Научная статья на тему 'Страхование информационных рисков предприятий как инструмент риск-менеджмента'

Страхование информационных рисков предприятий как инструмент риск-менеджмента Текст научной статьи по специальности «Экономика и бизнес»

CC BY
340
61
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ / ИНФОРМАЦИОННЫЙ РИСК / ФИНАНСОВЫЙ МЕТОД / СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ / СТРАХОВАНИЕ / СТРАХОВЫЕ РИСКИ

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Романенко Н. А.

Настоящая статья посвящена актуальным вопросам управления информационными рисками коммерческих предприятий, которые позволяют обеспечить экономическую безопасность предприятия и бесперебойную работу всех бизнес-процессов. В качестве основного финансового метода управления информационными рисками автор рассматривает страхование. Особое внимание уделено информационным рискам и их страхованию. В работе подробно описываются объекты страхования, виды страховых рисков. Рассмотрен договор страхования, отражены основные этапы его жизненного цикла.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Текст научной работы на тему «Страхование информационных рисков предприятий как инструмент риск-менеджмента»

Романенко Н.А.

аспирант кафедры «Корпоративные финансы и финансовый менеджмент» Ростовского государственного экономического университета (РИНХ)

Эл.почта: [email protected]

СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ ПРЕДПРИЯТИЙ КАК ИНСТРУМЕНТ РИСК-МЕНЕДЖМЕНТА

Настоящая статья посвящена актуальным вопросам управления информационными рисками коммерческих предприятий, которые позволяют обеспечить экономическую безопасность предприятия и бесперебойную работу всех бизнес-процессов. В качестве основного финансового метода управления информационными рисками автор рассматривает страхование. Особое внимание уделено информационным рискам и их страхованию. В работе подробно описываются объекты страхования, виды страховых рисков. Рассмотрен договор страхования, отражены основные этапы его жизненного цикла.

Ключевые слова: информационные технологии, информационный риск,

финансовый метод, страхование информационных рисков, страхование, страховые риски.

В современной глобальной экономике информация становится одним из ключевых элементов развития бизнеса.

Бизнес-процесс предприятия напрямую зависит от работоспособности информационной системы и качества используемых 1Т-технологий.

Информационная система предприятия охватывает все сферы его деятельности: финансовую, производственную, административную,

выступает как связующее звено при выработке стратегии бизнеса и качества управления предприятием и персоналом. Содержащаяся в ней коммерческая информация носит сугубо конфиденциальный характер, а ее утрата может оказаться критичной для работы всего предприятия.

В связи с ростом зависимости деятельности предприятий от функционирования информационных систем и постоянным нарастанием сложности и объема информации особую актуальность приобрели вопросы управления информационными рисками предприятий, обеспечивающие их экономическую безопасность.

Очевидно, что обеспечение информационной безопасности компаний и управления информационными рисками - одна из главных задач современного российского бизнеса.

В 21-м веке использование информационных технологий предприятиями позволяет им как получать значительные преимущества, так и нести экономический ущерб в результате утечки, порчи, кражи искажения и потери конфиденциальной информации.

В мире ежегодно вдвое увеличивается количество преступлений в области 1Т-технологий. В Российской Федерации в год в 3-4 раза возрастает количество преступлений в информационной сфере. !В год размер материального ущерба от информационных посягательств достигает 613,7 млн. руб. По данным экспертов Group-Ю оборот преступлений в информационной сфере в мире за 2010 год составил 7 млрд. долларов, из них на территорию Россию приходится 1,3 млрд. долларов. [5]

На сегодняшний день нет общепринятого и закрепленного в нормативном правовом акте понятия «информационный риск». На основе проведенного исследования информационный риск можно определить как возможность наступления случайного события, приводящего к нарушениям функционирования информационной системы предприятия и снижению качества информации, а также к неправомерному использованию, распространению или противодействию распространения информации во внешней среде, в результате которых наносится ущерб предприятию.

Такой подход к пониманию информационного риска позволяет непосредственно связать его с обеспечением конечной цели функционирования предприятия - получением максимальной прибыли и достижением стабильности бизнеса. У руководителя появляется возможность оценить информационный риск и с учетом его опасности для бизнеса выработать адекватную политику управления конкретным риском.

1 Получены путем анализа и обобщения статистической информации из ГИАЦ МВД России

В информационных рисках возможно выделить две основные категории:

- риски, связанные с утечкой, кражей информации и ее последующим использованием в целях нанесения вреда бизнесу;

- риски, связанные с техническими и программными сбоями в каналах передачи данных и информации, которые приводят к затратам и убыткам.

Следовательно, управление 1Т-рисками заключается в защите от аварий и сбоев оборудования и предупреждении несанкционированного доступа к данным третьих лиц.

Понимание информационных рисков как возможности возникновения затрат или ущерба в результате использования информационных технологий делает очевидным факт, что 1Т-риски связаны с созданием, передачей, хранением и использованием информации,

В общем виде подходы к оценке ценности информации можно

сформулировать следующим образом:

- прямая выгода, которая может быть получена в результате

использования информации;

- прямые убытки, которые могут возникнуть в случае потери

информации;

- минимальная стоимость расходов на восстановление информации.

