Банки и технологии,
15 марта 2001 г.
О некоторых особенностях страхования информационных рисков 4918 просмотров
Страхование — это социальный механизм, позволяющий гражданам и организациям компенсировать посредством своих страховых вкладов определенную долю риска возможных, в основном экономических, потерь, вызванных теми или иными неблагоприятными обстоятельствами.
Страхование: цели, свойства, особенности
Страхование — это социальный механизм, позволяющий гражданам и организациям компенсировать посредством своих страховых вкладов определенную долю риска возможных, в основном экономических, потерь, вызванных теми или иными неблагоприятными обстоятельствами.
Страхование является тем инструментом, который помогает уменьшить, смягчить влияние неопределенности, неизвестности, неуверенности и т.п. Другими словами, страхование призвано заменить определенностью ту неопределенность в экономической стоимости, которая может быть обусловлена будущими потерями.
Давно уже страхование не сводят лишь к страхованию жизни и имущества, а понимают в более широком смысле — как страхование риска, что включает ситуации, связанные, например, с игрой на рынке ценных бумаг.
Возникшая в начале XX века теория страхования говорит нам о том, что не все виды «неопределенностей», не все «риски» подлежат страхованию. Чтобы «риск» подлежал страхованию, он должен удовлетворять определенным требованиям 1 :
- должна существовать достаточно большая группа таких «однородных» страхуемых участников, характеристики которых справедливы и в прошлом, и в будущем;
- причины и серьезность потерь не должны определяться умышленными действиями страхуемых. Эти причины должны быть случайными. Компенсация за потери осуществляется только при условии возможности определения природы потерь;
- рассматриваемые опасности должны приводить к потерям, которые легко идентифицируются («потери трудно подделать»);
- потенциальные потери, вызванные опасностями, должны быть достаточно большими («нет смысла страховать то, что связано с малыми, легко восполнимыми потерями»);
- вероятность потерь должна быть достаточно малой, с тем, чтобы цена страхования была экономически возможной;
- должна быть доступной статистика реальных данных как база для расчета вероятностей потерь («репрезентативность и возможность статистического оценивания»).
Эти и другие сходные требования составляют некий стандарт требований для страховой деятельности, некоторый минимум «необходимых» условий для выработки правил страхования.
Влияние свойств информации на страхование информационных рисков
Условимся также, что в рамках статьи будем вести речь лишь о страховании «компьютерной» информации, то есть информации, предоставленной в электронном виде, хранящейся, обрабатываемой и передаваемой при помощи информационно-телекоммуникационных систем (далее ИТС).
Рассмотрим ряд свойств информации, важных для описания особенностей процесса страхования информационных рисков. Для удобства дальнейшего рассмотрения возможности страхования информационных рисков пронумеруем эти свойства следующим образом.
СВОЙСТВО 1
Информация, как и мысль, нематериальна. Из этого обстоятельства вытекают, по крайней мере, два следствия.
Следствие 1.1. Трудность в оценке стоимости
Оценка стоимости информации в значительной степени субъективна. С этим обстоятельством связан тот факт, что в мировой практике не создано эффективных методик оценки стоимости информации, информационных ресурсов. Во многих случаях определение стоимости информации, информационных ресурсов противоречит здравому смыслу: например, как оценить стоимость информации о здоровье конкретного лица, если он утверждает, что собрался баллотироваться в президенты; как оценить стоимость последствий утечки информации, приведшей к техногенным катастрофам и т.д. Хотя, безусловно, в ряде случаев (например, связанных с электронной торговлей) может быть произведена достаточно эффективная оценка стоимости объектов страхования.
Следствие 1.2. Подверженность копированию
Представляя собой колоссальную материальную ценность, информация, как никакая другая материальная вещь, подвержена копированию, причем в современных условиях — быстрому, дешевому и, что особенно важно при страховании, незаметному для окружающих. Это может легко сделать как владелец информации, так и злоумышленник. Указанное свойство делает процесс страхования информационных рисков весьма неопределенным: например, страхователь может объявить о потере ценной информации и потребует выплаты страховки, в то время как эта информация им была заблаговременно скопирована.
