CC BY
133IMPLEMENTATION OF CYBER-INSURANCE AS A DATA PROTECTION TOOL
Voevodin V.
Associate Professor, candidate of technical Sciences, National Research University of Electronic Technology
Kovalev I.
Student of the department of information security National Research University of Electronic Technology
Folomeev L.
Student of the department of information security National Research University of Electronic Technology
СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ КАК ЭКОНОМИЧЕСКИЙ ИНСТРУМЕНТ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Воеводин В.А.
к.т.н., доцент кафедры «Информационная безопасность», Национальный исследовательский университет «МИЭТ»
Ковалев И.С.
Студент кафедры «Информационная безопасность», Национальный исследовательский университет «МИЭТ»
Фоломеев Л.А.
Студент кафедры «Информационная безопасность» Национальный исследовательский университет «МИЭТ»
Abstract
The article substantiates the relevance of using cyber-insurance as a part of economics driven management methods of data protection. This article presents modification of cybersecurity risks and the ways of risk sharing. The problem of cyber-insurance is positioned as an integral part of the data protection problem. The article also contains a brief analysis of cyber-insurance industry and legislation regulating the process of cyber-insurance.
Аннотация
Обосновывается актуальность страхования информационных рисков как инструмента управления информационной безопасностью с помощью экономических инструментов. Приводится перечень решений видоизменения риска информационной безопасности, приводятся способы разделения риска. Проблема страхования рисков ИБ позиционируется как составная часть проблемы защиты информации. Приводится краткий анализ опыта страхования рисков информационной безопасности и законодательства, регламентирующего процесс страхования.
Keywords: cybersecurity risk, information asset, cyber-insurance.
Ключевые слова: риск информационной безопасности, информационный актив, страхование информационных рисков.
Информационная безопасность (ИБ) и информационная инфраструктура, в совокупности, признаны основными инфраструктурными элементами цифровой экономики [1, 2].
В качестве исходного тезиса примем то, что обладатель информации при осуществлении своих прав обязан, в том числе принимать меры по защите информации [1, 3]. Под информационной безопасностью, для цели настоящей статьи, будем понимать свойство информации сохранять конфиденциальность, целостность и доступность [4], а под защитой информации (ЗИ) - деятельность органов управления по применению сил и средств ИБ с целью обеспечить адекватную угрозам ЗИ.
Основной способ управления ЗИ — это управление рисками ИБ. Управление рисками ИБ представляет собой целенаправленную деятельность органов управления ИБ, которая охватывает процессы ЗИ, политику, силы, средства, используемые для видоизменения риска ИБ.
Видоизменение риска ИБ осуществляется в следующем поле не альтернативных решений:
исключение риска путем принятия решения не начинать и ли не продолжать деятельность, в процессе или результате которой может возникнуть опасное событие;
сохранение риска путём принятия потерь или выгод от достигнутого уровня риска;
принятие или повышение риска для обеспечения более широких возможностей; устранение источников риска; изменение вероятности опасного события; устранение последствий опасного события; разделение риска с другой стороной или сторонами путем включения условий разделения в контракт или страхования риска; обоснованное решение о сохранении риска. Перед органами управления ИБ стоит задача выбрать одно из не альтернативных решений в качестве основного или их комбинацию.
Выделенные для обеспечения ИБ силы и средства организуются в рамках системы защиты информации (СЗИ), в этом случае они приобретают эмерджентные свойства.
Однако, даже эффективное применение сил и средств не гарантирует полную защищенность информационных активов организации, поэтому могут случаться инциденты ИБ. В результате инцидентов могут наступать отрицательные последствия: нарушение непрерывности производственного процесса, вред репутации организации, нарушение условий договорных отношений и др., а информационным активам в этом случае может быть нанесен ущерб. Для устранения этих последствий организация может использовать заблаговременно созданную структурную и (или) функциональную и (или) финансовую и (или) временную избыточности СЗИ, т.е. сосредоточить усилия на устранении последствий опасного события. В этом случае СЗИ становиться менее эффективной, так как возникают непроизводительные расходы, а денежные средства, потраченные на эксплуатацию избыточности СЗИ будут вычтены из общей прибыли организации или из её бюджета, что отрицательно сказывается на её конкурентоспособности.