К экономическим методам управления информационными рисками и обеспечения 1Т-безопасности относится их страхование. [1]

Страхование информационных рисков - главный и перспективный инструмент управления информационными рисками на предприятии. С позиции риск-менеджмента, страхование можно рассматривать как основной инструмент "передачи рисков". Предприятия, в случае каких-либо серьезных нарушений в работе их информационных систем, утраты и искажения информационных активов получают возможность с помощью страховых выплат компенсировать ущерб.

По мнению некоторых исследователей [4], страхование информационных рисков предприятия можно определить как метод защиты информации в рамках финансово - экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.

Система страхования информационных рисков представляет собой организационную структуру, состоящую из совокупности хозяйствующих субъектов, законодательно-нормативных документов и методических документов, содержащих условия и порядок проведения страхования.

Цель системы страхования информационных рисков - это создание механизма возмещения финансовых затрат владельцам информационных активов из-за потери, утраты, кражи информации, мошенничества и несанкционированных действий третьих лиц, сбоев и ошибок в технических и программных средствах, преднамеренных и непреднамеренных действий персонала и прочих причин.

В соответствии с мировой практикой информация страхуется по стоимости ее восстановления.

С учетом вышеизложенного, проведя анализ действующих нормативно-правовых актов в сфере информатизации и страхования, автор систематизировал объекты страхования и страховые риски в следующем виде.

Объекты страхования:

1. Информационные активы: информация (в том числе та, для которой существует вероятность утраты без возможности восстановления), общее и специальное программное обеспечение, базы данных, электронные документы, информационные ресурсы.

2. Финансовые активы в электронной форме (в том числе в системах клиент-банк), биллинговые системы.

3. Технические средства: компьютерное (в том числе Web-серверы), телекоммуникационное и прочее оборудование.

4. Затраты, связанные с ответственностью перед третьими лицами.

5. Затраты связанные с перерывами в коммерческой деятельности.

Страховые риски:

1. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных информационных активов из-за ошибок в создании, разработке и ненадлежащем обслуживании информационной системы предприятия (страхователя) и действия компьютерных вирусов и атак.

2. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных финансовых активов в виде их неправомерного списания со счетов предприятия (страхователя) из-за несанкционированной модификации программ, ввода мошеннических электронных команд в 1Т-системы и передачи мошеннических (сфальсифицированных) электронных поручений в банк или депозитарий предприятия (страхователя) от третьих лиц вследствие их несанкционированного доступа к информации.

3. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных информационных активов или финансовых активов в электронной форме из-за противоправных умышленных действий сотрудника предприятия (страхователя) в целях получения финансовой выгоды и нанесения ущерба предприятию.

Перечисленные объекты страхования подвергаются рискам, угрозам и, значит, требуют определенного уровня безопасности. Однако практический опыт показывает: невозможно добиться стопроцентного уровня

безопасности, поскольку такая абсолютная защита сделает информационные активы предприятия недоступными даже для самих сотрудников и потенциальных клиентов. Качество системы защиты определяется надежностью персонала, который обслуживает ее. В 50% случаев сбой в

системе информационной безопасности происходит из-за неумышленных действий персонала и только в 25 % из-за действий злоумышленников.

Целесообразно применение оптимального уровня безопасности без создания абсолютной защиты. Необходимо ставить вопрос о соразмерности расходов на страхование информационных рисков и расходов на обеспечение информационной безопасности.

Кроме основных информационных рисков, также могут быть застрахованы:

- расходы, понесенные в результате остановки хозяйственной деятельности предприятий из-за сбоев в работе информационных систем;

- затраты, связанные с поддержанием текущей деятельности предприятия в период восстановления, в случае существования альтернативных способов хранения и использования информации;

- затраты, связанные со срочным восстановлением информационных ресурсов и хозяйственной деятельности в случае необходимости;

- дополнительные затраты, связанные с восстановлением деловой репутации компании.

Перечисленные затраты могут рассматриваться как объекты страхования. Но в каждом конкретном случае страхователю и страховщику нужно анализировать разные варианты выхода компании из критической ситуации и выбирать наиболее приемлемые.

Предлагается следующая структура процедуры страхования информационных рисков, представленная на рис.1. Жизненный цикл договора страхования включает пять основных этапов:

1. Предварительный анализ существующих информационных рисков и их обследование.

2. Формулирование рекомендаций и мероприятий по минимизации информационных рисков.

3. Обсуждение, утверждение условий страхового договора и его заключение.

4. Расчет и анализ затрат в случае реализации застрахованных информационных рисков.

5. Согласование страховых сумм, покрывающих затраты, и их последующая выплата.

Предварительный анализ существующих информационных рисков и их обследование до оформления страхового договора аналогичны осуществлению внешнего аудита и могут производиться независимым специализированным предприятием. По итогам должны быть сформулированы и оформлены два документа: заключение (отчет) о текущем состоянии 1Т- безопасности на предприятии и рекомендации и предложения для повышения уровня защиты информационных активов и минимизации рисков.

