Романенко Н.А.
аспирант кафедры «Корпоративные финансы и финансовый менеджмент» Ростовского государственного экономического университета (РИНХ) Эл.почта: tatik2004@bk.ru
СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ ПРЕДПРИЯТИЙ КАК ИНСТРУМЕНТ РИСК-МЕНЕДЖМЕНТА
Настоящая статья посвящена актуальным вопросам управления информационными рисками коммерческих предприятий, которые позволяют обеспечить экономическую безопасность предприятия и бесперебойную работу всех бизнес-процессов. В качестве основного финансового метода управления информационными рисками автор рассматривает страхование. Особое внимание уделено информационным рискам и их страхованию. В работе подробно описываются объекты страхования, виды страховых рисков. Рассмотрен договор страхования, отражены основные этапы его жизненного цикла.
Ключевые слова: информационные технологии, информационный риск, финансовый метод, страхование информационных рисков, страхование, страховые риски.
В современной глобальной экономике информация становится одним из ключевых элементов развития бизнеса.
Бизнес-процесс предприятия напрямую зависит от работоспособности информационной системы и качества используемых IT-технологий.
Информационная система предприятия охватывает все сферы его деятельности: финансовую, производственную, административную, выступает как связующее звено при выработке стратегии бизнеса и качества управления предприятием и персоналом. Содержащаяся в ней коммерческая информация носит сугубо конфиденциальный характер, а ее утрата может оказаться критичной для работы всего предприятия.
В связи с ростом зависимости деятельности предприятий от функционирования информационных систем и постоянным нарастанием сложности и объема информации особую актуальность приобрели вопросы управления информационными рисками предприятий, обеспечивающие их экономическую безопасность.
Очевидно, что обеспечение информационной безопасности компаний и управления информационными рисками - одна из главных задач современного российского бизнеса.
В 21-м веке использование информационных технологий предприятиями позволяет им как получать значительные преимущества, так и нести экономический ущерб в результате утечки, порчи, кражи искажения и потери конфиденциальной информации.
В мире ежегодно вдвое увеличивается количество преступлений в области IT-технологий. В Российской Федерации в год в 3-4 раза возрастает количество преступлений в информационной сфере. год размер материального ущерба от информационных посягательств достигает 613,7 млн. руб. По данным экспертов Group-IB оборот преступлений в информационной сфере в мире за 2010 год составил 7 млрд. долларов, из них на территорию Россию приходится 1,3 млрд. долларов. [5]
На сегодняшний день нет общепринятого и закрепленного в нормативном правовом акте понятия «информационный риск». На основе проведенного исследования информационный риск можно определить как возможность наступления случайного события, приводящего к нарушениям функционирования информационной системы предприятия и снижению качества информации, а также к неправомерному использованию, распространению или противодействию распространения информации во внешней среде, в результате которых наносится ущерб предприятию.
Такой подход к пониманию информационного риска позволяет непосредственно связать его с обеспечением конечной цели функционирования предприятия - получением максимальной прибыли и достижением стабильности бизнеса. У руководителя появляется возможность оценить информационный риск и с учетом его опасности для бизнеса выработать адекватную политику управления конкретным риском.
1 Получены путем анализа и обобщения статистической информации из ГИАЦ МВД России
В информационных рисках возможно выделить две основные категории:
- риски, связанные с утечкой, кражей информации и ее последующим использованием в целях нанесения вреда бизнесу;
- риски, связанные с техническими и программными сбоями в каналах передачи данных и информации, которые приводят к затратам и убыткам.
Следовательно, управление 1Т-рисками заключается в защите от аварий и сбоев оборудования и предупреждении несанкционированного доступа к данным третьих лиц.
Понимание информационных рисков как возможности возникновения затрат или ущерба в результате использования информационных технологий делает очевидным факт, что 1Т-риски связаны с созданием, передачей, хранением и использованием информации,
В общем виде подходы к оценке ценности информации можно сформулировать следующим образом:
- прямая выгода, которая может быть получена в результате использования информации;
- прямые убытки, которые могут возникнуть в случае потери информации;
- минимальная стоимость расходов на восстановление информации.
К экономическим методам управления информационными рисками и обеспечения 1Т-безопасности относится их страхование. [1]
Страхование информационных рисков - главный и перспективный инструмент управления информационными рисками на предприятии. С позиции риск-менеджмента, страхование можно рассматривать как основной инструмент "передачи рисков". Предприятия, в случае каких-либо серьезных нарушений в работе их информационных систем, утраты и искажения информационных активов получают возможность с помощью страховых выплат компенсировать ущерб.
По мнению некоторых исследователей [4], страхование информационных рисков предприятия можно определить как метод защиты информации в рамках финансово - экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.
