Контрольная работа по "Страхованию"

 

 

1.Страхование информационных рисков

Страхование информационных рисков - тема в России популярная. Сегодня уже не надо никого убеждать в необходимости совершенствования механизмов защиты - у всех на слуху миллиардные цифры потерь от компьютерных преступлений, совершаемых по всему миру. Нет необходимости и доказывать важнейшую роль страхования в системе экономической безопасности современного предприятия.

Поражение эпидемией нового опасного вируса  и нанесение серьезного материального урона компьютерной сети, возмещение потерь, защита от риска стать жертвой Internet-угроз – это основные вопросы, на которые ответит страхование информационных рисков.

 

Жизнь человека в современном обществе невозможно представить без информационных технологий. Однако новые возможности порождают новые риски и, соответственно, новые страховые поля. Роль информационных технологий возрастает с каждым днем практически во всех областях хозяйствования, что обусловлено многими факторами и прежде всего формированием информационного сектора экономики. Закладывается основа системы информационных отношений в обществе, намечаются ориентиры государственной политики в информационной сфере, а информационные процессы общества становятся предметом сознательной, целенаправленной и научно обоснованной деятельности.

Информационные технологии слишком сложны и многогранны. С одной стороны, они позволяют предприятиям на порядок улучшить свои показатели за счет увеличения скорости и удобства обработки информации, ее хранения, передачи и получения. Но, с другой стороны, использование IT-технологий создает огромные потенциальные риски хищения, утечки, искажения, утраты, копирования, уничтожения и подделки информации, что влечет за собой экономические и другие потери. Сейчас нередки случаи проникновения в информационные системы и сети органов государственной власти, факты кражи и уничтожения банковской информации и программного обеспечения систем электронных платежей и т.п. В базах есть вся информация по проводкам: реквизиты плательщика и получателя, их банков, назначение платежа. И это только случаи, которые были преданы широкой огласке.

Угрозу в информационной сфере можно определить как предполагаемое событие, в случае наступления которого будет нанесен ущерб. Предотвращение данной угрозы для общества в целом и для отдельной личности, а также для государства в сфере информационной безопасности основывается на разработке и реализации комплекса мер и механизмов защиты. К экономическим методам предотвращения угроз информационной безопасности можно отнести страхование, которое обеспечивает компенсацию ущерба в случае реализации угрозы. 
Основной законодательной базой для осуществления страхового обеспечения информационного поля являются ГК РФ, Закон РФ от 23 июля 2013 г. N 234-ФЗ "Об организации страхового дела в Российской Федерации" и упомянутая выше Доктрина информационной безопасности РФ.

Законодательство не рассматривает любую информацию как самостоятельный объект регулирования. Информация выступает в качестве такового только в том случае, когда является документом. Говоря о страховании информационных рисков, имеют в виду страхование документированной информации, то есть зафиксированной на материальном носителе информации с реквизитами, позволяющими ее идентифицировать.

Доктрина определила создание системы страхования информационных рисков юридических и физических лиц как один из экономических методов обеспечения информационной безопасности Российской Федерации. 
Сегодня создана правовая основа, определяющая субъекты, объекты страхования и страховые риски для проведения добровольного страхования информационных ресурсов и систем.

Одной из структур, активно занимающихся разработкой различных нормативных документов по страхованию информационных рисков, является Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ). Данный НИИ с 1996 г. проводит комплекс научно-исследовательских работ по анализу проблемы страхования в отрасли связи и информатизации, исследованию отечественного и зарубежного рынков страхования информационных систем, ресурсов и технологий, разработке правовой, нормативно-методической и организационной базы системы страхования информационных рисков. Проблема создания системы страхования информационных рисков прорабатывается институтом совместно с рядом министерств и ведомств и одобрена Администрацией Президента РФ, МВД России,   и другими заинтересованными государственными органами и организациями. Институт активно участвует в разработке, подготовке и обсуждении различных сторон проблемы страхования информационных рисков.

