Страхование информационных ресурсов

- принимать необходимые  меры в целях предотвращения  или уменьшения ущерба застрахованным  информационным ресурсам при  страховом случае и сообщить страховщику о наступлении страхового случая в сроки, установленные договором страхования.

Договором страхования может  предусматривать  также другие обязанности страхователя информационных ресурсов.

В случае наступления страхового случая, например хищения информации, страховая выплата может осуществляться страховщиком в соответствии с договором  страхования или законом на основании  заявления страхователя  и страхового акта (аварийного сертификата). Страховой  акт должен составляться страховщиком или уполномоченным им лицом. При  необходимости страховщик может  запрашивать сведения, связанные  со страховым случаем, у правоохранительных органов, банков, медицинских учреждений и других предприятий, учреждений и  организаций, располагающих информацией об обстоятельствах страхового случая, а также вправе самостоятельно выяснять причины и обстоятельства страхового случая.

В ряде случаев, предусмотренных  законодательством, страховая организация  вправе отказать в страховой выплате. Основаниями для отказа страховщика  произвести страховую выплату являются:

- умышленные действия  страхователя, застрахованного лица  или выгодоприобретателя, направленные  на наступление страхового случая;

- совершение страхователем  или лицом, в пользу которого  заключен договор страхования, умышленного преступления, находящегося в прямой причинной связи со страховым случаем;

- сообщение страхователем  страховщику заведомо ложных  сведений об объекте страхования;

- получение страхователем  соответствующего возмещения ущерба  по имущественному страхованию  лица, виновного в причинении  этого ущерба;

- другие случаи, предусмотренные  законодательными актами.

Условия договора страхования  конкретного информационного ресурса  могут быть предусмотрены другие основания для отказа в страховой  выплате, если это не противоречит законодательству РФ [8,49].

 

6. Порядок страхования информационных рисков в сфере информационных ресурсов.

 

Процесс организации страховой  защиты информационных ресурсов включает три этапа:

1. Определение объекта страхования (защиты), проведение его преддоговорного обследования;
2. заключение страхового договора;
3. сопровождение объекта страхования (защиты).

Первый этап включает выполнение следующих работ:

- определение объекта страхования;

- оценка условий эксплуатации  объекта страхования;

- определение уровня уязвимости  компонентов объекта страхования  от различных видов угроз;

- установление пакетов  рисков, исходя из технологий  обработки и преобразования информации, для включения их в договор  страхования;

- оценка стоимости объекта  страхования(составление справки-расчета,  соглашения о договорной цене);

- определение обязательств  страхователя по обеспечению  безопасности информационных ресурсов (наличие средств и методов защиты информации, наличие копий и средств восстановления);

- определение страховых  случаев;

- порядок расчета суммы  ущерба при наступлении страховых случаев.

Второй этап предусматривает  выполнение следующих работ:

- определение и согласование  страховой суммы, ставок и сроков  страховых платежей и оснований,  по которым производятся платежи;

- определение льгот и  размеров уменьшения страховых  платежей; установление размера  франшизы (доли участия страхователя  в возмещении);

- заключение договора  страхования.

Третий этап предусматривает:

- проверку соблюдения  страхователем обязательств по  обеспечению безопасности информационных  ресурсов;

- оформление документов  по всем страховым случаям,  их классификация и накопление;

- определение и выплату  ущерба по наступившим страховым  случаям;

- организацию и выполнение  ремонта (восстановления) за счет  страховых сумм;

- разработку мероприятий  по предупреждению страховых  случаев и уменьшению ущерба;

- оценку снижения ставок  страховых сборов в условиях, когда за период действия договора  страхования не наступили страховые  случаи;

- организацию страхового  фонда.

Проведение работ в  полном объеме по указанным этапам может осуществляться как отдельными страховыми компаниями, так и совместно  с другими хозяйствующими субъектами, например, аудиторскими, маркетинговыми, консалтинговыми, оценочными, брокерскими компаниями.

Выполнение указанных  этапов должно осуществляться в соответствии с комплексом документов, в состав которого входят:

а) нормативные правовые документы, определяющие принципы и  область действия системы страхования;

б) нормативно-методические документы, определяющие порядок оценки стоимости объектов страхования  в области связи и информации и проведения экспертизы при заключении договора страхования и при наступлении  страхового случая;

в) регламентирующие документы, определяющие порядок взаимодействия страховых организаций, экспертных, оценочных, консалтинговых и брокерских компаний между собой и страхователями;

г) страховые документы, определяющие условия страхования, размер страхового взноса и страхового возмещения [6, 20].

Прежде чем страховая  компания примет на себя риски страхователя, она должна убедиться, что сеть страхуемой компании не является дырявым решетом, и первая же атака не приведет к  наступлению страхового случая. Другими  словами, непременным условием страхования  информационных рисков является проведение специальной экспертизы по анализу  рисков страхового объекта. Эта экспертиза, по-русски звучащая также как и  по-английски - "сюрвей" (от английского "survey" - "осмотр"), проводится экспертами в области информационной безопасности, которые и выносят  свой вердикт об уровне защищенности страхуемой компании.