Однако устранение последствий инцидентов ИБ можно достичь и разделением риска либо с другой стороной путем включения условий разделения риска в контракт или путем страхования риска. В этом случае не будет острой необходимости создавать и эксплуатировать излишнюю избыточность СЗИ, и в результате непроизводительные расходы будут сведены до минимума при том же уровне ЗИ.
Таким образом проблема страхования рисков ИБ предприятия является частью проблемы управления защитой информации. Страхование информационных рисков - это способ защиты информации в рамках финансово-экономического обеспечения, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз.
Страхование является одним из способов компенсации части понесенных убытков случае инцидента ИБ.
В решениях Правительства РФ содержится положение, что к 2024 году должны быть разработаны механизмы государственного содействия росту рынка услуг по страхованию информационных рисков в рамках реализации программы цифровой экономики. [2]
Что же мы имеем на Сегодня? В России практический опыт страхования информационных рисков находится в начальной стадии, если не сказать большего, что его вообще нет. Из зарегистрированных в Государственном реестре Минфина России страховых компаний лишь незначительная часть (например, Ингосстрах, Военно-страховая компания, РОСНО, Согласие, Северная казна и др.) предприняли попытки освоить этот вид страхования.
Не имея лицензионного права на страхование информационных рисков, страховые компании получают лицензии на право его осуществления по разделам " страхование других видов имущества" и "страхование иных видов гражданской ответственности".
Более того, препятствием внедрения страхования рисков ИБ является противоречивое положение, которое заключается в том, что основным источником развития рынка услуг и средств ИБ в России является тот или иной Регулятор, который осуществляет контроль за соблюдением требований, установленных в нормативных правовых и методических документах. Принимая во внимание это условие, можно утверждать, что развитие рынка услуг ИБ носит субъективный характер, так как организации нацелены, в первую очередь, направлять усилия на построение СЗИ, которая бы соответствовала, без учета каких-либо условий, требованиям Регулятора. При этом Регулятор не разделяет риски ИБ с участником информационных отношений в случае нанесения ей ущерба. В итоге выходит, что строительство СЗИ основывается на директивных началах, а не на оценке реальной обстановки. Существование данного противоречия усиливает актуальность страхования информационных рисков.
Целью создания системы страхования информационных рисков является формирование условий для справедливого разделения информационного риска между обладателем информации и страховой компанией.
Внедрение страхования информационных рисков позволит перейти от директивного регулирования рынка ИБ регулятором к регулированию рынка ИБ конкуренцией, т.е. спросом и предложениями на услуги в области обеспечения ЗИ.
При подготовке данной статьи был выполнен краткий анализ законодательства Российской Федерации, регламентирующего процесс страхования, были выделены основные проблемы, с которыми могут столкнуться страховые компании, стремящиеся ввести страхование информационный рисков в качестве одной из услуг по страхованию.
Анализ статей 938, 942, 947, 954 Гражданского кодекса РФ и ФЗ .№4015 -1 «Об организации страхового дела в Российской Федерации» позволяет выделить следующие проблемы, с которыми сталкиваются страховые компании при предоставлении услуг по страхованию информационных рисков:
1. Сложность определения объекта страхования и страхового случая при страховании информационных рисков.
2. Сложность расчетов страховых сумм и страховых тарифов, из-за отсутствия регламентированных методик расчета.
3. Необходимость получения лицензий ФСТЭК, ФСБ страховыми компаниями, так как они будут оказывать услуги по защите информации.
4. Отсутствие статистических данных по инцидентам информационной безопасности.