СВОЙСТВО 2
Зачастую трудно зафиксировать факт нарушения функционирования ИТС, а также доказать причастность или непричастность к этому конкретных лиц, устройств, программных средств. В таких случаях также трудно определить источник реализованной угрозы или доказать, что угрозы осуществлено не было.
СВОЙСТВО 3
Отсутствует сколько-нибудь устоявшаяся статистика по большинству потенциальных объектов страхования, поскольку:
- организация (банки, фирмы и пр.) не заинтересованы в предании огласке фактов успешно реализованных нападений на их информационные системы;
- «разношерстность» ИТС и их систем защиты не позволяет собрать и обработать необходимый объем однородной статистической информации для расчета вероятностей потерь;
- среди атак на компьютерные системы в последнее время стали преобладать безуликовые (которые не фиксируются системой и не заметны для администратора безопасности).
СВОЙСТВО 4
Разработчики требований по защите современных ИТС столкнулись с большими трудностями при получении количественных оценок их защищенности в отличие, скажем, от соответствующих оценок продолжительности безотказной работы тех или иных электронных устройств с помощью известных -характеристик их элементов.
Страхование информационных рисков
Напомним, что страховым риском считается «предполагаемое событие, на случай наступления которого проводится страхование» (п. 1 ст. 9 Закона «Об организации страхового дела в Российской Федерации» от 27 ноября 1992 г. № 4015-1 ). Аналогично, информационным риском называют предполагаемое событие по нарушению безопасности информации .
Информационный риск может заключаться в нарушении функционирования информационной системы и/или в нарушении правил доступа к информации, а также в нарушении ее целостности и конфиденциальности.
Для лучшего понимания сущности процессов, которые придется рассматривать при страховании информационных рисков, введем следующую двойную классификацию.
Сначала классифицируем способы воздействия на информационную безопасность. Все разнообразие способов воздействия разобьем на два крупных класса:
- информационного воздействия — воздействия программным способом как на саму информацию (то есть на ее свойства: конфиденциальность, целостность, доступность), так и на программное обеспечение, а иногда и на аппаратные средства. Эти воздействия включают в себя различные компьютерные вирусы, программные закладки и все многообразие компьютерных атак;
- неинформационного воздействия — физическое разрушение системы и носителей информации, кража.
Одновременно всю совокупность объектов воздействия на информационную безопасность для классификации разобьем тоже на два класса:
- информация; - информационные системы, включающие в себя как программные, так и аппаратные компоненты.
Таким образом, получается следующая классификация способов воздействия на объекты воздействия:
- информационное воздействие на информацию — А11; - информационное воздействие на информационную систему — А21; - неинформационное воздействие на информацию — А12; - неинформационное воздействие на информационную систему— А22.
Для наглядности представим таблицу классификации способов воздействия, направленных на нарушение информационной безопасности, а также объектов этого воздействия.
Особенности, присущие классам информационного воздействия
|
Способы воздействия
|
информационное
|
неинформационное
|
Объекты воздействия
|
информационные системы
|
А11
|
А12
|
информация
|
А21
|
А22
|
Рассмотрим первый столбец приведенной таблицы.
В классе А11 — при страховании информационного риска основные трудности определяются рядом специфических свойств информации (следствия 1.1. и 1.2.), связанные с ее нематериальностью.
Последние два свойства (3 и 4) сильно затрудняют, а в большинстве случаев делают просто невозможным определение обоснованной величины страхового взноса по отношению к страховой сумме.