Особенность этой экспертизы в том, что совершается она  независимыми специалистами, неработающими  ни в страхуемой, ни в страховой  компании. Считается, что это позволит страховой компании получить более  точную картину о страхователе, а  последнему - оценить свою систему  защиты с точки зрения независимого незаинтересованного эксперта. Надо помнить, что привлечение российских экспертов обходится в несколько  раз дешевле их западных собратьев, предпочитающих почасовую оплату труда. Половина стоимости такого сюрвея компенсируется страховой компании при заключении соответствующего договора страхования.

Однако предстраховая  экспертиза не является гарантией заключения договора. Дело в том, что по результатам  проведенного анализа может потребоваться  реализация дополнительных технических  и организационных защитных мер, снижающих риски нанесения ущерба корпоративным ресурсам. Не все компании могут пойти на дополнительные затраты, а без них договор страхования  заключаться не будет, т.к. вероятность  наступления страхового случая становится слишком высокой. Как говорит  начальник управления информатизации "Промышленно-страховой компании" И.В. Парафейников: "Мы готовы страховать такие риски, но в этом случае страхователю предъявляются требования провести ряд организационно-технических  мероприятий для сокращения нашего риска, а это, естественно, резко  повышает цену вопроса, поэтому многие компании считают, что страховать информационные риски себе дороже"[7, 108].

 

 

 

 

 

 

 

 

Заключение

 

Страхование информационных ресурсов является одним из методов  обеспечения информационной безопасности, дополняющим применение традиционных мер (организационных, программно-технических) защиты информации. Отличие данного  методы от традиционных мер состоит  в том, что данный метод не влияет на вероятность наступления того или иного события, но компенсирует ущерб от реализации этого события  до минимального или даже нулевого уровня. Таким образом, страхование  дополняет действие традиционных мер  защиты информации. Кроме того, через  страхование осуществляется ужесточение  требований к базовому уровню защищенности, так как это ведет к снижению риска и экономии финансовых средств  страховой компании, затрачиваемых  на возмещение ущерба.

В результате применения страхования  информационных ресурсов достигается  новое качество защиты информационных систем ресурсов и существенное снижение рисков, связанных с использованием систем, информационных ресурсов и технологий, при этом обеспечивается:

- снижение финансовых  затрат на поддержание информационных  ресурсов и систем в работоспособном  состоянии, создание финансовых  резервов на основе аккумулируемых  средств;

- гарантия компенсации  ущерба, возникающего в результате  потери или искажения информации  при обработке, передаче и хранении  электронных документов, а также  оптимизация затрат на достижение  необходимого уровня информационной  безопасности;

- реальная страховая защита  от риска потери информации  при электронной обработке и  передаче данных.

В итоге формирования системы  страхования информационных ресурсов достигается системный эффект, заключающийся  в создании условий для более  эффективного бизнеса:

- для собственников и  владельцев информационных ресурсов –обеспечивается снижение затрат на достижение необходимого уровня информационной безопасности, предоставление  финансовых гарантий компенсации ущерба, появляются реальные критерии выбора средств защиты информации;

- для потребителей информационных  услуг – расширяются гарантии  доступности государственных информационных  ресурсов, формируется реальная  страховая защита персональных  данных, снижается стоимость информационных  услуг за счет снижения затрат  на поддержание необходимого  уровня информационной безопасности, увеличивается объем предоставляемых  услуг за счет повышения надежности  и появления объективных гарантий;

- для производителей и  поставщиков средств защиты информации  – увеличивается объемы продаж  сертифицированного оборудования  за счет требований страховых  компаний к минимизации информационных рисков;

- для страховщиков –  расширяется страховое поле –  в него включаются собственники  и владельцы информационных ресурсов  и систем (страхуются имущественные  интересы, а также ответственность  перед пользователями) и производители  средств защиты информации.

Таким образом, система страхования  информационных ресурсов, увязывая интересы всех ее участников, способствует справедливому  распределению ответственности  между ними и в первую очередь  защищает интересы потребителей информационных услуг.

 

 

 

 

 

 

 

Библиографический список

1. Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ (ред. от 30.12.2012)
2. Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ

(ред. от 30.12.2012)

3. Закон РФ от 27.11.1992 N 4015-1 (ред. от 25.12.2012) "Об организации страхового дела в Российской Федерации"
4. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 28.07.2012)

"Об информации, информационных  технологиях и о защите информации"

5. "Доктрина информационной безопасности Российской Федерации"

(утв. Президентом РФ 09.09.2000 N Пр-1895)

6. В.А. Конявский, В.Н. Хованов Роль и место системы страхования информационных ресурсов в обеспечении информационной безопасности. – М.: ИНФРА-М, 2009. – 158 с.
7. Сплетухов Ю.А, Дюжиков Е.Ф. Основы страховой деятельности. Учебное пособие. – М. ЮНИТИ, 2008. – 312 с.
8. Маркеева Т.П., Борисов А.Н. Страхование: Учебное пособие. – Тула: ТулГУ, 2002. – 87 с.