Доклады, выступления, видео и электронные публикации
Страхование информационных рисков и обеспечение информационной безопасности.
В.А. КОНЯВСКИЙ
Всероссийский НИИ проблем вычислительной
техники и информатизации
В.Н. ХОВАНОВ
Научно-методический центр <Сатурн>
(г. Москва)
1. Состояние и перспективы развития страхования в информационной сфере
Комплекс научно-исследовательских работ по анализу проблемы страхования в сфере информатизации, исследованию отече-ственного и зарубежного рынков страхования информационных систем, ресурсов и техно-логий, разработке правовой, нормативно- методической и организационной базы сис-темы страхования информационных рисков проводился при координирующей роли Минсвязи России в течение 1996 - 1999 гг.
В результате выполнения НИР разработаны проекты:
<Концепции страхования информационных рисков>;
<Положения о системе страхования информационных рисков>;
<Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан>;
<Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования>;
<Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая>;
<Рекомендаций по страхованию информационных рисков при решении <Проблемы 2000>.
Подготовлены предложения по внесению изменений в Федеральный закон <Об информации, информатизации и защите информации> в части страхования информационных систем, ресурсов и технологий.
В закон предлагается внести статью следующего содержания:
Статья 22'. Страхование информационных ресурсов, систем, технологий и средств их обеспечения
1. Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.
2. Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.
разработке указанных документов принимали участие специалисты Всероссийского научно-исследовательского института проблем вычислительной техники и информатизации, Особого конструкторского бюро систем автоматизированного проектирования, Научно- методического центра <Сатурн>, Центра независимой комплексной экспертизы и сертификации, Ассоциации российских банков, Межбанковского финансового дома и др
Проведение указанных работ направлено на создание системы страхования информационных рисков.
Система страхования информационных рисков - организационная структура, представляющая собой совокупность хозяйствующих субъектов (страховые организации, страхователи, экспертные, консалтинговые и брокерские компании), комплекса законодательных и нормативно-правовых документов, определяющих область действия системы и взаимодействие между этими организациями, и комплекта методических документов, определяющих условия и порядок проведения страхования.
Целью создания системы страхования информационных рисков является формирование механизма компенсации финансовых потерь собственникам, владельцам и пользователям информационных систем, ресурсов и технологий из-за утраты, изменения, кражи, блокирования информации в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц, отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники, неквалифицированных и преднамеренных действий обслуживающего персонала и других причин.
Учитывая, что страхование информационных рисков - практически свободная <ниша> на российском страховом рынке, в октябре 1999г. Минсвязи РФ и ОСАО <Ингосстрах> подписали <Соглашение о сотрудничестве в области страхования информационных рисков>, предусматривающее разработку правовых, нормативных и методических документов системы страхования информационных рисков, создание условий для страховой деятельности в области связи и информатизации.
Работы по развитию страхования в сфере связи и информатизации ведутся не только федеральными органами исполнительной власти, но и субъектами РФ. Например, разрабатывается проект закона г.Москвы <Об информационных ресурсах и информатизации в г.Москве>, который предусматривает страхование информационных ресурсов, средств информатизации и ответственности субъектов информационных отношений.
В рамках реализации Концепции формирования информационного пространства СНГ предусматривается разработка проекта <Соглашения о межгосударственной системе страхования информационных рисков>.
