CC BY
51
УДК 368.03:004.056
ПОЛГГИКА 1НФОРМАЦ1ЙНО1" БЕЗПЕКИ СТРАХОВИХ КОМПАИ1Й; УКРА1ИСЬК1 РЕАЛ11 ТА ДОСВiД США
® 2014 ЖАБИНЕЦЬ 0. Й.
УДК 368.03:004.056
Жабинець О. Й.
Политика шформацшно! безпеки страхових компанiй: yKpaiHCbKi реалм та досвщ США
У статт/ досл/джено перспективы реал/зац/) пол/тики ¡нформацшно)' безпеки укра)нськими страховими компан/ями. Зокрема, проанал/зовано за-конодавчезабезпечення та м/жнародн/ стандарти iнформацшно)' безпеки ISO/IEC27001:2013 та ISO/IEC27002:2013, розглянуто м/сце полтики н-формацшно) безпеки у нов/й версим/жнародного стандарту ¡нформацШно)' безпеки ISO/IEC 27002:2013. Проведено анал'в ключових фактор'в оцнки ризику у формуваннi полтики ¡нформацШно)' безпеки американсько) компани сфери ризикового страхування Philadelphia Insurance Companies. Автор робить висновок, що, незважаючи на те, що д/яльн/сть страхово)компани як i будь-яко)¡ншо)ф/нансово)установи, наприклад, комерцшного банку, мае свою специфку,)) ¡нформацшна безпека (рунтуеться на загальноприйнятих принципах та вимогах м/жнародних стандарт¡в. Кожна страхова компан/я Укра)ни сьогодн/ може самост'шно вир/шувати питання формування та реал'ваци полтики ¡нформащйно)безпеки, керуючись нац/ональ-ним законодавством, м/жнародними стандартами та досв/дом заруб/жних страхових компан'Ш. Водночас з огляду на нестаб/льн/сть соц/ально-економ/чно)та полтично)ситуаци в нашш держав/, / як насл/док - невизначеност/ умов функц/онування ринку страхування нав/ть у найкоротшш перспектив/, в/тчизнян/ страхов/ компани не можуть стаб/л/зувати / спрогнозувати сво)прибутки, що знижуе можливост/ планування / проведен-ня ч/тко) Т-пол/тики, в т. ч. пол/тики /нформац/йно) безпеки.
Ключов слова: пол/тика /нформацШно)'безпеки, страхов/ компани, м/жнародн/ стандарти /нформацшно)'безпеки, законодавче забезпечення /нфор-мацшно) безпеки, фактори оц/нки ризику Рис.: 2. Табл.: 1. Ббл.: 10.
Жабинець Ольга ЙосифiBHa - кандидат економ/чних наук, доцент кафедри ф/нанав, Льв/вський державний ун/верситет внутр/шн/х справ (вул. Городоцька, 26, м. Льв/в, 79007) Email: olza@ukr.net
УДК 368.03:004.056
Жабинец О. И. Политика информационной безопасности страховых компаний: украинские реалии и опыт США
В статье исследованы перспективы реализации политики информационной безопасности украинскими страховыми компаниями. В частности, проанализированы законодательное обеспечение и международные стандарты информационной безопасности ISO/IEC27001:2013 и ISO/IEC 27002:2013, рассмотрено место политики информационной безопасности в новой версии международного стандарта информационной безопасности ISO/IEC 27002:2013. Проведен анализ ключевых факторов оценки риска в формировании политики информационной безопасности американской компании сферы рискового страхования Philadelphia Insurance Companies. Автор делает вывод, что несмотря на то, что деятельность страховой компании как и любой другой финансовой организации, например, коммерческого банка, имеет свою специфику, ее информационная безопасность основывается на общепринятых принципах и требованиях международных стандартов. Каждая страховая компания Украины сегодня может самостоятельно решать вопросы формирования и реализации политики информационной безопасности, руководствуясь национальным законодательством, международными стандартами и опытом зарубежных страховых компаний. В то же время, учитывая нестабильность социально-экономической и политической ситуации в нашем государстве, и как следствие - неопределенность условий функционирования рынка страхования даже в краткосрочной перспективе, отечественные страховые компании не могут стабилизировать и спрогнозировать свои доходы. Это, в свою очередь, снижает возможности планирования и проведения четкой ИТ-политики, в т. ч. политики информационной безопасности.
