|
Внешние информационные риски |
Внутренние информационные риски |
Природно-естественные риски |
Риски, связанные с деятельностью сотрудников предприятия. |
Техногенные риски |
Технические и технологические риски |
Социально-политические риски |
Имущественные риски |
Финансово-экономические риски |
|
Риски, связанные с терроризмом (в т.ч. международным) |
|
Из всего числа зарегистрированных и проанализированных компьютерных преступлений против банков в России 52% было связано с хищением денежных средств, 16% – с разрушением и уничтожением программного обеспечения компьютерной техники, 12% – с преднамеренным искажением исходных данных, 10% – с хищением информации и программ.
По оценкам экспертов, основным источником информационных угроз для банков России в начале XXI в. будет обслуживающий (в том числе и бывший) персонал (до 90% случаев), а основными видами угроз – несанкционированный доступ и вирусы (считается, что практически все банки, без исключения, будут подвергаться вирусным атакам).
Обеспечение информационной безопасности предприятия предполагает управление информационными рисками - процесс определения и использования различных контрмер, позволяющих в определенной степени прогнозировать наступление рискового события и принимать меры по снижению степени риска. Каждой разновидности рисков присущи свои методы управления.
На Западе издавна страхуются почти любые риски. По оценкам экспертов, в развитых странах Запада страхованием охвачено примерно 90-95% всех возможных рисков, в России пока – 5-7%. В США, например в 1994 г. совокупная страховая премия составила огромную сумму, эквивалентную 11,4% ВНП.
В России основная масса средств, выделяемых на защиту информации, тратится на выполнение мероприятий, направленных на предупреждение утечки информации. В случае же произошедшей утечки конфиденциальной информации предприятие несёт материальный или моральный ущерб, при этом тратя огромные средства на локализацию последствий произошедшей утечки информации. Практика показывает, что только комплексная система защиты информации является наиболее надежной защитой секретов предприятия. Комплексная система защиты информации должна предусматривать процедуру управления информационными рисками на предприятии. Однако методам, направленным на компенсацию ущерба при уже реализованных угрозах безопасности информации, руководителями предприятий уделяется недостаточное внимание. С другой стороны применение методов возмещения убытков зачастую является более обоснованным с финансовой точки зрения.
Различные виды обеспечения системы защиты информации имеют свои методы и способы защиты информации. В существующих условиях развития рыночных отношений в стране можно выделить ещё один метод защиты информации в рамках финансово-экономического обеспечения системы защиты информации — страхование информационных рисков.
Страхование информационных рисков предприятия — это метод защиты информации в рамках финансово-экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.
Преимущества страхования в качестве метода защиты очевидны. Это не только способ возмещения материального ущерба. Использование страхования предполагает анализ объекта страхования, а также полный и тщательный аудит состояния системы защиты информации предприятия перед заключением договора. Причем в этом заинтересован как страхователь, которому важно не переплатить взносы, так и страховщик, который не захочет принимать на страхование «недоделанную» систему. Страхование играет и стимулирующую роль - фирма, улучшая свою систему защиты информации, получает возможность снизить свои страховые взносы.
Выигрыш от страхования информационных рисков выражается также в повышении эффективности функционирования предприятия, в результате чего возрастает доверие к нему со стороны потенциальных клиентов и партнёров. По этому параметру деятельность предприятий приближается к мировым стандартам. Кроме того, страхование информационных рисков повышает информационную прозрачность предприятий на внутреннем и внешнем рынках.
Обычно страхование используется как дополнительная мера защиты информации. В случае если другие меры оказываются слишком дорогостоящими или непригодными, страхование используется как альтернативный метод.
При выборе страхования как метода защиты информации проводится сопоставление затрат от потери информации и стоимости мероприятий по ее защите. Исходя из критерия «эффективность-стоимость», принимается решение об использовании того или иного метода защиты информации. В случае выбора страхования как метода защиты информации рекомендуется обратить внимание на следующие факторы:
1. Страхование стоит использовать, когда вероятность реализации угрозы не очень велика, но последствия для информационной системы значительны.
