Научная статья на тему 'Страхование информационных рисков предприятий как инструмент риск-менеджмента'

Страхование информационных рисков предприятий как инструмент риск-менеджмента Текст научной статьи по специальности «Экономика и бизнес»

CC BY
553
58
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ / ИНФОРМАЦИОННЫЙ РИСК / ФИНАНСОВЫЙ МЕТОД / СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ / СТРАХОВАНИЕ / СТРАХОВЫЕ РИСКИ / INFORMATION TECHNOLOGY / DAMAGE / INFORMATION RISK / FINANCIAL METHOD / INSURANCE OF INFORMATION RISKS / PROPERTY INSURANCE / INSURANCE RISKS / INSURANCE CONTRACT

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Романенко Н. А.

Настоящая статья посвящена актуальным вопросам управления информационными рисками коммерческих предприятий, которые позволяют обеспечить экономическую безопасность предприятия и бесперебойную работу всех бизнес-процессов. В качестве основного финансового метода управления информационными рисками автор рассматривает страхование. Особое внимание уделено информационным рискам и их страхованию. В работе подробно описываются объекты страхования, виды страховых рисков. Рассмотрен договор страхования, отражены основные этапы его жизненного цикла.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

This article is devoted to topical issues of information risk management on commercial enterprises, which allow to provide economic security of the enterprise and trouble-free operation of all business processes. Insurance is considered the main financial method for information risk management. Special attention is paid to the information risks and their insurance. Both objects of insurance and types of insurance risks are described in the article in detail. The insurance contract is studied and main stages of its life cycle reflected.

Текст научной работы на тему «Страхование информационных рисков предприятий как инструмент риск-менеджмента»

Романенко Н.А.

аспирант кафедры «Корпоративные финансы и финансовый менеджмент» Ростовского государственного экономического университета (РИНХ) Эл.почта: [email protected]

СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ ПРЕДПРИЯТИЙ КАК ИНСТРУМЕНТ РИСК-МЕНЕДЖМЕНТА

Настоящая статья посвящена актуальным вопросам управления информационными рисками коммерческих предприятий, которые позволяют обеспечить экономическую безопасность предприятия и бесперебойную работу всех бизнес-процессов. В качестве основного финансового метода управления информационными рисками автор рассматривает страхование. Особое внимание уделено информационным рискам и их страхованию. В работе подробно описываются объекты страхования, виды страховых рисков. Рассмотрен договор страхования, отражены основные этапы его жизненного цикла.

Ключевые слова: информационные технологии, информационный риск, финансовый метод, страхование информационных рисков, страхование, страховые риски.

В современной глобальной экономике информация становится одним из ключевых элементов развития бизнеса.

Бизнес-процесс предприятия напрямую зависит от работоспособности информационной системы и качества используемых IT-технологий.

Информационная система предприятия охватывает все сферы его деятельности: финансовую, производственную, административную, выступает как связующее звено при выработке стратегии бизнеса и качества управления предприятием и персоналом. Содержащаяся в ней коммерческая информация носит сугубо конфиденциальный характер, а ее утрата может оказаться критичной для работы всего предприятия.

В связи с ростом зависимости деятельности предприятий от функционирования информационных систем и постоянным нарастанием сложности и объема информации особую актуальность приобрели вопросы управления информационными рисками предприятий, обеспечивающие их экономическую безопасность.

Очевидно, что обеспечение информационной безопасности компаний и управления информационными рисками - одна из главных задач современного российского бизнеса.

В 21-м веке использование информационных технологий предприятиями позволяет им как получать значительные преимущества, так и нести экономический ущерб в результате утечки, порчи, кражи искажения и потери конфиденциальной информации.