Ключевые слова: политика информационной безопасности, страховые компании, международные стандарты информационной безопасности, законодательное обеспечение информационной безопасности, факторы оценки риска
UDC 368.03:004.056
Zhabynets 0. Yo. The Information Security Policy at Insurance Companies: Ukrainian Context and U.S. Experience
The article studies the prospects for the information security policy implemented by Ukrainian insurance companies. In particular, the legal framework and international information security standards ISO/IEC 27001:2013 and ISO/IEC 27002:2013 were analyzed, as well as the role of the information security policy according to the new version of the international information security standard ISO/IEC 27002:2013. The study analyzes key risk evaluation factors in forming the information security policy of Philadelphia Insurance Companies, a U.S.-based risk insurance company. The author concludes that despite the fact that operations of an insurance company, as well as any other financial institution, for example, a commercial bank, have distinctive properties, their information security is based on the generally accepted principles and requirements of international standards. Each Ukrainian insurance company can currently solve the problems of forming and implementing the information security policy in accordance with the national legislation, international standards and the experience of foreign insurance companies. Simultaneously, due to lack of stability in the socio-economic and political situation in our state and the resulting uncertainty of operating conditions of the insurance market even in the most immediate future, domestic insurance companies cannot stabilize and predict their incomes, which restricts the possibility of planning and pursuing a well-defined IT policy, including the information security policy. Keywords: information security policy, insurance companies, international information security standards, legal framework for information security, risk evaluation factors Pic.: 2. Tabl.: 1. Bibl.: 10.
Zhabynets Olga Yo. - Candidate of Sciences (Economics), Associate Professor, Associate Professor, Department of Finance, Lviv State University of Internal Affairs (vul. Gorodotska, 26, Lviv, 79066, Ukraine) Email: olza@ukr.net
Рис.: 2. Табл.: 1. Библ.: 10.
Жабинец Ольга Иосифовна - кандидат экономических наук, доцент, доцент кафедры финансов, Львовский государственный университет внутренних дел (ул. Городоцкая, 26, г. Львов, 79066) Email: olza@ukr.net
Постановка проблеми. Процеси штеграцп вггчиз-няного страхового ринку до европейського та свггового страхового простору вимагають в^ страхових компанш швидкого реагування на проблеми, що виникають у зв'язку i3 можливими витоками конфiденцшноi шформацп, а ii за-хист виступае головним прiоритетом у дiяльностi уск без винятку страховикiв. Ефективнiсть формування захисних механiзмiв протидп ризикам, що загрожують захисту кон-фiденцiйних даних та комерцшно! таемницi, напряму зале-жить вiд розробки та впровадження вичизняними страхо-вими компанiями полiтики iнформацiйноi безпеки.
Аналiз останшх до^джень i публiкацiй. Проблеми забезпечення шформацшно! безпеки в рiзних ii аспектах розглядали у свок працях багато вiтчизняних та зару-бiжних науковцiв, зокрема О. О. Войналович, А. 6. Горо-децький, В. В. Домарьов, О. Б. Курицький, Р. А. Калюжний, Б. А. Кормич, Ю. 6. Максименко, О. I. Мотлях, О. В. Олш-ник, Ю. А. Нисневич, В. П. Талимончик, Г. А. Титаренко, В. С. Цимбалюк. Водночас, питання законодавчого забезпечення та особливостей реалiзацп полiтики шформацш-но1 безпеки вiтчизняними страховиками, а також викорис-тання зарубiжного досвiду щодо ii формування сьогоднi залишаються поза увагою вiтчизняних дослiдникiв, що обумовило вибiр тематики дано1 науково1 статть
Метою статтi е аналiз законодавчого забезпечення та можливостей реалiзацii полiтики iнформацшноi безпеки вiтчизняними страховиками на основi використання на-цiонального та зарубiжного досвiду, а також мiжнародних стандартiв з управлiння iнформацiйною безпекою.
