Страхование информационных рисков и обеспечение информационной безопасности.

В.А. КОНЯВСКИЙ
Всероссийский НИИ проблем вычислительной
техники и информатизации
В.Н. ХОВАНОВ
Научно-методический центр <Сатурн>
(г. Москва)

1. Состояние и перспективы развития страхования в информационной сфере

Комплекс научно-исследовательских работ по анализу проблемы страхования в сфере информатизации, исследованию отече-ственного и зарубежного рынков страхования информационных систем, ресурсов и техно-логий, разработке правовой, нормативно- методической и организационной базы сис-темы страхования информационных рисков проводился при координирующей роли Минсвязи России в течение 1996 - 1999 гг.

В результате выполнения НИР разработаны проекты:

<Концепции страхования информационных рисков>;

<Положения о системе страхования информационных рисков>;

<Правил страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан>;

<Методики оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования>;

<Положения и инструкции о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая>;

<Рекомендаций по страхованию информационных рисков при решении <Проблемы 2000>.

Подготовлены предложения по внесению изменений в Федеральный закон <Об информации, информатизации и защите информации> в части страхования информационных систем, ресурсов и технологий.

В закон предлагается внести статью следующего содержания:

Статья 22'. Страхование информационных ресурсов, систем, технологий и средств их обеспечения

1. Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством Российской Федерации.

2. Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством Российской Федерации.

разработке указанных документов принимали участие специалисты Всероссийского научно-исследовательского института проблем вычислительной техники и информатизации, Особого конструкторского бюро систем автоматизированного проектирования, Научно- методического центра <Сатурн>, Центра независимой комплексной экспертизы и сертификации, Ассоциации российских банков, Межбанковского финансового дома и др

Проведение указанных работ направлено на создание системы страхования информационных рисков.

Система страхования информационных рисков - организационная структура, представляющая собой совокупность хозяйствующих субъектов (страховые организации, страхователи, экспертные, консалтинговые и брокерские компании), комплекса законодательных и нормативно-правовых документов, определяющих область действия системы и взаимодействие между этими организациями, и комплекта методических документов, определяющих условия и порядок проведения страхования.

Целью создания системы страхования информационных рисков является формирование механизма компенсации финансовых потерь собственникам, владельцам и пользователям информационных систем, ресурсов и технологий из-за утраты, изменения, кражи, блокирования информации в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц, отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники, неквалифицированных и преднамеренных действий обслуживающего персонала и других причин.

Учитывая, что страхование информационных рисков - практически свободная <ниша> на российском страховом рынке, в октябре 1999г. Минсвязи РФ и ОСАО <Ингосстрах> подписали <Соглашение о сотрудничестве в области страхования информационных рисков>, предусматривающее разработку правовых, нормативных и методических документов системы страхования информационных рисков, создание условий для страховой деятельности в области связи и информатизации.

Работы по развитию страхования в сфере связи и информатизации ведутся не только федеральными органами исполнительной власти, но и субъектами РФ. Например, разрабатывается проект закона г.Москвы <Об информационных ресурсах и информатизации в г.Москве>, который предусматривает страхование информационных ресурсов, средств информатизации и ответственности субъектов информационных отношений.

В рамках реализации Концепции формирования информационного пространства СНГ предусматривается разработка проекта <Соглашения о межгосударственной системе страхования информационных рисков>.

