- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1.2 |
Авторизация неактивного пользователя |
Описание: система не допускает авторизацию неактивных пользователей. Цель: предотвратить возможность доступа к системе неактивного пользователя (например, уволенного сотрудника). Результат: блокировка доступа неактивного пользователя. |
Постоянная |
Контроль обнаружения |
Автоматический контроль |
Процедура: воспроизведение. Для того, чтобы проверить возможен ли вход в систему неактивного пользователя, в системе тестовому пользователю убрали флаг его активности. Результат: При авторизации неактивного пользователя система выдала сообщение «Ваш логин заблокирован». Вход в систему невозможен. Исполнитель: Локтева Т. Дата: 22.02.2012 |
Контроль полностью покрывает риск. Возможности доступа к системе неактивного пользователя нет. |
1.3 |
Назначение легкого пароля администратору системы ИРРО |
Описание: в системе существуют и установлены параметры сложности, которым должен удовлетворять пароль администратора системы ИРРО. Цель: избежание назначения легкого пароля администратору системы ИРРО Результат:
|
Постоянная |
Предупредительный контроль |
Автоматический контроль |
Процедура: наблюдение. Для того, чтобы проверить работают ли настройки парольной политики для администратора системы, которые обеспечивают защиту доступа к данным системы, попробовали создать администратора с легким паролем «1234». Результат: При попытке сохранения пользователя система выдала сообщение о том, что пароль пользователя должен быть не менее 10 символов длиной, должен содержать буквы верхнего и нижнего регистра латинского алфавита, цифры и знаки пунктуации. Исполнитель: Локтева Т. Дата: 22.02.2012 |
Контроль полностью покрывает риск. Установленные параметры сложности пароля работают.
|
1.3 |
Подбор пароля администратора системы специальными программами (скриптами) |
Описание: через 3 попытки неправильного ввода пароля администратора в форме авторизации пользователя в систему появляется CAPTCHA. Цель: предотвращение возможности подбора пароля администратора системы специальными программами (скриптами) и совершения дальнейших несанкционированных действий в системе. Результат: невозможность подбора пароля администратора системы специальными программами. |
Постоянная |
Предупредительный контроль |
Автоматический контроль |
Процедура: воспроизведение. Попытка подбора пароля главного администратора системы. Результат: Через 3 попытки неправильного ввода пароля администратора в форме авторизации пользователя в систему появилась CAPTCHA. Исполнитель: Локтева Т. Дата: 22.02.2012 |
Контроль эффективен. Риск подбора пароля администратора системы низкий, так как используется CAPTCHA. |