2. Немаловажен такой показатель, как ценность информации. Если для предприятия важна сама информация, ее конфиденциальность, наличие, то необходимо большую часть средств направлять именно на предотвращение несанкционированного доступа к ней, то есть использование инженерно-технических или программно-аппаратных или криптографических средств защиты. Если же информация подлежит восстановлению, и её потеря или модификация незначительно сказывается на работоспособности информационной системы, то целесообразно большую часть средств направлять на страхование.
3. Ущерб от потенциальных потерь низкий при достаточно высокой вероятности реализации угрозы.
При определении объёма страхового покрытия страхователь должен понимать, что в виду новизны страхования именно информационных рисков и отсутствия статистики необходимо подробно описать в страховых договорах все возможные страховые случаи, а также правила и условия страхования.
После принятия решения об использовании страхования в качестве метода защиты информации, специалист по защите информации (информационной безопасности) должен составить справку по объектам, подлежащим страхованию, рискам и возможным потерям, по вероятности реализации рисков и по размерам возможных убытков и принять решение по поводу вида страхования, типа договора, условий страхования и т.п.
После выбора вида страхования, необходимо заключить договор со страховой компанией. Компания может указать на недостатки в существующей системе защиты и не принять на страхование какие-то объекты. В таком случае необходимо ликвидировать «дыры» в системе.
Следует выделить следующие виды страхования: страхование имущества, страхование ответственности и личное страхование.
1. Страхование имущества
В рамках системы защиты информации можно выделить следующие объекты страхования:
здания и сооружения, в которых могут находиться объекты защиты (помещения службы защиты информации, в которых постоянно хранятся и обрабатываются носители информации, др. выделенные помещения),
находящиеся в выделенных помещениях объекты защиты (письменные и видовые носители информации, средства передачи и обработки информации, системы обеспечения производственной деятельности, средства радио и кабельной связи, радиовещания и телевидения),
средства защиты информации (инженерно-технические, программно-аппаратные, криптографические, электрические, электронные, оптические и другие устройства и приспособления, приборы и технические системы),
средства транспортировки письменных и видовых носителей, а также сами носители информации.
Следует различать следующие разновидности страхования имущества:
а) страхование имущества и имущественных интересов отдельно и в совокупности от огня и других опасностей, в том числе и стихийных бедствий:
Часто имущество подвержено угрозе пожара, наводнения, землетрясения, аварии, удара молнии и взрыва газа, употребляемого в бытовых целях и т.д. Подлежат также возмещению убытки, происшедшие вследствие принятых мер для спасения имущества, тушения пожара или предупреждения его распространения.
Дополнительно в договор страхования может быть включена ответственность страховщика за убытки от повреждения или гибели имущества в результате стихийных бедствий (извержения вулкана, землетрясения, горных обвалов, оползней, бури, вихря, урагана, ливня, наводнения и т.п.); повреждения электрических установок, приборов и машин от действия электрического тока; внезапной порчи водопроводных, противопожарных и канализационных устройств; кражи с взломом.
Таким образом, принимается на страхование широкий набор рисков, который может быть еще расширен и дополнен по соглашению сторон.
б) страхование технических рисков, например, страхование технических средств передачи, приёма и обработки информации (ТСПИ):
Широкое применение электронного оборудования, его высокая стоимость, специфика эксплуатации и подверженность различным рискам выделили его страхование в самостоятельную разновидность страхования имущества.
