Страхование информационных ресурсов

Хищение ценной информации путем несанкционированного проникновения  в информационные системы давно  стало настоящим пугалом для  корпораций, вынуждая тратить солидные средства на новейшие средства безопасности и привлечение высококлассных специалистов, в том числе бывших хакеров. Однако успех в этой борьбе является переменным. Злоумышленники также применяют  все новые и новые методы для  выуживания секретных данных из корпоративных  компьютеров, а слабые места зачастую кроются не в дырах системы, а  в ошибках корпоративных пользователей. И если стопроцентная гарантия защиты - это утопия, то застраховать существующий риск вполне реально [7, 62].

Задачи страхования в  сфере информационных ресурсов сводятся к трем основным функциям:

1. Главной является рисковая функция, связанная с основным назначением страхования – оказанием денежной компенсации собственникам и владельцам информационных ресурсов и систем, пострадавшим от неблагоприятных событий, таких как воздействие вредоносных программ, несанкционированные действия третьих лиц, отказы, сбои и ошибки технологических и программных средств и т.п. В рамках действия рисковой функции осуществляется страховая выплата владельцу информационных ресурсов или систем, понесшему ущерб в результате указанных выше событий, называемых страховыми. Финансовые средства для осуществления выплаты формируются за счет страховых взносов других участников страхования.
2. Предупредительная функция состоит в финансировании за счет страховых резервов организационных и программно-технических мероприятий по обеспечению информационной безопасности, приобретению и установке комплексов и средств защиты информации от несанкционированных действий, идентификации и аутентификации пользователей, средств шифрования и электронной цифровой подписи, т.е. мероприятий, направленных на предотвращение страховых событий и снижения уровня риска.

При помощи этой функции  страховщики (страховые компании) имеют  возможность влиять на уровень риска  и таким образом принуждать страхователей (собственников информационных ресурсов и систем) к применению более современных  и эффективных методов и средств  защиты информации. Снижение уровня риска (частоты наступления страховых  событий и возможного ущерба) приводит к снижению страхового взноса, уплачиваемого  собственниками информационных ресурсов и систем.

3. Сберегательная функция страхования выражается, во-первых, в накоплении средств в благоприятный период и их расходовании при наступлении страховых событий; во-вторых, в выплате страховой суммы, бонуса и т.д. по окончании договора страхования.

Таким образом, роль страхования  в обеспечении защищенности информационных ресурсов и систем, непрерывности  бизнес процессов, надежности и устойчивости функционирования информационных систем и сетей проявляется в проведении предупредительных мероприятий, а  также в полноте и своевременности  возмещения ущерба и потерь в доходах [6,16].

 

 

3. Правовое обеспечение страхования информационных ресурсов.

 

Правовой основой страхования  информационных ресурсов является Гражданский  кодекс РФ, Уголовный кодекс РФ, Доктрина информационной безопасности РФ, Федеральный  закон «Об информации, информационных технологиях и о защите информации», Закон РФ «Об организации страхового дела в Российской Федерации».

Закон «Об организации страхового дела в Российской Федерации» регулирует отношения между лицами, осуществляющими виды деятельности в сфере страхового дела, или с их участием, отношения по осуществлению государственного надзора за деятельностью субъектов страхового дела, а также иные отношения, связанные с организацией страхового дела [3, ст. 1].

Предметом страхования информационных ресурсов является риск причинения ущерба имущественным интересам собственников  и владельцев информационных ресурсов по причинам возможного нарушения конфиденциальности, целостности и доступности информационных ресурсов в процессе создания, передачи и хранения электронного документа.

Законодательство не рассматривает  любую информацию как самостоятельный  объект регулирования. Она выступает  в качестве такового только в том  случае, когда является документом. Именно в виде документированной  информации, входящей в состав информационных ресурсов, систем, она может выступать  объектом собственности. Важно, что  и защите подлежит любая документированная  информация, неправомерное обращение  с которой может нанести ущерб  ее собственнику, владельцу, пользователю и иному лицу. Когда речь идет о страховании информационных ресурсов, имеется в виду страхование документированной  информации, т.е. зафиксированной на материальном носителе информации с реквизитами, позволяющими ее идентифицировать, и по отношению к которой собственником этой информации установлены правила доступа.

Одним из основных правовых нормативных документов в сфере  информационных технологий является Федеральный  закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 139-ФЗ.

Указанный закон определяет, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты  информации от неправомерного  доступа, уничтожения, модифицирования,  блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности  информации ограниченного доступа;

3) реализацию права на  доступ к информации [4, ст. 16].

Исходя из содержания этих статей, можно сделать вывод о  том, что субъектам страхования  информационных ресурсов являются собственники, владельцы информационных ресурсов, систем и технологий. Именно им может быть нанесен ущерб в результате несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации, нарушения правового режима документированной информации как объекта собственности. Однако законом не определен порядок компенсации ущерба.

Таким образом, страхование  информационных рисков является механизмом реализации требований Федерального закона о возмещении собственникам и  владельцам информационных ресурсов, потребителям информационных услуг  причиненного ущерба, возникающего в  результате утечки, хищения, утраты, искажения, подделки информации.