В соответствии с основными направлениями, определенными проектом <Соглашения о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств-участников СНГ в сфере информатизации>, планируется разработка предложений о формировании межгосударственной программы сотрудничества в сфере информатизации <Создание нормативно-методической базы и проведение мероприятий, направленных на внедрение в государствах-участниках СНГ системы страхования информационных рисков>
Дальнейшие работы по созданию системы страхования информационных рисков целесообразно провести по следующим направлениям:
- доработать <Рекомендации по страхованию информационных рисков> и довести этот документ министерствам, ведомствам, организациям и предприятиям различных форм собственности с целью осуществления единых подходов в организации страхования информационных систем, ресурсов и технологий;
- доработать проекты <Концепции страхования информационных рисков> и <Положения о системе страхования информационных рисков> с учетом замечаний заинтересованных федеральных органов исполнительной власти;
- разработать предложения во исполнение постановления Правительства Российской Федерации <Об Основных направлениях развития национальной системы страхования в Российской Федерации в 1998 - 2000гг.> по включению страхования информационных рисков в перечень обязательных видов страхования;
- апробировать на конкретных объектах страхования и доработать нормативные и методические документы по страхованию информационных ресурсов, систем и технологий;
- разработать условия и порядок страхования государственных и негосударственных информационных ресурсов, систем и технологий на основе положений проекта новой редакции Федерального закона <Об информации, информатизации и защите информации>;
- разработать комплект организационных документов по созданию механизма аккредитации страховых компаний для работы по страхованию информационных рисков, а также предприятий и организаций на право проведения экспертизы информационных ресурсов, систем и технологий и оценки ущерба в результате наступления страхового события:
- разработать законодательные и иные нормативные и правовые акты, определяющие принципы, условия, порядок и область действия системы страхования информационных рисков:
а) проект Закона РФ <Об обязательном и добровольном страховании информационных рисков>;
б) проект <Перечня информационных ресурсов и систем, подлежащих обязательному страхованию>.
2. Информационные риски и объекты страхования
Понятие риска в страховании имеет несколько значений. В широком смысле риск - возможность опасности, неудачи. Страховым риском является предполагаемое событие, на случай наступления которого проводится страхование.
Условимся называть страховым риском вероятность наступления и (или) объем ущерба (в результате оговоренного заранее события), которые опираются на статистические данные или могут быть рассчитаны с достаточно высокой точностью.
Страховой риск:
- конкретный страховой случай, т.е. определенная опасность, от которой проводится страхование;
- конкретные объекты страхования по их страховой оценке. В этом понимании в зависимости от их страховой оценки различают крупные, средние и мелкие страховые риски, а также более опасные и менее опасные риски по степени вероятности их гибели или повреждения.
Для этих рисков характерно:
- случайный характер потерь;
- непредсказуемость страхового случая и потерь для конкретного объекта. Прежде чем говорить об опасностях, угрозах и рисках в информационной сфере, необходимо определить, что является объектом страхования на основе действующих в области информатизации и страхования федеральных законов:
<Об информации, информатизации и защите информации>;
<Об организации страхового дела в Российской Федерации>;
<О правовой охране программ для ЭВМ и баз данных>.
Исходя из закона о страховании объектами страхования являются:
- имущество, имеющее собственника, владельца;
- ответственность за причинение вреда имуществу других физических или юридических лиц.
Проанализировав правовые акты, действующие в сфере информатизации, можно определить объекты страхования:
- документированная информация;
- информационные ресурсы;
- информационные системы, технологии и средства их обеспечения;
- программы для ЭВМ (в том числе операционные системы и системы автома-тизации банковской деятельности) и базы данных;
- средства защиты информации;
- объекты информатизации (например, коммерческий банк как совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации).
Указанные объекты страхования подвергаются угрозам, рискам и, следовательно, требуют определенного уровня безопасности. Однако практический опыт показывает, что достижение 100%-го уровня безопасности - дело дорогое и не всегда целесообразное:
- такая защита сделает банк недоступным не только для злоумышленников, но и для всех остальных - персонала банка и его клиентов;
- даже самая совершенная на сегодня система защиты не может противодействовать угрозам, которые возникнут перед банком завтра;
- эффективность и надежность системы защиты во многом зависит от персонала, ее обслуживающего, который может совершать ошибки, а также преднамеренные действия. Как показывает статистика, нарушения информационной безопасности возникают как в результате умышленных (25%), так и в результате случайных ошибочных действий персонала (52%).
