ТЕМА 8: «ПРОБЛЕМЫ И ВОЗМОЖНОСТИ СТРАХОВАНИЯ ИНФОРМАЦИОННЫХ РИСКОВ» НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ ЯДЕРНЫЙ УНИВЕРСИТЕТ «МИФИ» КАФЕДРА «СТРАТЕГИЧЕСКИЕ ИНФОРМАЦИОННЫЕ ИССЛЕДОВАНИЯ» Исполнитель: Углов Н.Д., гр. Б9-01 Москва 2013
СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ СТРАХОВАНИЯ В ИНФОРМАЦИОННОЙ СФЕРЕ Работы по развитию страхования в сфере связи и информатизации ведутся не только федеральными органами исполнительной власти, но и субъектами РФ. Например, разрабатывается проект закона г.Москвы «Об информационных ресурсах и информатизации в г.Москве», который предусматривает страхование информационных ресурсов, средств информатизации и ответственности субъектов информационных отношений. В соответствии с основными направлениями, определенными проектом «Соглашения о сотрудничестве в формировании информационных ресурсов и систем, реализации межгосударственных программ государств-участников СНГ в сфере информатизации», планируется разработка предложений о формировании межгосударственной программы сотрудничества в сфере информатизации «Создание нормативно-методической базы и проведение мероприятий, направленных на внедрение в государствах- участниках СНГ системы страхования информационных рисков» 2
СОСТОЯНИЕ И ПЕРСПЕКТИВЫ РАЗВИТИЯ СТРАХОВАНИЯ В ИНФОРМАЦИОННОЙ СФЕРЕ Подготовлены предложения по внесению изменений в Федеральный закон «Об информации, информатизации и защите информации» в части страхования информационных систем, ресурсов и технологий. В закон предлагается внести статью следующего содержания: Статья 22. Страхование информационных ресурсов, систем, технологий и средств их обеспечения 1. Государственные информационные ресурсы, системы, технологии и средства их обеспечения подлежат обязательному страхованию. Порядок и условия страхования определяются законодательством РФ 2. Негосударственные информационные ресурсы, системы, технологии и средства их обеспечения страхуются в порядке, установленном законодательством РФ. 3
СИСТЕМА СТРАХОВАНИЯ ИНФОРМАЦИОННЫХ РИСКОВ Проведение указанных работ направлено на создание системы страхования информационных рисков. Система страхования информационных рисков - организационная структура, представляющая собой совокупность хозяйствующих субъектов (страховые организации, страхователи, экспертные, консалтинговые и брокерские компании), комплекса законодательных и нормативно-правовых документов, определяющих область действия системы и взаимодействие между этими организациями, и комплекта методических документов, определяющих условия и порядок проведения страхования. 4
ЦЕЛЬ СОЗДАНИЯ СИСТЕМЫ СТРАХОВАНИЯ ИНФОРМАЦИОННЫХ РИСКОВ Целью создания системы страхования информационных рисков является формирование механизма компенсации финансовых потерь собственникам, владельцам и пользователям информационных систем, ресурсов и технологий из-за утраты, изменения, кражи, блокирования информации в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц, отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники, неквалифицированных и преднамеренных действий обслуживающего персонала и других причин. 5
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Страховым риском является предполагаемое событие, на случай наступления которого проводится страхование. Условимся называть страховым риском вероятность наступления и (или) объем ущерба (в результате оговоренного заранее события), которые опираются на статистические данные или могут быть рассчитаны с достаточно высокой точностью. Страховой риск: - конкретный страховой случай, т.е. определенная опасность, от которой проводится страхование; - конкретные объекты страхования по их страховой оценке. В этом понимании в зависимости от их страховой оценки различают крупные, средние и мелкие страховые риски, а также более опасные и менее опасные риски по степени вероятности их гибели или повреждения. 6
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Для этих рисков характерно: - Случайный характер потерь; - Непредсказуемость страхового случая и потерь для конкретного объекта. Прежде чем говорить об опасностях, угрозах и рисках в информационной сфере, необходимо определить, что является объектом страхования на основе действующих в области информатизации и страхования ФЗ: «Об информации, информатизации и защите информации»; «Об организации страхового дела в Российской Федерации»; «О правовой охране программ для ЭВМ и баз данных». 7
