В современном информационном обществе образовательные учреждения широко используют преимущества информационных и коммуникационных технологий (ИКТ) при реализации образовательных программ в форме электронного обучения (e-education) или с использованием дистанционных образовательных технологий. В Федеральном законе Российской Федерации «Об образовании» под электронным обучением понимается организация образовательного процесса с применением содержащейся в базах данных и используемой при реализации образовательных программ информации и обеспечивающих ее обработку информационных технологий, технических средств, а также информационно-телекоммуникационных сетей, обеспечивающих передачу по линиям связи указанной информации, взаимодействие участников образовательного процесса. Под дистанционными образовательными технологиями - образовательные технологии, реализуемые в основном с применением информационно-телекоммуникационных сетей при опосредованном (на расстоянии) взаимодействии обучающихся и педагогических работников [4].
Очевидно, что ИКТ являются критической частью инфраструктуры электронного образования, которая подвержена различным инцидентам, приводящим к нарушению непрерывности деятельности организации. Наиболее эффективным подходом к развитию устойчивости деятельности организации является подход, основанный на методологии управления непрерывностью бизнеса (УНБ). Под непрерывностью бизнеса (деятельности) (business continuity) мы будем понимать «стратегическую и тактическую способность организации планировать свою работу в случае инцидентов и нарушения ее деятельности, направленную на обеспечение непрерывности деловых операций на установленном приемлемом уровне» [1, c. 1]. Проблемы, связанные с УНБ организаций, и подходы к их решению сегодня находят отражение в ряде научных трудов зарубежных и отечественных ученых по экономике, менеджменту, информационной безопасности, кибернетике и информатике. Связано это с тем, что в современных условиях возрастает зависимость материальных и нематериальных активов организации, в том числе и репутации, от негативных воздействий природного, техногенного или социального характера. Так, в исследовании «Статистика уязвимостей веб-приложений за 2010-2011 годы» [6], проведенном Positive Technologies, приводятся данные, полученные в результате подробного анализа защищенности 123 веб-приложений. По результатам анализа все исследованные ресурсы содержали уязвимости (в среднем по 15 уязвимостей на каждый из них). При этом 64% ресурсов содержали уязвимости критического уровня риска, 98% - среднего уровня и 37% - низкого, а около 10% сайтов были заражены вредоносным кодом. Десять уязвимостей, выявленных на наибольшем количестве сайтов, представлены на рис. 1.
Рис. 1. Наиболее распространенные уязвимости (доля сайтов, %) [6].
Данные о потерях российских вузов от сбоев в работе информационной инфраструктуры отсутствуют, однако можно предположить, что и для образовательных учреждений, оказывающих дистанционные образовательные услуги в сфере высшего профессионального образования, проблема УНБ актуальна. Среди потенциальных инцидентов и нарушений непрерывности можно назвать: сбои оборудования; некорректную работу программного обеспечения; несанкционированный доступ к информационно-образовательным ресурсам; воздействия вредоносного программного обеспечения; ошибки обслуживающего персонала и пользователей; техногенные воздействия и др. Нарушения непрерывности функционирования бизнес-процессов и ИТ-сервисов электронной информационно-образовательной среды вуза ведут к снижению качества предоставляемых образовательных услуг и эффективности информационного обеспечения, потере конкурентных преимуществ образовательного учреждения и др.
В вузах в области УНБ существуют следующие типичные недоработки: отсутствуют планы, которые были бы направлены на восстановление после сбоев или прерываний деятельности бизнес-функций; неполная структура и отсутствие задокументированных протоколов нарушения непрерывности и восстановления бизнес-процессов в результате системных сбоев, аварий, катастроф и других непредвиденных негативных обстоятельств; не полный и не регулярный анализ воздействия существующих рисков, угроз и уязвимостей на бизнес-функции образовательного учреждения; недостаточный уровень подготовки сотрудников по вопросам УНБ и др. Вышеизложенные обстоятельства обуславливают объективную потребность в разработке программы управления непрерывностью деятельности вуза в сфере оказания дистанционных образовательных услуг.