В мире ежегодно вдвое увеличивается количество преступлений в области IT-технологий. В Российской Федерации в год в 3-4 раза возрастает количество преступлений в информационной сфере. год размер материального ущерба от информационных посягательств достигает 613,7 млн. руб. По данным экспертов Group-IB оборот преступлений в информационной сфере в мире за 2010 год составил 7 млрд. долларов, из них на территорию Россию приходится 1,3 млрд. долларов. [5]

На сегодняшний день нет общепринятого и закрепленного в нормативном правовом акте понятия «информационный риск». На основе проведенного исследования информационный риск можно определить как возможность наступления случайного события, приводящего к нарушениям функционирования информационной системы предприятия и снижению качества информации, а также к неправомерному использованию, распространению или противодействию распространения информации во внешней среде, в результате которых наносится ущерб предприятию.

Такой подход к пониманию информационного риска позволяет непосредственно связать его с обеспечением конечной цели функционирования предприятия - получением максимальной прибыли и достижением стабильности бизнеса. У руководителя появляется возможность оценить информационный риск и с учетом его опасности для бизнеса выработать адекватную политику управления конкретным риском.

1 Получены путем анализа и обобщения статистической информации из ГИАЦ МВД России

В информационных рисках возможно выделить две основные категории:

- риски, связанные с утечкой, кражей информации и ее последующим использованием в целях нанесения вреда бизнесу;

- риски, связанные с техническими и программными сбоями в каналах передачи данных и информации, которые приводят к затратам и убыткам.

Следовательно, управление 1Т-рисками заключается в защите от аварий и сбоев оборудования и предупреждении несанкционированного доступа к данным третьих лиц.

Понимание информационных рисков как возможности возникновения затрат или ущерба в результате использования информационных технологий делает очевидным факт, что 1Т-риски связаны с созданием, передачей, хранением и использованием информации,

В общем виде подходы к оценке ценности информации можно сформулировать следующим образом:

- прямая выгода, которая может быть получена в результате использования информации;

- прямые убытки, которые могут возникнуть в случае потери информации;

- минимальная стоимость расходов на восстановление информации.

К экономическим методам управления информационными рисками и обеспечения 1Т-безопасности относится их страхование. [1]

Страхование информационных рисков - главный и перспективный инструмент управления информационными рисками на предприятии. С позиции риск-менеджмента, страхование можно рассматривать как основной инструмент "передачи рисков". Предприятия, в случае каких-либо серьезных нарушений в работе их информационных систем, утраты и искажения информационных активов получают возможность с помощью страховых выплат компенсировать ущерб.

По мнению некоторых исследователей [4], страхование информационных рисков предприятия можно определить как метод защиты информации в рамках финансово - экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.

Система страхования информационных рисков представляет собой организационную структуру, состоящую из совокупности хозяйствующих субъектов, законодательно-нормативных документов и методических документов, содержащих условия и порядок проведения страхования.

Цель системы страхования информационных рисков - это создание механизма возмещения финансовых затрат владельцам информационных активов из-за потери, утраты, кражи информации, мошенничества и несанкционированных действий третьих лиц, сбоев и ошибок в технических и программных средствах, преднамеренных и непреднамеренных действий персонала и прочих причин.

В соответствии с мировой практикой информация страхуется по стоимости ее восстановления.

С учетом вышеизложенного, проведя анализ действующих нормативно-правовых актов в сфере информатизации и страхования, автор систематизировал объекты страхования и страховые риски в следующем виде.

Объекты страхования:

1. Информационные активы: информация (в том числе та, для которой существует вероятность утраты без возможности восстановления), общее и специальное программное обеспечение, базы данных, электронные документы, информационные ресурсы.

2. Финансовые активы в электронной форме (в том числе в системах клиент-банк), биллинговые системы.

3. Технические средства: компьютерное (в том числе Web-серверы), телекоммуникационное и прочее оборудование.

4. Затраты, связанные с ответственностью перед третьими лицами.

5. Затраты связанные с перерывами в коммерческой деятельности.

Страховые риски:

1. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных информационных активов из-за ошибок в создании, разработке и ненадлежащем обслуживании информационной системы предприятия (страхователя) и действия компьютерных вирусов и атак.

2. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных финансовых активов в виде их неправомерного списания со счетов предприятия (страхователя) из-за несанкционированной модификации программ, ввода мошеннических электронных команд в 1Т-системы и передачи мошеннических (сфальсифицированных) электронных поручений в банк или депозитарий предприятия (страхователя) от третьих лиц вследствие их несанкционированного доступа к информации.

3. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных информационных активов или финансовых активов в электронной форме из-за противоправных умышленных действий сотрудника предприятия (страхователя) в целях получения финансовой выгоды и нанесения ущерба предприятию.

Перечисленные объекты страхования подвергаются рискам, угрозам и, значит, требуют определенного уровня безопасности. Однако практический опыт показывает: невозможно добиться стопроцентного уровня безопасности, поскольку такая абсолютная защита сделает информационные активы предприятия недоступными даже для самих сотрудников и потенциальных клиентов. Качество системы защиты определяется надежностью персонала, который обслуживает ее. В 50% случаев сбой в

системе информационной безопасности происходит из-за неумышленных действий персонала и только в 25 % из-за действий злоумышленников.

Целесообразно применение оптимального уровня безопасности без создания абсолютной защиты. Необходимо ставить вопрос о соразмерности расходов на страхование информационных рисков и расходов на обеспечение информационной безопасности.

Кроме основных информационных рисков, также могут быть застрахованы:

- расходы, понесенные в результате остановки хозяйственной деятельности предприятий из-за сбоев в работе информационных систем;

- затраты, связанные с поддержанием текущей деятельности предприятия в период восстановления, в случае существования альтернативных способов хранения и использования информации;

- затраты, связанные со срочным восстановлением информационных ресурсов и хозяйственной деятельности в случае необходимости;

- дополнительные затраты, связанные с восстановлением деловой репутации компании.

Перечисленные затраты могут рассматриваться как объекты страхования. Но в каждом конкретном случае страхователю и страховщику нужно анализировать разные варианты выхода компании из критической ситуации и выбирать наиболее приемлемые.

Предлагается следующая структура процедуры страхования информационных рисков, представленная на рис.1. Жизненный цикл договора страхования включает пять основных этапов:

1. Предварительный анализ существующих информационных рисков и их обследование.

2. Формулирование рекомендаций и мероприятий по минимизации информационных рисков.

3. Обсуждение, утверждение условий страхового договора и его заключение.

4. Расчет и анализ затрат в случае реализации застрахованных информационных рисков.

5. Согласование страховых сумм, покрывающих затраты, и их последующая выплата.

Предварительный анализ существующих информационных рисков и их обследование до оформления страхового договора аналогичны осуществлению внешнего аудита и могут производиться независимым специализированным предприятием. По итогам должны быть сформулированы и оформлены два документа: заключение (отчет) о текущем состоянии 1Т- безопасности на предприятии и рекомендации и предложения для повышения уровня защиты информационных активов и минимизации рисков.

На основании этих двух отчетов принимается решение о необходимости и возможности страхования информационных рисков конкретного предприятия, проводится их количественный анализ и определяются основные параметры договора страхования.

После оценки рисков определяется ставка страхования, являющаяся одним из основных условий договора. На ее размер влияют различные факторы в зависимости от каждого конкретного случая (данные статистики 1Т-безопасности по аналогичным предприятиям, показатели текущей деятельности и уровень информационной защиты предприятия, оцененная стоимость информационных активов предприятия, подлежащая страхованию - страховая сумма.

Рис.1. Основные стадии процесса страхования информационных рисков

Затем по согласованию между страховщиком и предприятием исходя из характера, объема, специфики его информационных активов определяется второй основной параметр - лимит ответственности страховой компании. Клиент может заключить договор страхования как всех выявленных информационных рисков, так и выбрать только часть из них. Страховая компания обязана будет выплачивать в течение года по полису расходы до тех пор, пока не превысит указанный в полисе лимит ответственность суммой суммарных выплат.