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Исходя из закона о страховании объектами страхования являются: Имущество, имеющее собственника, владельца; Ответственность за причинение вреда имуществу других физических или юридических лиц. 8
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Проанализировав правовые акты, действующие в сфере информатизации, можно определить объекты страхования: - документированная информация; - информационные ресурсы; - информационные системы, технологии и средства их обеспечения; - программы для ЭВМ и базы данных; - средства защиты информации; - объекты информатизации (например, коммерческий банк как совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации). 9
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Указанные объекты страхования подвергаются угрозам, рискам и, следовательно, требуют определенного уровня безопасности. такая защита сделает банк недоступным не только для злоумышленников, но и для всех остальных - персонала банка и его клиентов; даже самая совершенная на сегодня система защиты не может противодействовать угрозам, которые возникнут перед банком завтра; эффективность и надежность системы защиты во многом зависит от персонала, ее обслуживающего, который может совершать ошибки, а также преднамеренные действия. 10
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Страхование ответственности - это вид страхования, где объектом выступает ответственность перед третьими физическими или юридическими лицами вследствие какого-либо действия или бездействия страхователя. Анализ закона «Об информации, информатизации и защите информации» позволяет определить объекты страхования в информационной сфере, относящиеся к страхованию ответственности: Юридических лиц, осуществляющих на основании лицензии право удостоверять идентичность электронной цифровой подписи; Юридических и физических лиц, владеющих информацией за ущерб, причиненный гражданам в результате утечки, хищения, утраты, искажения, подделки информации; Организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных. 11
ИНФОРМАЦИОННЫЕ РИСКИ И ОБЪЕКТЫ СТРАХОВАНИЯ Кроме указанных, можно выделить следующие виды ответственности: - За нарушение прав интеллектуальной собственности на информацию; - За порчу или утрату информационных документов; - За предоставление некачественной и недостоверной информации; - За создание некачественных информационных технологий и средств их обеспечения; - За незаконное использование персональных данных. Эти виды ответственности могут быть положены в основу страхования ответственности в информационной сфере и также охватываются понятием информационного риска. 12
ВЫВОДЫ Таким образом, в настоящее время: - Разработан ряд концептуальных и нормативно-методических проектов документов, определяющих объекты и субъекты страхования в информационной сфере, подходы к оценке стоимости объектов страхования и др.; - Подписано «Соглашение о сотрудничестве в области страхования информационных рисков» между Минсвязи России и ОСАО «Ингосстрах» и «Росгосстрах»; - ОСАО «Ингосстрах» осуществляет страхование кредитно- финансовых организаций на основе «Правил страхования банков от компьютерных преступлений и мошенничества». 13
РЕКОМЕНДАЦИИ 1. Провести разработку законодательных и нормативно- методических документов, адаптированных к условиям Союза Беларуси и России, основанных на действующих законодательных актах и удовлетворяющих потребностям государственных, кредитно-финансовых и других организаций. 2. Провести маркетинговые исследования в соответствующих сферах деятельности, доработать полученные в результате НИР нормативно- методические документы, разработать предложения по долевому участию заинтересованных сторон в финансировании указанных работ. 3. Предложить заинтересованным государственным органам Союза Беларуси и России организовать проведение работ по созданию межгосударственной системы страхования информационных рисков 14
РЕКОМЕНДАЦИИ 4. Рекомендовать ведущим страховым компаниям Союза Беларуси и России организовать межгосударственный страховой пул по страхованию в сфере связи и информатизации. 5. Рекомендовать ведущим компаниям Союза Беларуси и России в области связи и информатизации принять участие в подготовке законодательных и нормативно-методических документов по страхованию информационных рисков. 6. Предложить соответствующим межгосударственным органам проведение мероприятий по организации страхования при электронном ведении бизнеса, сотрудничестве в финансовой, банковской, научно-технологической, агропромышленной и топливно-энергетической сферах деятельности. 15