Страхование информационных рисков – экономический стимул - Металлургический журнал. Исследования рынка.

Главная страница Форум Промиздат Опережения рынка Архитектура отрасли Формирование Тенденции Промстроительство

Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев

Главная страница / Архитектура отрасли

Страхование информационных рисков – экономический стимул

В «Доктрине информационной безопасности Российской Федерации» указано, что экономические методы обеспечения информационной безопасности Российской Федерации включают в себя, наряду с другими, создание системы страхования информационных рисков физических и юридических лиц, обеспечивающей компенсацию ущерба в случае реализации угрозы. Особенно это важно применительно к информации, связанной с обеспечением критических для бизнеса систем.

К риску (в широком смысле) можно относиться по-разному. При определенном сочетании величины прогнозируемого ущерба и вероятности его наступления можно не предпринимать особых действий, то есть принять риск («игра стоит свеч»). Если же риск не может быть принят, то существуют два основных способа действий в такой ситуации. Первый – принять специальные технические и организационные меры для ликвидации или снижения риска; второй – передать риск, прибегнув к услугам страховой компании. Страховая компания при наступлении соответствующего случая выплачивает деньги, но деньги сами по себе далеко не всегда позволяют компенсировать ущерб в полной мере. Например, в сферах промышленности, энергетики и строительства ущерб нередко наносится не только технике, но здоровью людей и окружающей среде, то есть, по сути, бремя риска несет население. Поэтому страхование, с точки зрения государства, должно дополнять обеспечение безопасности, но не подменять его. Государственная власть должна принять все меры к тому, чтобы защитить жизнь, здоровье и имущество граждан — вне зависимости от того, работают они на государственных предприятиях или в частном секторе. Государство вправе рассчитывать на то, что и социально ответственный бизнес будет поступать таким же образом. Факторы риска в современных условиях настолько многообразны, что необходимы ранжирование угроз и оптимальное распределение усилий и средств.

Поэтому в системе управления рисками важную роль играют финансовые механизмы превентивных мер и передачи риска. Соответствующий прецедент уже есть. Так, Федеральный Закон от 21 июля 1997 г. № 116-ФЗ «О промышленной безопасности» требует обязательного страхования гражданской ответственности за причинение вреда третьим лицам и окружающей среде. В декларации безопасности предприятия, согласно закону, должно быть предусмотрено самострахование, то есть создание резервных фондов на случай аварии (так называемые внутренние и внешние фонды риска).

Как известно, любая предпринимательская деятельность тесно связана с получением, накоплением, обработкой и использованием разнообразной информации. Следовательно, неопределенности и риски, сопутствующие предпринимательству, являются одной из его характерных черт. Сегодня уровень конкурентоспособности в немалой степени зависит от умения защитить конфиденциальную информацию от хищений, несанкционированного использования, изменения или уничтожения.

Опыт эксплуатации информационных систем и ресурсов в различнпоказывает, что существуют различные и весьма реальные угрозы (риски) потери информации, приводящие к конкретному, материально выразимому, ущербу. Одним из способов противодействия этим угрозам (в смысле их уменьшения и компенсации возможных потерь) также является страхование.

Применительно к инфосфере система страхования информационных рисков является организационной структурой, которая представляет собой совокупность хозяйствующих субъектов (фонда страховой превенции, пула страховых организаций, страхователей, экспертных, консалтинговых и брокерских компаний), комплекса нормативных правовых документов, определяющих область действия системы и порядок взаимодействия между участниками системы страхования, комплекта методических документов, регламентирующих условия и порядок проведения страхования.

Основными целями создания системы страхования информационных рисков могут быть следующие:

• формирование механизма компенсации финансовых потерь собственникам, владельцам и пользователям информационных систем, ресурсов и технологий из-за утраты, изменения, кражи, блокирования информации в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц, отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники, влияния вредоносных программ и вирусов, неквалифицированных и преднамеренных действий обслуживающего персонала и других причин;

• аккумулирование финансовых средств за счет страховых взносов участников системы страхования и их инвестирование в сферу связи и информатизации с целью формирования и осуществления эффективной научно-технической и промышленной политики, содействия интенсивному развитию рынка информационных ресурсов, систем и технологий;

• финансирование мероприятий по защите информации из фонда превентивных мероприятий страховых компаний с целью минимизации рисков утраты или изменения информации и уменьшения страхового возмещения.

Объектами страхования могут являться: документированная информация; информационные ресурсы; информационные продукты; информационные системы, технологии, средства их обеспечения; программы для ЭВМ и базы данных; средства защиты информации; объекты информатизации; ценные бумаги в электpoнном виде; недополученная прибыль за пepиод вынужденного пpoстоя; текущие расходы по поддepжaнию бизнeca в пepиод вынужденного пpoстоя; системы и средства обработки информации, используемые в соответствии с заданной информационной технологией, средства обеспечения объекта информатизации; несанкционированный вход в компьютерные системы банка; компьютерные системы банка от компьютерных вирусов; электронные данные и их носители; операции с ценными бумагами на электронных носителях.

Предлагается также страхование ответственности разработчиков программного обеспечения, в том числе разработчиков автоматизированных банковских систем. Покрытию подлежит ответственность разработчиков за потенциальный материальный или финансовый ущерб, короцессе эксплуатации клиентами их продукции. Страхование ответственности разработчиков программного обеспечения является одним из видов покрытий, предоставляемых в рамках страхования профессиональной ответственности (страхование ответственности за ошибки и упущения). Покрытию подлежат убытки страхователя, которые он несет в результате предъявления к нему претензий, в результате ошибок, упущений или небрежных действий страхователя (в том числе ошибок при программировании, установке и обслуживании программного обеспечения) в процессе осуществления профессиональной деятельности.

Решение проблемы страхования информационных рисков напрямую зависит от возможности количественной оценки и прогнозирования этих рисков, а также от наличия соответствующего правового базиса. Большое значение в этой связи имеет реализация положений Федерального Закона от 27 декабря 2004 г. № 184-ФЗ «О техническом регулировании», в соответствии с которым для обеспечения безопасности продукции принимаются в виде федеральных законов технические регламенты, которые с учетом степени риска причинения вреда устанавливают минимально необходимые требования к соответствующей «опасной продукции».

Данный закон определяет риск как вероятность причинения вреда жизни или здоровью граждан, имуществу физических или юридических лиц, государственному или муниципальному имуществу, окружающей среде с учетом тяжести этого вреда, таким образом, однозначно вводя для оценки рисков количественную метрологию, поскольку вероятность суть математическая категория.

В связи с этим возникает необходимость создания нового научного направления – рискологии компьютерной инфосферы, которая является составной частью общей рискологии. В рамках данного направления предлагается построение интегральной модели оценки информационных рисков, основанной, в частности, на положениях дефектологии программного обеспечения, которая позволит проводить целенаправленную работу по количественной оценке информационных рисков и обеспечивать статистическую совместимость этих оценок с оценками надежности функционирования систем, к которым относится и компьютерная инфосфера.

Для совершенствования правовой базы страхования информационных рисков при создании и эксплуатации ключевых систем информационной инфраструктуры необходимо принятие положения об обязательном страховании продукции фигурантов всех технических регламентов. Это можно сделать в одном из общих технических регламентов либо в специальном федеральном законе, либо путем внесения изменений в Федеральный Закон от 10 декабря 2003 г. № 172-ФЗ «Об организации страхового дела в Российской Федерации».

Главная страница / Архитектура отрасли