Система страхования информационных рисков представляет собой организационную структуру, состоящую из совокупности хозяйствующих субъектов, законодательно-нормативных документов и методических документов, содержащих условия и порядок проведения страхования.
Цель системы страхования информационных рисков - это создание механизма возмещения финансовых затрат владельцам информационных активов из-за потери, утраты, кражи информации, мошенничества и несанкционированных действий третьих лиц, сбоев и ошибок в технических и программных средствах, преднамеренных и непреднамеренных действий персонала и прочих причин.
В соответствии с мировой практикой информация страхуется по стоимости ее восстановления.
С учетом вышеизложенного, проведя анализ действующих нормативно-правовых актов в сфере информатизации и страхования, автор систематизировал объекты страхования и страховые риски в следующем виде.
Объекты страхования:
1. Информационные активы: информация (в том числе та, для которой существует вероятность утраты без возможности восстановления), общее и специальное программное обеспечение, базы данных, электронные документы, информационные ресурсы.
2. Финансовые активы в электронной форме (в том числе в системах клиент-банк), биллинговые системы.
3. Технические средства: компьютерное (в том числе Web-серверы), телекоммуникационное и прочее оборудование.
4. Затраты, связанные с ответственностью перед третьими лицами.
5. Затраты связанные с перерывами в коммерческой деятельности.
Страховые риски:
1. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных информационных активов из-за ошибок в создании, разработке и ненадлежащем обслуживании информационной системы предприятия (страхователя) и действия компьютерных вирусов и атак.
2. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных финансовых активов в виде их неправомерного списания со счетов предприятия (страхователя) из-за несанкционированной модификации программ, ввода мошеннических электронных команд в 1Т-системы и передачи мошеннических (сфальсифицированных) электронных поручений в банк или депозитарий предприятия (страхователя) от третьих лиц вследствие их несанкционированного доступа к информации.
3. Потеря, преднамеренное и непреднамеренное изменение, уничтожение застрахованных информационных активов или финансовых активов в электронной форме из-за противоправных умышленных действий сотрудника предприятия (страхователя) в целях получения финансовой выгоды и нанесения ущерба предприятию.
Перечисленные объекты страхования подвергаются рискам, угрозам и, значит, требуют определенного уровня безопасности. Однако практический опыт показывает: невозможно добиться стопроцентного уровня безопасности, поскольку такая абсолютная защита сделает информационные активы предприятия недоступными даже для самих сотрудников и потенциальных клиентов. Качество системы защиты определяется надежностью персонала, который обслуживает ее. В 50% случаев сбой в
системе информационной безопасности происходит из-за неумышленных действий персонала и только в 25 % из-за действий злоумышленников.
Целесообразно применение оптимального уровня безопасности без создания абсолютной защиты. Необходимо ставить вопрос о соразмерности расходов на страхование информационных рисков и расходов на обеспечение информационной безопасности.
Кроме основных информационных рисков, также могут быть застрахованы:
- расходы, понесенные в результате остановки хозяйственной деятельности предприятий из-за сбоев в работе информационных систем;
- затраты, связанные с поддержанием текущей деятельности предприятия в период восстановления, в случае существования альтернативных способов хранения и использования информации;
- затраты, связанные со срочным восстановлением информационных ресурсов и хозяйственной деятельности в случае необходимости;
- дополнительные затраты, связанные с восстановлением деловой репутации компании.
Перечисленные затраты могут рассматриваться как объекты страхования. Но в каждом конкретном случае страхователю и страховщику нужно анализировать разные варианты выхода компании из критической ситуации и выбирать наиболее приемлемые.
Предлагается следующая структура процедуры страхования информационных рисков, представленная на рис.1. Жизненный цикл договора страхования включает пять основных этапов:
1. Предварительный анализ существующих информационных рисков и их обследование.
2. Формулирование рекомендаций и мероприятий по минимизации информационных рисков.
3. Обсуждение, утверждение условий страхового договора и его заключение.
4. Расчет и анализ затрат в случае реализации застрахованных информационных рисков.
5. Согласование страховых сумм, покрывающих затраты, и их последующая выплата.
Предварительный анализ существующих информационных рисков и их обследование до оформления страхового договора аналогичны осуществлению внешнего аудита и могут производиться независимым специализированным предприятием. По итогам должны быть сформулированы и оформлены два документа: заключение (отчет) о текущем состоянии 1Т- безопасности на предприятии и рекомендации и предложения для повышения уровня защиты информационных активов и минимизации рисков.
На основании этих двух отчетов принимается решение о необходимости и возможности страхования информационных рисков конкретного предприятия, проводится их количественный анализ и определяются основные параметры договора страхования.