На основании этих двух отчетов принимается решение о необходимости и возможности страхования информационных рисков конкретного предприятия, проводится их количественный анализ и определяются основные параметры договора страхования.

После оценки рисков определяется ставка страхования, являющаяся одним из основных условий договора. На ее размер влияют различные факторы в зависимости от каждого конкретного случая (данные статистики 1Т-безопасности по аналогичным предприятиям, показатели текущей деятельности и уровень информационной защиты предприятия, оцененная стоимость информационных активов предприятия, подлежащая страхованию

- страховая сумма.

Рис.1. Основные стадии процесса страхования информационных рисков

Затем по согласованию между страховщиком и предприятием исходя из характера, объема, специфики его информационных активов определяется второй основной параметр - лимит ответственности страховой компании. Клиент может заключить договор страхования как всех выявленных информационных рисков, так и выбрать только часть из них. Страховая компания обязана будет выплачивать в течение года по полису расходы до тех пор, пока не превысит указанный в полисе лимит ответственность суммой суммарных выплат.

Самым проблемным вопросом является взаимодействие страхователя и страховщика при расчете и определении сумм страховых выплат.

Кроме страхования информационных рисков большое значение имеет страхование гражданской ответственности организаций, которые оказывают услуги по защите информационных ресурсов и информационные услуги большому числу пользователей:

1. Страхование гражданской ответственности поставщиков и разработчиков средств защиты информации.

2. Страхование ответственности торговых площадок и фондовых

бирж.

3. Страхование гражданской ответственности удостоверяющих центров, работающих в инфраструктуре публичных ключей.

Целесообразность страхования гражданской ответственности компаний-поставщиков информационных продуктов и услуг обусловлена тем, что у них возникает риск предъявления иска о возмещении затрат, полученных их клиентами в результате того, что третьи лица или злоумышленники воспользовались изъянами, уязвимостями и недоработками в поставляемых продуктах. Понятно, что их собственные средства и активы намного меньше потенциально возможных затрат, которые могут возникнуть у их клиентов. Поэтому страхование является единственно возможным способом построения цивилизованных взаимоотношений и обеспечения ответственности на рынке услуг средств защиты информации.

Мировой опыт страхования информационных рисков начал зарождаться в 90-х и развиваться после 2000-го года, когда в западных странах информационные риски перестали включать в универсальные страховые полисы покрытия бизнес-рисков. В Российской Федерации еще в 1999 году было подписано "Соглашение о сотрудничестве в области страхования информационных ресурсов" между страховыми компаниями ("Ингосстрах" и "Инфистрах") и Министерством РФ по связи и информатизации. С 2000-го года российские страховые компании получили возможность получать лицензии на страхование информационных рисков, однако мало кто из них такую услугу предоставлял, поскольку нет ни соответствующей нормативно-правовой, ни методологической базы для ее осуществления. Деятельность страховых компаний в основном ориентирована на страхование информационных рисков банковских и кредитных организаций, при этом такие сегменты рынка, как малый и средний бизнес, практически не развиваются

Решение проблемы страхования информационных рисков напрямую зависит от возможности количественной оценки и прогнозирования этих рисков, а также от наличия соответствующего правового базиса.

В настоящее время исследователи только приступают к обсуждению вопросов создания законодательной базы страхования информационных рисков.

Федеральный закон от 27 декабря 2004 года № 184-ФЗ «О техническом регулировании» (с изменениями на 1 декабря 2007 года) определил риск как вероятность причинения вреда, однозначно введя количественную метрологию для оценки рисков.

Для совершенствования правовой базы страхования информационных рисков при создании и эксплуатации ключевых систем информационной инфраструктуры необходимо принятие положения об обязательном страховании продукции фигурантов всех технических регламентов. Это можно сделать в одном из общих технических регламентов либо в специальном федеральном законе, либо путем внесения изменений в Федеральный закон от 10 декабря 1992 года № 172-ФЗ «Об организации страхового дела в Российской Федерации».

Для развития страхования в РФ должны быть разработаны, приняты и утверждены методики оценки информационных рисков и правила страхования. Предлагается вариант организации структуры процесса страхования информационных рисков.

Страхование информационных рисков в РФ имеет большой потенциал, оно должно развиваться в рамках общей культуры корпоративного управления.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. «Доктрина информационной безопасности Российской Федерации». Утверждена распоряжением Президента РФ от 9 сентября 2000 года № Пр-1895// РГ. - 2000. - № 176. - 28 сентября.

2. Закон РФ от 27.11.1992 N 4015-1 (ред. от 29.11.2010) "Об организации страхового дела в Российской Федерации"// www.consultant.ru.

3. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) "О техническом регулировании" (принят ГД ФС РФ 15.12.2002) //www.consultant. т .

4. Д. Дьяконов. Страхование информационных рисков как метод защиты

информации // Хозяйство и право. - 2001.- № 3.

««Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции»// www.group-ib.ru.

i Надоели баннеры? Вы всегда можете отключить рекламу.