- •Цели и задачи практики
- •План-график работ и анализ отклонений План-график работ
- •Анализ отклонений выполнения плана работ
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Анализ и оценка общих компьютерных контролей системы Процесс управление доступа к системе и данным Описание процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс эксплуатации и текущей поддержки системы Описание процесса
- •Матрица целей и рисков
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица целей и рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Проверка данных системы на наличие ошибок
- •Дублирование записей и полей таблиц бд Описание проделанной работы
- •Проверка на наличие дублированных записей по названию в рамках всей таблицы объектов object.
- •Проверка дублирования дисциплин с одинаковым названием и семестром изучения в рамках одного профиля бакалавриата/магистерской программы.
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Результаты
- •Рекомендации
- •Проверка на прикрепление одних и тех же файлов к блоку (блок аннотации, блок сценария обучения и т.Д.)
- •Ошибка в связях между записями Описание проделанной работы
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Результаты
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Рекомендации
- •Наличие в таблице объектов objects записей с типом объектов id_type, которого нет в таблице типов объектов types.
- •Наличие в таблице objects объектов, которые ни с кем не связаны.
- •Полнота данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Достоверность данных Описание проделанной работы
- •Результаты
- •Рекомендации
- •Проверка правильности формирования отчётных форм Проверка правильности формирования отчётных форм по структурным компонентам системы Описание проделанной работы
- •Рекомендации
- •Проверка правильности формирования отчётных форм по направлениям подготовки Описание проделанной работы
- •Проверка правильности статистики по профилям бакалавриата
- •Проверка правильности статистики по магистерским программам
- •Проверка правильности формирования итоговых показателей
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
- •Резюме участников команды
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1.6 |
Ошибка оператора при формировании .xls файла по дисциплине: неправильно проставленная сортировка и связь структурных компонентов (модулей, тем) дисциплины |
Описание: перед импортом в БД ИРРО .xls файл проверяется администратором БД на наличие явных ошибок. Цель: соответствие названия файла его содержимому, наличие опечаток, незаполненных полей в файле, связь структурных компонентов. Результат: связь структурных компонентов в файле не нарушена. |
Несколько раз в день |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Интервью с администратором БД. Результат: Меньшов С.В. рассказал, что каждый раз перед импортом файла в БД, он проверяет его на наличие опечаток, незаполненных полей и нарушение связи структурных компонентов. В ходе работы он обнаружил несколько десятков ошибок. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль покрывает риск |
1.6 |
Ошибка оператора при формировании .xls файла по дисциплине: нехватка модулей (тем) по дисциплине (оператор может забыть скопировать их из .doc файла)
|
Описание: перед импортом в БД ИРРО .xls файл проверяется администратором БД на наличие явных ошибок. Цель: соответствие названия файла его содержимому, наличие опечаток, незаполненных полей в файле, связь структурных компонентов. Результат: импортируемый файл заполнен полностью. |
Несколько раз в день |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Интервью с администратором БД. Результат: Меньшов С.В. рассказал, что каждый раз перед импортом файла в БД, он проверяет его на наличие опечаток, незаполненных полей и нарушение связи структурных компонентов. В ходе работы он обнаружил несколько десятков ошибок. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль покрывает риск |
1.6 |
Ошибка оператора при формировании .xls файла по дисциплине: различие в написании названий профилей бакалавриата, магистерских программ, направлений подготовки. |
Описание: названия профилей бакалавриата, магистерских программ, направлений подготовки заменяются кодом, который берется из справочника. Цель: избежать различного написания одних и тех же профилей бакалаврита, магистерских программ, направлений подготовки. Результат: снижение количества ошибок. |
Несколько раз в день |
Предупредительный контроль |
Ручной |
Процедура: наблюдение. Наблюдение за работой оператора при заполнении .xls файла. Результат: замена оператором названий профилей бакалавриата, магистерских программ, направлений подготовки на их коды в системе. Фильтрация несуществующих профилей бакалавриата, магистерских программ, направлений подготовки. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль покрывает риск. |
1.9 |
Дублирование информации в БД. Возможен неоднократный импорт одного и того же .xls файла в БД. |
Описание: Оператор удаляет дублированные файлы в БД. (главным образом профилей бакалавриата, магистерских программ, дисциплин). Цель: обнаружение дублированной информации. Результат: удаление дублированной информации |
Ежедневная |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Наблюдение за работой главного оператора. Оператор находит дублированные файл и удаляет его. Результат: удаление главным оператором дублированной информации в БД. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
1.11 |
Риск переполнения главной папки с файлами |
Описание: при загрузке файла через систему ИРРО в папке с файлами создается папка с названием года, и уже в ней создается папка в уникальным именем, в которую затем загружается файл. На следующий год автоматически создаётся новая папка. Цель: снижение вероятности переполнения главной папки с файлами подпапками. Результат: вероятность переполнения папки за год близка к нулю. |
Годовая |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Загрузка файла на сервер. Результат: В ссылке загруженного файла присутствует папка с номером текущего года. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
1.11 |
Загрузка скрипта или файла с вредоносным содержимым (умышленно или неумышленно). |