Самым проблемным вопросом является взаимодействие страхователя и страховщика при расчете и определении сумм страховых выплат.

Кроме страхования информационных рисков большое значение имеет страхование гражданской ответственности организаций, которые оказывают услуги по защите информационных ресурсов и информационные услуги большому числу пользователей:

1. Страхование гражданской ответственности поставщиков и разработчиков средств защиты информации.

2. Страхование ответственности торговых площадок и фондовых

бирж.

3. Страхование гражданской ответственности удостоверяющих центров, работающих в инфраструктуре публичных ключей.

Целесообразность страхования гражданской ответственности компаний-поставщиков информационных продуктов и услуг обусловлена тем, что у них возникает риск предъявления иска о возмещении затрат, полученных их клиентами в результате того, что третьи лица или злоумышленники воспользовались изъянами, уязвимостями и недоработками в поставляемых продуктах. Понятно, что их собственные средства и активы намного меньше потенциально возможных затрат, которые могут возникнуть у их клиентов. Поэтому страхование является единственно возможным способом построения цивилизованных взаимоотношений и обеспечения ответственности на рынке услуг средств защиты информации.

Мировой опыт страхования информационных рисков начал зарождаться в 90-х и развиваться после 2000-го года, когда в западных странах информационные риски перестали включать в универсальные страховые полисы покрытия бизнес-рисков. В Российской Федерации еще в 1999 году было подписано "Соглашение о сотрудничестве в области страхования информационных ресурсов" между страховыми компаниями ("Ингосстрах" и "Инфистрах") и Министерством РФ по связи и информатизации. С 2000-го года российские страховые компании получили возможность получать лицензии на страхование информационных рисков, однако мало кто из них такую услугу предоставлял, поскольку нет ни соответствующей нормативно-правовой, ни методологической базы для ее осуществления. Деятельность страховых компаний в основном ориентирована на страхование информационных рисков банковских и кредитных организаций, при этом такие сегменты рынка, как малый и средний бизнес, практически не развиваются

Решение проблемы страхования информационных рисков напрямую зависит от возможности количественной оценки и прогнозирования этих рисков, а также от наличия соответствующего правового базиса.

В настоящее время исследователи только приступают к обсуждению вопросов создания законодательной базы страхования информационных рисков.

Федеральный закон от 27 декабря 2004 года № 184-ФЗ «О техническом регулировании» (с изменениями на 1 декабря 2007 года) определил риск как вероятность причинения вреда, однозначно введя количественную метрологию для оценки рисков.

Для совершенствования правовой базы страхования информационных рисков при создании и эксплуатации ключевых систем информационной инфраструктуры необходимо принятие положения об обязательном страховании продукции фигурантов всех технических регламентов. Это можно сделать в одном из общих технических регламентов либо в специальном федеральном законе, либо путем внесения изменений в Федеральный закон от 10 декабря 1992 года № 172-ФЗ «Об организации страхового дела в Российской Федерации».

Для развития страхования в РФ должны быть разработаны, приняты и утверждены методики оценки информационных рисков и правила страхования. Предлагается вариант организации структуры процесса страхования информационных рисков.

Страхование информационных рисков в РФ имеет большой потенциал, оно должно развиваться в рамках общей культуры корпоративного управления.

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. «Доктрина информационной безопасности Российской Федерации». Утверждена распоряжением Президента РФ от 9 сентября 2000 года № Пр-1895// РГ. - 2000. - № 176. - 28 сентября.

2. Закон РФ от 27.11.1992 N 4015-1 (ред. от 29.11.2010) "Об организации страхового дела в Российской Федерации"// www.consultant.ru.

3. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) "О техническом регулировании" (принят ГД ФС РФ 15.12.2002) //www.consultant. ш .

4. Д. Дьяконов. Страхование информационных рисков как метод защиты

информации // Хозяйство и право. - 2001.- № 3.

««Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции»// www.group-ib.ru.

i Надоели баннеры? Вы всегда можете отключить рекламу.