Страхование информационных рисков: подводные камни

Сейчас наиболее актуален обличительный пафос. Аналитика, если она не является носителем скрытой рекламы, а зачастую даже если и является, содержит в качестве общей схемы предостережение в жанре <Никому не верьте! Вас точно хотят обмануть>. С точки зрения педагогики, наверное, это полезно - мамы учат детей не подходить к дядям на улице, предлагающим конфеты, и это однозначно правильно. Не случится ничего плохого, если ребенок просто не получит конфету от действительно хорошего дяди. Насколько такая позиция уместна в бизнесе - вопрос более сложный.

Для того чтобы взрослый человек увидел проблему, которую ранее не видел, эта проблема должна его впечатлить. И чем взрослее человек - тем более сильным должно быть впечатление, потому что с возрастом мы в общем случае становимся смелее и хуже пугаемся. И тут аналитик увлекается и забывает о цели, потому что пугать оказывается неожиданно приятно. Статьи, построенные на выявлении <подводных камней> и корыстных мотивов производителей тех или иных продуктов и услуг, не оставляют выбора - нельзя не только верить, но и предпринимать что-либо нежелательно, потому что будет только хуже.

Эта схема касается и современной аналитики, посвященной страхованию информационных рисков. Попробуем выступить в режиме диалога и рассмотреть выявленные <подводные камни> с точки зрения их материальности.

Камень 1. Нелояльность страховых компаний.

Этот камень, безусловно, самый красивый. Во-первых, потому что всем, конечно, приятнее было бы, если бы кто-то заботился о нас просто потому, что любит. Или просто потому, что добрый. А страховые компании бессовестно делают деньги на чужой беде. В рамках такой парадигмы особенно впечатляют примеры из жизни, подтверждающие, что к <чужой беде> страховщики совершенно не чувствительны.

Кстати, как правило, эти примеры касаются страхования не информационных рисков, а чего-либо другого, ведь сфера информационной безопасности в нашей стране вообще довольно молодая, а страхование в этой сфере - особенно. Фактически, можно говорить о возникновении правовых предпосылок для возникновения этого феномена только со второй половины 90-х годов XX века: это статья 128 ГК РФ, где информация впервые фигурирует в качестве объекта гражданских прав, статья 28 УК РФ <Преступления в сфере компьютерной безопасности> и <Доктрина информационной безопасности РФ> от 09.09.2000 г., в соответствии с которой обеспечение информационной безопасности систем и ресурсов может осуществляться организационными, техническими, программными и экономическими методами. К экономическим методам обеспечения информационной безопасности информационных систем и относится создание системы страхования информационных рисков.

Более того, при всех возможных недостатках, страхование - это вообще единственный способ компенсировать ущерб, наступивший в результате отказов и сбоев в работе информационных систем, воздействия вредоносных программ, несанкционированного доступа к программам и информации, etc.

Что же касается подозрительности того факта, что страхование - это бизнес, то если отбросить эмоции - это не более подозрительно, чем то, что бизнесом являются, например, авиаперевозки. Авиакомпании совсем не думают о том, зачем и насколько сильно Вам нужно попасть на место назначения. Они Вас просто туда доставляют. За деньги.

Камень 2. Сомнительность <независимой экспертизы>.

Этот камень связан с тем, что хорошая экспертиза невозможна из-за отсутствия хороших экспертов. По многим причинам - из-за того, что в штате их держать дорого, из-за того, что <специалист подобен флюсу> и хорошо разбирается только в своей узкой сфере, а не во всех аспектах обеспечения информационной безопасности, и уж тем более - не в бизнесе страхователя. А те эксперты, что хороши, проводят экспертизу все равно плохо.

Действительно, если рассчитывать на то, что экспертиза будет независима в том числе и от специально разработанных для этого методик, то остается только положиться на везение с конкретным специалистом, проводящим экспертизу в Вашем случае. Однако зачем? Ведь создаются методики, инструкции и правила, которые эту сферу систематизируют.

Так, Центром фундаментальных исследований проблем информатизации ВНИИПВТИ в результате выполнения НИР разработаны проекты ряда концептуальных, нормативных и методических документов по системе страхования информационных рисков, в числе которых <Методика оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования>; <Положение и инструкция о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая>; Правила страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан.

Наверное, если полагаться на результаты профессиональных и целенаправленных разработок, то эффективная и качественная экспертиза все же возможна.

Камень 3. Неочевидность <цены вопроса>.

Камень выглядит страшно, если подумать, что та информация, которая для Вас очень важна и дорого стоит, для кого-то не стоит совсем ничего. Но при страховании информационных рисков на самом деле именно этим фактором руководствоваться нет никакой необходимости.

Во-первых, существуют и описаны способы оценки стоимости информационных ресурсов и систем, а также способы оценки информационных рисков[1], на основании которых ведется разработка стандартных методик. Эти способы дают достаточную теоретическую базу для оценки страховой стоимости в каждом случае индивидуально, в зависимости от вида информационных ресурсов.

Хорошо понятно, что во избежание недоразумений и <подводных камней> разного рода оценка стоимости информационных ресурсов и систем должна осуществляться организацией, имеющей лицензию на проведение этого вида деятельности.

Во-вторых, законодательство не рассматривает любую информацию как самостоятельный объект регулирования. Она выступает в качестве такового только в том случае, когда является документом. Именно в виде документированной информации, входящей в состав информационных ресурсов, систем, она может выступать объектом собственности. Важно, что и защите подлежит только документированная информация[2].

Камень 4. Неадекватность затрат.

Размер этого камня, по данным Ингосстраха, равен 0,5-1,5% от стоимости информационных систем. Именно на столько полис страхования информационных рисков увеличивает затраты на обеспечение информационной безопасности. Не так дорого, как казалось бы, учитывая, что остальные затраты на обеспецение информационной безопасности, согласно оценкам аналитиков, составляют 15-20 % от стоимости информационных систем.

В то же время создание системы страхования информационных рисков обеспечит не только формирование условий для компенсации финансового ущерба владельцам, собственникам (страхователям) информационных ресурсов и систем и потребителям услуг связи и информатизации, наступивших в результате утраты или искажения информации, но и повышение уровня требований к другим предпринимаемым для защиты информации мерам, в том числе организационно-техническим. В свою очередь, обеспечение гарантий компенсации ущерба повысит уровень доверия между участниками информационного обмена, и, соответственно, обеспечит качественный и количественный скачок в развитии электронных торговых систем, электронного документооборота, систем телемедицины, удостоверяющих центров и всей инфраструктуры информационных технологий в целом.

Возможно, затраты все-таки адекватны?

Приведенный здесь анализ <подводных камней> страхования информационных рисков не претендует на полноту - в данном объеме претензии такого рода были бы нелепы. Однако, возможно, критическое отношение окажется полезно не только по отношению к самому феномену страхования, но и по отношению к связанным с ним опасностям.

---

[1] См. об этом в статьях, например, В. Н. Хованова.

[2] Подробнее о понятии документа и электронного документа см.: Конявский В. А., Гадасин В. А. Основы понимания феномена электронного обмена информацией. Минск, 2004.

Автор: Конявская С. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Конявская С. В. Страхование информационных рисков: подводные камни // Information Security/Информационная безопасность. М., 2007. № 6–1 (декабрь 2006 – январь 2007). С. 58–59.

---