Жизненный цикл процесса УНБ согласно ГОСТ Р 53647 включает шесть элементов: управление программой построения процесса УНБ; анализ организации; определение стратегии обеспечения непрерывности деятельности; разработка и внедрение процедур реагирования; тестирование, поддержка и пересмотр мероприятий процесса УНБ; встраивание процесса управления непрерывностью деятельности в культуру организации. Фрагмент, разработанной в ходе исследования обобщенной модели УНБ, представлен на рис. 2. С учетом низкого уровня зрелости системы УНБ образовательной организации первоочередной задачей является анализ непрерывности деятельности вуза.
Согласно требованиям стандарта ГОСТ Р 53647.1-2009 и с учетом рекомендаций, изложенных в [2-4; 6; 7 и др.], был разработан и реализован проект по анализу системы УНБ вуза в сфере оказания дистанционных образовательных услуг. Данный анализ предназначен для обеспечения понимания организацией непрерывности своей деятельности путем идентификации ключевых продуктов и услуг, а также поддерживающих их критических видов деятельности и ресурсов [2].
В результате проведенного нами анализа воздействия на бизнес (BIA Business Impact Analysis) были определены воздействия инцидентов (нарушений) на образовательную деятельность вуза и идентифицированы критические виды деятельности, определены требования к непрерывности критического вида деятельности, а также - значения допустимых отклонений основных параметров, при которых обеспечивается требуемый уровень эффективности работы ИТ-сервисов. Следующим шагом анализа являлась оценка угроз выявленному наиболее критичному виду деятельности вуза - «оказание дистанционных образовательных услуг». Данный бизнес-процесс исследовался с точки зрения подверженности тем или иным объективным внешним и внутренним угрозам, выявлялись уязвимости каждого ресурса, поддерживающего данный бизнес-процесс, и определялось потенциальное воздействие при превращении угрозы в инцидент, нарушающий деятельность организации. На данном шаге был построен реестр рисков прерывания критического бизнес-процесса. Под рисками мы понимаем возможность возникновения неблагоприятных условий или воздействий на образовательную деятельность вуза (включая миссию, функции, образ, репутацию, активы, ресурсы), обуславливаемых взаимодействием образовательной системы с угрозами и опасностями, индуцируемыми и производимыми в результате функционирования электронной информационно-образовательной среды.
Иерархическая структура рисков, разработанная в ходе проекта, базируется на архитектуре образовательной системы (Learning Technology Systems Architecture - LTSA), введенной в международном стандарте IEEE P1484.1 (IEEE P1484.1/D8, 2001-04-06), используемом для проведения лицензирования информационных систем в области образования и снижения рисков при проектировании и разработке информационных систем в области обучения.
Рис. 2. Модель МНБ.
Рис. 3. Архитектура информационно-образовательной среды.
Согласно уровню 3 System (Компоненты системы) данного стандарта архитектура информационно-образовательной среды содержит следующие компоненты: «Обучаемый», «Инструктор», «Репозиторий», «Доставка», «Оценивание», «База данных обучаемых» (рис. 3).
В соответствии с этим в проекте были выявлены риски обучаемого, инструктора, БД обучаемого; риски, связанные с репозитарием, оцениванием и доставкой. На этапе идентификации рисков нами были проанализированы инциденты, связанные с нарушением непрерывности дистанционного образования в МаГУ, использовались материалы из открытых источников, в том числе научные работы, базы данных угроз и уязвимостей информационной инфраструктуры, бенчмаркетинг и др. В ходе проделанной работы был составлен реестр рисков, содержащий описание: условий возникновения риска, возможного воздействия, возможного ущерба, причины риска, типа риска. Ниже представлен фрагмент реестра риска (табл. 1).
На следующем этапе необходимо было определить действия для снижения потерь и обработки риска. Как правило, каждый вид риска допускает несколько вариантов управления, поэтому возникает задача сравнительного анализа их эффективности. Основными способами управления рисками являются предупредительные мероприятия, резервирование, страхование, диверсификация и хеджирование. Выбор способа управления рисками осуществляется путем сравнения расчетных показателей риска для различных управляющих воздействий. Как правило, в модели присутствует набор управляющих параметров, варьируя которые можно задавать стратегию управления. Задание управляющих воздействий может подразумевать также изменение структуры модели, соответствующее определенным реорганизационным мероприятиям в самой компании. Например, для воздействия на антропогенные риски можно использовать предупредительные мероприятия, состоящие в обучении и регулярной переподготовке кадров.
