Исследование проблем правового регулирования отношений в области страхования информационных рисков

3) законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

4) разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

5) уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;

6) законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

7) определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;

8) создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:

1) создание и совершенствование системы обеспечения информационной безопасности РФ;

2) усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

3) разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

4) создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

5) выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

6) сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

7) совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

8) контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;

9) формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:

1) разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;

2) совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

7. Страхование информационных рисков

У страхования информационных рисков в России большое будущее. Без соответствующих механизмов страхования невозможно построить защищенную инфраструктуру связи и информационных технологий. Страхование как часть общей деловой практики будет развиваться вместе с теми процессами совершенствования культуры корпоративного управления и условий ведения бизнеса, которые проходят сейчас в России.

Неиспользованный потенциал здесь огромен. Речь идет не только о новых, передовых страховых технологиях, но и о классическом страховании, значение которого часто недооценивается. А ведь пожары и аварии наносят не меньший ущерб отрасли, чем распространение компьютерных вирусов. Хочется надеяться, что придет время, когда каждое отечественное предприятие будет иметь собственную политику безопасности и планы восстановления бизнеса, предусматривающие, что даже традиционные риски необходимо страховать, не дожидаясь очередного пожара на каком-либо объекте связи общероссийского значения.

В настоящее время:

* разработан ряд концептуальных и нормативно-методических проектов документов, определяющих объекты и субъекты страхования в информационной сфере, подходы к оценке стоимости объектов страхования и др.;

* подписано "Соглашение о сотрудничестве в области страхования информационных рисков" между Минсвязи России и страховыми компаниями "Ингосстрах" и "Инфистрах".

Дальнейшие работы по созданию системы страхования информационных рисков целесообразно провести по следующим направлениям:

- проведение маркетинговых исследований рынка страхования информационных рисков в соответствующих сферах деятельности (электронная торговля, телемедицина, информационно-маркетинговые центры, Интернет-технологии), доработка полученных в результате научно-исследовательских работ нормативно методических документов;

- разработка "Рекомендаций по страхованию информационных рисков" и доведение этого документа министерствам, ведомствам, организациям и предприятиям различных форм собственности с целью осуществления единых подходов в организации страхования информационных систем, ресурсов и технологий;

- доработка проектов "Концепции страхования информационных рисков" и "Концепции создания и развития системы страхования информационных рисков";

- апробация на конкретных объектах страхования и доработка нормативных и методических документов по страхованию информационных ресурсов, систем и технологий, сетей и объектов связи;

- разработка комплекта организационных документов по созданию механизма аккредитации страховых компаний для работы по страхования информационных рисков, а также предприятий и организаций на право проведения экспертизы информационных ресурсов, систем и технологий и оценки ущерба в результате наступления страхового события;

- разработка законодательных и иных нормативных и правовых актов, определяющих принципы, условия, порядок и область действия системы страхования информационных рисков:

а) проект Федерального закона "О страховании информационных рисков";

б) проект "Перечня информационных ресурсов и систем, сетей и объектов связи, подлежащих страхованию".

Страхование объектов связи и информатизации является экономическим методом компенсации ущерба владельцам, собственникам и пользователям информационных ресурсов, систем и технологий, а также объектов и сетей связи, потребителям услуг связи.

Для обеспечения практической реализации механизма возмещения ущерба при реализации угроз информационной безопасности необходимо проведение разработки правовых и нормативно-методических документов, определяющих порядок экспертизы объектов страхования, подготовки и выполнения плана организационных, технических и программных мер защиты информации, взаимодействия участников страхования.

Страхование информационных рисков будет эффективным при условии:

- поэтапного включения в систему страховой защиты наиболее опасных и крупных рисков в области связи и информатизации;

-·сочетания рыночного механизма конкуренции и саморегулирования с государственными мерами регулирования рынка страхования;

-·дальнейшего совершенствования правовой базы и экономических основ обеспечения страховой защиты юридических лиц всех форм собственности.

8. Исследование проблем правового регулирования отношений в области страхования информационных рисков

Хищение ценной информации путем несанкционированного проникновения в информационные системы давно стало настоящим пугалом для корпораций, вынуждая тратить солидные средства на новейшие средства безопасности и привлечение высококлассных специалистов, в том числе бывших хакеров. Однако успех в этой борьбе является переменным. Злоумышленники также применяют все новые и новые методы для выуживания секретных данных из корпоративных компьютеров, а слабые места зачастую кроются не в дырах системы, а в ошибках корпоративных пользователей. И если стопроцентная гарантия защиты - это утопия, то застраховать существующий риск вполне реально.