Основнi результати до^дження. У науковш лгге-ратурi найчастiше використовуеться таке визначення по-лiтики iнформацшноi безпеки: «Полiтика iнформацшноi безпеки - це набiр законов, правил, практичних рекоменда-цiй i практичного досвiду, що визначають управлiнськi та проектнi ршення в областi захисту шформацп» [1, с. 137].
Основними законодавчо-нормативними актами у сферi шформацшно! безпеки е сьогоднi Закони Украши «Про iнформацiю», «Про доступ до публiчноi шформацп», «Про захист персональних даних», «Про захист шформацп в iнформацiйно-телекомунiкацiйних системах», а також Указ Президента Украши «Про положення про техшчний захист шформацп в УкрашЬ. Усi вони стосуються загаль-них аспектш захисту шформацп та персональних даних громадян. Щодо фшансово! сфери, то з дня опублжуван-ня Постанови НБУ «Про набрання чинност стандартами з управлшня шформацшною безпекою в банкiвськiй сис-темi Украши» вiд 28.10.2010 № 474 у банивськш дiяльностi почали дiяти такi стандарти:
1) СОУ Н НБУ 65.1 СУ1Б 1.0:2010 «Методи захисту в банкiвськiй дiяльностi. Система управлш-ня iнформацiйною безпекою. Вимоги» (ISO/IEC 27001:2005, MOD);
2) СОУ Н НБУ 65.1 СУ1Б 2.0:2010 «Методи захисту в банивськш дiяльностi. Звiд правил для управлшня шформацшною безпекою» (ISO/IEC 27002:2005, MOD) [2].
Впровадження в банках Украши стандарпв з управлшня шформацшною безпекою дозволить, зокрема, роз-робити ефективну полiтику шформацшно! безпеки та забезпечити ii яюсне виконання, а також забезпечити шдвищення репутацп та ринково1 привабливостi банив [3].
Для страхових компанiй в Украш поки що не запро-ваджено единих обов'язкових стандартов шформацшно! безпеки, хоча такi стандарти уже давно застосовуються зарубiжними страховиками. З огляду на те, що полiтика шформацшно! безпеки банкiвськими установами розро-бляеться самостiйно, як це зазначено у Методичних реко-мендацiях, то сьогодш вiтчизнянi страховики, спираючись на зарубiжний досвiд та досвiд реалiзацii полiтики шфор-мацiйноi безпеки в банивськш та шших видах дiяльностi, а також мiжнароднi стандарти шформацшно! безпеки, мо-жуть самостiйно розробляти власну полiтику шформацш-но1 безпеки.
Серед мiжнародних стандартов iнформацiйноi безпеки (ISO/IEC 27001 та ISO/IEC 27002) полiтика шфор-мацiйноi безпеки описуеться стандартом ISO/IEC 27002, остання верйя якого вийшла у 2013 рощ. Для впровадження системи управлшня шформацшною безпекою використовуеться стандарт ISO/IEC 27001. В ньому прописано алгоритми, у в^пов^ност до яких мае бути впроваджено систему шформацшно! безпеки [4], тодi як ISO/IEC 27002 надае пояснення, детально описуе кроки щодо впрова-дження системи, включае рекомендацп та пояснення для оперативного i правильного впровадження уйх вимог [5]. У разi запровадження системи шформацшно! безпеки компашя отримуе сертифжат про присвоення стандарту саме ISO/IEC 27001.
1нформащя щодо використання стандарту ISO/IEC 27001 страховими компашями в УкраМ наразi в^сутня [6, с. 35]. Однак першi кроки до процесу використання мiж-народних стандартiв iнформацiйноi безпеки уже зроблено одним iз лiдерiв вггчизняного ринку страхування НАСК «Оранта», яка з 2010 року використовуе програмш ршення компанп Lumension, впровадження яких, за словами представника компанп, повинно стати одним з посл^ов-них етатв тдготовки НАСК «Оранта» до сертифжацп за мгжнародним стандартом ISO 27001 [7].
