Математические методы и модели исследования операций. Тема: Страхование рисков.

налоговой, таможенной информации наибольшую опасность, с точки зрения

информационной безопасности, представляют хищения и преднамеренное

искажение информации, возможность которых связана с преднамеренным или

случайным нарушением технологии работы с информацией, несанкционированным

доступом к ней, что обусловлено недостаточными мерами защиты информации.

Угрозы информационной безопасности могут нанести физический, материальный

и моральный ущерб гражданам, вызывать неадекватное социальное или

криминальное поведение групп людей или отдельных лиц.

Таким образом угроза в информационной сфере - это предполагаемое событие,

в случае наступления которого будет нанесен ущерб.

Предотвращение и ликвидация угроз информационной безопасности личности,

общества, государства основывается на разработке и реализации комплекса

средств и механизмов защиты. Это могут быть организационные,

экономические, технические, программные, социальные, правовые и иные

механизмы, обеспечивающие локализацию и предотвращение таких угроз.

К экономическим методам предотвращения угроз информационной безопасности

можно отнести страхование, которое обеспечивает компенсацию ущерба в

случае реализации угрозы.

Классификация информационных рисков

В соответствии с законом РФ “Об организации страхового дела в Российской

Федерации” страховым риском является предполагаемое событие, на случай

наступления которого проводится страхование.

Страховой риск:

конкретный страховой случай, т.е. определенная опасность, от которой

проводится страхование;

конкретные объекты страхования по их страховой оценке. В этом понимании в

зависимости от их страховой оценки различают крупные, средние и мелкие

страховые риски, а также более опасные и менее опасные риски по степени

вероятности гибели или повреждения объектов.

Страховым риском можно назвать вероятность наступления и (или) объем

ущерба (в результате оговоренного заранее события), которые рассчитываются

с достаточно высокой точностью, исходя из статистических данных.

При рыночной экономике производители, собственники и владельцы средств

связи и информатизации, потребители услуг связи действуют в условиях

конкуренции на свой страх и риск. Обладание собственностью означает помимо

блага еще и риск случайной гибели или случайного повреждения имущества и

утраты (нарушения) имущественных прав (ст. 210 и 211 ГК РФ). Обладание

собственностью, а также разнообразные действия могут обернуться

причинением вреда третьим лицам и возникновением обязанности возместить

нанесенный им ущерб.

Риск - это финансовая категория. Под риском понимается возможная опасность

потерь, вытекающая из специфики тех или иных явлений природы и видов

деятельности человеческого общества.

В зависимости от возможного результата (рискового события) риски можно

разделить на две большие группы: чистые и спекулятивные.

Чистые риски означают возможность получения отрицательного или нулевого

результата. К этим рискам относятся следующие риски:

природно-естественные, экологические, политические, транспортные и часть

коммерческих рисков (имущественные, производственные и др.).

Спекулятивные риски выражаются в возможности получения как положительного,

так и отрицательного результата.

Имущественные риски - это риски, связанные с вероятностью потерь имущества

по причине природных явлений, кражи, диверсии, халатности, перенапряжения

технических и технологических систем и т.п.

Производственные риски - риски, связанные с убытками от остановки

производства вследствие воздействия различных факторов и прежде всего с

гибелью или повреждением основных и оборотных фондов (оборудование, сырье,

транспорт и т.п.), а также риски, связанные с внедрением в производство

новой техники и технологии.

Исходя из классификации рисков и учитывая введение информации в систему

товарных, имущественных отношений ( ст. 128, 139 ГК РФ ), информационные

риски относятся к чистым, имущественным, производственным рискам.

В Уголовный кодекс включена глава 28, посвященная компьютерным

преступлениям, - “Преступления в сфере компьютерной информации”. Это

связано с тем, что появление и широкое распространение средств

вычислительной техники и информатики, средств телекоммуникации привело к

возникновению нового явления - несанкционированного доступа к

информационным ресурсам, в результате которого совершаются разные

компьютерные преступления- получение, искажение или уничтожение информации

в информационных системах и сетях.