То, что развивающиеся информационные технологии несут с собою новые риски, а значит, и новый рынок спроса, зарубежные компании осознали в середине 90-х. Первыми жертвами новых технологий стали банки, прежде использовавшие "Генеральный банковский полис" (Banker's Blanket Bond, BBB). BBB предусматривал страхование банковского имущества и транспортируемой наличности. Он также покрывал риски, связанные с мошенническими действиями сотрудников, подложными документами и фальшивой валютой. Но вот ущерб от хакинга и прочих компьютерных преступлений BBB не компенсировал. По данным же Британской Федерации предпринимателей, средний размер ущерба от проникновения в банковские сети в мире составил $500 тыс. Так что именно банковская отрасль сыграла роль локомотива, сдвинувшего с мертвой точки информационное страхование. Стало очевидным, что возмещать ущерб, нанесенный информационным активам, по стандартным условиям бизнес-страхования не представляется возможным, после чего были разработаны специальные страховые программы для ИТ-сферы.

Официальной даты рождения у российского информационного страхования нет, и различные источники называют разное время. Отдельные инициативы страховщиков имели место в 1997-99 годах. Тогда первопроходцами выступили "Ингосстрах" и "Инфистрах", заключившие соглашение о сотрудничестве с Министерством связи РФ в данной области. Научно-исследовательскую часть взял на себя ВНИИПВТИ. Но, видимо, правильнее указать в качестве точки отсчета 9 сентября 2000 года, когда президент РФ утвердил "Доктрину информационной безопасности РФ", согласно которой экономические методы противодействия угрозам информационной безопасности предусматривали создание системы страхования информационных рисков физических и юридических лиц, обеспечивающей компенсацию ущерба в случае реализации угрозы.

После этого ряд страховых компаний приобрел лицензии на ведение деятельности в этой сфере, и начал формироваться российский рынок. Полис информационного страхования позволяет покрывать риски, связанные практически с любыми программно-аппаратными системами, предназначенными для сбора, передачи, хранения и обработки информации. К таковым относятся и системы управления производством и ресурсами, удостоверяющие сертификационные центры, системы электронного документооборота, биллинговые системы, веб-серверы, корпоративные локальные сети и т. д. Насыщение основного спроса относилось к 2000-2002 годам и сопровождалось относительно большими прибылями страховых компаний.

С 2003-го и по сей день наблюдается некоторое затишье, изредка прерываемое крупными сделками. К слову, сегодняшнее положение свойственно не только российскому, но и мировому рынку. Хотя, конечно, на Западе страхование информационных рисков идет все же активнее, что связано, прежде всего, с более высоким уровнем развития электронной коммерции.

В настоящее время информационно-страховые услуги предоставляют рядом фирм. В основном они предлагают клиентам два вида услуг (наиболее востребованных) - это страхование электронных устройств (Electronic Equipment Insurance, EEI) и страхование активов от преступлений в ИТ-сфере. Первый вид является своеобразным гибридом информационного и имущественного страхования. EEI включает в себя риски, не поддерживаемые в классическом имущественном страховании, такие, например, как сбои в системах из-за короткого замыкания, отклонения от стандартных уровней напряжения и частоты, магнитной индукции.

Определение второго вида информационного страхования весьма размыто. Обычно к страхуемым рискам такого рода относят действия вирусов или троянских программ, хакерские атаки (в том числе с применением пресловутой "социальной инженерии") или противоправные действия сотрудников самой компании-клиента, направленные на хищение информационных активов или денежных средств. Другие виды информационного страхования на российском рынке представлены слабо и в большинстве своем находятся в зачаточном состоянии. Это относится, например, к рискам в сфере интеллектуальной собственности или электронной коммерции. Единичные инициативы не позволяют назвать то, что есть, даже зарождающимся видом деятельности.

Помимо сложностей с национальным менталитетом, отторгающим само понятие такой собственности, есть и другая тормозящая прогресс причина. Страховые компании выжидают, пока редкие энтузиасты "набьют себе шишки", неизбежные в становлении нового бизнеса. И лишь после того, как разрозненные случаи такого страхования накопятся в достаточном числе, чтобы можно было понять, чего ждать от нового рынка, страховщики начнут "большую игру". И не факт, что в этой игре они опередят западных конкурентов, уже имеющих опыт и техническое преимущество.

В е-коммерции ситуация хуже. Ни в одном сегменте экономики проблема безопасности не стоит так остро. Комплексное страхование е-бизнеса должно представлять собою гибрид уже упоминавшегося EEI и страхования информационных активов, плюс к тому оно должно покрывать риски по доставке товаров (страхование грузов) и финансовым операциям (страхование убытков от предпринимательской деятельности). Пожалуй, наиболее известным первопроходцем, который начал оказывать некоторые из вышеперечисленных услуг B2B-сектору е-коммерции еще в 2002 году, является "НИКойл". Собственно говоря, основой проекта тогда стало создание электронно-финансового центра "НИК-Пэй Расчеты", а те риски, которые этой торговой площадкой не устранялись, предлагалось страховать в дочерней фирме соответствующего назначения. Время идет, но о серьезных подвижках в этой сфере говорить не приходится. Западное покрытие рисков е-коммерции может превысить $200 млн. О таких суммах отечественным Интернет-предпринимателям приходится только мечтать, поскольку, во-первых, читателю наверняка известно, как относятся за рубежом к российскому сегменту коммерческого Интернета, а во-вторых, работа с российскими клиентами нереальна из-за отсутствия элементарной возможности расчета тарифов. Невозможное сделать возможным готовы отечественные страховщики, но их усердие сдерживается отсутствием нормативно-правовой базы. Здесь видна следующая тенденция: обслуживание информационным страхованием отдельных областей бизнеса напрямую связано со степенью их проработки отечественным законодательством.