Таблица 1 - Фрагмент реестра рисков
Категория: Репозиторий (Образовательные информационные ресурсы)
Класс: Контрольно-измерительные материалы
Подкласс: Тестовые материалы
Описание риска (угрозы) |
Уязвимости |
Возмож-ный источник угрозы |
Вероятные последствия - результаты реализации угрозы (сценарии) |
Перегрузка приложения тестирования |
Отсутствие механизма защиты от перегрузки канала связи. Архитектура приложения, неоптимизированная для высоких нагрузок |
Студент |
Невозможность проведения тестирования; изменение базы тестирования преподавателем; оценки результатов тестирования. Вред репутации организации |
Несанкцио-нированный доступ к ответам и результатам тестирований |
Информация частично, или полностью не зашифрована. Действие вредоносного ПО |
Студент |
Фальсификация результатов тестирования. Компрометация тестового набора. Невозможность проведения тестирования |
Отсутствие доступа к материалам тестирования |
Сетевые кабели не продублированы и не защищены. Выход из строя оборудования сервера. Архитектура приложения не поддерживает технологии обеспечения должной отказоустойчивости. Отсутствие системы своевременного распознавания вторжения на сервере. Неверная настройка ПК |
Студент. Админи-стратор |
Невозможность проведения тестирования; оценки результатов |
Умышленное изменение содержания |
Использование слабых паролей владельцами информации. Информация частично или полностью не зашифрована. Не используется блокировка ПК. Действие вредоносного ПО |
Студент. Препода-ватель |
Фальсификация, изменение рейтингов успеваемости |
Низкая производи-тельность тестирования |
Непродуманная архитектура решения. Незапланированная большая нагрузка на сервер. Недостаток вычислительных ресурсов. Неверная приоритетность задач на сервере |
Препода-ватель. Студент. Админи-стратор сервера |
Невозможность проведения тестирования частично или полностью. Компрометация результатов при повторном проведении тестирования |
На следующем этапе исследования предполагается определить стратегию МНБ, разработать и внедрить ответные меры, осуществлять поддержку и анализ МНБ, внедрять МНБ в культуру организации. В результате проделанной работы ожидается обеспечить:
- возрастание эффективности и качества электронного образования за счет повышения непрерывности и устойчивости ИТ-сервисов и поддерживающей инфраструктуры, снижения возможного ущерба при сбоях и катастрофах;
- оптимальное распределение имеющихся ресурсов вуза по критерию «эффективность - стоимость» при применении специальных средств и методов обеспечения непрерывности;
- повышение обоснованности стратегии, плана и программы развития информационных технологий, информационных систем образовательного учреждения и средств их обеспечения;
- повышение эффективности использования бюджетных ресурсов, выделяемых ИТ подразделениям, и др.
Рецензенты
Баранкова Инна Ильинична, д.т.н., профессор, зав. кафедрой информатики и информационных технологий ФГБОУ ВПО «Магнитогорский государственный технический университет им. Г.И. Носова», г. Магнитогорск.
Девятов Диляур Хасанович, д.т.н., профессор, зав. кафедрой вычислительной техники и прикладной информатики ФГБОУ ВПО «Магнитогорский государственный технический университет им. Г.И. Носова», г. Магнитогорск.
Библиографическая ссылка
Чусавитина Г.Н., Чусавитин М.О. АНАЛИЗ НЕПРЕРЫВНОСТИ БИЗНЕС-ПРОЦЕССОВ И ПОДДЕРЖИВАЮЩЕЙ ИНФРАСТРУКТУРЫ ВУЗА В СФЕРЕ ЭЛЕКТРОННОГО ОБРАЗОВАНИЯ // Современные проблемы науки и образования. – 2012. – № 5. ;URL: https://science-education.ru/ru/article/view?id=7275 (дата обращения: 08.12.2024).