Любая предпринимательская деятельность тесно взаимосвязана с получением, накоплением, обработкой и использованием разнообразной информации. Неопределенности и риски, сопутствующие предпринимательству  являются одной из его характеризующих черт. Сегодня уровень конкурентоспособности в немалой степени зависит от умения защитить конфиденциальную информацию от хищений, несанкционированного использования, изменения или уничтожения. Опыт эксплуатации информационных систем и ресурсов в различных сферах деятельности неопровержимо показывает, что существуют различные и весьма реальные угрозы (риски) потери информации, приводящие к конкретному, материально выразимому, ущербу.

Анализ и устранение рисков невозможен без их классификации. Существуют различные виды рисков и критерии, позволяющие их классифицировать.

Традиционно выделяют внешние и внутренние риски информационной безопасности предприятия (хозяйствующего субъекта). В таблице 1 приведена одна из возможных классификаций информационных рисков.

 

 

 

 

Таблица 1. Классификация информационных рисков на предприятии

Внешние информационные риски	Внутренние информационные риски
Природно-естественные риски	Риски, связанные с деятельностью сотрудников предприятия.
Техногенные риски	Технические и технологические риски
Социально-политические риски	Имущественные риски
Финансово-экономические риски
Риски, связанные с терроризмом (в т.ч. международным)

 

 

В последнее время много говорят о страховании информационных рисков, но до конца мало кто понимает, что это за услуга.  

До недавнего времени компании, тесно связанные с информационными технологиями если и пользовались услугами страховых компаний, то только с целью страхования своего имущества от различного вида стихийных бедствий - пожаров, наводнений, воздействий воды при тушении пожара (например, конденсация пара и выведение из строя) и т.д. Кроме того, популярностью пользуется и страхование оборудование от скачков напряжения и других ситуаций, приводящих к нарушению функционирования и даже уничтожению сетевого и иного оборудования.  

Однако угрозы компаниям не ограничиваются только стихийными бедствиями. Как известно, абсолютной защиты не существует, и создать систему со 100%-ой гарантией от различных угроз невозможно. А число этих угроз растет с космической скоростью. Различные статистические отчеты, с завидной регулярностью появляющиеся на свет, предрекают постоянный рост вирусов, червей, троянцев и DoS-атак, которые угрожают абсолютно любой компании, имеющей выход в Интернет. Казалось бы в здании нет пожара и сервера работают нормально, но данные на них уничтожены вследствие вирусной эпидемии. Что делать? Страхование имущества здесь не поможет, т.к. удар нанесен по информационным активам компании. Следствием такой атаки может служить простой в деятельности и неспособность предоставления пострадавшей компанией услуг своим клиентам. А это не только недополученная прибыль, отток клиентов и расходы по восстановлению деловой репутации, но и возможные иски со стороны клиентов, акционеров и других лиц. Одним из элементов защиты от такого рода угроз является страхование информационных рисков, которому начинает уделяться внимание в настоящий момент во всем мире и в России.   

В отличие от страхование имущества, страхование информационных рисков распространяется на:

- программное обеспечение, в т.ч. биллинговые системы, Web-сервера и средства защиты;

- электронные данные, находящиеся  в базах данных, на файловых серверах и других носителях (CD-ROM, DVD, стриммерные ленты и т.д.);

- финансовые активы в электронной  форме, в т.ч. в системах клиент-банк.     

Названные выше убытки являются страховыми случаями, к которым можно отнести уничтожение или повреждение застрахованных активов, описанных выше, вследствие наступления следующих событий:

1.Действие вирусов, червей и  троянских коней. Это самый распространенный  вид информационных угроз, с которым  сталкиваются по разным данным  от 85 до 93% всех компаний. Эти же  угрозы приносят и максимальные  убытки для компаний.

2. Компьютерные атаки со стороны  внешних злоумышленников (хакеров). Надо заметить, что некоторые  страховые компании (например, ОАО "Ингосстрах") относят к этому событию не только сами атаки, но и угрозы их совершения.