Гражданским кодексом (ст. 211) устанавливается, что риск случайного уничтожения или повреждения  имущества (информационных ресурсов и систем) несет собственник. Следовательно, собственник может застраховать информационные ресурсы и системы как принадлежащее ему имущество. Кроме этого, собственник информационных ресурсов несет обязательства перед пользователями и потребителями и потребителями информационных услуг за достоверность представляемой информации и может также застраховать свою ответственность [1, ст. 211].

Доктрина информационной безопасности РФ определила создание системы страхования информационных ресурсов юридических и физических лиц одним из экономических методов  обеспечения информационной безопасности РФ [5, п. II, ст.5].

В Уголовный кодекс включена глава 28, посвященная компьютерным преступлениям, - «Преступления в  сфере компьютерной информации». К  уголовно наказуемым преступлениям  отнесены:

- неправомерный доступ  к охраняемой законом компьютерной  информации, обозначающей деяние, которое  повлекло уничтожение, блокирование, модификацию либо копирование информации [2, ст. 272];

- cоздание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, - нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшие уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред [2, ст. 273].

Таким образом, законодательно определены существенные условия договора страхования информационных ресурсов, которыми являются условия об определенном имуществе либо ином имущественном  интересе, являющимся объектом страхования, о характере события, на случай наступления которого осуществляется страхование.

 

4. Информационный риск и ущерб.

 

Информационный риск – это предполагаемое событие, которое может наступить с определенной вероятностью и в результате воздействия этого события на обрабатываемую, хранящуюся или передаваемую информацию может произойти ее искажение, подделка, утечка, хищение, потеря, т.е. может быть нанесен ущерб собственнику, владельцу информационных ресурсов и систем.

Ущербом является потеря собственником  или владельцев информационных ресурсов, связанные с уничтожением или  модификацией информации.

Для определения ущерба используются:

- в отношении утраченной  информации – стоимость ее  восстановления силами специалистов  организации, либо, по согласованию  со страховщиком, с привлечением  независимых экспертных организаций;

- в отношении утраченного программного обеспечения – стоимость его переустановки настройки;

- в отношении ущерба  от перерыва предпринимательской  деятельности – недополученная  прибыль и расходы организации.

Ущерб, связанный с временным  прекращением деятельности, включает в себя:

- среднюю недополученную  прибыль, которую, как предполагается, страхователь получил бы в  случае, если бы продолжал осуществлять  коммерческую деятельность;

- текущие расходы, которые  страхователь продолжает и обязан  нести, несмотря на временное  прекращение своей коммерческой  деятельности. К таким расходам, в частности, относятся: расходы  по оплате труда сотрудников,  обязательные отчисления в фонды  социального страхования, арендные  и лизинговые платежи, платежи  по обслуживанию кредитных обязательств  и другие фиксированные расходы;

- дополнительные расходы,  связанные с наступлением страхового  случая, которые страхователь должен  произвести с целью скорейшего  восстановления своей коммерческой  деятельности и уменьшения ущерба. К таким расходам относятся:

а) расходы по срочной  замене или восстановлению утраченного (поврежденного) оборудования и программного обеспечения;

б) расходы по временной аренде оборудования;

в) расходы по временному использованию процессинговых услуг  сторонних организаций;

г) расходы по временному переводу своей деятельности в резервные центры;

д) расходы, связанные с  организацией публичных акций с  целью информирования клиентов и  защиты репутации страхователя, если она может быть затронута страховым  случаем;

е) расходы по привлечению  сторонних организаций для выяснения  обстоятельств и причин страхового случая, если эти работы не могут  быть проведены собственными силами [6, 18].

 

5. Особенности организации страхования информационных ресурсов.

 

Cтрахование информационных ресурсов может осуществляться в добровольной форме, на основе договора между страхователем и страховщиком. Правила добровольного страхования, определяющие общие условия и порядок его проведения, устанавливаются страховщиком самостоятельно. Конкретные условия страхования определяются при заключении договора страхования. Анализ свойств информации показывает, что информационные ресурсы могут относиться ко всем объектам страхования, т.к. соответствующие имущественные интересы могут быть связаны:

- с жизнью, здоровьем,  трудоспособностью, и пенсионным  обеспечением страхователя или  застрахованного лица (личное страхование);

- с владением, пользованием, распоряжением имуществом (имущественное  страхование);

- с возмещением страхователем  причиненного им вреда личности  или имуществу физического лица, а также вреда, причиненному  юридическому лицу (страхование  ответственности).

При страховании информационных ресурсов как имущества страховая  сумма не может превышать его  действительной стоимости на момент заключения договора (страховой стоимости). В соответствии с Законом стороны  не могут оспаривать страховую стоимость  информационных ресурсов, определенную в договоре страхования, за исключением случаев, когда страховщик докажет, что он был намеренно введен в заблуждение страхователем. Если страховая сумма, определенная договором страхования, превышает страховую стоимость информационных ресурсов, он является недействительным в силу закона в той части страховой суммы, которая превышает действительную стоимость на момент заключения договора.

Владелец информационных ресурсов, выступающий в роли страхователя, в соответствии с законодательством  обязан:

- при заключении договора  страхования сообщить страховщику  обо всех известных ему обстоятельствах,  имеющих значение для оценки  страхового риска, а также обо  всех заключенных или заключаемых  договорах страхования в отношении  данного объекта страхования;