Мюце полiтики iнформацiйноi безпеки у новiй версп мгжнародного стандарту iнформацiйноi безпеки ISO/IEC 27002:2013 демонструе рис. 1.
В^пов^но до стандарту ISO/IEC 27001:2013, мета полiтики шформацшно! безпеки полягае у забезпеченш на-прямку управлiння шформацшною безпекою та шдтримку
Рис. 1. Мкце полiтики iнформацiйноï безпеки у мiжнародному стандартi iнформацiйноï безпеки
ISO/IEC 27002:2013
Джерело: побудовано автором за [5].
захисту шформацп в^пов^но до вимог 6i3Hecy та вОдпо-вiдних закон1в i правил [5].
На найвищому рiвнi стандартом вимагаеться визна-чити програмний документ - «полiтика iнформацiйноï безпеки», в якому буде викладено тдпд до управлшня захистом iнформацiï в органiзацiï. Цей документ в облас-тi шформацшно'1 безпеки повинен бути визначений та за-тверджений кeрiвництвом, опу6лiкований i доведений до сшвробггник1в i в^пов^них зовнiшнiх сторiн.
Програмний документ повинен в^пов^ати таким вимогам:
а) 6iзнeс-стратeгiï;
б) правилам, законодавству та договорам;
в) поточним та прогнозованим загрозам навко-лишнього середовища щодо шформацшно!' безпеки.
Полiтика iнформацiйноï безпеки мае мютити такi основнi вiдомостi:
1) визначення шформацшно'1 безпеки, ïï цiлeй i принципов, що охоплюють ва види дОяльносп, пов,язанi оз захистом шформацп;
2) призначення загальних i спещальних обов'язив з управлшня шформацшною безпекою;
3) процеав для обробки водхилень i винятюв [5].
Програмний документ мае бути «шдтриманий»
конкретними темами полотики, яко сприяють реалозацп контролю в област шформацшно'1 безпеки i, як правило, структурований з метою задоволення потреб певних цкьових груп усередиш оргашзацп або для охоплення
певних тем, наприклад таких як управлшня доступом, класифшащя шформацп (i ïï обробка), фозична безпека та безпека оточення, конфоденцшшсть i захист персонально'1 шформацп та он.
Полотика шформацшно'1 безпеки повинна бути доведена до ствробггник1в i водповодних зовншнк сторон у формО, яка е доступною i зрозумкою.
КрОм того, полОтика шформацшно'1 безпеки може бути оформлена як у виглядО одного документа, так i де-ккькох окремих, але взаемопов'язаних документ; повинна переглядатись через заплановаш штервали або за умо-ви значних змш з метою забезпечення ïï (полОтики) постш-но'1 придатносп, адекватност та ефективность
За словами Метью ДжозефовОча (Matthew Josefowicz), менеджера страхово'1 групи дослОдницько'1 компанп Celent: «1нформацшна безпека - головний прюритет для страхових груп у США; оцшка поточних уразливих мюць i розроб-ка комплексно'1 стратеги захисту стають прюритетом» [8].
З огляду на це розглянемо особливост формування полОтики шформацшно'1 безпеки американською страховою компашею Philadelphia Insurance Companies (PHLY).
Для початку варто звернути увагу на те, що Philadelphia Insurance Companies (PHLY) - це ризикова страхова компашя зО штаб-квартирою в мкт Бала Син-вайд (Bala Cynwyd) штату Пенальвашя у США. Компашя намчуе 46 офОав в 13 регюнах на всш територп США. Мае висою рейтинги наступних рейтингових агентств: «А + +» (Superior) за A.M. Best Company, «А +» за Standard & Poor's. Компашя входить до страхово'1 групу «The Tokio Marine
Group», яка е найстарiшим страховиком Японп та лiдером у майновому страхуванш та CTpaxyBaHHi в^пов^ально-CTi [9].
При створенш полiтики шформацшно! безпеки РИЬУ розглядае наступнi ключовi фактори оцшки ризику (табл. 1).