3.Хищение денежных средств в  электронной форме внешними злоумышленниками. Такое хищение может происходить  как с помощью сфальсифицированного  финансового поручения посланного  электронным способом страхователю  или от имени страхователя, так  и путем модификации программного  обеспечения  и даже путем непосредственного  ввода команд, например, в системе "Интернет-банк".

4.Несанкционированные действия  со стороны собственных сотрудников  компании.

5.Сбои систем по причине ошибок  при их проектировании, разработке, создании, установке, настройке и  эксплуатации. В данное событие  очень четко вписываются различные  ошибки персонала (в т.ч. и непреднамеренные), которые сводят на нет все  мероприятия по защите корпоративных  ресурсов.  

Страховым случаем также является временное прекращение деятельности вследствие любого из вышеперечисленных страховых случаев.

Страхование реализуется в виде последовательного выполнения 5 обязательных шагов:

-переговоры, определяющие условия  страхования;

-разработка и согласование предложений  по страхованию;

-проведение экспертизы страхователя;

-выполнение рекомендаций, полученных  в результате экспертизы;

-подписание договора о страховании.  

Прежде чем страховая компания примет на себя риски страхователя, она должна убедиться, что сеть страхуемой компании не является дырявым решетом, и первая же атака не приведет к наступлению страхового случая. Другими словами, непременным условием страхования информационных рисков является проведение специальной экспертизы по анализу рисков страхового объекта. Эта экспертиза, по-русски звучащая также как и по-английски - "сюрвей" (от английского "survey" - "осмотр"), проводится экспертами в области информационной безопасности, которые и выносят свой вердикт об уровне защищенности страхуемой компании.  

Особенность этой экспертизы в том, что совершается она независимыми специалистами, неработающими ни в страхуемой, ни в страховой компании. Считается, что это позволит страховой компании получить более точную картину о страхователе, а последнему - оценить свою систему защиты с точки зрения независимого незаинтересованного эксперта. Надо помнить, что привлечение российских экспертов обходится в несколько раз дешевле их западных собратьев, предпочитающих почасовую оплату труда. Половина стоимости такого сюрвея компенсируется страховой компании при заключении соответствующего договора страхования.  

Однако предстраховая экспертиза не является гарантией заключения договора. Дело в том, что по результатам проведенного анализа может потребоваться реализация дополнительных технических и организационных защитных мер, снижающих риски нанесения ущерба корпоративным ресурсам. Не все компании могут пойти на дополнительные затраты, а без них договор страхования заключаться не будет, т.к. вероятность наступления страхового случая становится слишком высокой.  

Как только наступает страховой случай, страховая компания выезжает на место и проводит оценку нанесенного ущерба, после чего наступает момент выплаты страхового возмещения. Однако выплаты производятся не единовременно, а в течение срока действия страхового полиса (как правило, 1 год).   

Какова цена вопроса? Это, пожалуй, самый трудный вопрос, на который нет точного ответа. Стоимость этой услуги рассчитывается индивидуально для каждого клиента, но обычно не превышает 5% от установленного в полисе страхования лимита ответственности страховой компании. В качестве параметров, влияющих на ставку страхования, используются:

1.Стоимость застрахованных ресурсов. Чем она выше, тем ниже ставка  страхования. Например, компания Lloyd определяет страховой взнос в 20000 долларов (т.е. 5%) при стоимости информации в 1 миллион долларов и 75000 долларов (т.е. 0,75%) при возрастании стоимости информации до 10 миллионов долларов.

2.Используемые средства защиты. Чем известнее система защиты, тем ниже ставка страхования.

3.Статистика атак для аналогичных  компаний отрасли.  

Однако данная ставка страхования может быть снижена до 3% и даже 1,5%. Для этого достаточно реализовать рекомендованные в результате экспертизы защитные меры.   

Самое сложное – это определить лимит ответственности, т.е. ту сумму, которую будет обязана выплатить страховая компания в результате наступления страхового случая. В свою очередь, эта сумма делится на 2 составляющих:

-стоимость информационных ресурсов;

-размер убытков от прекращения  деятельности в результате наступления  страхового случая.