Аудит информационной системы ОРОКС Выполнили Суслова Е

Аудит информационной системы «ОРОКС» Выполнили: Суслова Е. , Решетова М. , Чуденков А. , Толстоухов М. , Фатьянов Е.

Цель q Оценка качества внедрения системы Задачи q Оценка эффективности организации ИТ – процессов; q Выявление существенных рисков и контрольных процедур, покрывающих эти риски; q Определение «узких мест» системы; q Разработка рекомендаций по улучшению системы.

Описание системы Что такое? Как работает? Кто работает?

Объект аудита q Информационная система «ОРОКС» .

Методы сбора информации q q Использование Интернет-ресурсов Интервью с различными группами пользователей q Непосредственная работа с системой

Результаты q ОРОКС - Это программный комплекс, , обеспечивающий организацию и проведение обучения, в том числе тестирование, доступ к информационным ресурсам электронной коллекции МИЭТа. q В ней существует разделение прав доступа по категориям пользователей: q Студенты q Преподаватели q Администраторы

Бизнес - процессы -Тестирование -Работа по учебному плану -Работа с электронной библиотекой

Работа по учебному плану

Тестирование

Поиск ИР

Риски и контрольные процедуры

Риски интерфейсов Контроль № Риск Контроль ручной/ Тестирование автоматически контроля Кр. описание Частота предупредител контроля ьный/ обнаружения 1 Перехват Описание : данных й ьный й системе Цель: обеспечить Ввод из допустимых значений Цель: осуществление пользователя повышение уровня данным не найдены данных Результат: о доступа к чужим Описание : т защиту сложности несанкционированног Материалы введение пароля повышенной защиту от 4 Обеспечивае установление Предупредител автоматически Процедура: параметров 1 раз в год авторизацио Усложнение доступа к нных Выводы безопасности 1 раз Предупредител автоматически ьный й Процедура: Делает наблюдение за возможным вводом условий нахождение поиска нужного правильного и Результат: качественного поиска уменьшение ошибок вследствие некорректного материала

Общие риски Контроль Риск Кр. описание контроля 1 Отсутствие Описание: Частота предупредител ручной/ Тестирование контроля ьный/ автоматическ контроля обнаружения № Контроль ий 1 раз в день предупредител соединения с Наличие специального сервером ручной ьный работника, отслеживающего сотрудника Результат: соединения рубежного Несколько проверяющих, контроля сервера работы без неполадки соединения Описание: работоспособность увеличение Цель : предотвратить Ошибки Обеспечивает Проверка работы непрерывную работоспособность 8 Процедура: Выводы отказов сервера Каждый раз предупредител при ьный Ручной, Процедура: Т. к. контроль автоматическ последовательная проводится проверка на подготовке к синтаксические ошибки проведению вопросов и системой, проверка тестировани соответствия существует я ответов вероятность введенному обнаружения название теста – название дисциплины Цель: корректность процедуры тестирования Результат: в тесте отсутствуют ошибки, ий проверка вопросу несколькими людьми, ошибок и неточностей, а значит и их устранения в

Узкие места q Авторизация q Несоответствие результата тестирования q Форма для заполнения поиска q Сложно организованный доступ к изучаемым материалам q Сбой работы сервера и отсутствие постоянного контроля за этим

Замечания и рекомендации № 1 Ситуация/ замечание Зависание системы и долгое время отклика 2 Риск Рекомендации Высокий Вероятность некорректного поиска Необходимо исправить форму для поиска и ввести Высокий во многих полях формы поиск из допустимых значений 3 Так как изначально паролем является Перед первым входом в систему пользователю дата рождения студента, то упрощается предлагается возможность самому назначить процесс перехвата данных, что Средний пароль с определенным уровнем сложности сказывается на безопасности. 4 Нет оповещения системы о назначенных контрольных процедурах 5 Невозможно вернуться к предыдущему вопросу в тесте 6 Добавление такой функции в систему в главное Высокий Добавление возможности использования кнопки Низкий Если плохо ориентируешься в системе (начало работы с ней) – трудно найти материалы, назначенные по учебному меню пользователя «Назад» в тесте Следует упростить графический интерфейс, Высокий сделать его интуитивно понятным пользователю с нулевым опытом работы в данной системе плану 7 Большое количество подтверждений действия (например, перед скачиванием Уменьшить количество запрашиваемых Низкий подтверждений

Наши предложения

Тут был наш графический интерфейс)))))

Выводы: q существующие риски обусловлены отсутствием контроля над ними и в основном вызваны сбоями сервера и ошибками программной части системы; q нет эффективного обеспечения безопасности файлов пользователя; q для использования данной системы в процессе обучения требуются определенные знания;

Спасибо за внимание