 |
Страховая деятельность и информационные отношения (информационные риски, связи, потоки информации)
|
|
|
|
ВВЕДЕНИЕ
Любая предпринимательская деятельность тесно взаимосвязана с получением, накоплением, обработкой и использованием разнообразной информации. Неопределенности и риски, сопутствующие предпринимательству являются одной из его характеризующих черт. Сегодня уровень конкурентоспособности в немалой степени зависит от умения защитить конфиденциальную информацию от хищений, несанкционированного использования, изменения или уничтожения. Опыт эксплуатации информационных систем и ресурсов в различных сферах деятельности неопровержимо показывает, что существуют различные и весьма реальные угрозы (риски) потери информации, приводящие к конкретному, материально выразимому, ущербу.
Новым в законодательстве является введение обязанности организаций, обрабатывающих персональные данные принимать меры к их защите.
На сегодняшний день не выработана достаточная судебная или правоприменительная практика, введение в действие этого института будет происходить путем проб и ошибок.
Там где есть риск - всегда есть место для его страхования.
Если страхование как деятельность по защите от рисков достаточно широко развита в России, имеет большую правоприменительную и судебную практику, то страхование информационных рисков для России является совершенно новым направлением.
Анализ практики страхования информационных рисков показывает, что пока страховые компании с опаской относятся к нему, так как нет единого мнения по поводу определения информационных рисков и единой достоверной методики по их определению. Вместе с тем, представляется, что данное направление будет очень востребовано в ближайшем будущем, а значит тот, кто первый возьмется за разработку данного направления страхования получит ощутимую экономическую выгоду и преимущество на рынке подобных услуг.
|
|
|
На текущем этапе страховые кампании, оказывающие услуги по страхованию информационных рисков пользуются зарубежными наработками и опытом.
Его внедрение и подведение под него российской правовой базы представляется исключительно актуальным.
Целью настоящей итоговой квалификационной работы является анализ института защиты информации в страховой сфере.
Для достижения поставленной цели будут решены следующие задачи:
исследовать понятие и проблемы правового регулирования таких институтов как страховая деятельность и информационные отношения (информационные риски, связи, потоки информации);
раскрыть содержание права на информацию и его реализацию в страховой сфере;
изучить институты информации ограниченного доступа в сфере страхования;
определить понятие страховой тайны и персональных данных в сфере страхования;
выявить проблемы информационной безопасности в сфере страхования;
проанализировать действие и деятельность института контроля и надзора за обеспечением информационной безопасности в сфере страхования.
Предметом исследования выступают общественные отношения, возникающие при функционировании института защиты информации в страховой сфере.
Объектом исследования являются нормативные правовые акты России, монографии, научные статьи, статистические данные, регулирующие или исследующие институт защиты информации в страховой сфере, а также зарубежный опыт в данной сфере.
Институт защиты информации в страховой сфере является новым в законодательстве и малоизученным. Отдельным вопросам его исследования посвящены работы таких исследователей как А.А. Анисимов, Д. Дьяконов, А. Исаев, О. Седов, В. Ференец и других.
Теоретической базой исследования послужили труды, раскрывающие содержание права на информацию, понятия страховой тайны и персональных данных, информационной безопасности другие.
|
|
|
Нормативной базой послужили Конституция Российской Федерации, законодательство в сфере страхования, защиты информации в целом и законодательство, регулирующее понятие и защиту персональных данных, а также подзаконные нормативные акты в данной сфере.
Эмпирической базой послужили результаты проверок Роскомнадзора деятельности страховых компаний на предмет соблюдения законодательства о защите персональных данных.
Методологической базой исследования являются методы анализа и синтеза, логический, системный, статистический, формально-юридический.
Настоящая магистерская диссертация состоит из введения двух глав, объединяющих семь параграфов, заключения и списка источников и литературы.
ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ И ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В СТРАХОВОЙ СФЕРЕ
Страховая деятельность и информационные отношения (информационные риски, связи, потоки информации)
Роль информационных технологий возрастает с каждым днем практически во всех областях хозяйствования, что обусловлено многими факторами и прежде всего формированием информационного сектора экономики. То, насколько развит именно этот относительно новый сектор, очерчивает границы возможностей хозяйствующих субъектов, позволяет получать, искать и распространять информацию, а также оказывает огромное влияние на систему производственных отношений. Благодаря этому закладывается основа системы информационных отношений в обществе, намечаются ориентиры государственной политики в информационной сфере, а информационные процессы общества становятся предметом сознательной, целенаправленной и научно обоснованной деятельности.
Немаловажную роль в создании и регулировании информационных процессов играет право. Право непосредственным образом воздействует на ход информационных процессов, определяя и поддерживая направления, формирующие внешний вид информационного общества. Информационное общество развивается огромными шагами, что не может не оказывать влияния на характер общественных отношений как между членами общества, так и между обществом и государством. Специфика таких отношений не позволяет регулировать их только при помощи норм классических отраслей права, поскольку информация как объект права имеет свои юридические особенности.
|
|
|
Информация является объектом права, поэтому ей, как и другим объектам права, присущи определенные риски, которые необходимо страховать. Ввиду всевозрастающего значения информации для жизни общества необходимо создание надежной и эффективной системы страхового обеспечения информационного поля.
Правовой основой для проведения работ по созданию системы страхования информационных рисков является Доктрина информационной безопасности Российской Федерации (далее - Доктрина), утвержденная Президентом РФ 9 сентября 2000 г.
Информационные технологии слишком сложны и многогранны. С одной стороны, они позволяют предприятиям на порядок улучшить свои показатели за счет увеличения скорости и удобства обработки информации, ее хранения, передачи и получения. Но, с другой стороны, использование IT-технологий создает огромные потенциальные риски хищения, утечки, искажения, утраты, копирования, уничтожения и подделки информации, что влечет за собой экономические и другие потери.
Сейчас нередки случаи проникновения в информационные системы и сети органов государственной власти, факты кражи и уничтожения банковской информации и программного обеспечения систем электронных платежей и т.п.
По оценкам Британской федерации предпринимателей, средний размер ущерба от проникновения в банковские компьютерные сети составляет порядка 500 тыс. долл., что значительно превышает среднюю величину ущерба от ограбления одного банка. Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в 100 млрд долл. Основная опасность базам данных исходит от внутренних пользователей - ими совершается 94% преступлений, в то время как внешними - только 6%. К сожалению, подобной статистики для России пока не существует, однако различными институтами ведутся работы по сбору и анализу подобной информации.
|
|
|
Угрозу в информационной сфере можно определить как предполагаемое событие, в случае наступления которого будет нанесен ущерб. Предотвращение данной угрозы для общества в целом и для отдельной личности, а также для государства в сфере информационной безопасности основывается на разработке и реализации комплекса мер и механизмов защиты. К экономическим методам предотвращения угроз информационной безопасности можно отнести страхование, которое обеспечивает компенсацию ущерба в случае реализации угрозы.
Основной законодательной базой для осуществления страхового обеспечения информационного поля являются ГК РФ, Закон РФ от 27 ноября 1992 г. N 4015-1 «Об организации страхового дела в Российской Федерации» и упомянутая выше Доктрина информационной безопасности РФ.
Законодательство не рассматривает любую информацию как самостоятельный объект регулирования. Информация выступает в качестве такового только в том случае, когда является документом. Говоря о страховании информационных рисков, имеют в виду страхование документированной информации, то есть зафиксированной на материальном носителе информации с реквизитами, позволяющими ее идентифицировать.
Доктрина определила создание системы страхования информационных рисков юридических и физических лиц как один из экономических методов обеспечения информационной безопасности Российской Федерации.
Сегодня создана правовая основа, определяющая субъекты, объекты страхования и страховые риски для проведения добровольного страхования информационных ресурсов и систем.
Одной из структур, активно занимающихся разработкой различных нормативных документов по страхованию информационных рисков, является Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ). Данный НИИ с 1996 г. проводит комплекс научно-исследовательских работ по анализу проблемы страхования в отрасли связи и информатизации, исследованию отечественного и зарубежного рынков страхования информационных систем, ресурсов и технологий, разработке правовой, нормативно-методической и организационной базы системы страхования информационных рисков. Проблема создания системы страхования информационных рисков прорабатывается институтом совместно с рядом министерств и ведомств и одобрена Администрацией Президента РФ, МВД России, ФАПСИ, ГТК, ТПП РФ, АРБ и другими заинтересованными государственными органами и организациями. Институт активно участвует в разработке, подготовке и обсуждении различных сторон проблемы страхования информационных рисков. Ниже приведена небольшая хронология мероприятий, в которых активно принимал участие ВНИИПВТИ.
|
|
|
В соответствии с Распоряжением Администрации Президента РФ от 12 июля 1996 г. N А4-6069 ВНИИПВТИ был подготовлен проект указа Президента РФ «О порядке развертывания в Российской Федерации системы страхования информационных рисков», а в 1997 г. на основе полученных замечаний и предложений была подготовлена его вторая редакция.
В ноябре 1997 г. была проведена коллегия Минсвязи России по вопросу «О состоянии разработки и перспективах развития системы страхования информационных рисков». В феврале 1998 г. проведено заседание Государственной комиссии по информатизации при Минсвязи России «О порядке развертывания в Российской Федерации системы страхования информационных рисков». Коллегия и Госкомиссия одобрили работы по созданию и развитию в Российской Федерации системы страхования информационных рисков.
В октябре 2000 г. было проведено заседание Госкомиссии по электросвязи Минсвязи России «О мерах обеспечения информационной безопасности на сетях ВСС России». Решением комиссии предусматривается провести анализ действующих нормативных правовых документов и разработать предложения по созданию механизма компенсации ущерба в отрасли связи.
В 1999 - 2001 гг. между Минсвязи России и страховыми компаниями «Ингосстрах» и «Инфистрах» подписано Соглашение о сотрудничестве в области страхования информационных рисков.
В 2000 г. заключены договоры страхования гражданской ответственности разработчика средств защиты информации «Аккорд» - Особого конструкторского бюро систем автоматизированного проектирования и разработчика программного комплекса «Банк - клиент» - компании «Российские финансовые коммуникации».
В настоящее время в соответствии с решением Госкомиссии по электросвязи проводится научно-исследовательская работа по созданию механизма компенсации ущерба операторам связи в результате реализации угроз информационной безопасности. Также подобные работы разворачиваются в кредитно-финансовой сфере деятельности в рамках Ассоциации российских банков, где создана рабочая группа из представителей коммерческих банков, разработчиков автоматизированных банковских систем, ВНИИПВТИ, страховых компаний.
Правовой основой для проведения указанных работ является Доктрина. В соответствии с Доктриной экономические методы противодействия угрозам информационной безопасности предусматривают создание системы страхования информационных рисков физических и юридических лиц, которая должна обеспечивать компенсацию ущерба в случае реализации угрозы.
В результате были разработаны:
) предложения по правовому обеспечению механизма компенсации ущерба при реализации угроз информационной безопасности на сетях ВСС России;
) технико-экономическое и социальное обоснования эффективности механизма страхования информационных рисков;
) проект концепции страхования информационных рисков в отрасли связи;
) проект положения о порядке страхования информационных рисков на сетях ВСС России;
) проект методики проведения финансового аудита (оценки стоимости) систем и сетей связи;
) проект положения о порядке проведения экспертизы объектов и сетей связи при заключении договора страхования и при наступлении страхового случая;
) проект руководства по анализу, минимизации и страхованию информационных рисков в отрасли связи;
) проект перечня мероприятий по минимизации информационных рисков в информационно-телекоммуникационных сетях и системах, проект отраслевого стандарта ОСТ «Классификация информационных рисков на сетях ВСС России»;
) проект положения о Фонде страховой превенции, комплект организационных документов по аккредитации, Положение по аккредитации страховых компаний;
) Положение по аккредитации экспертных и аудиторских компаний;
) Положение о комиссии по аккредитации страховых и экспертных компаний;
) проект положения о страховании рисков для участников электронного ведения бизнеса;
) схемы взаимодействия участников электронного ведения бизнеса;
) рекомендации операторам связи о порядке и условиях минимизации и страхования информационных рисков;
) технико-экономическое обоснование эффективности страхования информационных рисков;
) проект методики оценки ущерба и суммы страхового возмещения;
) проекты типовых договорных и финансовых документов по взаимодействию участников процесса страхования информационных рисков (операторы связи, эксперты, аудиторы, страховые организации, потребители услуг связи).
Правовая охраноспособность объектов интеллектуальной, промышленной собственности и информационных ресурсов в значительной степени определена. Однако эти объекты являются достаточно многочисленными, характеризуются сложностью, а главное, имеют различия в правовом режиме. Данные обстоятельства существенно затрудняют выработку единого подхода к регулированию отношений с объектами информационного содержания, в том числе на рынке страхования.
Но если правовой режим информационных объектов в той или иной степени определен, то вопрос определения стоимости (по крайней мере, в России) для большинства объектов отработан значительно хуже. Если для объектов промышленного и авторского права в целом хотя бы понятно, как его решать, то для конфиденциальной информации такая методология фактически отсутствует.
Полис страхования информационных активов будет полезен компаниям, желающим защититься от убытков, которые возникают вследствие утраты, уничтожения или повреждения в электронной форме информационных и финансовых активов. Например, случиться это может в результате незаконного списания финансовых средств с электронных счетов предприятия.
Кроме того, финансовое благополучие компании может пострадать от целенаправленных компьютерных атак и всевозможных вирусов. Также опасны поломка оборудования и непреднамеренные ошибки в проектировании, создании, инсталляции, конфигурировании, обслуживании или эксплуатации информационных систем.
Застраховать информацию может, к примеру, ритейловая сеть, занимающаяся продажей продуктов. Ее деятельность, вплоть до малейших нюансов, накапливается и отражается в базе данных, которая может годами аккумулировать информацию. Но если предположить, что из-за злоумышленных действий конкурентов или вирусных атак база «рухнет», то деятельность магазинов сети просто-напросто остановится, поскольку перестанут правильно функционировать считывающие устройства в кассовых аппаратах, будет невозможно оприходовать товар, который находится в стадии доставки от контрагентов поставщикам. В результате компания понесет реальные немалые убытки.
Нужно отметить, что пока в России можно застраховать лишь ту информацию, которая подлежит восстановлению. Так, возвращаясь к примеру с ритейловой сетью, для решения проблемы работникам магазинов придется вручную подсчитать количество товара на складах и занести эти данные в базу. В свою очередь IT-специалисты помогут восстановить программный продукт, который управляет базой данных. Расходы на оплату сверхурочного труда работников сети и привлеченных программистов покроет полис страхования информационных рисков. Также, если предприятие изначально заключило дополнительное соглашение, страховая компания компенсирует ей недополученную прибыль от перерыва в коммерческой деятельности.
Между тем страховой договор не может покрывать убытки, которые возникли в результате разглашения какой-либо конфиденциальной информации. Например, в частных медицинских учреждениях нередко обслуживаются публичные люди, а обнародование истории болезни такого человека может нанести вред его репутации. Как показывает практика, если впоследствии инициируются судебные разбирательства, то нередко суд обязывает выплатить пострадавшей стороне штраф или пени. А они, как известно, не подлежат страхованию.
Как известно, если компания в большой степени зависит от функционирования компьютерных систем, то в случае сбоя ее основная деятельность прекращается и организация несет убытки. Например, для интернет-магазина остановка чревата потерями, связанными с недополученной прибылью. Страхование же перерывов в коммерческой деятельности возместит владельцу ресурса ту сумму, которую он мог бы получить, если бы его бизнес работал в штатном режиме.
Любой объект в сети, будь то корпоративный сайт, информационный портал или интернет-магазин, может стать жертвой развлекающегося хакера, некомпетентного специалиста, обиженного сотрудника или непорядочного конкурента. Статистика говорит о том, что системы безопасности ведущих российских интернет-магазинов подвергаются хакерским атакам ежедневно. Злоумышленники пытаются разместить якобы оплаченный заказ, полностью или частично остановить работу ресурса, модифицировать информацию на сайте. Как правило, такие угрозы методично отражаются программными и аппаратными средствами безопасности, но и киберпреступникам не откажешь в настойчивости и сообразительности, а значит, есть риск, что рано или поздно их попытки нарушить работу сайта могут увенчаться успехом. В результате компании придется спешно восстанавливать свой ресурс, а финансистам - подсчитывать непредвиденные убытки.
Страхование информационных рисков позволяет обезопасить интернет-ресурс от сбоев, хакерских атак и т.п. На практике это выглядит примерно так: страхователь обнаруживает некую проблему, например недоступность своего интернет-ресурса. Затем заказчик заполняет онлайн-форму, в которой описывает возникшую проблему. После получения заявки IT-специалисты выяснят причину неполадки и начнут восстановление информации, а страховая компания - урегулирование страхового случая. Опыт показывает, что на возвращение ресурса в рабочее состояние уходит не более пары часов, максимум - день.
Объектами страхования могут выступать:
. Информационные ресурсы:
информация в любом ее виде: базы данных, библиотеки, архивы в электронной форме на технических носителях любого рода;
программные средства и комплексы, находящиеся в разработке или эксплуатации.
. Финансовые активы:
денежные средства в электронной форме в виде записей на счетах (системы «клиент - банк»);
ценные бумаги в электронном (бездокументарном) виде.
А вот каковы риски, которые могут быть застрахованы:
умышленные противоправные действия сотрудников;
компьютерные атаки;
действие компьютерных вирусов;
хищение денежных средств и ценных бумаг в электронном виде;
сбои (выход из строя) информационных систем.
По мнению А.А. Анисимова объектами страхования могут быть:
• информационные ресурсы (в любом их виде: базы данных, библиотеки электронных документов и т.п.);
• программное обеспечение (как уже используемые программные собственные и покупные продукты, так и находящиеся в разработке);
• аппаратное обеспечение информационных систем (сетевое оборудование, серверы, рабочие станции, телекоммуникационное оборудование, периферия, источники бесперебойного питания и т.п.);
• финансовые активы (денежные средства, бездокументарные ценные бумаги) в электронной форме (в том числе средства на счетах, управляемых при помощи систем «клиент-банк»).
Договор страхования (страховой полис) может предусматривать возмещение прямых убытков в случае наступления различных страховых случаев, таких как:
· выход из строя (сбои в работе) информационных систем, обусловленные недостаточным качеством используемых программных и аппаратных средств, ошибками при их проектировании, разработке, производстве, установке, настройке, обслуживании или эксплуатации;
· умышленные противоправные действия сотрудников предприятия, совершенные с целью нанести ущерб предприятию либо получить определенную выгоду;
· нападения (атаки) на информационные системы предприятия, которые совершены третьими лицами с целью нанести ущерб информационным ресурсам предприятия и его информационным системам (повредить или уничтожить информацию, хранящуюся в электронном виде, получить конфиденциальные сведения, вывести из строя программные и аппаратные средства с целью прекратить или приостановить функционирование определенных сервисов и т.п.);
· воздействия вредоносных программ и макросов (вирусов, червей и т.п.), повлекшие нарушения работы информационных систем, потерю информации или разглашение конфиденциальной информации;
· хищение финансовых активов (денежных средств, бездокументарных ценных бумаг), совершенное путем осуществления различных неправомерных действий: кражи паролей и ключей, присвоения личности, внесения изменений в программное обеспечение и т.п.
В дополнение к основным рискам, непосредственно связанным с информационными активами, также могут быть застрахованы:
· убытки от приостановки основной хозяйственной деятельности предприятия в результате нарушения работы информационных систем;
· дополнительные расходы, связанные с поддержанием текущей хозяйственной деятельности в период восстановления работы поврежденных информационных систем;
· дополнительные расходы, связанные со срочным восстановлением работы информационных систем, а также срочным восстановлением основной хозяйственной деятельности предприятия;
· дополнительные расходы на восстановление деловой репутации после того, как ей был нанесен ущерб в результате атаки на информационные ресурсы и информационные системы (Public Relations Coverage).
Сегодня существуют достаточно надежные способы технической защиты. Однако 100-процентную гарантию безрисковой деятельности в сфере IT они дают не всегда. Страхование информационных рисков может послужить дополнительной гарантией бесперебойной работы компании и минимизировать потери в IT-секторе.
Законодательство не содержит понятия информационные потоки, однако само по себе оно является универсальным понятием для многих отраслей науки.
Потоки информации в организациях можно классифицировать как вертикальные и горизонтальные. Вертикальные потоки информации обычно связаны с отчетностью. Горизонтальные потоки существуют в равной мере внутри отдела или между отделами и не связаны с передачей информации вверх или вниз по служебной лестнице.
Между данными потоками существует значительное различие и это нечто большее, чем просто их направление.
Для горизонтальных потоков характерно совместное использование информации. В этих потоках может отсутствовать какое-либо преднамеренное изменение информации, хотя передача информации может быть и неполной. Может оказаться так, что лишь часть данных потоков используется в работе по установленным правилам. Остальная часть этих потоков может циркулировать свободно и использоваться при неформальных отношениях между сотрудниками, но в интересах дела (некоторые утверждают, что эта часть потоков информации способствует улучшению результатов деятельности организации).
Информация, содержащаяся в вертикальных потоках, изменяется при ее движении вверх или вниз по формальным организационным структурам. При прохождении вверх информация суммируется, обобщается. При движении вниз передается лишь ограниченная часть информации, которая считается необходимой.
Последнее замечание характеризует синдром, определяемый как «информация есть власть». Отдельная личность рассматривает обладание информацией как источник для получения персональных преимуществ. Сокрытие информации от конкурентов или ее специальное распространение, когда вам это выгодно, является распространенным явлением организационной жизни.
Разрушение существовавшей в СССР системы информационного обеспечения привело к существенному снижению качества и объемов общедоступных информационных ресурсов.
Большинство пользователей связывают этот процесс, в основном, с резким повышением стоимости информации, что существенно ограничило для большинства специалистов доступ к информационным ресурсам.
Остальные факторы, как правило, выпадают из анализа. Это обусловлено широко распространенным и «общепринятым» мнением, что на основании анализа открытых источников можно получить 80-90 процентов информации, необходимой для принятия решений.
Данное мнение обычно преподносится в качестве безапелляционных утверждений типа: как и в области военного шпионажа, 95% промышленной информации может быть получено путем простого чтения прессы.
По самым грубым расчетам 80 процентов разведывательной информации добывается в результате изучении обычных, всем доступных источников-книг, газет, журналов.
Попытка выявить «первооткрывателя» этой «общеизвестной» истины привела к источникам, относящимся к началу нашего века. Следовательно, те, кто придерживается этого тезиса при обосновании приемов вскрытия и анализа реальной информационной ситуации в большинстве областей науки, техники, производства и управления, должны сначала доказать, что в распространении информации за последние почти сто лет не произошло никаких изменений. Но такой ответственности никто на себя не берет.
Более того, большинство исследований реальных информационных потоков свидетельствует об иных тенденциях.
Более 80% сведений, заключенных в патентных документах, впоследствии не публикуются в каких-либо информационных источниках. Это при условии, что ряд патентных ведомств владеет огромными массивами патентной информации, размеры которых достигают 20-30 млн. документов с ретроспективой до 50 лет, а по некоторым странам - до 100 лет.