Под неправомерным доступом к компьютерной информации следует понимать

несанкционированное собственником информации ознакомление лица с данными,

содержащимися на машинных носителях или в ЭВМ.

Под уничтожением компьютерной информации следует понимать полную

физическую ликвидацию информации или ликвидацию таких ее элементов,

которые влияют на изменение существенных, идентифицирующих информацию,

признаков.

Уничтожение информации - наиболее опасное явление, поскольку при этом

собственнику информационной системы наносится максимальный ущерб.

Уничтожение информации осуществляется умышленными и неосторожными

действиями лиц, имеющих возможность воздействия на эту информацию.

Под модификацией информации следует понимать внесение в нее любых

изменений, обуславливающих ее отличие от той, которую включил в систему и

которой владеет собственник информационного ресурса.

Блокирование - результат воздействия на ЭВМ и ее элементы, повлекший

временную или постоянную невозможность осуществлять какие либо операции

над компьютерной информацией.

Все вышеперечисленные действия над информацией подлежат страхованию и

объединяются понятием информационного риска.

Таким образом, информационный риск - это предполагаемое событие, ведущее к

искажению, подделке, утечке, хищению, утрате информации и на случай

наступления которого проводится страхование в области связи и

информатизации

Что предлагает сегодня рынок в сфере страхования IT-рисков?

На сегодняшний день рынок страхования предлагает услуги в области

«Страхование информационных систем». Итак, что сегодня может быть реально

застраховано?

Информационные ресурсы:

базы данных, библиотеки, архивы в электронной форме на технических

носителях информации любого рода;

программные средства и комплексы, находящиеся в разработке или

эксплуатации;

Финансовые активы:

денежные средства в электронной форме в виде записей на счетах (системы

клиент-банк);

ценные бумаги в электронном (бездокументарном) виде;

Убытки от временной приостановки коммерческой деятельности в результате

страхового случая:

недополученная прибыль за период вынужденного простоя;

текущие расходы по прерванной деятельности (по поддержанию бизнеса в

период вынужденного простоя);

Дополнительные расходы по восстановлению бизнеса:

временная аренда оборудования и процессинговых услуг;

расходы по срочной замене оборудования и программного обеспечения;

расходы по расследованию страхового случая;

расходы по защите репутации компании.

Другой важный вопрос состоит в том, какие риски могут быть застрахованы?

Российскими страховщиками уже сегодня может быть рассмотрен вопрос о

возмещении убытков, связанных с утратой информационных ресурсов и

электронных финансовых активов в результате следующих причин:

1. Сбои (выход из строя) информационных систем вследствие ошибок при их

проектировании, разработке, создании, инсталляции, конфигурировании,

обслуживании или эксплуатации;

2. Умышленные противоправные действия сотрудников компании;

3. Компьютерные атаки против компании со стороны третьих лиц;

4. Действия компьютерных вирусов;

5. Хищение денежных средств и ценных бумаг с использованием компьютерных

сетей.

Как мы видим, рынок предлагает страхование информации, содержащейся в

библиотеках, базах данных, архивах (в электронной форме или на твердом

носителе), а также страхование рисков, с нею связанных. Информация

страхуется по стоимости восстановления (нужно признать, что этот подход

распространен во всем мире). Данный вид страхования ориентирован на

компании, имеющие у себя значительные объемы финансовой, экономической,

технической и пр. информации, сложные информационные системы или

осуществляющие часть своей деятельности с использованием

автоматизированных систем, систем электронных расчетов или интернет.

