- •Цели и задачи практики
- •План-график работ и анализ отклонений
- •Список сокращений
- •Объект исследования
- •Описание общего понимания работы системы
- •Анализ и оценка системы внутреннего контроля в основных процессах системы Процесс занесения информации в ирро Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс поддержания информации ирро в актуальном состоянии Описание процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процесс и концепция разделения прав и полномочий в системе Текстовое описание процесса
- •Текстовое описание контролей процесса
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Процессы доработки системы, внесения изменений
- •Матрица рисков
- •Матрица контролей и результаты тестирования эффективности контролей
- •Замечания и рекомендации
- •Приложение Интервью с пользователями, работающими в системе ирро
- •Есть ли какое-либо ограничение на объём загружаемых файлов, количество записей в бд?
- •Можно ли заблокировать доступ пользователя к системе ирро? в каком случае это будет сделано? Вручную?
- •Возможность подключения к данным напрямую?
- •Каким образом происходит доработка системы, внесение изменений?
- •Пишется ли заявка на изменение?
- •Каким образом она пишется (в электронном/бумажном виде, какие изменения необходимо внести в систему, сроки внесения этих изменений и т.Д.)?
Матрица контролей и результаты тестирования эффективности контролей
№ |
Риск |
Краткое описание контроля |
Частота контроля |
Контроль предупредительный/обнаружения |
Контроль ручной/автоматический |
Тестирование контроля |
Выводы |
1 |
Ошибка оператора при формализации .doc файлов в .xls |
Описание: перед импортом в БД ИРРО .xls файл проверяется администратором БД на наличие явных ошибок. Цель: соответствие названия файла его содержимому, наличие опечаток, незаполненных полей в файле. Результат: импортируемый файл заполнен полностью, отсутствие опечаток. |
Каждый раз перед импортом файла в БД |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Наблюдение за работой администратора БД при импорте .xls файлов. Результат: отправка ошибочных файлов на доработку операторам. Импорт правильных наиболее правильных файлов. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль частично покрывает риск |
2 |
Ошибка оператора в сформированном xls. файле |
Описание: названия профилей бакалавриата, магистерских программ, направлений подготовки заменяются кодом, который берется из справочника. Цель: избежать различного написания одних и тех же профилей бакалаврита, магистерских программ, направлений подготовки. Результат: снижение количества ошибок. |
Всегда при формировании файла |
Предупредительный контроль |
Ручной |
Процедура: наблюдение. Наблюдение за работой оператора при заполнении .xls файла. Результат: замена оператором названий профилей бакалавриата, магистерских программ, направлений подготовки на их коды в системе. Фильтрация несуществующих профилей бакалавриата, магистерских программ, направлений подготовки. Исполнитель: Лобанова Ю. Дата: 22.02.12 |
Контроль покрывает риск. |
3 |
Дублирование информации в БД |
Описание: мониторинг дублей объектов в системе (главным образом профилей бакалавриата, магистерских программ, дисциплин). Цель: обнаружение дублированной информации. Результат: удаление дублированной информации |
Нерегулярно |
Контроль обнаружения |
Ручной |
Процедура: наблюдение. Наблюдение за работой главного оператора. Результат: удаление главным оператором дублированной информации в БД. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
4 |
Риск переполнения главной папки с файлами |
Описание: при загрузке файла через систему ИРРО в папке с файлами создается папка с названием года, и уже в ней создается папка в уникальным именем, в которую затем загружается файл. На следующий год автоматически создаётся новая папка. Цель: снижение вероятности переполнения главной папки с файлами подпапками. Результат: вероятность переполнения папки за год близка к нулю. |
Раз в год |
Предупредительный контроль |
Автоматический |
Процедура: анализ. Подсчёт среднего количества файлов, загруженных файлов предыдущие года и сравнение данного значения с максимальным значением количества подпапок. Результат: вероятность переполнения папки за год близка к нулю Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
5 |
Данные по дисциплинам не обработаны |
Описание: преподаватель проверяет наличие своей дисциплины в системе. Цель: проверка дисциплин на присутствие в системе. Результат: при отсутствии дисциплины преподаватель сообщает данный факт в ИОУП. ИОУП организует процесс добавления дисциплины в БД. |
Играет роль человеческий фактор. |
Контроль обнаружения |
Ручной |
Тестирование контроля на данном этапе невозможно. |
|
6 |
Загрузка файла с вредоносным содержанием (умышленно или неумышленно) |
Описание: загружаемый файл доступен только для скачивания. На файловом сервере для папки с загружаемыми файлами установлен запрет на исполнение скриптов. Цель: защита системы от вредосных файлов и исполняемых скриптов (программ). Результат: в системе не возможно исполнить вредоносный код. |
Всегда |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Загрузка в систему ИРРО скриптов на Perl, PHP. Результат: Система не дала загрузить файлы (сработал контроль №7) Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль покрывает риск |
7 |
Ошибка при загрузке файла на файловый сервер |
Описание: преподаватель проверяет методические материалы в системе по своему предмету. Цель: проверка успешной загрузке файла в систему. Результат: если файл не загрузился, преподаватель сам загружает файл в систему |
По мере загрузки, обновления методических материалов. |
Контроль обнаружения |
Ручной |
На данном этапе невозможно удостовериться в эффективности контроля. |
|
8 |
Загрузка файла с недопустимым расширением |
Описание: при попытке загрузки файла с недопустимым расширением система выдает сообщение о недопустимом формате файла. Цель: загрузка файлов с недопустимым расширением (.php, .pl, .exe и т.д.). Результат: система позволяет загружать только файлы с определенными расширениями. |
Всегда |
Предупредительный контроль |
Автоматический |
Процедура: воспроизведение. Загрузка в систему ИРРО скриптов на Perl, PHP. Результат: Система не дала загрузить файлы. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль полностью покрывает риск |
9 |
Пользователь забыл прикрепить файл |
Описание: система выдает сообщение о том, что вы пытаетесь отправить пустое поле. Цель: не допустимость забытия выбора файла при загрузке. Результат: операция не возможна, если файл не прикреплен. |
Всегда |
Контроль обнаружения |
Автоматический |
Процедура: воспроизведение. Попытка загрузки с не прикрепленным файлом. Результат: Невозможность выполнения операции. Исполнитель: Лобанова Ю. Дата: 24.02.12 |
Контроль полностью покрывает риск |