В классе А21 мы рассматриваем информационный риск, связанный с информационным воздействием, прежде всего, на программное обеспечение системы. Объект воздействия и в данном случае представляет собой информацию, свойства которой ставят под сомнение пригодность информационных рисков для организации процессов страхования. Среди причин такого положения дел следует отметить:
1) возможность копирования программного обеспечения системы владельцем;
2) наличие статистики по разрушению (нарушению функционирования системы) злоумышленником лишь для достаточно узкого класса широкораспространенных, а значит, прежде всего, импортных программных продуктов. Только для них (с учетом указанного выше отсутствия количественных оценок) и возможно сколько-нибудь удовлетворительное определение величины страхового взноса по отношению к величине страховой суммы.
Однако к этому можно добавить, что даже и в таком случае наличие в страхуемой системе индивидуальных программных продуктов пользователя (например, средств защиты) или даже прикладных программных продуктов, не имеющих столь широкого распространения, как основное программное обеспечение системы, вероятно, и здесь приведет к невозможности определения величины страхового взноса.
В этот же класс выносится случай разрушения технических средств в результате воздействия на них программным способом. Здесь также препятствием для организации системы страхования информационных рисков будут являться такие свойства информации, как:
3) отсутствие статистики разрушения оборудования, в частности ЧИПов, программным способом;
4) отсутствие количественных оценок защищенности технических средств от их разрушения программным способом. (Очевидно, что до тех пор, пока не будут проработаны способы защиты от подобных видов разрушений, трудно говорить и о количественной оценке защищенности.)
Рассмотрим второй столбец таблицы.
В классах А12, А22 страхование от неинформационных воздействий (поражение сильным электрическим разрядом, стихийные бедствия, кражи и пр.) является куда более привычным и потому более простым видом страхования. Однако и здесь негативное влияние на организацию процесса страхования, безусловно, окажут такие свойства информации, как легкость копирования и трудность определения стоимости.
Неготовность законодательной базы к страхованию информационных рисков
Указанные выше свойства информации обуславливают сложности в обеспечении эффективного правового регулирования тех отношений, в которых она фигурирует. Свойство нематериальности информации (свойство 1 по нашей классификации) выделяет информацию среди иных объектов права. Так, в Гражданском кодексе РФ информация не наделена вещными правами, а в главе «Страхование» отсутствует понятие «страхование информационных рисков»; в Законе № 4015-1 также отсутствует понятие «страхование информационных рисков». Только в Федеральном законе «Об информации, информатизации и защите информации» определено, что информационные ресурсы являются элементом состава имущества и на них распространяется право собственности (ст. 6), то есть сделан первый шаг на пути к внесению изменений в существующее законодательство с целью создания в стране системы страхования информационных рисков.
В ст. 9 п. 1 Закона № 4015-1 говорится, что «Событие, рассматриваемое в качестве страхового риска, должно обладать признаками вероятности и случайности его наступления». (Это утверждение согласуется с выводами теории страхования.). О трудности в получении статистических и вероятностных данных наступления страховых случаев при страховании информационных рисков было сказано выше.
Некоторые статьи Закона № 4015-1 ставят в тупик сразу, как только термин «имущество» мы попытаемся заменить на «информационные риски». Например, в ст. 10 «Страховая сумма, страховое возмещение, страховое обеспечение»: «При страховании имущества страховая сумма не может превышать его действительной стоимости на момент заключения договора (страховой стоимости)». Иными словами, для процесса страхования необходимо знание стоимости страхуемого объекта. Но, как было сказано выше, пока в мировой практике не разработано эффективных методик оценки стоимости информации, информационных ресурсов.
Итак, в соответствии с существующим законодательством, чтобы страховать информационные риски, необходимо знать:
- страховую сумму (ст. 947 п. 2 ГК РФ: «При страховании имущества или предпринимательского риска страховая сумма не должна превышать их действительную стоимость. Такой стоимостью считается: для имущества — его действительная стоимость в месте его нахождения в день заключения договора страхования; для предпринимательского риска — убытки от предпринимательской деятельности, которые страхователь, как можно ожидать, понес бы при наступлении страхового случая»). В случае страхования информационных рисков страхователь попросит указать стоимость информации, информационных ресурсов, информационных технологий, а также стоимость возможных убытков, которые он понесет при наступлении страхового случая. Согласно свойству 1 информации, это будет сделать непросто;
- статистику или вероятность («Событие, рассматриваемое в качестве страхового риска, должно обладать признаками вероятности и случайности его наступления» — ст. 9 Закона № 4015-1). Однако, как уже было сказано, в нашей стране не ведется сбор статистики осуществления информационных рисков.
