Доклады, выступления, видео и электронные публикации

Роль страхования информационных рисков в системе информационной безопасности организации (Тезисы)

Хованов В.Н. - начальник отдела ВНИИПВТИ

Настоящее время характеризуется интенсивным внедрением информационных технологий во все сферы деятельности. Особенно широко информационные технологии применяются в государственных органах власти как федеральных, так и субъектов федерации, кредитных организациях (банки, биржи, фонды), в крупных системообразующих организациях (нефтяные, газовые, энергетические компании, в торговых и других организациях. Трудно назвать организацию, в которой в той или иной мере ни использовались бы средства информатизации.

С другой стороны значительно участились несанкционированные воздействия на информационные технологии как со стороны конкурентов, так и собственных сотрудников фирм. Причем, по мнению экспертов, наибольший ущерб наносят именно воздействия недобросовестных сотрудников. Величина ущерба может изменяться от сотен тысяч долларов для небольших фирм до миллионов долларов для кредитных организаций. Если ущерб значительный, то он может привести к снижению доходов, уменьшению клиентской базы, снижению доверия со стороны клиентов и, в конечном счете, к прекращению деятельности, банкротству организаций.

Именно поэтому большинство организаций направляют значительные средства на обеспечение информационной безопасности. По подсчетам экспертов 15-20% от стоимости информационных систем составляют затраты на создание системы информационной безопасности. Информационная безопасность обеспечивается рядом методов, такими как организационные, программные, технические и экономические методы. Обычно организациями используется комплекс мер обеспечения безопасности.

К экономическим методам обеспечения информационной безопасности в соответствии с Доктриной информационной безопасности Российской Федерации относится страхование информационных рисков физических и юридических лиц. Под информационным риском понимается событие, наступающее с определенной вероятностью, приводящее к уничтожению или изменению информации и к ущербу для владельца или собственника этой информации. Событиями, приводящими к ущербу могут быть следующие события: воздействие программ-вирусов, несанкционированный доступ к информации, сбой и отказ технических средств, ошибки программного обеспечения, умышленные и неквалифицированные действия обслуживающего персонала.

Все, указанные выше методы обеспечения информационной безопасности, кроме экономического, приводят к уменьшению частоты наступления того или иного события, т.к. являются барьером на пути к информации. Однако логика говорит о том, что не может появиться лекарство раньше болезни, например, сначала появляется вирус, а потом антивирусная программа. Поэтому ущерб для организаций может наступить и зарубежная статистика показывает, что ущерб этот может быть значительным.

С целью компенсации ущерба, сокращения финансовых потерь организаций, стабилизации доходов и сохранения доверия клиентов применяется страхование информационных рисков.

Для того, чтобы провести страхование информационных систем и ресурсов необходимо определить их стоимость, осуществить аудит информационной безопасности, определить надежность информационных систем, рассчитать тариф и заключить договор страхования со страховой компанией. Проведение этих работ требует создания комплекса нормативных и методических документов, сбора статистических данных, расчета базовых тарифов, определения условий страхования.

Во ВНИИПВТИ в течение нескольких лет проводятся работы по исследованию поля страхования в сфере информационных технологий. В результате разработаны проекты документов по проведению предстраховой экспертизы, правил страхования, проведены расчеты тарифов.

Таким образом, страхование информационных рисков увеличивает затраты организаций на обеспечение информационной безопасности ориентировочно на 2-3% от стоимости информационной системы и, самое важное, уменьшает ущерб организаций при реализации угроз информационной безопасности до минимального уровня.

Литература:

  1. Конявский В.А., Хованов В.Н. "Система страхования информационных рисков, как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности", журнал "ИНФОРМОСТ - Средства связи", №15, 2003 г.
  2. Иголкин А.А., Арутюнян О.Н., Хованов В.Н. "Страхование информационных рисков в кредитно-финансовой сфере деятельности", журнал "Банки и технологии", 2003 г.
  3. Хованов В.Н. "О системном подходе к проблеме страхования инфор-мационных рисков", журнал "Информационная безопасность", №3, июнь 2004 г.

Автор: Хованов В. Н.

Дата публикации: 01.01.2005

Библиографическая ссылка: Хованов В. Н. Роль страхования информационных рисков в системе информационной безопасности организации // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005. С. 48.


Метки документа:
другое  

Scientia potestas est
Кнопка связи