По этому виду страхования возмещению подлежат прямые убытки, образовавшиеся в результате гибели и/или повреждения технических средств передачи и обработки информации, перечисленных в договоре страхования, вследствие случаев, возникших под воздействием внешних факторов, а также кражи. Например, в результате ошибок в эксплуатации застрахованного имущества, неосторожности обслуживающего персонала или злоумышленных действиях третьих лиц, при коротком замыкании и других аналогичных причин, в случаях пожара, удара молнии или взрыва, а также стихийных бедствий, а также при краже с взломом, грабеже или разбойных действиях; дефектах материалов, ошибках в конструкции, изготовлении или монтаже застрахованного имущества.
Данный вид страхования особенно эффективен в отношении разветвленных компьютерных сетей, сложных электронно-вычислительных комплексов, оборудования связи и другого дорогостоящего оборудования.
Дополнительно может быть предоставлена защита от убытков в случае внезапного прекращения подачи электроэнергии из общих сетей энергоснабжения, выхода из строя систем кондиционирования воздуха, включая ущерб, причиненный самой системе, использования застрахованного оборудования для проведения экспериментальных или исследовательских работ.
в) страхование от электронных и компьютерных преступлений:
Этот вид страхования позволяет покрывать ущерб от преступных действий с использованием компьютерных сетей и электронных средств банка в результате ввода мошеннически подготовленных или видоизмененных данных или команд в компьютерные сети банка, перевода средств или связи с клиентами, в том числе во время передачи данных; умышленного уничтожения или кражи, воровства электронных данных и их носителей, вирусных атак; осуществления платежей на основе сфальсифицированных поручений клиентов, передаваемых по системам электронной, телексной, факсимильной или телефонной связи.
Это новая разновидность страхования, услуги по которой в России предоставляются пока ограниченным количеством страховых компаний.
г) страхование выставочное:
В соответствии с действующей в настоящее время "Инструкцией по обеспечению сохранности документов при организации их экспонирования" (приказ Росархива от 11 ноября 1993 г. № 95) документы, выдаваемые из архива для экспонирования на выставках, должны быть застрахованы. Это обеспечит их защиту от небрежного обращения, хищения, пропажи, повреждений.
2. Страхование ответственности.
В системе защиты информации это прежде всего страхование профессиональной ответственности, а именно:
а) страхование профессиональных упущений и ошибок различных категорий лиц предприятия, которые в результате допущенной небрежности или недостатка опыта, в процессе своей профессиональной деятельности могут причинить ущерб здоровью или имуществу клиентуры.
б) страхование ответственности охранных агентств (служб охраны).
Страховая защита обеспечивается в процессе деятельности по обеспечению сохранности материальных ценностей, по сопровождению грузов, по охране физических лиц и иных видов охранной деятельности. Страховой полис дает возможность получить возмещение прямого действительного ущерба, причиненного уничтожением или повреждением имущества; дополнительных расходов, необходимых для восстановления здоровья потерпевших; судебных издержек; расходов на привлечение независимых экспертов; прочих расходов по предварительному выяснению степени виновности.
в) страхование ответственности производителей средств и систем защиты информации, программного обеспечения.
Объектом страхования в данном случае выступает ответственность производителя за причинение имущественного ущерба в случае поставки некачественных средств и систем защиты информации, а также в случае их технического сопровождения с нарушением требований нормативно-технической документации.
Страховые компании предлагают также страхование ответственности разработчиков программного обеспечения, в том числе - разработчиков автоматизированных банковских систем. Покрытию подлежит ответственность разработчиков за потенциальный материальный или финансовый ущерб, который может быть нанесен в процессе эксплуатации клиентами их продукции.
3. Комплексное имущественное страхование
Данный вид страхования является основополагающим элементом страхования банков и других финансовых институтов (например, профессиональных участников фондового рынка) и обеспечивает возмещение прямых убытков, вызванных противоправными действиями их персонала или третьих лиц.
Полис комплексного страхования финансовых институтов от преступлений с участием персонала и третьих лиц (так называемый полис ВВВ - Bankers Blanket Bond) применяется вот уже без малого сто лет, конечно претерпевая некоторые изменения. На сегодняшний день ВВВ является основополагающим элементом страховой защиты банка.