В соответствии с основными направлениями, определенными проектом <Соглашения о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств-участников СНГ в сфере информатизации>, планируется разработка предложений о формировании межгосударственной программы сотрудничества в сфере информатизации <Создание нормативно-методической базы и проведение мероприятий, направленных на внедрение в государствах-участниках СНГ системы страхования информационных рисков>

Дальнейшие работы по созданию системы страхования информационных рисков целесообразно провести по следующим направлениям:

- доработать <Рекомендации по страхованию информационных рисков> и довести этот документ министерствам, ведомствам, организациям и предприятиям различных форм собственности с целью осуществления единых подходов в организации страхования информационных систем, ресурсов и технологий;

- доработать проекты <Концепции страхования информационных рисков> и <Положения о системе страхования информационных рисков> с учетом замечаний заинтересованных федеральных органов исполнительной власти;

- разработать предложения во исполнение постановления Правительства Российской Федерации <Об Основных направлениях развития национальной системы страхования в Российской Федерации в 1998 - 2000гг.> по включению страхования информационных рисков в перечень обязательных видов страхования;

- апробировать на конкретных объектах страхования и доработать нормативные и методические документы по страхованию информационных ресурсов, систем и технологий;

- разработать условия и порядок страхования государственных и негосударственных информационных ресурсов, систем и технологий на основе положений проекта новой редакции Федерального закона <Об информации, информатизации и защите информации>;

- разработать комплект организационных документов по созданию механизма аккредитации страховых компаний для работы по страхованию информационных рисков, а также предприятий и организаций на право проведения экспертизы информационных ресурсов, систем и технологий и оценки ущерба в результате наступления страхового события:

- разработать законодательные и иные нормативные и правовые акты, определяющие принципы, условия, порядок и область действия системы страхования информационных рисков:

а) проект Закона РФ <Об обязательном и добровольном страховании информационных рисков>;

б) проект <Перечня информационных ресурсов и систем, подлежащих обязательному страхованию>.

2. Информационные риски и объекты страхования

Понятие риска в страховании имеет несколько значений. В широком смысле риск - возможность опасности, неудачи. Страховым риском является предполагаемое событие, на случай наступления которого проводится страхование.

Условимся называть страховым риском вероятность наступления и (или) объем ущерба (в результате оговоренного заранее события), которые опираются на статистические данные или могут быть рассчитаны с достаточно высокой точностью.

Страховой риск:

- конкретный страховой случай, т.е. определенная опасность, от которой проводится страхование;

- конкретные объекты страхования по их страховой оценке. В этом понимании в зависимости от их страховой оценки различают крупные, средние и мелкие страховые риски, а также более опасные и менее опасные риски по степени вероятности их гибели или повреждения.

Для этих рисков характерно:

- случайный характер потерь;

- непредсказуемость страхового случая и потерь для конкретного объекта. Прежде чем говорить об опасностях, угрозах и рисках в информационной сфере, необходимо определить, что является объектом страхования на основе действующих в области информатизации и страхования федеральных законов:

<Об информации, информатизации и защите информации>;

<Об организации страхового дела в Российской Федерации>;

<О правовой охране программ для ЭВМ и баз данных>.

Исходя из закона о страховании объектами страхования являются:

- имущество, имеющее собственника, владельца;

- ответственность за причинение вреда имуществу других физических или юридических лиц.

Проанализировав правовые акты, действующие в сфере информатизации, можно определить объекты страхования:

- документированная информация;

- информационные ресурсы;

- информационные системы, технологии и средства их обеспечения;

- программы для ЭВМ (в том числе операционные системы и системы автома-тизации банковской деятельности) и базы данных;

- средства защиты информации;

- объекты информатизации (например, коммерческий банк как совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации).

Указанные объекты страхования подвергаются угрозам, рискам и, следовательно, требуют определенного уровня безопасности. Однако практический опыт показывает, что достижение 100%-го уровня безопасности - дело дорогое и не всегда целесообразное:

- такая защита сделает банк недоступным не только для злоумышленников, но и для всех остальных - персонала банка и его клиентов;

- даже самая совершенная на сегодня система защиты не может противодействовать угрозам, которые возникнут перед банком завтра;

- эффективность и надежность системы защиты во многом зависит от персонала, ее обслуживающего, который может совершать ошибки, а также преднамеренные действия. Как показывает статистика, нарушения информационной безопасности возникают как в результате умышленных (25%), так и в результате случайных ошибочных действий персонала (52%).