Более того, при страховании в соответствии с ГК РФ страхователь при заключении договора страхования должен предоставить страховщикам соответствующие сведения: «Страхователь обязан сообщить страховщику известные страхователю обстоятельства, имеющие существенное значение для определения вероятности наступления страхового случая и размера возможных убытков от его наступления (страхового риска), если эти обстоятельства неизвестны и не должны быть известны страховщику» (ст. 944 п. 1).
При страховании информационных рисков страховщик должен будет подвергнуть изучению всю информационную систему страхователя. Он получит доступ ко всем его информационным ресурсам и системам защиты, что может быть в ряде случаев совершенно неприемлемым, например, при обязательном страховании информационных систем органов государственной власти.
Все перечисленные сложности процесса создания системы страхования информационных рисков особенно остро проявляется при введении в стране обязательного страхования 2 .
Следует отметить, что, согласно ГК РФ, страховщик имеет право на оценку страхового риска: «При заключении договора страхования имущества страховщик вправе произвести осмотр страхуемого имущества, а при необходимости назначить экспертизу в целях установления его действительной стоимости» (ст. 945 п. 1). При страховании информационных рисков, очевидно, страховщик потребует назвать количественную оценку защищенности систем, при обосновании которой им придется подвергнуть изучению не только всю систему защиты, но и ряд закрытых методов анализа защищенности информации, используемых в некоторых государственных организациях.
Учитывая вышесказанное, становится понятным запрет на некоторые виды деятельности страховых компаний: «Предметом непосредственной деятельности страховщиков не могут быть производственная, торгово-посредническая и банковская деятельность» (ст. 6 Закона № 4015-1).
Становится очевидным вывод о том, что отсутствие нормативной правовой базы страхования информационных рисков как в нашей стране, так и за рубежом можно объяснить только несовершенством современного законодательства, но и самой природой страхуемого объекта — информации, ее уникальных свойств и особенностей.
О системе «обязательного» страхования информационных рисков
Введение обязательного страхования информационных рисков приведет к необходимости реализации большого объема дополнительных дорогостоящих работ, которые придется проводить как до наступления страхового случая (информационное обследование страхуемых ИТС, средств защиты, оценка стоимости информационных ресурсов), так и после его наступления (подтверждение факта наступления страхового случая, определение размера страховых выплат и т.д.). Потребуется труд большого числа высокооплачиваемых экспертов из специалистов в различных областях защиты информации, связи, телекоммуникаций, армии чиновников.
Более серьезные проблемы могут быть связаны со следующими обстоятельствами. При страховании информационных рисков (даже в случае добровольного страхования) страховщик должен будет подвергнуть изучению всю информационную систему страхователя, в результате чего получит доступ ко всем его информационным ресурсам и системам защиты. Вряд ли такая перспектива обрадует фирмы, банки, организации, имеющие защищенные ИТС. Разрешая же доступ страховщикам к системам защиты ИТС органов государственной власти, мы тем самым будем вынуждены существенно расширить круг лиц и организаций, допущенных к сведениям, составляющих государственную тайну. Кроме того, для информации, составляющей государственную тайну, и прежде всего политической информации, весьма затруднена оценка ее стоимости.
Таким образом, проведенный анализ показал, что в настоящее время существует целый ряд проблем технического и юридического характера, без решения которых невозможно создание единой системы обязательного страхования информационных рисков в стране.
Подходы к решению ряда проблем можно апробировать при создании систем добровольного страхования информационных рисков. При этом, по-видимому, следует начинать с вопросов страхования систем обработки, хранения и передачи информации и рисков при осуществлении сделок в электронной торговле.
