- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Матрица рисков
№ |
Риск |
Описание риска |
Вероятность |
Влияние |
Комментарии |
1 |
Название загружаемого файла содержит буквы русского алфавита или знаки пробела |
Пользователь может спокойно загрузит в систему файл, содержащий буквы русского алфавита или знаки пробела |
Высокая |
Высокое |
Если название файла содержит буквы русского алфавита или знаки пробела, то данный файл может быть недоступен для скачивания |
2 |
Не удается раскрыть узел дерева |
При раскрытии узла дерева система выдаёт ошибку «Ошибка parsererror: Некорректные данные с сервера» |
Средняя |
Высокое |
Если какой-либо структурный элемент дерева (название дисциплины, модуля, темы, файла) содержит французские кавычки («»), то узел данного дерева не возможно будет раскрыть. Это происходит из-за того, что система использует Ajax и формат J при формировании узлов дерева |
3 |
Ошибка преподавателя при формировании .doc файлов по дисциплине |
Преподаватель может допустить ошибки при формировании .doc файлов по дисциплине |
Низкая |
Среднее |
Возможны следующие часто встречающиеся ошибки преподавателя:
|
4 |
Ошибка оператора при формализации .doc файлов в .xls |
При формировании .xls файла по дисциплине возможны ошибки оператора |
Средняя |
Высокое |
Возможны следующие часто встречающиеся ошибки оператора:
|
5 |
Дублирование информации в БД |
Возможен неоднократный импорт одного и того же .xls файла в БД |
Высокий |
Низкое |
Система импорта .xls файлов не отслеживает дублирование информации |
6 |
Риск переполнения главной папки с файлами |
При загрузке файла в главной папке с файлами создаётся папка с номером текущего года, а в ней уже создается подпапка с уникальным именем, в которую грузится файл |
Низкая |
Высокое |
В ОС системе существует ограничение на количество подпапок у папки |
7 |
Данные по дисциплинам не обработаны |
На каком-либо этапе обработки файла, он может "затеряться" на компьютере. |
Высокий |
Низкое |
Процесс передачи файлов не автоматизирован. Большую роль играет человеческий фактор. |
8 |
Загрузка файла с вредоносным содержанием (умышленно или неумышленно) |
Возможна загрузка вредоносного файла |
Низкая |
Высокое |
|
9 |
Превышение размера файла максимально допустимого размера загружаемого файла |
В систему можно загружать файлы, объём которых не превышает 10 Мб |
Низкая |
Низкое |
На текущем этапе наполнения системы в неё грузятся в основном текстовые файлы, которые не превышают размер 10 Мб |
10 |
Передача поврежденного или несовместимого файла |
Оператор не может прочесть файлы, которые получил. |
Средняя |
Низкое |
|
11 |
Загрузка пустого файла |
Загрузка файла, объём которого 0 байт |
Низкая |
Низкое |
|
12 |
Пользователь забыл прикрепить файл |
Пустое поле загрузки |
Низкая |
Среднее |
|
13 |
Не указано название файла в системе |
При загрузке файла в систему не указано название данного файла |
Низкая |
Высокое |
Влияние данного риска высокое, т.к. не без названия файла не удастся получить к нему доступ в системе |
14 |
Указана неверная гиперссылка |
Указана гиперссылка на несуществующий файл (сайт), указана ссылка на сайт с нежелательным содержимым (не относящимся к теме дисциплины) |
Средняя |
Низкое |
Пользователь может не только загружать файлы в систему, но и прикреплять ссылки на файлы из других систем (например, файлообменников), ссылки на внешние сайты |
15 |
Отказ файлового сервера системы ИРРО |
По какой-либо причине может произойти отказ файлового сервера ИРРО, либо отказ FTP-сервера на этом сервере |
Низкая |
Высокое |
|
16 |
Загрузка файла с недопустимым расширением |
Возможна загрузка файла с недопустимым расширением |
Низкая |
Низкое |
Вероятность риска низкая, т.к. существует регламент по формату загружаемых файлов в систему. С данным регламентов ознакомлены преподаватели и операторы системы. |
17 |
Ошибка при создании папки с уникальным именем |
Ошибка при создании папки с уникальным именем, в которую затем загружается файл |
Низкая |
Среднее |
|
18 |
Ошибка при загрузке файла на файловый сервер |
Ошибка при загрузке файла на файловый сервер, связанная с разрывом FTP-соединения, либо какими-либо еще причинами |
Низкая |
Среднее |
|
19 |
Прикрепление файла к блоку, который не должен содержать файлы |
Не все блоки системы должны содержать файлы. Например, в системе файлы не должны быть привязаны напрямую к дисциплине, модулю или теме. Они должны быть привязаны к блокам аннотации, сценарии обучения и т.д. этих дисциплин, модулей или тем.
|
Низкая |
Высокое |
Интерфейс прикрепления файлов методом GET получает ID объекта, к которому необходимо прикрепить файл. Пользователь может отредактировать параметры адресной строки и изменить ID объекта. |
20 |
Внедрение SQL запроса (SQL injection) |
Пользователь может внедрить SQL запрос в поля формы загрузки файлов или параметры адресной строки и получить информацию из любой таблицы системы (например, таблице пользователей) |
Низкая |
Высокое |
Уровень риска низкая, т.к. для совершения данного действия требуется высокая квалификация пользователя |
21 |
Удаление любых объектов системы (не только файлов) |
В интерфейсе прикрепления файлов пользователь может отредактировать HTML код отображения прикрепленного файла. Данный код содержит ID объекта-файла, который может быть заменен на ID-объекта профиля бакалавриата. Тогда при удалении данного файла произойдет удаление данного профиля из системы и всех его дисциплин и всего содержимого этих дисциплин. |
Низкая |
Высокое |
Уровень риска низкая, т.к. для совершения данного действия требуется высокая квалификация пользователя |
22 |
Прикрепление одного и того же файла к блоку |
Пользователь может прикрепить один и тот же файл к блоку (например, файл с аннотацией) |
Низкая |
Низкое |
Уровень риска низкий, т.к. пользователь видит уже прикрепленные к блоку файлы и может сам проконтролировать повторное прикрепление одного и того же файла. |
23 |
Загрузка на файловый сервер одного и того же файла несколько раз |
Если один и тот же файл используется в разных дисциплинах, то он может быть несколько раз загружен в систему |
Средняя |
Низкое |
|