К перечисленным добавляется еще одна проблема - проблема отсутствия методического обеспечения. Для проведения аудита ИБ аудитор должен обладать достоверным, непротиворечивым, апробированным, важно - понятным сторонам страхования, методическим обеспечением для оценки рисков ИБ. На сегодня имеются инструментальные средства для аудита ИБ на любой вкус и на любой «кошелек». А как применить на практике эти средства, для добывания аудиторских свидетельств, вывода на их основе аудиторских доказательств и аудиторского заключения при этом учесть аудиторский риск? Это еще одна проблема методического плана, которая препятствует внедрению страхования рисков ИБ и на сегодня имеется некоторый опытный материала, но с научной точки зрения эта проблема практически не разработана и ждет своего исследователя.
Без разрешения перечисленных проблем страхование информационных рисков вряд ли будет востребовано рынком ИБ и иметь коммерческую привлекательность.
Авторский коллектив утверждает, что логично размер страховой премии поставить в зависимость от:
эффективности СЗИ, которая реализована в организации, чем выше эффективность СЗИ, тем ниже страховая премия;
зафиксированной статистики инцидентов информационной безопасности в организации, чем больше инцидентов, которые не были адекватно пресечены СЗИ, тем больше страховая премия;
от уровня соответствия организации международным и отечественным стандартам ИБ;
от уровня деловой репутации организации.
Авторский коллектив предлагает оценивать и контролировать эффективность СЗИ силами независимой аудиторской организации, а не Регулятором, и логично позиционировать этот подход как ключевой для формирования справедливого рынка услуг по обеспечению ЗИ, в том числе и для страхования рисков.
В этих условиях игроки рынка ИБ будут мотивированы развивать рынок, в том числе и рынок аудиторских компаний, при этом каждая из таких компаний будет стремиться стать наиболее авторитетной в глазах компании-страховщика.
Таким образом, двигателем рынка ИБ станут не амбиции Регулятора, а живая сила конкуренции - спрос и предложения.
На начальном этапе в качестве инструмента расчета страховых сумм автор предлагает применить экспертные методы, методы основанные на достижениях теории нечетких множеств; математической статистики; анализа иерархий; ситуационного управления.
Методика оценки информационных рисков на основанная на теории нечетких множеств позволяет оценивать вероятность событий в условиях неопределенности. Преимуществом данного метода является возможность оперирования нечеткими входными данными и лингвистическими критери-
ями, а также простота использования с точки зрения экспертов. Использование методов, основанных на нечетких множествах целесообразно в случае, когда нет точных данных о начальном состоянии оцениваемого объекта, к примеру, нет статистических данных об инцидентах ИБ.
Методика оценки информационных рисков с использованием метода анализа иерархий позволит получить оценку риска ИБ, когда необходимо учесть различные по физической сущности, факторы, которые не имеют четких количественных оценок, а представлены в форме различных суждений.
Преимущественное применение перечисленных методов может быть использовано для оценки риска ИБ на начальных этапах внедрения страхования рисков ИБ, когда репрезентативные статистические выборки еще отсутствуют.
Как только страхование рисков ИБ будет внедрено в жизнь, будет создан фундамент для накопления достоверной и репрезентативной статистики инцидентов ИБ можно будет переходить к статистическим методам определения страховой премии.
Следуя логике вещей, авторский коллектив смеет утверждать, что страхование рисков ИБ, позволит включить продуктивную силу конкуренции для развития рынка услуг и средств ИБ, снизить непроизводительные потери при обеспечении ЗИ, снизить финансовую нагрузку на бюджет за счет разгрузки Регулятора.
Таким образом, проблема страхования информационных рисков имеет иерархическую структуру, на одной из ветвей которой находятся: проблема среды доверия, проблема аудита ИБ и проблема методического обеспечения аудита ИБ. Каждый из узлов, в свою очередь, тоже имеет иерархическую структуру, как минимум это правовое обеспечение, организационное, техническое, методическое.