Обращает на себя внимание и почти полное отсутствие предложения для физических лиц и малого предпринимательства. В целом сейчас информационное страхование является привилегией корпоративного сектора, и нет надежды на скорое улучшение ситуации, что опять-таки соответствует зарубежной практике, где число компаний, занимающихся информационным страхованием с вышеперечисленными категориями, можно пересчитать по пальцам. Это вполне объяснимо мизерными по сравнению с корпоративными заказами страховыми взносами - ежегодно 3-5% процентов от страховой суммы, которая обычно составляет не менее $500 тыс. Страхование электронной техники обходится в 0,5-3% стоимости оборудования. К этому необходимо добавить и расходы на проведение предстраховой независимой экспертизы.

Клиенты страховых компаний часто не любят распространяться о сделке, чтобы не привлекать внимания кибер-преступников. Однако бывают и исключения. Это связано с тем, что информационное страхование помимо основной своей задачи может послужить еще и рекламным ходом, поскольку сопровождается, как и в ряде других отраслей страхования, проведением независимой экспертизы (так называемого сюрвея) третьей фирмой, в отчете (на профессиональном сленге - сюрвей рипорт) которой приводятся данные о надежности страхуемой системы. К слову сказать, в России ИТ-страхование чаще, чем где-либо еще, воспринимается именно как маркетинговый маневр, а не как реальная возможность обеспечить информационную безопасность. Страховая сумма, указанная в договоре, сравнительно невелика (в среднем - $5-7 млн.), а о какой-либо конфиденциальности страхования речь не идет вовсе. Напротив, в Интернете доступно множество копий сюрвей рипорта и составленного на его основе пресс-релиза оценочной компании, удостоверяющей надежность системы документооборота. А такая популярность может вызвать у немалого числа сетевых маргиналов соблазн проверить правильность экспертного заключения.

Выбор фирмы, проводящей экспертизу, обычно зависит от страховщика, а вот оплачивает экспертизу страхуемое лицо. Чаще всего сюрвеем в области информационного страхования занимаются консалтинговые и интеграционные компании. Между проведением экспертизы и заключением страхового договора может пройти большой промежуток времени. Степень риска обычно устанавливается по одному из признанных международных методов, определяющему соответствие информационной системы стандарту ISO 17799 (BS 7799).

Риск быть обманутым со стороны клиента обычно минимален. И дело не только в том, что страховая и оценочная компании - как правило, постоянные партнеры, но и в системе расчета страховой суммы. При наступлении страхового случая выплачивается компенсация средств, затраченных на восстановление информации, и убытков от прекращения деятельности в результате наступления страхового случая. При EEI учитываются расходы на приобретение новых электронных устройств или их составных частей, включая затраты на доставку, монтаж и наладку. Однако вышеозначенные негативные последствия далеко не единственные. Помимо указанной в договоре франшизы, то есть части убытков, несомой самим клиентом, есть еще и франшиза, не упоминаемая при заключении сделки, - это испорченная репутация. В информационной сфере бизнеса более чем где-либо еще репутация компании зависит от защищенности ее систем. Это особенно актуально для России, где страх перед кибер-криминалом граничит с паранойей, и достаточно небольшого "толчка", чтобы свести на нет зарабатываемое годами доверие клиентов. Отсюда и нежелание банков оглашать потери от действий хакеров. Страховая сумма не учитывает убытков, связанных с утратой положительного имиджа компании. А между тем косвенные убытки из-за оттока клиентов и/или инвестиций могут составить в этом случае гораздо более весомую сумму, нежели стоимость утерянных информационных активов.

Развитие информационного страхования практически полностью зависит от развития общей бизнес-культуры в РФ и повышения значимости ИТ-отрасли в целом.

Если подвести некоторый итог, то для обеспечения практической реализации механизма возмещения ущерба при реализации угроз информационной безопасности необходимо проведение разработки правовых и нормативно-методических документов, определяющих порядок экспертизы объектов страхования, подготовки и выполнения плана организационных, технических и программных мер защиты информации, взаимодействия участников страхования.

Страхование информационных рисков будет эффективным при условии:

-·поэтапного включения в систему страховой защиты наиболее опасных и крупных рисков в области связи и информатизации;

- сочетания рыночного механизма конкуренции и саморегулирования с государственными мерами регулирования рынка страхования;

-·дальнейшего совершенствования правовой базы и экономических основ обеспечения страховой защиты юридических лиц всех форм собственности.

Литература

1. Концепция национальной безопасности Российской Федерации

2. Федеральный закон «Об информации, информатизации и защите

информации»

3. «Cтрахование информационных рисков» Родион Насакин

4. Доктрина информационной безопасности Российской Федерации

5. Гражданский кодекс Российской Федерации

Размещено на Allbest.ru