На сегодняшний день лимит ответственности устанавливается по согласованию

между клиентом и страховщиком. Сумма определяется исходя из объема и

характера информационных ресурсов, имеющихся на предприятии, а также

специфики его информационных систем. Клиент может застраховаться как по

полному пакету рисков, так и выбрать только те, которые кажутся ему

наиболее актуальными. В любом случае нижняя граница ответственности не

может быть установлена менее 50 тыс. долл. Страховая компания обязуется

выплачивать по полису убытки в течение года до тех пор, пока суммарный

объем выплат не превысит лимит ответственности, указанный в страховом

полисе.

При этом, заявив на рынке страхования услугу по страхованию информационных

рисков, страховые компании, на наш взгляд, до конца этот вопрос не

продумали. Текст рекламных предложений вызывает достаточное количество

вопросов. Их внимательное изучение наводит на мысль, что либо страховые

компании начали заниматься благотворительностью (например, под страхование

от ошибок программирования вполне подходит возмещение затрат, связанных с

ошибками функционирования ОС Windows), либо под самим предложением кроется

какой-то подвох - нельзя страховать ошибки в операционной системе, если

сам производитель дает только гарантию на прочтение компакт-диска с

дистрибутивом.

Требует совершенствования и сама процедура экспертизы информационной

системы при страховании - в первую очередь в части разработки ее

методологии. Принятая на сегодня практика не предусматривает проведения

сколь-либо глубокого исследования эффективности принятых мер по

обеспечению безопасности информации. К заявлению на страхование

прилагается формализованный опросник, который должен заполнить заявитель.

В последствии представители страховой компании проводят экспресс-оценку

достоверности представленных данных. Очевидно, что при таком подходе

существенно сокращаются затраты на проведение исследований, но не понятно,

как при этом страховые компании на следующий же день не начинают попадать

под страховые случаи, связанные, например, с атаками на информационные

системы (тот же спам, даже единичный, можно рассматривать как определенную

атаку).

В любом случае, сегодня страховой рынок России не предлагает услуг по

страхованию прав на интеллектуальную собственность или коммерческой цены

не разглашенной информации.

А как вообще страховать информацию?

Как мы отмечали выше, стоимость информации является вещью очень

субъективной.

В принципе, мы согласны с принятой на страховом рынке практикой не

оценивать непонятно какую стоимость информации по непонятно каким

методикам. Но косвенное страхование «интеллектуальной» информации кажется

авторам необходимым. На наш взгляд это можно сделать путем страхования

«финансовых последствий инцидентов с информационной безопасностью».

Использование такого подхода позволит клиенту обращаться за защитой своих

информационных рисков, самому определяя их стоимость и возможный ущерб.

Очевидно, что до тех пор, пока не сформируется судебная и страховая

практика в этой области подобная услуга будет очень дорогим удовольствием

и воспользоваться ею, скорее всего, захотят единицы, но это, на наш

взгляд, естественный путь эволюционного развития страхового бизнеса,

который должен начинать формировать и это рынок услуг.

Общая схема действий при страховании указанных выше рисков полностью

соответствует принятой на сегодня схеме отношений клиент - страховая

компания:

1. Определение необходимого объема страховой защиты: видов, условий

страхования, лимитов и страховых сумм.

2. Заполнение анкеты - заявления на страхование.

3. Формирование коммерческих предложений с определением стоимости

страхования.

4. Проведение комплексного исследования, которое проводится независимой

организацией либо представителями страховой компании. Основная цель

исследования - получить общее представление о рискозащищенности

объекта.

5. Подготовка отчета и рекомендаций по результатам исследования.

Согласование сроков выполнения рекомендаций.

6. Подписание договора страхования (полиса).

Естественно, страховая компания будет обязана потребовать от клиента

выполнения определенных требований по обеспечению защиты предполагаемых к

страхованию информационных ресурсов. Рынок услуг по безопасности

информации в стране сформирован, основная нормативная база определена,

хотя в части конфиденциальной информации к ней есть достаточно много

вопросов. Но это не должно являться большой проблемой - в связи с тем, что

страховая компания рискует своими финансовыми средствами, она правомочна

установить свои требования к условиям страхования (фактически - свои

технические требования к системе безопасности клиента) и методологию

оценки их выполнения. Уровень защищенности информации будет оцениваться в

рамках исследования (аудита безопасности), проводимого страховой

компанией. В этом случае исследование ни в коем случае не должно носить

формальный характер.

