Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции.docx
Скачиваний:
797
Добавлен:
10.05.2015
Размер:
378.13 Кб
Скачать

Страхование информационных рисков

Утрата или искажение данных в результате компьютерных преступлений и мошенничества, несанкционированных действий третьих лиц, воздействия программ-вирусов, отказов и сбоев аппаратных средств, ошибок программного обеспечения, неквалифицированных и преднамеренных действий обслуживающего персонала и других причин способны повлечь за собой значительный материальный ущерб. Одним из эффективных методов компенсации ущерба, наступившего в результате вышеназванных событий, является страхование.

В соответствии с Федеральным законом от 27.11.1992 № 4015-1  «Об организации страхового дела в Российской Федерации» страхование представляет собой отношения по защите интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов (страховых премий).

Страховой случай

К страховым случаям можно отнести уничтожение или повреждение застрахованных активов,  вследствие наступления следующих событий:

  • действие вирусов, червей и троянских коней;

  • компьютерные атаки со стороны внешних злоумышленников (хакеров);

  • хищение денежных средств в электронной форме внешними злоумышленниками. Такое хищение может происходить как с помощью сфальсифицированного финансового поручения посланного электроннымспособом страхователю или от имени страхователя, так и путем модификации программного обеспечения и даже путем непосредственного ввода команд;

  • несанкционированные действия со стороны собственных сотрудников организации;

  • сбои систем по причине ошибок при их проектировании, разработке, создании, установке, настройке и эксплуатации;

  • страховым случаем также является временное прекращение деятельности вследствие любого из вышеперечисленных страховых случаев.

Принятие решения об использовании страхования

При выборе страхования как метода защиты информации проводится оценка рисков. После принятия решения об использовании страхования в качестве метода зашиты информации, специалист по защите информации (информационной безопасности) должен составить справку по объектам, подлежащим страхованию, рискам и возможным потерям, по вероятности реализации рисков и по размерам возможных убытков и принять решение по поводу вида страхования, типа договора, условий страхования и т.п.

После  выбора вида страхования, необходимо заключить договор со страховой компанией.

Процедура страхования информационных рисков

Этапами процедуры страхования информационных рисков являются:

  • переговоры, определяющие условия страхования;

  • разработка и согласование предложений по страхованию;

  • проведение экспертизы страхователя;

  • выполнение рекомендаций, полученных в результате экспертизы;

  • подписание договора о страховании.

Непременным условием страхования информационных рисков является проведение специальной экспертизы по анализу рисков страхового объекта. Эта экспертиза, так называемая -  «сюрвей» (от английского «survey» — «осмотр»), проводится экспертами в области информационной безопасности, которые и выносят свой вердикт об уровне защищенности страхуемой компании.

Особенность этой экспертизы в том, что совершается она независимыми специалистами, неработающими ни в страхуемой, ни в страховой компании. Считается, что это позволит страховой компании получить более точную картину о страхователе, а последнему — оценить свою систему защиты с точки зрения независимого незаинтересованного эксперта. Надо помнить, что привлечение российских экспертов обходится в несколько раз дешевле их западных коллег, предпочитающих почасовую оплату труда. Половина стоимости такого сюрвея компенсируется страховой компании при заключении соответствующего договора страхования.

Параметры, влияющие на ставку страхования

К параметрам, влияющим на ставку страхования, относят:

  • стоимость застрахованных ресурсов;

  • используемые средства защиты. Чем известнее система защиты, тем ниже ставка страхования;

  • статистика атак для аналогичных организаций отрасли.

Выводы

Универсальные механизмы защиты, имеющиеся в арсенале специалистов по безопасности, обладают своими достоинствами и недостатками и могут применяться в различных вариациях и совокупностях в конкретных методах и средствах защиты.  Повышать уровень стойкости системы защиты за счёт применения более совершенных физических и технических средств можно только до уровня стойкости персонала из ядра безопасности системы. Успех или неудача масштабного применения систем защиты информации зависит от наличия в них развитых средств управления режимами работы защитными механизмами, и реализации функций, позволяющих существенно упрощать процессы установки, настройки и эксплуатации средств защиты.