Наталья ДАНИЛИНА, ведущий научный сотрудник Главного управления ФАПСИ; Алексей КУЗЬМИН, д.ф.-м.н., заместитель начальника Главного управления ФАПСИ; Виктор ПЯРИН, к.ф.-м., заместитель генерального директора ФАПСИ
Статья отражает личную позицию авторов (прим. ред.) -------------------------------------------------------------------------------- 1. Н. Ширяев. Актуарное и финансовое дело. Современное состояние и перспективы развития. Доклад на учредительной конференции Российского общества актуариев. 14 сентября 1994 г. 2. В.А. Конявский, В.Н. Хованов. Страхование информационных рисков и обеспечение информационной безопасности. — Управление защитой информации. Т. 4, № 1, 2000.
Вся пресса за 15 марта 2001 г.
Смотрите другие материалы по этой тематике: Обязательное страхование, Технологии, Новые страховые поля, Страховое право, Киберугрозы, киберриски и киберстрахование
Установите трансляцию заголовков прессы на своем сайте
|
|
|
Архив прессы
|
|
|
|
Текущая пресса
|
| |
29 ноября 2024 г.
|
|
Аргументы и факты, 29 ноября 2024 г.
В Китае начали предлагать страховку на случай смерти из-за переработок
|
|
Report.Az, Баку, 29 ноября 2024 г.
Фонд аграрного страхования Азербайджана подвел итоги 10 месяцев
|
|
Медвестник, 29 ноября 2024 г.
Верховный суд разобрался со спорными делами в системе ОМС
|
|
За рулем, 29 ноября 2024 г.
В России хотят поменять правила компенсационных выплат по ОСАГО
|
|
Белфинанс, ИА, Белгород, 29 ноября 2024 г.
Евгений Уфимцев назвал три вектора борьбы с мошенничеством
|
|
ПРАЙМ, 29 ноября 2024 г.
Банк России отметил сокращение чистой прибыли страховщиков
|
|
Ставропольская правда, 29 ноября 2024 г.
Аграрии Ставрополья получили выплаты по страховым контрактам в сфере растениеводства
|
|
Тренд, Баку, 29 ноября 2024 г.
В Азербайджане аптечные организации смогут участвовать в ОМС
|
|
Дума ТВ, 29 ноября 2024 г.
Кирьянов предложил ввести обязательное страхование для маркетплейсов ради защиты прав потребителей
|
|
it-world.ru, 29 ноября 2024 г.
Персонализация на практике: как данные помогают банкам и страховщикам строить отношения с клиентами
|
|
АвтоВзгляд, 29 ноября 2024 г.
За ДТП, случившееся по вине водителей без ОСАГО, заставят платить страховщиков
|
|
Финмаркет, 29 ноября 2024 г.
Премии страховщиков ОСАГО за 10 месяцев выросли на 2,5%, выплаты - на 13,5% - РСА
|
|
Report.Az, Баку, 29 ноября 2024 г.
Парламент одобрил в III чтении включение лекарственных препаратов для амбулаторного лечения в ОМС
|
|
Агробизнес, 29 ноября 2024 г.
Госдума работа над поправками в закон о сельхозстраховании
|
|
Интерфакс, 29 ноября 2024 г.
Трое жителей Мордовии осуждены условно за попытку мошенничества со страховкой
|
|
Тренд, Баку, 29 ноября 2024 г.
В Азербайджане при наступлении страхового случая могут быть предоставлены сведения, составляющие врачебную тайну
|
|
Вестник Мордовии, Саранск, 29 ноября 2024 г.
В Мордовии вынесен приговор по делу о попытке мошенничества на 2,5 млн рублей
|
 Остальные материалы за 29 ноября 2024 г. |
 Самое главное
 Найти
: по изданию
, по теме
, за период
 Получать: на e-mail, на свой сайт
|
|
|
|
|
|