Для решения проблем страхования информационных рисков в 2019 году силами международных организаций был разработан стандарт ISO 27102 [5], в котором раскрыты принципы страхования информационных рисков. Данный стандарт описывает процесс страхования, включая этапы анализа рисков и обязанностей страховщика по помощи застрахованным лицам, пострадавшим в результате инцидента информационной безопасности. На данный момент стандарт не имеет перевода на русский язык. В настоящее время на кафедре «Информационная безопасность» Московского института электронной техники в инициативном порядке проводится работа по его переводу (завершена) и формированию на его основе проекта национального стандарта.
СПИСОК ЛИТЕРАТУРЫ:
1. Доктрина информационной безопасности Российской Федерации: [утв. Президентом Российской Федерации 5 декабря 2016 г. № 646 [Электронный ресурс]. - Режим доступа:
http://publication.pravo.gov.ru/Document/View/00012 01612060002.
2. Программа "Цифровая экономика Российской Федерации": [утв. распоряжением Правительства Российской Федерации от 28 июля 2017 г. № 1632-р [Электронный ресурс]. - Режим доступа:
http://static.government.ru/media/files/9gFM4FHj4Ps B79I5v7yLVuPgu4bvR7M0.pdf
3. "Об информации, информационных технологиях и о защите информации": федер. закон от 27 июля 2006 г. № 149-ФЗ: [Принят Государственной Думой 8 июля 2006 года: Одобрен
Советом Федерации 14 июля 2006 года]. [Электронный ресурс]. - Режим доступа: http://www.rg.ru/2004/08/05/taina-doc.html.
4. ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования -Введ. 2006-12-27. - М.: Стандартинформ, 2008. - 25 с.
5. Стандарт ISO/IEC 27102:2019 [ISO/IEC 27102:2019] Information security management — Guidelines for cyber-insurance.
ABOUT THE ROLE OF SINGLE-INDUSTRY TOWN IN THE SOCIO-ECONOMIC DEVELOPMENT
OF THE REGION
Sergeeva I.
Candidate of Economics, Senior Lecturer, Department of State, Municipal Management and Personnel Management,
Surgut State University, Surgut Voronina E.
Candidate of Economics, Associate Professor, Department of Management and Business, Surgut State University, Surgut Khadasevich N. Candidate of Economics, Associate Professor, Department of State, Municipal Management and Personnel Management,
Surgut State University, Surgut Zelentsova S.
Candidate of Economics, Associate Professor, Department of State, Municipal Management and Personnel Management,
Surgut State University, Surgut
О РОЛИ МОНОГОРОДОВ В СОЦИАЛЬНО-ЭКОНОМИЧЕСКОМ РАЗВИТИИ РЕГИОНА
Сергеева И.В.
канд. экон. наук, старший преподаватель, Кафедра государственного, муниципального управления и управления персоналом,
Сургутский государственный университет, г. Сургут
Воронина Е.В.
канд. экон. наук, доцент, доцент, кафедра менеджмента и бизнеса, Сургутский государственный университет, г. Сургут
Хадасевич Н.Р. канд. экон. наук, доцент, доцент, Кафедра государственного, муниципального управления и управления персоналом,
Сургутский государственный университет, г. Сургут
Зеленцова С.Ю. канд. экон. наук, доцент, доцент, Кафедра государственного, муниципального управления и управления персоналом,
Сургутский государственный университет, г. Сургут
Abstract
The article describes the main characteristics of single-industry towns, their risks and threats to the economic security of the regions. The authors propose a wider approach to the role of single-industry towns in the northern territories, based on the assertion that oil and gas city-forming enterprises are concentrated in single-industry towns, as well as on the evidence of their positive value in terms of the strategic socio-economic development of the region in a crisis. Аннотация
В статье рассмотрены основные характеристики моногородов, их риски и угрозы экономической безопасности регионов. Авторами предложен более широкий подход к роли моногородов северных территорий, основанный на утверждении, что нефтегазовые градообразующие предприятия сконцентрированы в
