- •Используемые сокращения
- •1 Цели и задачи
- •2 План-график
- •3 Анализ отклонений от плана-графика
- •4. Объект исследования.
- •5 Описание общего понимания работы системы.
- •6 Анализ и оценка системы внутреннего контроля в основных процессах.
- •6.1 Описание основных процессов.
- •6.2 Матрица целей и рисков.
- •6.3 Матрица контролей и результаты тестирования эффективности контролей.
- •6.4 Замечания и рекомендации.
- •7 Анализ и оценка общих компьютерных контролей.
- •7.1 Текстовое описание ит процессов
- •Управление учетными записями.
- •Создание резервных копий.
- •Мониторинг системы.
- •Доработка системы. Внесение изменений.
- •Внедрение системы.
- •7.2 Матрица рисков
- •7.3 Матрица контролей
- •7.4 Таблица разделения полномочий
- •7.5 Замечания и рекомендации
- •8 Проверка массивов данных системы на наличие ошибок
- •8.1 Проверка на дублирование информации
- •8.2 Проверка на наличие ошибок в связях между записями
- •9 Проверка правильности формирования отчетных форм.
- •9.1 Проверка правильности формирования отчета «Статистика по направлениям подготовки»
- •9.2 Проверка правильности формирования отчета «Статистика по структурным компонентам»
- •10 Выводы
- •10.1 Выводы по проверке основных процессов
- •10.2 Выводы по проверке компьютерных процессов
- •10.3 Выводы по проверке массивов данных и правильности формирования отчетных форм
- •11 Резюме членов команды
- •11.1 Резюме Богомоловой Светланы
- •11.2 Резюме Пирогова Павла Пирогов Павел
- •11.3 Резюме Тихоновой Марины
- •11.4 Резюме Швец Анны
- •Образование:
- •11.5 Резюме Маркова Константина Приложение 1. Повестки встреч
- •Приложение 2. Используемая литература
- •Приложение 3. Тексты sql-запросов
- •Приложение 4. Некоторые результаты проведения тестирования контролей
7.4 Таблица разделения полномочий
Пользователями системы «ИРРО» являются:
Администратор.
Главный оператор.
Оператор.
Преподаватель.
Таблица разделения полномочий
Пользователь
Функция |
Администратор |
Главный оператор |
Оператор |
Преподаватель |
Добавление модуля |
+ |
+ |
+ |
+ |
Удаление модуля |
+ |
+ |
+ |
+ |
Изменение названия модуля |
+ |
+ |
+ |
+ |
Добавление темы |
+ |
+ |
+ |
- |
Удаление темы |
+ |
+ |
+ |
- |
Изменение названия темы |
+ |
+ |
+ |
- |
Прикрепление ИР |
+ |
+ |
+ |
+ |
Удаление ИР |
+ |
+ |
+ |
+ |
Прикрепление теста (на данный момент не используется) |
+ |
+ |
+ |
+ |
Удаление теста (на данный момент не используется) |
+ |
+ |
+ |
+ |
Переименование дисциплин |
- |
+ |
- |
- |
Изменение семестра дисциплин |
- |
+ |
- |
- |
Перемещение дисциплины между профилями бакалавриата и магистерскими программами |
- |
+ |
- |
- |
Удаление дисциплины |
- |
+ |
- |
- |
Изменение сортировки модулей |
+ |
+ |
+ |
+ |
Изменение сортировки тем (порядок изучения) |
+ |
+ |
+ |
- |
Просмотр статистики по структурным компонентам объектов системы |
+ |
+ |
+ |
- |
Просмотр статистики по направлениям подготовки |
+ |
+ |
+ |
- |
Просмотр справочника УГСНП (направления подготовки, магистерские программы, доп. обр. программы, профили бакалавриата, кафедры и факультеты) |
+ |
+ |
+ |
- |
Редактирование категорий/групп пользователей. |
+ |
- |
- |
- |
Редактирование пользователей (изменение групп, ФИО, логин, пароль и т.д.) |
+ |
- |
- |
- |
Просмотр даты и времени загрузки файла на сервер |
+ |
+ |
+ |
+ |
7.5 Замечания и рекомендации
№ |
Ситуация/ замечание |
Риск |
Рекомендация |
1. |
Пароли для входа в систему являются короткими, состоят из символов, не отличающихся по регистру (прим.: дата рождения).Отсутствует регулярное обновление паролей. Может привести к несанкционированному получению информации системы. |
Высокий |
При создании и смене паролей выводить подсказку о том, что пароль должен быть не менее 8 знаков, содержать буквы разного регистра и символы. Ввести сроки обновления паролей. |
2. |
Нет четкого разграничения полномочий и прав доступа к системе. Разработкой и администрированием занимаются одни и те же лица. Есть вероятность распространения данных. |
Высокий |
Задокументировать функции, разрешенные пользователям. Установить контроль руководства за нарушениями. |
3. |
Тестовые внедрения производятся в продуктивной среде, что может привести к сбоям системы |
Средний |
Разграничить среды на разработческую, тестовую и продуктивную |
4. |
Пользователь может размещать ссылки на сайты, не относящиеся к учебному процессу (в т.ч. на вредоносные) |
Средний |
Осуществлять проверку введенной ссылки на совпадение с популярными сайтами соц.сетей |
5. |
Инструкции пользователей не одобрены, вследствие чего могут считаться заказчиком некорректными |
Средний |
Создание инструкций компетентными сотрудниками. Проверка и утверждение этих инструкций руководством. |
6. |
Отсутствие плана действий при аварийной ситуации может привести к полной потере данных |
Средний |
Разработать план восстановления системы в случае аварии |
7. |
Заявки на изменения (системы, базы данных, настроек) зачастую происходят в устной форме, либо по электронной почте. Результатом может стать их неисполнение. |
Средний |
Разработать форму (шаблон) заявок с возможностью контролирования выполнения запроса пользователя |
8. |
Пользователи не извещаются об обновлениях. Усовершенствования остаются незамеченными. |
Низкий |
Сделать всплывающее окно, появляющееся при внедрении обновлений и усовершенствований. |
9. |
Пользователи системы не знают о разработчиках и их авторских правах. |
Низкий |
Добавить информацию о разработчиках и дате создания системы |