Аудит информационной системы «Информационные ресурсы реализации обучения» Национального

Аудит информационной системы «Информационные ресурсы реализации обучения» Национального исследовательского университета «МИЭТ» Команда No.1: Берёза Е. (менеджер) Агронская А. Лобанова Ю. Никитин Д. Локтева Т. Москва, 2012 г.

Case-study 2

Объект исследования 3 Информационная система «Информационные ресурсы реализации обучения» Национального исследовательского университета «МИЭТ»

Цели и задачи создания ИС ИРРО 4 Основные задачи системы Обеспечение учебно-методической деятельности преподавателей по их дисциплинам Автоматизация обучения студентов по их профилям бакалавриата и магистерским программам

Техническое представление системы 5

Концепция рассмотрения рисков 6 Цели

Основные цели и риски системы 7 Неполучение пользователем необходимых прав Ошибки при создании резервных копий Система проста и удобна в использо вании Предоставление качественной информации Стабильная и исправная работа системы Защищён ность данных Ошибка оператора при формализации .doc файлов в .xls Некорректное название загружаемого файла Дублирование информации в БД Отсутствие прикрепленного файла в дереве дисциплин Неавторизованные (непроверенные) изменения Нехватка времени исполнения скрипта для удаления дисциплины/модуля/темы/ИР Утрата файлов с резервными копиями системы Нехватка аппаратных мощностей серверов Появление ошибок на этапе использования системы Внесение изменений в одну часть системы влечет за собой ошибки в другой части системы Назначение легкого пароля администратору системы ИРРО Новый модуль или тема не добавлены Случайное удаление ИР Случайное удаление дисциплины/модуля/ темы Ошибочное получение пользователем прав преподавателя Подбор пароля администратора системы специальными программами (скриптами) Несанкционированное изменение прав пользователей Авторизация неактивного пользователя Назначение легкого пароля администратору БД

Методология выделения основных рисков 8 По наибольшей вероятности, определенной: из частоты возникновения риска по опросам пользователей системы; из наших наблюдений (экспериментов) и заключений По наибольшему влиянию риска, определенному: из возможных негативных последствий для системы по опросам пользователей системы; из наших наблюдений (экспериментов) и заключений

Процессы системы Бизнес-процессы системы IT процессы системы Процесс занесения информации в систему Процесс поддержания информации системы в актуальном состоянии Процесс управление доступа к системе и данным Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 9

10 Процесс занесения информации в систему Риски

Процессы системы Бизнес-процессы системы IT процессы системы Процесс занесения информации в систему Процесс поддержания информации системы в актуальном состоянии Процесс управление доступа к системе и данным Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 11

Риски 12 Процесс поддержания информации системы в актуальном состоянии

Процессы системы Бизнес-процессы системы IT процессы системы Процесс занесения информации в систему Процесс поддержания информации системы в актуальном состоянии Процесс управление доступа к системе и данным Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 13

Риски 14 Процесс управления доступа к системе и данным

Процессы системы Бизнес-процессы системы IT процессы системы Процесс занесения информации в систему Процесс поддержания информации системы в актуальном состоянии Процесс управление доступа к системе и данным Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 15

16 Процесс и концепция разделения прав и полномочий в системе

17 Процесс и концепция разделения прав и полномочий в системе Риски

Процессы системы Бизнес-процессы системы IT процессы системы Процесс занесения информации в систему Процесс поддержания информации системы в актуальном состоянии Процесс управление доступа к системе и данным Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 18

19 Процесс эксплуатации и текущей поддержки системы Риски

Процессы системы Бизнес-процессы системы IT процессы системы Процесс занесения информации в систему Процесс поддержания информации системы в актуальном состоянии Процесс управление доступа к системе и данным Процесс и концепция разделения прав и полномочий в системе Процесс эксплуатации и текущей поддержки системы Доработка системы, внесение изменений 20

21 Доработка системы, внесение изменений Риски

Проверка данных в системе на наличие ошибок 22 Дублирование данных Ошибки в связях между записями Полнота данных Достоверность данных

Проверка статистики 23 Тут что-то, да появится

Отчётные формы 24

Выводы 25 На основании проделанной работы можно выделить основные проблемные места системы:

Нехватка аппаратных мощностей системы 26 Последствия: Рекомендации:

Передача множества информации в системе методом GET 27 Последствия: Изменив нужный параметр адресной строки на SQL запрос, можно получить доступ на чтение, изменение и удаление любых данных из БД ИРРО. Вся работа по наполнению БД системы ИРРО и поддержанию её в актуальном состоянии может быть утрачена. Рекомендации: Использовать метод POST для передачи параметров скрипту. Все числовые параметры должны быть приведены к нужному типу Все остальные параметры должны быть обработаны на наличие в них текста SQL запроса и заключены в одинарные кавычки.

Некорректное название файла 28 Рекомендации: Добавить автоматическую проверку названия файла на русские буквы, пробелы и другие недопустимые символы. Если такие есть, то либо преобразовать русские буквы в латинские, знаки пробела заменить знаками нижнего подчеркивания, удалить все остальные символы (кроме цифр), либо не допустить загрузку файла с таким именем (с выдачей соответствующего сообщения пользователю о том, что название файла должно содержать латинские символы, цифры или знаки подчеркивания). Также необходимо добавить комментарий об ограничениях на название загружаемого файла. Проверка поля "Название" на заполненность. Последствия:

Журнал событий в системе плохой 29 Последствия: Отсутствие информации о вредоносной деятельности в системе Невозможность определения вредителя Потенциальный колоссальный ущерб данным и пользователям системы Рекомендации: Добавление отслеживания всех происходящих в системе действий с указанием исполнителя каждого действия

Удаление любых объектов системы 30 Последствия: Рекомендации:

Участники команды Локтева Татьяна Факультет экономики, управления и права (ЭУ – 31) Берёза Евгений Факультет прикладных информационных технологий (ПрИТ – 41) Агронская Анастасия Факультет прикладных информационных технологий (ПрИТ – 41) Лобанова Юлия Факультет прикладных информационных технологий (ПрИТ – 41) 31 Никитин Дмитрий Факультет прикладных информационных технологий (ПрИТ – 31)