Таблиця 1
Аналiз ключових факторiв оцiнки ризику РИЬУ у формуваннi полггики iнформацiйноi' безпеки
№ з/п Фактори оцшки ризику |'х характеристика Особливост забезпечення
1 2 3 4
1 Права доступу до внутршньоТ' шформацп та шформацп про клонив (далi - конфщенцшноТ' шформацп) Права доступу до шформацп надають-ся уповноваженим особам керiвни-цтвом компанй' Права надаються за необхiднiстю
2 Контроль доступу до шформа-цмних систем (у т.ч. елеменпв управлiння для перевiрки справжностi) та надання доступу лише уповноваженим особам i компаыям Доступ до шформацп обмежений упо-вноваженими особами. Вс програми компанй' використову-ють технологiю аудентифiкацiТ' для управлiння доступом Уповновaженiй особi присвою£ться унiкaльне iм|я користувача та пароль, як використову-ються при входi в систему для додaткiв, що мiстять iнформaцiю. Крiм того, пкля трьох невдалих спроб користувач блоку£ться i вщ-ключа£ться системним адмЫстратором
3 Обмеження доступу в мкця, що мiстять iнформацiю: будiвлi, ка-бiнети з комп'ютерною технтою, сховища записiв Дата-центр компанй' розташований в штаб-квартирк У цьому мiсцi фiзич-ний доступ в будiвлю контролю£ться за допомогою системи карткового доступу. ^м того, примiщення постiйно патрулюють охоронцi 1)доступ до обчислювальноТ' технiки в дата-центрi контролю£ться також за допомогою системи карткового доступу. Ттьки уповно-вaженi особи (наприклад, персонал ГГ-вщдту) отримують вiдповiдний доступ. 2) в якосп вiддaленого сховища запиав РИЬУ використову£ зовнiшнiх постaчaльникiв. Без-пека навколишнього об'£кта постачальника перевiря£ться шляхом вiдвiдувaння цього об'£кта
4 Шифрування електронноТ' шформацп (пщ час транспортування та зберiгання в мережi або сис-темi), до якоТ' неуповноваженi особи не мають доступу На теперiшнiй час конфщенцшна iнформацiя, що зберiга£ться в мережi або системах - зашифрована, й ком-панiя запроваджу£ технологiю, яка за-хищатиме передачу цих даних -
5 Процедури, як пiдтверджують вiдповiднiсть змiн конфщенцш-ноТ' iнформацiТ' щодо полiтики iнформацiйноТ' безпеки фiрми Ц процедури забезпечують доступ до конфщенцмноТ' iнформацiТ' обмежено-му колу уповноважених оаб -
6 Процедури подвiйного контролю, розподт обовlязкiв i пере-вiрка спiвробiтникiв, вщпови дальних за доступ до шформацп про кл^нлв Перевiрки проводяться щодо вах по-тенцiйних прaцiвникiв компанп, у тому числi тих, як пiд час роботи можуть мати доступ до конфщенцшноТ' шфор-мацй' Процедури выбору нових спiвробiтникiв ткно пов'язaнi iз вiддiлом персоналу. Належний розподт обов'язив здiйсню£ться за допомогою докладного опису посадових функцш. Посaдовi iнструкцiТ' описують основнi обов'язки пра^вниив, при цьому особливу увагу спрямовано на адекватний розподт обов'язив
7 Системи контролю та процедур для виявлення фактичних втор-гнень у конфщенцмну шфор-мацiю та намагань заволодшня даними цieТ' iнформацiТ' Прaцiвники вiддiлу iнформaцiйних технологiй використовують процедури для монiторингу активносп бранд-мауера за пiдсумкaми тижня Пщ час розгляду журнaлiв дiяльностi бранд-мауера, прaцiвники знаходять численнi невда-лi спроби входу в систему та дивно записан iменa користувaчiв. За всiмa пiдозрiлими подiями проводяться ретельн розслiдувaння
8. Програми реагування, що визна-чають заходи, як необхiдно вжи-ти, коли £ пщозра щодо несанкцн онованого доступу до конфщен-цiйноТ' шформацп або виявлено несанкцюнований доступ Персонал вщдту iнформaцiйних тех-нологш несе вiдповiдaльнiсть за акту-альний стан програм реагування на момент, якщо £ фактичш вторгнення в шформацмш системи фiрми або лише спроби вторгнення -
Закшчення табл. 1
1 2 3 4
9 Захист вщ фiзичного знищення конфщенцшноТ шформацп через ушкодження вогнем i водою Центр обробки даних захищений за допомогою пожежноТ технiки гасiння, а також шляхом вибору найлтшого розташування центру на мiсцевостi, його архпектурного планування та будiвництва -
10 Програми реагування щодо збе-реження цткносп та безпеки конфщенцшноТ шформацп у разi вщмови комп'ютера або шшого обладнання, у тому чиш, при необхщносп вщновлення втра-ченоТ iнформацiï Компанiя пщтримуе план аварiйного вiдновлення для центру даних у влас-ному офiсi. ^м того, для кожного департаменту компанп iсну£ окремий план аваршного вiдновлення, який узгоджений в межах уаё' оргaнiзaцiï План аваршного вщновлення перевiря-£ться один раз на рт на об'£ктах компанш-постaчaльникiв програм aвaрiйного вщнов-лення
Джерело: складено автором за [10].
