором |
Описание: проверка соответствия прав и полномочий должностным инструкциям руководством Цель: надежная работа системы Результат: разграничение полномочий
|
Дважды в год |
О |
Р |
Процедура: интервью с представителем руководства системы Результат: со слов интервьюируемого стало известно, что разработчики являются администраторами по причине отсутствия достаточного числа компетентных кадров Исполнитель: Тихонова М. Дата: 21.02.2012 |
Рекомендация: вход в систему под разными логинами для осуществления различных функций |
1.3.1 |
1.Содержимое excel-файла имеет недопустимые значения |
Описание: системой проводится проверка на допустимость значений содержимого excel-файла Цель: выявление некорректной информации Результат: выявлены ошибки/файл корректен |
Несколько раз в день |
О |
А |
Процедура: интервью с начальником отдела сопровождения внутренних проектов (ОСВП) МИЭТ (оператор по совместительству) Результат: проверка осуществляется корректно Исполнитель: Швец А. Дата:21.02.2012 |
Контроль эффективен |
2.Формат ИР не поддерживается системой. Загружаемый файл не добавлен
|
Описание: проверка соответствия формата ИР допустимым значениям, появление всплывающего окна «Вы пытаетесь загрузить файл недопустимого формата» Цель: предотвращение загрузки файла недопустимого формата Результат: файл не загружен |
Ежедневно |
П |
А |
Процедура: наблюдение за работой разработчика в системе (вход в систему был осуществлен под логином Е.Березы). Результат: 1)предоставлен список допустимых файлов, прописанный в коде, 2) предоставлена часть программного кода с текстом ошибки Исполнитель: Тихонова М., Богомолова С. Дата: 22.02.2012 |
Контроль малоэффективен, т.к. со слов представителя руководства системы стало известно, что преподаватель предоставляет информацию в формате doc-файла 2003(!) года, файлы .docx на данный момент не поддерживаются |
|
3.Загружаемый файл не добавлен из-за превышенного объема. Преподаватель не загрузит научный фильм, т.к. система поддерживает файлы до 10Мб |
Описание: появление всплывающего окна «Загружаемый файл больше 1024 Мб» Цель: предотвращение загрузки файлов большого объема Результат: файл не загружен |
Ежедневно |
П |
А |
Процедура: наблюдение за работой разработчика в системе (вход в систему был осуществлен под логином Берёзы Е.). Попытка загрузки файла размером 200Мб Результат:1) всплывающее сообщение об ошибке, 2) предоставлена часть программного кода с текстом ошибки Исполнитель: Тихонова М., Богомолова С. Дата: 22.02.2012 |
Контроль эффективен |
|
1.4.1 |
1.Файлы не загрузятся, либо загрузятся повторно при сбое/ «зависании» системы при добавлении файлов в БД |
Описание: автоматический контроль системой Zabbix Цель: отслеживание загруженности процессора, используемого дискового пространства, состояния процессов на сервере Результат: отображение параметров сервера |
Несколько раз в день |
О |
А |
Процедура 1: интервью с представителем руководства системы ИРРО Исполнитель 1: Тихонова М. Дата 1: 21.02.2012 Процедура 2: интервью с и.о. администратора сервера Исполнитель 2: Марков К. Дата 2: 27.02.2012 Результат: система Zabbix работает исправно, но система ИРРО работает медленно
|
Контроль малоэффективен, т.к. кроме отображения загруженности сервера нужно искать пути решения для повышения быстродействия системы |
2.Сбои в системе, если тестирование изменений проводится самим разработчиком или в продуктивной среде (нет разделения на среды: разработческая, тестовая, продуктивная)
|
Описание: проверка соответствия прав и полномочий должностным инструкциям руководством Цель: надежная работа системы Результат: разграничение полномочий |
Дважды в год |
О |
Р |
Процедура: интервью с разработчиком Результат: со слов интервьюируемого стало известно, что некоторые программисты-разработчики в продуктивной среде выполняют тестовые внедрения Исполнитель: Богомолова С., Тихонова М. Дата: 22.02.2012 |
Контроль малоэффективен |
|
5.Отсутствие лицензии или сертификата |
Описание: проверка ПО на существование лицензии информационно-аналитическим центром, который занимается лицензированием ПО в МИЭТе Цель: поддержка программ (возможность обновления, консультации по использованию). Соблюдение законодательства. Результат: надежная работа системы |
Раз в год |
П |
Р |
Процедура: интервью с разработчиком Результат: 1С:Битрикс является лицензионным, но срок лицензии истек, и обновления скачать невозможно Исполнитель: Богомолова С., Тихонова М. Дата: 22.02.2012 |
Контроль малоэффективен |
|
1.4.2 |
1.Потеря данных в случае падения сервера |
Описание: проверка восстанавливаемости системы из резервных копий Цель: уверенность в восстановлении системы после непредвиденных сбоев Результат: система восстановлена после аварии |
Раз в год |
П |
А |
Процедура 1: интервью с представителем руководства системы ИРРО Исполнитель 1: Тихонова М. Дата 1: 21.02.2012 Процедура 2: интервью с разработчиком Исполнитель 2: Марков К. Дата 2: 27.02.2012 Результат: со слов интервьюируемых стало известно, что восстановления системы производились успешно |
Контроль эффективен |
2.Неправомерное проникновение в серверную. |
Описание: сервер веб-интерфейса и файловый сервер оснащены кондиционерами. Допуск к серверам узкого круга лиц. Контроль состояния серверов системой Zabbix (ответственен Вычислительный Центр). Цель: поддержание в рабочем состоянии серверов, отсутствие сбоев Результат: надежная работа серверов |
Ежедневно |
П |
Р+А |
Процедура: интервью с разработчиком (телефонная связь) Результат: сервер с БД в 8 корпусе МИЭТ ничем не оборудован. Летом при высоких температурах есть вероятность отказа в работе серверов. Администраторы обращаются к системе мониторинга Zabbix после возникновения неполадок. Исполнитель: Марков К., Тихонова М. Дата: 29.02.2012 |
Контроль малоэффективен. Рекомендация: вывод сообщений об аварийных ситуациях (пример: «температура превышена»)
|
|
2.1.1 |
2. Инструкции пользователей будут некорректными (наличие орфографических ошибок, недостающее описание опций системы) или не будут одобрены |
Описание: руководство проводит проверку инструкций, подтверждает их и ознакамливает пользователей Цель: корректное использование системы Результат: пользователи ознакомлены с инструкциями и следуют им |
Раз в год |
О |
Р |
Процедура: интервью с представителем руководства системы ИРРО Результат: стало известно, что руководство было ознакомлено с инструкциями, но их подтверждения не было, хотя преподаватели пользуются этими инструкциями Исполнитель: Тихонова М. Дата: 21.02.2012
|
Контроль малоэффективен. Требуется доработка инструкций, добавление должностных инструкций администраторам |
3. Неумение студентов и преподавателей правильно пользоваться системой |
Описание: проведение обучения пользователей Цель: повышение уровня знаний и навыков пользователей относительно системы Результат: сокращение появления ошибок при использовании системы |
Раз в год |
О |
Р |
Процедура: интервью с представителем руководства системы ИРРО Результат: стало известно, что руководство было ознакомлено с инструкциями, но их подтверждения не было, хотя преподаватели пользуются этими инструкциями Исполнитель: Тихонова М. Дата: 21.02.2012
|
Контроль эффективен |