- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
Диаграмма |
Текстовое описание |
|
1.1. Для доступа в систему ИРРО пользователь предварительно должен активировать свою институтскую учетную запись. 1.2. Для авторизации в системе необходимо ввести логин и пароль пользователя. 1.3. Система аутентифицирует логин и пароль пользователя и авторизует пользователя в системе, если идентификационные данные правильные, иначе запрещает доступ к системе. |
|
1.2.1. По введенному логину пользователь ищется в БД МИЭТ. Если пользователь найден в БД МИЭТ, то из неё берутся все остальные данные учетной записи пользователя (ФИО, подразделение/группа, дата рождения, активность пользователя). Если пользователь не найден в БД МИЭТ, то на этапе 1.2.3. пользователь будет искаться в БД РПК. 1.2.2. Если система получила из БД МИЭТ данные учетной записи пользователя, то она проверяет наличие данного пользователя в БД РПК. Если пользователь уже есть в БД РПК, то происходит обновление его учетных данных и прав в системе. Если пользователя еще нет в БД РПК, то происходит добавление пользователя в систему и назначение ему групп пользователей, из которых затем формируется права доступа пользователя в системе. 1.2.3. На данном этапе в БД РПК по логину и паролю ищется пользователь. Если он найден , то проверяется его активность и, в случае если учетная запись пользователя активна, то осуществляется доступ к системе. Если пароль пользователя не верен или его учетная запись не активна, то осуществляется запрет на доступ пользователя к системе. |
|
2.1. Для доступа к данным БД используется СУБД, которая имеет свои учетные записи пользователей БД. Для авторизации пользователя в СУБД необходимо ввести его логин и пароль. 2.2. После ввода логина и пароля пользователя СУБД проверяет их на правильность, и в случае успеха авторизует пользователя в СУБД. В случае ввода ошибочного логина или пароля СУБД запрещает доступ пользователю. |
|
3.1. При выполнении скрипта в самом начале происходит процесс считывания его параметров. Большинство скриптов системы получают свои параметры методом GET (из адресной строки). При считывании этих параметров практически отсутствуют процедуры проверки значения и типов этих параметров. На данном этапе существует риск ручного редактирования параметров скрипта, которое можно использовать для внедрения в скрипт SQL запроса (SQL injection), при помощи которого можно получить доступ к любой таблице БД. 3.2. После считывания параметров скрипта значения этих параметров находятся в массиве $_GET. Значения данного массива используются в запросах к БД системы ИРРО. |
Матрица целей и рисков
№ |
Цель |
Описание риска |
Вероятность |
Влияние |
Комментарии |
1.1 |
Безопасность данных систем |
Назначение легкого пароля администратору БД. |
Высокая |
Высокое |
У такого пользователя как администратор БД отсутствуют настройки парольной политики. При несанкционированном доступе к БД возможно добавление/редактирование/удаление данных без какой-либо фиксации этих действий. |
2.1 |
Назначение легкого пароля администратору системы ИРРО. |
Низкая |
Высокое |
Вероятность низкая, т.к. в системе ИРРО существуют настройки парольной политики у администратора и они должны работать. |
|
3.1 |
Пользователь может внедрить SQL запрос в поля формы загрузки файлов или параметры адресной строки и получить информацию из любой таблицы системы (например, таблице пользователей) |
Низкая |
Высокое |
Уровень риска низкая, т.к. для совершения данного действия требуется высокая квалификация пользователя |
|
1.2.3 |
Предотвращение несанкционированного доступа в систему |
Авторизация неактивного пользователя. Возможность вход в систему неактивного пользователя. |
Низкая |
Среднее |
Активность пользователя не изменится в БД РПК, если не поменять ее в БД МИЭТ. Активность пользователя может быть изменена в БД МИЭТ, но не изменена в БД РПК. |
1.2.3 |
Подбор пароля администратора системы специальными программами (скриптами).
|
Средняя |
Высокое |
Возможность подобрать пароль администратора системы специальными программами (скриптами) и совершить дальнейшие несанкционированные деяния в системе. |