В эту схему хорошо вписывается уже начавшееся страхование своей

ответственности производителями средств защиты информации, а также

производителями средств IT-технологий. Построение информационных систем из

компонент, у которых ответственность перед потребителями уже застрахована,

существенно упрощает процедуру страхования системы в целом и может явиться

основой для привлечения внимания именно к таким продуктам.

По сути, в России рынок страхования информационных систем так еще и не

сложился. По-видимому, основными потребителя его услуг в ближайшее время

будут в основном финансовые организации, заинтересованные в повышении

таким образом своей привлекательности, компании, предоставляющие

разнообразные интернет-услуги (в первую очередь платежные системы). При

этом основной целью этих компаний будет не получение компенсации за

нанесенный ущерб, а чисто рекламные цели. И эта рекламная подоплека будет

являться существенным тормозом, сдерживающим становление эффективного

страхового рынка, компенсирующего именно ущерб. Тем более, что страховые

компании и сами не готовы к иному подходу в этом бизнесе. Существует

молчаливое соглашение сторон о некоторых не очень для всех обременительных

правилах игры, которое всеми участниками выполняется. Обидно то, что

крайними в этом случае как всегда окажутся рядовые и ни в чем неповинные

граждане.

Приложение: Определение информации как объекта страхования

В соответствии со ст. 128 Гражданского Кодекса РФ информация отнесена к

объектам гражданских прав. В связи с тем, что, что страхованию могут

подлежать только те имущественные интересы, которые определены

законодательством РФ, коротко рассмотрим предметную область и основные

понятия, относящиеся к информации и ее носителям, как объектам

собственности и правовой охраны.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и

процессах, касающихся предмета договора, хода его исполнения и полученных

результатов, независимо от формы их представления.

Информационные ресурсы - отдельные документы и отдельные массивы

документов, в информационных системах (библиотеках, архивах, фондах,

банках данных, других информационных системах).

Конфиденциальная информация (сведения конфиденциального характера) -

документированная информация, доступ к которой ограничивается в

соответствии с законодательством РФ.

Интеллектуальная собственность - исключительные права на результаты

интеллектуальной деятельности, включая права, определенные в ст. 2

Конвенции, учреждающей Всемирную организацию интеллектуальной

собственности, подписанной в Стокгольме 14 июля 1967 года.

Объекты промышленной собственности - изобретения, полезные модели,

промышленные образцы, определенные патентным законодательством РФ, а также

иные объекты промышленной собственности в соответствии со ст. 1 Парижской

конвенции по охране промышленной собственности.

Ноу-хау - техническая, организационная или коммерческая информация,

составляющая секрет производства товаров, работ и услуг, имеющая

действительную или потенциальную коммерческую ценность в силу ее

неизвестности третьим лицам и обеспеченная на законных основаниях

необходимой охраной.

Патент - документ либо заявка на его выдачу, удостоверяющие исключительные

права на изобретение, полезную модель, промышленный образец, селекционное

достижение (включая племенной материал) или иные объекты промышленной

собственности.

Программные средства - программы для электронных вычислительных машин и

базы данных, способные к правовой охране.

Предшествующая интеллектуальная собственность - принадлежащая участникам

договорных отношений интеллектуальная собственность, использование которой

необходимо для выполнения работ по контракту или соглашению.

Создаваемая интеллектуальная собственность - исключительные права на

полученные при выполнении работ по контракту или соглашению результаты,

способные к правовой охране.

Страницы: 1, 2, 3, 4, 5, 6, 7