Пресса о страховании, страховых компаниях и страховом рынке

Бизнес и безопасность в России, 5 марта 2001 г.

Как застраховать информационные риски

714 просмотров

Страхование — это социальный механизм, позволяющий субъектам компенсировать посредством своих страховых вкладов определенную долю риска возможных потерь, вызванных теми или иными неблагоприятными обстоятельствами. Чтобы риск подлежал страхованию, он должен удовлетворять определенным требованиям, а именно:

- должна существовать достаточно большая группа таких «однородных» страхуемых участников, характеристики которых справедливы и в прошлом, и в будущем;
- причины и серьезность потерь не должны определяться умышленными действиями страхуемых. Эти причины должны быть случайными;
- рассматриваемые опасности должны приводить к потерям, которые легко идентифицируются;
- потенциальные потери, вызванные опасностями, должны быть достаточно большими;
- вероятность потерь должна быть достаточно малой, чтобы цена страхования была экономически возможной; 
- должна быть доступной статистика реальных данных как база для расчета вероятностей потерь.

Мы будем вести речь лишь о страховании «компьютерной» информации, т.е. информации, представленной в электронном виде, хранящейся, обрабатываемой и передаваемой при помощи информационно-телекоммуникационных систем (ИТС).

Рассмотрим ряд свойств информации, важных для описания особенностей процесса страхования информационных рисков (СИР).

Информация, как и мысль, нематериальна. Из этого обстоятельства вытекают, по крайней мере, два следствия: трудность в оценке стоимости информации и подверженность информации копированию.

Оценка стоимости информации в значительной степени субъективна, особенно в части информации, относящейся к персональным данным и информации политического характера. С этим обстоятельством связан тот факт, что в мировой практике не создано эффективных методик объективной оценки стоимости информации. Хотя в ряде случаев (например, связанных с электронной торговлей) может быть произведена достаточно эффективная оценка стоимости объектов страхования.

Представляя собой колоссальную материальную ценность, информация, как никакая другая материальная вещь, подвержена копированию, причем в современных условиях — быстрому и дешевому, и, что особенно важно при страховании, незаметному для окружающих. Указанное свойство информации делает процесс страхования информационных рисков весьма неопределенным, например, страхователь может объявить о потере ценной информации и потребует выплаты страховки, в то время как эта информация им была заблаговременно скопирована.

Зачастую трудно зафиксировать факт нарушения функционирования ИТС, а также доказать причастность или непричастность к этому конкретных лиц, устройств, программных средств. В таких случаях также трудно будет определить источник реализованной угрозы или доказать, что угрозы осуществлено не было.

Отсутствует сколько-нибудь устоявшаяся статистика по большинству потенциальных объектов страхования, т.к. организации не заинтересованы в предании огласке фактов успешно реализованных нападений на их информационные системы; «разношерстность» ИТС и их систем защиты не позволяет собрать и обработать необходимый объем однородной статистической информации для расчета вероятностей потерь. Среди атак на компьютерные системы в последнее время стали преобладать безуликовые, которые не фиксируются системой и не заметны для администратора безопасности.

Разработчики требований по защите современных информационно-телекоммуникационных систем столкнулись с большими трудностями при получении количественных оценок их защищенности в отличие, скажем, от соответствующих оценок надежности работы тех или иных электронных устройств.

Напомним, что страховым риском считается «предполагаемое событие, на случай наступления которого проводится страхование» (п. 1 ст. 9 Закона «Об организации страхового дела в Российской Федерации» № 4015-1 от 27 ноября 1992 г.). Аналогично, информационным риском называют предполагаемое событие по нарушению безопасности информации. Информационный риск может заключаться в нарушении функционирования информационной системы и/или в нарушении правил доступа к информации, а также на рушение ее целостности и конфиденциальности.

Указанные выше свойства информации обусловливают сложности в обеспечении эффективного правового регулирования тех отношений, в которых она фигурирует.

Свойство нематериальности информации (свойство № 1 по нашей классификации) выделяет информацию среди иных объектов права. Так, в Гражданском кодексе Российской Федерации: 

- информация не наделена вещными правами; 
- в главе «Страхование» отсутствует понятие «страхование информационных рисков».

В Законе «Об организации страхового пела в Российской Федерации» от 27 ноября 1992 г. № 4015-1 также отсутствует понятие «страхование информационных рисков».

Только в Федеральном Законе «Об информации, информатизации и защите информации» определено, что информационные ресурсы являются элементом состава имущества и на них распространяется право собственности (статья 6), т.е. сделан первый шаг на пути к внесению изменений в существующее законодательство, например, с целью создания в стране системы СИР.

В статье 9, п. 1 Закона от 27.11.92 № 4015-1 говорится: «Событие, рассматриваемое в качестве страхового риска, должно обладать признаками вероятности и случайности его наступления». О трудности в получении статистических и вероятностных данных наступления страховых случаев при страховании информационных рисков было сказано выше. Кроме того, как правило, нарушение конфиденциальности информации происходит в результате не случайных, а целенаправленных действий злоумышленника.

Более того, при страховании в соответствии со ст. 945 Гражданского кодекса Российской Федерации страховщик имеет право на оценку страхового риска: «При заключении договора страхования имущества страховщик вправе произвести осмотр страхуемого имущества, а при необходимости — назначить экспертизу в целях установления его действительной стоимости».

При страховании информационных рисков страховщик должен будет подвергнуть изучению всю информационную систему страхователя. Он получит доступ ко всем его информационным ресурсам и системам защиты, что может быть в ряде случаев совершенно неприемлемым, например, при обязательном страховании информационных систем органов государственной власти. Все перечисленные сложности процесса создания системы страхования информационных рисков особенно остро проявятся при введении в стране обязательного страхования.

Учитывая сказанное, становится понятным запрет на некоторые виды деятельности страховых компаний: «Предметом непосредственной деятельности страховщиков не могут быть производственная, торгово-посредническая и банковская деятельность» (ст. 6 Закона от 27.11.92 № 14015-1).

Таким образом, отсутствие нормативной правовой базы страхования информационных рисков как в нашей стране, так и за рубежом можно объяснить не только несовершенством современного законодательства, но, скорее, самой природой страхуемого объекта — информации, ее уникальных свойств и особенностей.

Заключение

Проведенный анализ показал, что в настоящее время существует целый ряд проблем технического и юридического характера, без решения которых невозможно создание единой системы обязательного страхования информационных рисков в стране. Подходы к решению ряда проблем можно апробировать при создании систем добровольного страхования информационных рисков. При этом, по-видимому, следует начинать с вопросов страхования систем обработки, хранения и передачи информации и рисков при осуществлении сделок в электронной торговле.

Н. М. ДАНИЛИНА,
ведущий научный сотрудник Главного управления Федерального Агентства правительственной связи и информации при Президенте РФ,
А.С. КУЗЬМИН,
заместитель начальника Главного управления ФАПСИ, д. ф.-м. н;
В.А. ПЯРИН,
заместитель Генерального директора ФАПСИ к ф.-м. н

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »