Информационное страхование
Создание системы информационной безопасности компании на основе программных и технических средств экономически нецелесообразно. В этой связи актуальность приобретает использование механизма страхования.
Активное развитие рынка информационного страхования должно обеспечить распределение последствий от наступления информационных рисков среди максимально большого количества компаний. Учитывая то, что размер убытков от наступления информационных рисков может оказаться весьма существенным и в отдельных случаях даже стать причиной банкротства, которое в дальнейшем может привести к падению финансовых показателей целого ряда компаний, информационное страхование в данном случае может выступить в качестве инструмента, поддерживающего стабильность рынка.
Остановимся более подробно на вопросе о том, как применение информационного страхования может повысить эффективность работы АСОИ компании. Предположим, что компания при нормальной работе имеет доход Iei при этом с вероятностью р можно сказать, что потери компании в случае нанесения вреда хранимой у нее информации составят
Le= Ie1 -Ie0
где Ie0 - доход компании в случае нанесения ущерба ее информационной системе.
Убытки компании могут быть следующие:
· прямые убытки от информационных рисков;
· убытки, связанные с восстановлением информации;
· убытки, связанные с перерывами в производстве;
· убытки, связанные с потерей клиентов;
· убытки, связанные с ответственностью перед третьими лицами.
Защита, предоставляемая по полису страхования информационных рисков может, по желанию клиента, распространяться на одну из групп, а также на все группы.
Обозначим через s размер страхового возмещения, которое будет выплачено страховой компанией в случае наступления страхового случая, при этом стоимость страховой защиты составляет у долларов за 1 доллар покрытия. В случае наступления страхового случая (которое может произойти с вероятностью р) полезность страхования информационных рисков будет соответствовать доходу компании в случае отсутствия убытков, связанных с причинением ущерба хранимой информации за вычетом расходов на покупку полиса, плюс размер возмещения, полученного по условиям страхования:
U(Ie1-ys+s)
При безубыточном прохождении полиса (вероятность этого составляет 1-p) полезность будет определяться на основе дохода компании при отсутствии убытков минус расходы, связанные с оплатой страховой премии:
U(Ie1-ys)
Таким образом, при покупке полиса страхования удается максимизировать ожидаемую полезность для обоих случаев - как при наступлении страхового случая, так и при безубыточном прохождении полиса:
s = аrg mах ЕU = рU(Ie1 - Le - уs + s) + (1 - р)U(Ie1 - ys)
Компания может выбрать один из трех путей защиты от информационных рисков:
· развитие классических средств защиты информации;
· создание специальных резервов (самострахование);
· страхование.
Как самострахование, так и страхование выполняют функцию по минимизации последствий наступления ущерба, связанного с причинением вреда информации. Основная разница между ними состоит в том, что в случае страхования ущерб будет распределяться между целой группой страхователей, а в случае создания специальных резервов (самострахование) возмещение будет происходить целиком из собственных средств. Вложение же денег в классические средства защиты информации - попытка уменьшить не размер, а вероятность - наступления убытков.
Страхование информационных рисков в нашей стране осуществляется рядом компаний. Следует отметить тот факт, что страхование информационных рисков еще во многом служит не для обеспечения защиты от информационных рисков, а для подчеркивания имиджа Страхователя.
Рассмотрим методику страхования информационных рисков Ингосстраха. К расчетным показателям относятся:
q - ожидаемое количество договоров страхования;
Sc - средняя страховая сумма по одному договору страхования;
Sb - средняя сумма страхового возмещения по одному договору страхования;
Р - вероятность наступления страхового события по виду информационного риска (этих видов предусмотрено 6).
Страховой тариф (Тс) определяется как сумма:
Тс = NС + RN +Ng,
где NС - основная часть нетто-ставки;
RN - рисковая надбавка;
Ng - нагрузка. В основе расчета тарифных ставок лежит показатель убыточности (величина выплат на 100 руб. страховой суммы), а сам расчет тарифных ставок произведен на основании предполагаемых объемов страховых операций.
Табл.5.3.
| Вид | Показатель | |||
| риска | Sс | Sb | Р | q |
| А | 0,008 | |||
| В | 0,006 | |||
| С | 0,003 | |||
| D | 30000000 ' | 0,001 | ||
| Е | 0.002 | |||
| F | 0,005 |
А - утрата, уничтожение или повреждение застрахованных информационных активов вследствие непреднамеренных ошибок в проектировании, разработке, создании, инсталляции, конфигурировании, обслуживании или эксплуатации информационных систем;
В - утрата, уничтожение или повреждение застрахованных информационных активов вследствие компьютерных атак, совершенных против страхователя;
С - утрата, уничтожение или повреждение застрахованных информационных активов в результате действий компьютерных вирусов;
D - неправомерное списание финансовых активов в электронной форме со счетов страхователя в результате ввода мошеннических электронных команд в информационную систему страхователя или в результате несанкционированной модификации компьютерного кода страхователя, или передачи фальсифицированного электронного поручения, якобы исходящего от имени страхователя, в банк или депозитарий страхователя, ставших следствием несанкционированного доступа к информационной системе страхователя со стороны третьих лиц, не имеющих на это соответствующих полномочий;
Е - утрата, уничтожение или повреждение застрахованных информационных активов или финансовых активов в электронной форме в результате умышленных противоправных действий сотрудника Страхователя, совершенных самостоятельно или в сговоре для извлечения незаконной личной финансовой выгоды или нанесения Страхователю ущерба;
F - убытки от временного прекращения предпринимательской деятельности вследствие наступления событий.
Как известно, основная часть нетто-ставки (NС) соответствует средним выплатам страховщика, зависящим от вероятности наступления страхового случая, средней страховой суммы и среднего возмещения рассчитывается по формуле
NC=Sb*P*q/ Sc
Нетто-ставка (себестоимость страховой услуги) предназначена для создания страхового фонда, обеспечивающего эквивалентность взаимоотношений между страховщиком и страхователем, а также финансовую устойчивость страховой компании.
Принцип эквивалентности состоит в следующем: страхователь должен заплатить страховщику столько, сколько в среднем на него ожидается произвести выплат, но, принимая на себя риск страхователя, страховщик кроме средних ожидаемых потерь должен взимать некоторую плату "за риск" - некоторым образом компенсирующую возможность флуктуации выплат.
Другим расчетным показателем является рисковая надбавка. Она вводится для того, чтобы учесть вероятные отклонения количества страховых случаев относительно их среднего значения. Возможны два варианта расчета рисковой надбавки:
• для каждого риска (страхового события) отдельно;
• по нескольким видам рисков (по всему или части страхового портфеля)
Для расчета рисковой надбавки (RN), учитывающей вероятность превышения суммы выплат по перспективному портфелю над ее средними значениями. Ингосстрах использует первый способ. В условиях последующей активизации практики страхования информационных рисков, повышении его привлекательности для страхователей, особенно при страховании отдельных видов и проявлений рисков, очевидно, что рисковая надбавка может рассчитываться по всему страховому полю, что позволит уменьшить ее размер. Методикой Ингосстраха предусмотрен расчет еще двух показателей:
• совокупной нетто-ставки (SN);
· брутто-ставки (ВС).
Учитывая принятые обозначения, формула расчета совокупной нетто-ставки принимает такой вид:
SN=NC+RN
Формула для расчета брутто-ставки (ВС), традиционно включающей совокупную нетто-ставку (SN) и нагрузку (Ng), определенную Ингосстрахом на уровне 30%, представляет собой отношение:
SN
вс = --------
(1 - Ng)
Результаты расчета тарифных ставок свидетельствуют о том, что наиболее реальными (следовательно, с более высокими тарифными ставками) у страхователей считаются информационные риски, возникшие вследствие направленных против него компьютерных атак, умышленных противоправных действий сотрудников страхователя, а также убытков от временного прекращения предпринимательской деятельности.
Табл. 5,4.
| Расчетные величины | ||||
| Вид риска | ВС | NС | RN | SN |
| А | 1,06 | 0,27 | 0,47 | 0,74 |
| В | 1,29 | 0,30 | 0,60 | 0,90 |
| С | 1,10 | 0,20 | 0,57 | 0,77 |
| D | 0,56 | 0,07 | 0,33 | 0,40 |
| Е | 1,09 | 0,17 | 0,59 | 0,76 |
| F | 1,14 | | 0,25 | 0,55 | 0,80 |
Осуществив расчет результирующей, тарифной ставки по страхованию информационных систем, Ингосстрах определил тарифную ставку в размере 1,04 (руб.) со 100 руб. страховой суммы и зафиксировал диапазон существенного колебания ставки страховой премии по конкретному договору страхования за счет применения повышающих (от 1,0 до 5,0) и понижающих (от 0,2 до 1,0) коэффициентов.
Ввиду практически полного отсутствия опыта работы с информационными рисками, страховые компании зачастую устанавливают тарифы, которые в действительности не отражают реальную вероятность наступления страхового случая, связанного с нанесение ущерба информации. Страхование информационных рисков осуществляется в качестве дополнительного бонуса к основному полису страхования, покрывающего, например, скажем риски причинения ущерба имуществу компании.
Между тем стоит заметить, что, учитывая темпы развития интереса страхования информационных рисков за рубежом, можно уверенно сказать, что и в нашей стране отношение к данному виду страхования будет меняться и в достаточно скором времени комплексная система информационной безопасности компаний будет действительно комплексной и будет в дополнение ко всем остальным включать еще и экономические методы защиты информации, в частности механизм страхования.
Вопросы.
1. Методы обеспечения информационной безопасности Российской Федерации?
2. Правовые методы обеспечения информационной безопасности Российской Федерации?
3. Организационно - технические методы обеспечения информационной безопасности Российской Федерации?
4. Экономические методы обеспечения информационной безопасности Российской Федерации?
5. Основные меры по обеспечению информационной безопасности Российской Федерации в сфере экономики?
6. Наиболее важные объекты обеспечения информационной безопасности Российской Федерации в области науки и техники?
7. Ограничение доступа как метод обеспечения информации безопасности?
8. Биометрические методы аутентификации человека?
9. Статистика применения биометрических технологий?
10. Отпечатки пальцев как биометрическая характеристика идентификации человека?
11. Глаза как биометрическая характеристика идентификации человека
12. Лицо как биометрическая характеристика идентификации человека
13. Ладонь как биометрическая характеристика идентификации человека.
14. Динамические характеристики как биометрическая характеристика идентификации человека?
15. Классификация систем тревожной сигнализации?
16. Контроль доступа к аппаратуре как метод обеспечения информационной безопасности?
17. Разграничение и контроль доступа к информации как метод обеспечения информационной безопасности?
18. Предоставление привилегий на доступ как метод обеспечения информационной безопасности?
19. Идентификация и установление подлинности объекта (субъекта)?
20. Объекты идентификации и установления подлинности в АСОИ?
21. Идентификация и установление подлинности личности?
22. Идентификация и установление подлинности технических средств?
23. Идентификация и установление подлинности документов?
24. Идентификация и установление подлинности информации на средствах ее отображения и печати?
25. Защита информации от утечки за счет побочного электромагнитного излучения и наводок?
26. Методы и средства защиты информации от побочного электромагнитного излучения и наводок информации?
27. Методы и средства защиты информации от случайных воздействий
28. Методы защиты информации от аварийных ситуаций?