После оценки рисков определяется ставка страхования, являющаяся одним из основных условий договора. На ее размер влияют различные факторы в зависимости от каждого конкретного случая (данные статистики 1Т-безопасности по аналогичным предприятиям, показатели текущей деятельности и уровень информационной защиты предприятия, оцененная стоимость информационных активов предприятия, подлежащая страхованию - страховая сумма.
Рис.1. Основные стадии процесса страхования информационных рисков
Затем по согласованию между страховщиком и предприятием исходя из характера, объема, специфики его информационных активов определяется второй основной параметр - лимит ответственности страховой компании. Клиент может заключить договор страхования как всех выявленных информационных рисков, так и выбрать только часть из них. Страховая компания обязана будет выплачивать в течение года по полису расходы до тех пор, пока не превысит указанный в полисе лимит ответственность суммой суммарных выплат.
Самым проблемным вопросом является взаимодействие страхователя и страховщика при расчете и определении сумм страховых выплат.
Кроме страхования информационных рисков большое значение имеет страхование гражданской ответственности организаций, которые оказывают услуги по защите информационных ресурсов и информационные услуги большому числу пользователей:
1. Страхование гражданской ответственности поставщиков и разработчиков средств защиты информации.
2. Страхование ответственности торговых площадок и фондовых
бирж.
3. Страхование гражданской ответственности удостоверяющих центров, работающих в инфраструктуре публичных ключей.
Целесообразность страхования гражданской ответственности компаний-поставщиков информационных продуктов и услуг обусловлена тем, что у них возникает риск предъявления иска о возмещении затрат, полученных их клиентами в результате того, что третьи лица или злоумышленники воспользовались изъянами, уязвимостями и недоработками в поставляемых продуктах. Понятно, что их собственные средства и активы намного меньше потенциально возможных затрат, которые могут возникнуть у их клиентов. Поэтому страхование является единственно возможным способом построения цивилизованных взаимоотношений и обеспечения ответственности на рынке услуг средств защиты информации.
Мировой опыт страхования информационных рисков начал зарождаться в 90-х и развиваться после 2000-го года, когда в западных странах информационные риски перестали включать в универсальные страховые полисы покрытия бизнес-рисков. В Российской Федерации еще в 1999 году было подписано "Соглашение о сотрудничестве в области страхования информационных ресурсов" между страховыми компаниями ("Ингосстрах" и "Инфистрах") и Министерством РФ по связи и информатизации. С 2000-го года российские страховые компании получили возможность получать лицензии на страхование информационных рисков, однако мало кто из них такую услугу предоставлял, поскольку нет ни соответствующей нормативно-правовой, ни методологической базы для ее осуществления. Деятельность страховых компаний в основном ориентирована на страхование информационных рисков банковских и кредитных организаций, при этом такие сегменты рынка, как малый и средний бизнес, практически не развиваются
Решение проблемы страхования информационных рисков напрямую зависит от возможности количественной оценки и прогнозирования этих рисков, а также от наличия соответствующего правового базиса.
В настоящее время исследователи только приступают к обсуждению вопросов создания законодательной базы страхования информационных рисков.
Федеральный закон от 27 декабря 2004 года № 184-ФЗ «О техническом регулировании» (с изменениями на 1 декабря 2007 года) определил риск как вероятность причинения вреда, однозначно введя количественную метрологию для оценки рисков.
Для совершенствования правовой базы страхования информационных рисков при создании и эксплуатации ключевых систем информационной инфраструктуры необходимо принятие положения об обязательном страховании продукции фигурантов всех технических регламентов. Это можно сделать в одном из общих технических регламентов либо в специальном федеральном законе, либо путем внесения изменений в Федеральный закон от 10 декабря 1992 года № 172-ФЗ «Об организации страхового дела в Российской Федерации».
Для развития страхования в РФ должны быть разработаны, приняты и утверждены методики оценки информационных рисков и правила страхования. Предлагается вариант организации структуры процесса страхования информационных рисков.
Страхование информационных рисков в РФ имеет большой потенциал, оно должно развиваться в рамках общей культуры корпоративного управления.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. «Доктрина информационной безопасности Российской Федерации». Утверждена распоряжением Президента РФ от 9 сентября 2000 года № Пр-1895// РГ. - 2000. - № 176. - 28 сентября.
2. Закон РФ от 27.11.1992 N 4015-1 (ред. от 29.11.2010) "Об организации страхового дела в Российской Федерации"// www.consultant.ru.
3. Федеральный закон от 27.12.2002 N 184-ФЗ (ред. от 28.09.2010) "О техническом регулировании" (принят ГД ФС РФ 15.12.2002) //www.consultant. ш .
4. Д. Дьяконов. Страхование информационных рисков как метод защиты
информации // Хозяйство и право. - 2001.- № 3.
««Русский» рынок компьютерных преступлений в 2010 году: состояние и тенденции»// www.group-ib.ru.