Аудит информационной системы «Информационные ресурсы реализации обучения» Национального исследовательского университета «МИЭТ» Команда № 1: Берёза Е. (менеджер) Агронская А. Лобанова Ю. Никитин Д. Локтева Т. Москва, 2012 г.
Цели и задачи 2
Объект исследования 3
Техническое представление системы 4
Структура анализа и оценки контролей Анализ и оценка системы внутреннего контроля Анализ и оценка общих компьютерных контролей Процесс занесения информации в ИРРО Процесс управление доступа к системе и данным Процесс поддержания информации ИРРО в актуальном состоянии Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 5
Процесс занесения информации в ИРРО Контроль Ошибка оператора при формализации Проверка файла. doc файлов в перед импортом в. xls БД Риск Дублирование Мониторинг информации в дублей. БД объектов Риски Риск Отсутствие прикрепленного Проверка названий на файла в дереве содержание в них дисциплин французских кавычек в системе Риск Рекомендация Контроль Риск Название Рекомендация Риск загружаемого файла Автоматическая содержит проверка названия буквы русского файла на алфавита или недопустимые знаки пробела символы 6
Структура анализа и оценки контролей Анализ и оценка системы внутреннего контроля Анализ и оценка общих компьютерных контролей Процесс занесения информации в ИРРО Процесс управление доступа к системе и данным Процесс поддержания информации ИРРО в актуальном состоянии Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 7
Процесс поддержания информации ИРРО в актуальном состоянии Рекомендация Контроль Случайное Новый Добавить проверку на модуль или наличие изменений тема не перед обновлением добавлены или закрытием страницы Риск процедуры Риски Риск Нехватка Рекомендация времени исполнения Изменить алгоритм скрипта для удаления дисциплины/модуля/ дисциплины/ темы модуля/темы /ИР удаление дисциплины/ Появление окна модуля/ подтверждения темы Риск Рекомендация Риск Случайное Добавить окно подтверждения удаление ИР процедуры при попытке удаления ИР 8
Структура анализа и оценки контролей Анализ и оценка системы внутреннего контроля Анализ и оценка общих компьютерных контролей Процесс занесения информации в ИРРО Процесс управление доступа к системе и данным Процесс поддержания информации ИРРО в актуальном состоянии Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 9
Процесс управления доступа к системе и данным Рекомендация Контроль Подбор пароля администратора системы Наличие CAPTCHA специальными программами (скриптами) Назначение легкого пароля Ввод настройки администратору парольной политики БД администратору БД Риски Контроль Назначение легкого пароля Настройки парольной администратору политики системы ИРРО Контроль Авторизация неактивного Блокировка доступа пользователя неактивного пользователя 10
Структура анализа и оценки контролей Анализ и оценка системы внутреннего контроля Анализ и оценка общих компьютерных контролей Процесс занесения информации в ИРРО Процесс управление доступа к системе и данным Процесс поддержания информации ИРРО в актуальном состоянии Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 11
Процесс и концепция разделения прав и полномочий в системе Рекомендация Ошибочное получение Проверка данных пользователем пользователей, прав введённых в отделе преподавателя кадров/деканатах Неполучение пользователем Усовершенствование необходимых существующего прав скрипта Риски Риск Рекомендация Риск Несанкционир ованное Усовершенствование изменение существующего прав (неэффективного) пользователей контроля 12
Структура анализа и оценки контролей Анализ и оценка системы внутреннего контроля Анализ и оценка общих компьютерных контролей Процесс занесения информации в ИРРО Процесс управление доступа к системе и данным Процесс поддержания информации ИРРО в актуальном состоянии Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 13
Процесс эксплуатации и текущей поддержки системы 14
Структура анализа и оценки контролей Анализ и оценка системы внутреннего контроля Анализ и оценка общих компьютерных контролей Процесс занесения информации в ИРРО Процесс управление доступа к системе и данным Процесс поддержания информации ИРРО в актуальном состоянии Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 15
Доработка системы, внесение изменений Контроль Внесение изменений в одну часть Тестирование системы влечет за собой ошибки системы после в изменения другой части системы Появление ошибок на этапе Написание использования технической системы документации Риски Рекомендация Неавторизованные Добавить регистрацию (непроверенные) запросов на изменение изменения 16
Проверка данных в системе на наличие ошибок Дублирование Связи Полнота Достоверность 17
Проверка правильности формирования статистики 18
Отчётные формы ü План-график (№, этап, задача, документы, сроки, исполнитель) ü Таблица описания бизнес-процесса (диаграмма (контекстная, декомпозиции), текстовое описание) ü Матрица рисков (№, риск, описание риска, вероятность, влияние, комментарии) ü Матрица контролей и тестирования (№, риск, краткое описание контроля, частота контроля, типы контроля, тестирование контроля, выводы) ü Замечания и рекомендации (№, ситуация/замечание, риск, рекомендация) 19
Пример матрицы рисков 20
Пример матрицы контролей 21
Пример замечаний и рекомендаций № 1 2 Ситуация/замечание Вероятность появления ошибок на этапе использования системы. - Отсутствие регистрации запросов на изменение; - Отсутствие этапа подтверждения внесенных изменений Риск Средний Рекомендация Необходимо учитывать связанность частей системы, на этапе тестирования отслеживать вероятность возникновения ошибок в неизменных частях системы. Внести данные процедуры в работу органа по управлению изменениями в информационной системе и назначить ответственного за выполнение данных контролей. 22
Выводы 23
Участники команды Агронская Анастасия Пр. ИТ – 41 Локтева Татьяна ЭУ-31 Берёза Евгений Пр. ИТ – 41 Никитин Дмитрий Пр. ИТ-31 Лобанова Юлия Пр. ИТ – 41 24
Скачать презентацию Аудит информационной системы Информационные ресурсы реализации обучения Национального
презентация команда 1.pptx