Основным риском, покрываемым полисом ВВВ, является риск противоправных действий персонала. Предоставляя это покрытие, страховые компании вводят одну принципиальную оговорку: ими возмещаются лишь убытки от противоправных действий сотрудников, совершенных с целью личного обогащения либо с целью преднамеренного нанесения ущерба.
По полису ВВВ покрытие предоставляется также в отношении рисков утери ценностей, находящихся в помещениях банка (в хранилище, сейфах, кассах и т. д.) и во время их перевозки.
Кроме этого, страховщики возмещают убытки в результате использования поддельных чеков, депозитных сертификатов, векселей, облигаций, акций, других ценных бумаг, а также фальшивых денег. Компенсируется и ущерб, наносимый помещениям и внутренней обстановке банков в результате противоправных действий третьих лиц.
Комплексный подход к страхованию намного выгоднее по финансовым условиям (стоимость отдельных рисков, таким образом, значительно уменьшается) и удобен с чисто технической точки зрения. Как правило, западные страховщики не идут на отдельное страхование информационных рисков, и это понятно: привязка к ВВВ заставляет страхователя искать виновных в «проколах» компьютерных систем и более ответственно подходить к системам защиты, тем более что по статистике 70-80% преступлений в отношении банков совершается с участием их собственного персонала.
Разумеется, компьютерные сбои, не связанные с противоправными действиями, можно застраховать и в рамках обычного страхования «убытков, связанных с перерывами в коммерческой деятельности», однако в этом случае размеры покрытия будут существенно меньше.
4. Личное страхование
В качестве объектов личного страхования выступают жизнь, здоровье и трудоспособность человека. Данный вид страхования можно порекомендовать в том случае, если работник фирмы, предприятия обладает ключевыми знаниями в той или иной области (ведущие специалисты). Такой вид страхования скорее является мощным социально-психологическим методом защиты информации, поскольку является не только моральным, но и материальным стимулом труда любого работника фирмы, предприятия.
Страхование информационных рисков – новый вид страхования, получивший значительное развитие за последние несколько лет. При этом наиболее значительные темпа роста наблюдаются за рубежом, где за сравнительно небольшой промежуток времени страхование информационных рисков выросло до объемов нескольких тысяч страховых полисов по состоянию на 2002 г. По оценкам экспертов, объемы рынка страхования информационных рисков только в США составляют около $4 млрд.
Вместе с тем, следует отметить, что в России уже создана минимальная информационно-правовая база, необходимая для страхования информационных рисков, и первые шаги в этом направлении уже сделаны. В России в прошлом году было выплачено свыше четырех миллионов долларов по страховым случаям, связанным с информационными рисками. Потенциальный объем страхового поля информационных рисков оценивается в несколько миллиардов долларов. Вместе с тем, этим видом страхования сегодня занимаются менее десятка страховщиков и страховых брокеров. В 2000-2002 гг. в нескольких российских компаниях ("Росно", "Ингосстрах" и др.) стартовали новые проекты по страхованию информационных рисков, одновременно компании начали получать лицензии на этот вид страхования. В основном предлагаются два вида страхования: страхование электронных устройств и страхование от преступлений в сфере компьютерной информации и электронных средств связи. Страхование информационных рисков относится к эксклюзивному виду страхования.
об авторе
Дьяконов Дмитрий Геннадьевич, выпускник
Института безопасности бизнеса Московского энергетического института - ИББ
МЭИ (Технический Университет). Публикуемый здесь материал взят из его дипломной
работы.
Ранее закончил Военную академию РВСН им. Петра Великого. Специалист в
области управления экономической безопасностью фирмы.
В 2001 году награжден
дипломом за победу во Всероссийском конкурсе научных работ среди слушателей и
курсантов военных учебных заведений.
тел. 8-903-183-6129
e-mail: gdeya@mail.ru