Ознакомление с исследованиями о доступности информационных ресурсов, позволяет утверждать, что реальные возможности доступа к информации более правильно оценивать следующим образом:
Анализ открытых источников позволяет выявить порядка 60-70 процентов информации, относящейся к общетеоретическим и общетехническим вопросам и составляющей исходную базу при решении научных, технических и производственных проблем. Условно назовем этот уровень «базовым». Базовый уровень позволяет иметь представление лишь о том, какие задачи и на какой общетехнической базе могут решаться, но не позволяет ответить на вопрос: как будет решена та или иная конкретная проблема. Эта информация относится к знаниям, обеспечивающим необходимый «средний» уровень подготовки кадров любой квалификации, но не раскрывает наиболее важных и перспективных разработок, методов и приемов работы, особенностей технологий и т.п. Базовый уровень нашего знания наиболее полно обеспечен открытым потоком публикаций.
Процессы, происходящие в стране после августа 1991 г., еще сильнее обострили ситуацию информационного обеспечения. Ибо в результате развала всей инфраструктуры информационных ресурсов произошло катастрофическое снижение возможности доступа ко всем видам информации и засорение информационных потоков информацией малой надежности и достоверности.
В 1991-1992 гг. фактически прекратилось комплектование зарубежной научно-технической литературой, вызванное прекращением валютного финансирования крупнейших (бывших союзных) центров научно-технической информации.
Кроме этого, принципиально изменился состав организационных единиц, создающих все виды информационных ресурсов в стране.
С высокой степенью вероятности можно предполагать, что в ближайшее время количество и качество информации в открытых потоках будет только снижаться. Тем более что на государственном уровне не осуществляется действенных мер по защите и сохранению информационных ресурсов страны.
Утверждение о существенной неполноте открытых потоков информации свидетельствует лишь о том, что наиболее важная информация недоступна большинству потенциальных пользователей. Более важным является то, что в открытом потоке велик процент информации, не позволяющей принимать эффективные информационные решения.
Засорение информационных потоков недостоверными, непроверенными данными значительно усложняет работу по использованию опубликованных документов.
Выявление недостоверной и устаревшей информации, циркулирующей в документах, становится одной из важнейших задач, так как публикуемые в документах данные, в ряде случаев, позволяют подтвердить и обосновать «даже противоречивые решения и научные гипотезы, построить теоретические модели, дающие противоположные результаты».
Из приведенного выше перечня объектов страхования информационных рисков, мы видим, что информационный поток в них не включается.
А. Макаренцев, представляя схему процесса выявления уязвимостей системы указывает информационные потоки клиента как предмет анализа. Информационные потоки могут содержать в себе интеллектуальную собственность, финансовую информацию и стратегию компании.
То есть, анализ информационных потоков организации необходим для того, чтобы оценить уровни и объемы рисков, которым информация клиента может подвергаться. Для этого проводят информационный аудит, который может проводиться как до момента заключения договора страхования, так и в последующем, если изменяются потоки информации и соответственно меняются риски.
Информационный аудит позволяет оценить эффективность информационной системы, риски ее использования и выбрать направления для ее совершенствования. Развитие информационных систем приносит организации выгоды. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. Риски, на снижение которых направлен информационный аудит, включают риски информационной безопасности и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.
К настоящему времени крупнейшими мировыми компаниями, оказывающими услуги по страхованию информационных рисков, являются:
· Британская страховая компания «Lloyds of London»;
· американская компания «AIG»;
· Zurich North America («The E-Risk Edge solution»);
· страховая группа «Chubb»;
· страховая компания «Marsh».
В России одной из первых компаний, начавших предоставлять услуги такого рода, стал «Ингосстрах». В 1999 году было подписано «Соглашение о сотрудничестве в области страхования информационных ресурсов» между Министерством РФ по связи и информатизации, с одной стороны, и страховыми компаниями «Ингосстрах» и «Инфистрах» - с другой. Начиная с 2000 года некоторые российские страховые компании получили лицензии на осуществление такой деятельности, однако в целом этот рынок в России остается неразвитым. Деятельность страховых компаний, как правило, ориентирована на страхование банковских рисков и крупных объектов (таких как «Российская торговая система», РТС или система межбанковского процессингового центра электронного документооборота Faktura.Ru), при этом некоторые сегменты этого рынка практически не развиваются.
|
|
|