Принцип разумной достаточности заключается в установлении некоторого приемлемого уровня безопасности, без попыток создать <абсолютную защиту>. Поэтому целесообразно поставить вопрос о соразмерности затрат на обеспечение информационной безопасности и затрат на страхование информационных рисков.
Страхование ответственности - это вид страхования, где объектом выступает ответственность перед третьими физическими или юридическими лицами вследствие какого-либо действия или бездействия страхователя.
Анализ закона <Об информации, информатизации и защите информации> позволяет определить объекты страхования в информационной сфере, относящиеся к страхованию ответственности:
- юридических лиц, осуществляющих на основании лицензии право удостоверять идентичность электронной цифровой подписи;
- юридических и физических лиц, владеющих информацией за ущерб, причиненный гражданам в результате утечки, хищения, утраты, искажения, подделки информации;
- организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных.
Кроме указанных, можно выделить следующие виды ответственности:
- за нарушение прав интеллектуальной собственности на информацию;
- за порчу или утрату информационных документов;
- за предоставление некачественной и недостоверной информации;
- за создание некачественных информационных технологий и средств их обес-печения;
- за незаконное использование персональных данных.
Эти виды ответственности могут быть положены в основу страхования ответственности в информационной сфере и также охватываются понятием информационного риска.
Определив объекты страхования, обратимся еще раз к законодательным актам с целью определения понятия .информационный риск..
Информационный риск - предполагаемое событие, ведущее к потере защищенности объекта страхования и на случай наступления которого проводится страхование. К информационным рискам можно отнести те события, которые ведут к искажению, подделке, утечке, хищению, утрате информации.
Информационное страхование - механизм компенсации ущерба владельцам, собственникам и пользователям информации, полученного ими при осуществлении информационных процессов.
Страхование является одним из методов управления риском. Страхование не устраняет риск, однако уменьшает финансовые потери страхователя в случае реализации риска.
3. Выводы и рекомендации
Таким образом, в настоящее время:
- разработан ряд концептуальных и нормативно-методических проектов документов, определяющих объекты и субъекты страхования в информационной сфере, подходы к оценке стоимости объектов страхования и др.;
- подписано <Соглашение о сотрудничестве в области страхования информационных рисков> между Минсвязи России и ОСАО <Ингосстрах>;
- ОСАО <Ингосстрах> осуществляет страхование кредитно-финансовых организаций на основе <Правил страхования банков от компьютерных преступлений и мошенничества>.
Далее представляется целесообразным:
1. Провести разработку законодательных и нормативно-методических документов, адаптированных к условиям Союза Беларуси и России, основанных на действующих законодательных актах и удовлетворяющих потребностям государственных, кредитно-финансовых и других организаций.
2. Провести маркетинговые исследования в соответствующих сферах деятельности, доработать полученные в результате НИР нормативно- методические документы, разработать предложения по долевому участию заинтересованных сторон в финансировании указанных работ.
3. Предложить заинтересованным государственным органам Союза Беларуси и России организовать проведение работ по созданию межгосударственной системы страхования информационных рисков.
4. Рекомендовать ведущим страховым компаниям Союза Беларуси и России организовать межгосударственный страховой пул по страхованию в сфере связи и информатизации.
5. Рекомендовать ведущим компаниям Союза Беларуси и России в области связи и информатизации принять участие в подготовке законодательных и нормативно-методических документов по страхованию информационных рисков.
6. Предложить соответствующим межгосударственным органам проведение мероприятий по организации страхования при электронном ведении бизнеса, сотрудничестве в финансовой, банковской, научно- технологической, агропромышленной и топливно-энергетической сферах деятельности.
Авторы: Конявский В. А.; Хованов В. Н.
Дата публикации: 01.01.2000
Библиографическая ссылка: Конявский В. А., Хованов В. Н. Страхование информационных рисков и обеспечение информационной безопасности // Управление защитой информации. Мн., 2000. Том 4. № 1.
Метки документа:
другое
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.