Описание: загружаемый файл доступен только для скачивания. На файловом сервере для папки с загружаемыми файлами установлен запрет на исполнение скриптов. Цель: защита системы от вредосных файлов и исполняемых скриптов (программ). Результат: в системе не возможно исполнить вредоносный код. |
Постоянная |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Загрузка в систему ИРРО скриптов на Perl, PHP. Результат: Система не дала загрузить файлы, так как скрипт имеет недопустимое расширение (сработал контроль №7). Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
1.11 |
В систему следует загружать файлы с определенными расширениями. Возможна загрузка файла с недопустимым расширением |
Описание: при попытке загрузки файла с недопустимым расширением система выдает сообщение о недопустимом формате файла. Цель: загрузка файлов с недопустимым расширением (.php, .pl, .exe и т.д.). Результат: система позволяет загружать только файлы с определенными расширениями. |
Постоянная |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Загрузка в систему ИРРО скриптов на Perl, PHP. Результат: Система не дала загрузить файлы. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
1.11 |
Пустое поле загрузки или не указана гиперссылка |
Описание: система выдает сообщение о том, что вы пытаетесь отправить пустое поле или не указали гиперссылку на ресурс. Цель: не допустить, чтобы пользователь не прикрепил файл или не указал гиперссылку. Результат: операция не возможна, если файл не прикреплен. |
Постоянная |
Контроль обнаружения |
Автоматический |
Процедура: воспроизведение. Попытка загрузки с не прикрепленным файлом. Попытка загрузки с пустым полем гиперссылки. Результат: Невозможность выполнения операции. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
1.2 |
Преподаватель может допустить ошибки при формировании .doc файлов по дисциплине. |
Описание: На заседании кафедры утверждается комплект УМК. Документы подписывает заведующий кафедры. Цель: файлы составлены без ошибок. Результат: информация в файлах достоверная. |
Еженедельная |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Интервью с секретарем кафедры КИТИС Результат: Кулагина А.В. рассказала, что фалы передаются в ИОУП после их утверждения на заседании кафедры. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль покрывает риск |
1.6 |
Оператор не может прочесть файлы, которые получил. Файл имеет недопустимое расширение. |
Описание: Преподаватель обязан ознакомиться с регламентом о формировании файлов, в котором указаны все требования к файлам. Цель: файлы должны быть стандартизированы. Результат: файлы имеют определенное расширение. |
Еженедельная |
Предупредительный контоль |
Ручной |
Процедура: наблюдение. Ознакомление с регламентом. Результат: в регламенте написано, что все файлы принимаются в формате MS Word, версия не старше 2003 года Исполнитель: Лобанова Ю. Дата: 22.02.12 Процедура: наблюдение. Интервью с оператором. Результат: оператор сообщил, что были случаи, когда файл не удалось прочесть за-за формата. Исполнитель: Лобанова Ю. Дата: 22.02.12
|
Контроль не полностью покрывает риск. |
1.2 |
Для дисциплины сформирован не полный комплект файлов. Преподаватель может передать неполный комплект файлов. |
Описание: На заседании кафедры утверждается комплект УМК. Цель: утверждение полного комплекта файлов по дисциплине. Результат: файлы по дисциплине сдаются в полном комплекте. |
Еженедельная |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Интервью с секретарем кафедры КИТИС Результат: Кулагина А.В. рассказала, что фалы передаются в ИОУП после их утверждения на заседании кафедры. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль покрывает риск |
1.11 |
Ошибка при создании папки с уникальным именем, в которую затем загружается файл |
Описание: Если возникла ошибка при создании папки с уникальным именем, система выдает сообщение о том, что загрузка неуспешна. Цель: предупредить пользователя о том, что загрузка файла выполнена неуспешно. Результат: если произошла ошибка, пользователь будет уведомлен, и, при необходимости, произведет повторную загрузку файла. |
Постоянная |
Контроль обнаружения |
Автоматический |
Процедура: оценка дизайна контроля. Если возникла ошибка при создании папки с уникальным именем, система выдает сообщение: «Не удалось загрузить файл. Ошибка выбора директории» Результат: если произошла ошибка, пользователь будет уведомлен Исполнитель: Лобанова Ю. Дата: 28.02.12 |
Контроль покрывает риск |
1.11 |
Ошибка при загрузке файла на файловый сервер, связанная с разрывом FTP-соединения, либо какими-либо еще причинами |
Описание: Если возникла ошибка при загрузке файла на файловый сервер, система выдает сообщение о том, что загрузка неуспешна. Цель: предупредить пользователя о том, что загрузка файла выполнена неуспешно. Результат: если произошла ошибка, пользователь будет уведомлен, и, при необходимости, произведет повторную загрузку файла. |
Постоянная |
Контроль обнаружения |
Автоматический |
Процедура: оценка дизайна контроля. Если возникла ошибка при загрузке файла на файловый сервер, система выдает сообщение: «Не удалось загрузить файл!» Результат: если произошла ошибка, пользователь будет уведомлен Исполнитель: Лобанова Ю. Дата: 28.02.12 |
Контроль покрывает риск |
1.11 |
Не все блоки системы должны содержать файлы. Например, в системе файлы не должны быть привязаны напрямую к дисциплине, модулю или теме. Они должны быть привязаны к блокам аннотации, сценарии обучения и т.д. этих дисциплин, модулей или тем.
|
Описание: При попытке прикрепить файл к блоку, который не должен содержать прикрепленных файлов система выдает сообщение о невозможности данной процедуры. Цель: не допустить прикрепление файлов к блокам, которые не должны содержать прикрепленных файлов. Результат: система не допускает прикрепление файлов к блокам, которые не должны содержать прикрепленных файлов. |
Постоянная |
Предупредительный |
Автоматический |
Процедура: воспроизведение. В адресной строке указала ID=1 (кафедра) и попыталась загрузить файл. Система выдала сообщение: «К данному блоку нельзя привязать ИР! Выберите другой блок» Результат: система не допускает прикрепление файлов к блокам, которые не должны содержать прикрепленных файлов. Исполнитель: Лобанова Ю. Дата: 28.02.12 |
Контроль полностью покрывает риск |