Як свОдчить шформащя, викладена у табл. 1, полОтика шформацшно'1 безпеки страховика будуеться на ключових факторах оцшки ризику, i чим повнше буде зроблений ана-лОз, тим ефектившшою буде реалОзащя цОе*1 полОтики. КрОм того, полОтика шформацшно'1 безпеки повинна будуватися в1дпов1дно до специфши дОяльност i узгоджуватись Оз за-конодавчою базою держави.
Потреба страховиив Украши у розробщ полОтики ш-формацшно'1 безпеки, на нашу думку, зростатиме з кожним роком. Високий ршень конкуренцп на ринку страхування спонукатиме страхов! компанп боротися за клОенпв - при-чому не просто за клОентш, а за надшних, перспективних та «безризикових». Тобто за тих, хто зазвичай е дуже чутли-вим до якост i ршня обслуговування.
Водночас, з огляду на нестабкьшсть сощально-економОчно'1 та пол1тично'1 ситуаци в нашш держав^ i як на-слОдок - невизначеност умов функцюнування ринку страхування навггь у найкоротшш перспектив^ страхов! компанп не можуть стабшзувати i спрогнозувати сво'1 прибутки, що знижуе можливост планування i проведення ч1тко'1 1Т-полОтики, у т. ч. полОтики шформацшно'1 безпеки.
На основ! практичного досвОду з метою тдвищення рОвня шформацшно'1 безпеки компашям, в т. ч. страховим, можна рекомендувати використовувати низку наступних заходш захисту даних, як не потребують значних фшансо-вих витрат (рис. 2).
Як видно з рис. 2, без грамотно розроблено'1 полОтики шформацшно'1 безпеки не можуть обштися жодш адмшь стративш заходи захисту.
Отже, незважаючи на те, що дОяльшсть страхово'1 компанп як i будь-яко'1 шшо'1 фшансово'1 установи, напри-клад комерцшного банку, мае свою специфжу, ïï шформа-цшна безпека Грунтуеться на загальноприйнятих принципах та вимогах м1жнародних стандартов. Кожна страхова компашя Украши сьогодш може самостшно виршувати питання формування та реалОзацп полОтики шформацшно'1 безпеки, керуючись нацюнальним законодавством, мОжна-родними стандартами та досвОдом заруб1жних страхових компанш.
Висновки. Важливе значення у створенш мехашзму протидп ризикам, що загрожують захисту конф1денцшних
даних страховикОв, належить розробцО та впровадженню полОтики шформацшно'1 безпеки. ПолОтика шформацшно'1 безпеки страхово'1 компанп повинна передбачае прийняття необхОдних заходОв з метою захисту активОв вОд випадково'1 або навмисно'1 змши, розкриття чи знищення, а також в щ-лях дотримання конфОденцшносп, цшсносп та доступ-ност шформацп, забезпечення процесу автоматизовано'1 обробки даних. В1д ретельност ïï опрацювання залежати-ме дОевють вск шших рОвшв забезпечення шформацшно'1 безпеки - процедурного О програмно-технОчного. Водночас складшсть розробки полОтики шформацшно'1 безпеки може визначатися проблематичшстю використання заруб1жного досвОду, осккьки полОтика безпеки Грунтуеться на вироб-ничих ресурсах i функцюнальних можливостях програм-них продуктОв конкретного страховика, а також, на нашу думку, повинна враховувати особливостО нацОонального ринку страхування.