Принцип разумной достаточности заключается в установлении некоторого приемлемого уровня безопасности, без попыток создать <абсолютную защиту>. Поэтому целесообразно поставить вопрос о соразмерности затрат на обеспечение информационной безопасности и затрат на страхование информационных рисков.

Страхование ответственности - это вид страхования, где объектом выступает ответственность перед третьими физическими или юридическими лицами вследствие какого-либо действия или бездействия страхователя.

Анализ закона <Об информации, информатизации и защите информации> позволяет определить объекты страхования в информационной сфере, относящиеся к страхованию ответственности:

- юридических лиц, осуществляющих на основании лицензии право удостоверять идентичность электронной цифровой подписи;

- юридических и физических лиц, владеющих информацией за ущерб, причиненный гражданам в результате утечки, хищения, утраты, искажения, подделки информации;

- организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных.

Кроме указанных, можно выделить следующие виды ответственности:

- за нарушение прав интеллектуальной собственности на информацию;

- за порчу или утрату информационных документов;

- за предоставление некачественной и недостоверной информации;

- за создание некачественных информационных технологий и средств их обес-печения;

- за незаконное использование персональных данных.

Эти виды ответственности могут быть положены в основу страхования ответственности в информационной сфере и также охватываются понятием информационного риска.

Определив объекты страхования, обратимся еще раз к законодательным актам с целью определения понятия .информационный риск..

Информационный риск - предполагаемое событие, ведущее к потере защищенности объекта страхования и на случай наступления которого проводится страхование. К информационным рискам можно отнести те события, которые ведут к искажению, подделке, утечке, хищению, утрате информации.

Информационное страхование - механизм компенсации ущерба владельцам, собственникам и пользователям информации, полученного ими при осуществлении информационных процессов.

Страхование является одним из методов управления риском. Страхование не устраняет риск, однако уменьшает финансовые потери страхователя в случае реализации риска.

3. Выводы и рекомендации

Таким образом, в настоящее время:

- разработан ряд концептуальных и нормативно-методических проектов документов, определяющих объекты и субъекты страхования в информационной сфере, подходы к оценке стоимости объектов страхования и др.;

- подписано <Соглашение о сотрудничестве в области страхования информационных рисков> между Минсвязи России и ОСАО <Ингосстрах>;

- ОСАО <Ингосстрах> осуществляет страхование кредитно-финансовых организаций на основе <Правил страхования банков от компьютерных преступлений и мошенничества>.

Далее представляется целесообразным:

1. Провести разработку законодательных и нормативно-методических документов, адаптированных к условиям Союза Беларуси и России, основанных на действующих законодательных актах и удовлетворяющих потребностям государственных, кредитно-финансовых и других организаций.

2. Провести маркетинговые исследования в соответствующих сферах деятельности, доработать полученные в результате НИР нормативно- методические документы, разработать предложения по долевому участию заинтересованных сторон в финансировании указанных работ.

3. Предложить заинтересованным государственным органам Союза Беларуси и России организовать проведение работ по созданию межгосударственной системы страхования информационных рисков.

4. Рекомендовать ведущим страховым компаниям Союза Беларуси и России организовать межгосударственный страховой пул по страхованию в сфере связи и информатизации.

5. Рекомендовать ведущим компаниям Союза Беларуси и России в области связи и информатизации принять участие в подготовке законодательных и нормативно-методических документов по страхованию информационных рисков.

6. Предложить соответствующим межгосударственным органам проведение мероприятий по организации страхования при электронном ведении бизнеса, сотрудничестве в финансовой, банковской, научно- технологической, агропромышленной и топливно-энергетической сферах деятельности.

Авторы: Конявский В. А.; Хованов В. Н.

Дата публикации: 01.01.2000

Библиографическая ссылка: Конявский В. А., Хованов В. Н. Страхование информационных рисков и обеспечение информационной безопасности // Управление защитой информации. Мн., 2000. Том 4. № 1.

---