Л1ТЕРАТУРА
1. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты / В. В. Домарев. -К. : ООО «ТИД «ДС», 2002. - 688 с.
2. Про набрання чинносп стандартами з управлшня ш-формацшною безпекою в банивськш систем Украши : Постанова НБУ вщ 28.10.2010 р. № 474 [Електронний ресурс]. - Режим доступу : http://zakon4.rada.gov.ua/laws/show/v0474500-10
3. Методичш рекомендацп щодо впровадження системи управлшня шформацшною безпекою та методики оцшки ризигав вщповщно до стандарпв Нацюнального банку Украши [Електронний ресурс]. - Режим доступу : http://zakon2.rada.gov. ua/laws/show/v0365500-11
4. International standard ISO/IEC 27001. - 2nd edit. -Switzerland, 2013. - 23 р.
5. International standard ISO/IEC 27002. - 2nd edit. -Switzerland, 2013. - 80 р.
6. Жабинець О. й. Захист шформацп та шформацмна безпека страхових компанш / О. й. Жабинець // Економiчний часо-пис - XXI. - 2014. - № 7 - 8 (2). - С. 32 - 35.
7. HACK «Оранта» закупила Lumension для обеспечения безопасности конечных точек [Електронний ресурс]. - Режим доступу : http://oranta.ua/rus/pressroom_record.php?news_id=890
Рис. 2. Адмшктративж заходи захисту даних
Джерело: побудовано автором за [1, с. 141].
8. Josefowicz M. IT Security Issues in Insurance [Електрон-ний ресурс]. - Режим доступу : http://www.celent.com/reports/ it-security-issues-insurance
9. PHLY at a Glance [Електронний ресурс]. - Режим доступу : https://www.phly.com/Files/PHLY%20at%20a%20Glance%20 2014_05021431-2900.pdf
10. Philadelphia Insurance Companies. Information Security Policy [Електронний ресурс]. - Режим доступу : http://www.phly. com/Files/infosecurity_policy31-2813.pdf
REFERENCES
Domarev, V. V. Bezopasnost informatsionnykh tekhnologiy. Metodologiia sozdaniia sistem zashchity [Safety of information technology. Methodology for creating protection systems]. Kyiv: TID «DS», 2002.
"HACK "Oranta" zakupila Lumension dlia obespecheniia bezopasnosti konechnykh tochek" [HACK "Orans" bought for Lumension endpoint security]. http://oranta.ua/rus/pressroom_ record.php?news_id=890
International standard ISO/IEC 27001Switzerland, 2013. International standard ISO/IEC 27002Switzerland, 2013. Josefowicz, M. "IT Security Issues in Insurance" http://www. celent. com/reports/it-security-issues-insurance.
[Legal Act of Ukraine] (2010). http://zakon4.rada.gov.ua/ laws/show/v0474500-10
"Metodychni rekomendatsii shchodo vprovadzhennia systemy upravlinnia informatsiinoiu bezpekoiu ta metodyky otsinky ryzykiv vidpovidno do standartiv Natsionalnoho banku Ukrainy" [Guidelines for implementing information security management system and methods of risk assessment in accordance with the standards of the National Bank of Ukraine]. http://zakon2.rada.gov. ua/laws/show/v0365500-11
"PHLY at a Glance" https://www.phly.com/Files/PHLY%20 at%20a%20Glance%202014_05021431-2900.pdf
"Philadelphia Insurance Companies. Information Security Policy" http://www.phly.com/Files/infosecurity_policy31-2813.pdf Zhabynets, O. I."Zakhyst informatsii ta informatsiina bezpeka strakhovykh kompanii" [Data protection and information security insurance]. Ekonomichnyi chasopys - XXI, no. 7-8 (2) (2014): 32-35.
