Информационное страхование
Понятие и сущность информационного страхования
Информационное страхование в настоящее время является популярной темой не только в России, но и во всем мире. Ежедневно многие компании теряют огромные суммы денег из-за преступлений в области информационных технологий, поэтому страхование играет очень важную роль в обеспечении экономической безопасности предприятий.
Для обеспечения защиты от информационных рисков компания может выбрать один из следующих вариантов: совершенствование системы защиты информации, имеющейся в компании, формирование специальных фондов денежных средств с целью минимизации последствий нанесенного ущерба (самострахование) или страхование.
При этом в первом случае компания не сможет уменьшить размер возможных убытков в случае реализации риска, а только частично снизит вероятность его наступления. В случае самострахования все убытки компании придется возмещать за свой счет. Поэтому наиболее выгодным для организаций является страхование информационных рисков, при котором убытки будут компенсированы не только за счет пострадавшей компании, но и за счет других страхователей.
Информационное страхование или страхование информационных рисков – это отношения, возникающие между страхователем и страховой компанией по защите от вероятных событий в информационной сфере, которые могут повлечь за собой удаление или искажение имеющейся информации, нарушение ее конфиденциальности или доступности.
Объектом информационного страхования может выступать:
- установленное или находящееся в разработке программное обеспечение (разработанное самой компанией или приобретенное);
- электронные данные (базы данных, различные библиотеки, архивы, электронная документация и т.д.);
- аппаратное обеспечение (сетевое оборудование, серверы, оборудование для телекоммуникаций и т.д.);
- финансовые активы в электронной форме (денежные средства, ценные бумаги, в том числе средства на счетах, управляемых через интернет-банк).
Условно все информационные риски можно разделить на две группы. К первой группе относится возмещение ущерба страхователя вследствие наступления страхового случая. Ко второй группе относится страхование ответственности организаций, которые занимаются деятельностью и оказывают услуги в сфере информационных технологий (поставщики ПО, интернет-провайдеры, программисты и т.д.).
Страховые случаи в информационном страховании
Страховыми случаями при страховании информационных рисков могут быть:
- выход из строя или сбои в работе информационных систем по причине ошибок, допущенных при их проектировании, разработке, внедрении или эксплуатации (в том числе ошибок пользователей данных систем);
- действия сотрудников организации, которые умышленно причинили вред с целью получения определенной выгоды (чаще всего финансовой) или нанесения ущерба самой организации;
- совершение компьютерных атак на информационные системы предприятия с целью повреждения, хищения, уничтожения хранящейся в электронном виде информации, получения секретных (конфиденциальных) сведений, а также попытки вывода из строя программных и аппаратных средств;
- действия вредоносных программ (вирусов, троянский коней, червей и т.д.), которые являются самыми распространенными информационными угрозами, способными нанести предприятию огромные убытки;
- хищение денежных средств или ценных бумаг, хранящихся в электронной форме, третьими лицами (злоумышленниками), которое может осуществляться разными способами: кражей паролей или ключей доступа, изменением кода используемого программного обеспечения, отправкой фальшивого финансового поручения и т.п.
Отдельные страховые компании страхуют от таких рисков, как убытки, понесенные страхователем из-за неполадок в работе информационных систем, а также возместить дополнительные расходы, которые могут быть связаны с поддержанием стабильности деятельности предприятия во время проведения восстановительных работ, оплатой этих работ по восстановлению работоспособности системы и расходов, связанных с восстановлением деловой репутации, пострадавшей в результате наступления страхового события.
К убыткам, которые несет страхователь в результате вынужденного приостановления своей деятельности, можно отнести упущенную выгоду вследствие длительной неработоспособности информационных систем, а также расходы, идущие на поддержание инфраструктуры организации в этот период.
Страховые компании не возмещают убытки, которые возникли по причине неработоспособности программного обеспечения, не прошедшего тестирование или не пригодного для осуществления текущей деятельности страхователем.
Основными параметрами, влияющими на размер страховой премии, являются стоимость застрахованных ресурсов, используемые на предприятии средства информационной защиты, а также статистика по данным видам рисков.
Процесс информационного страхования
Процесс страхования информационных рисков состоит из следующих основных этапов:
- Осуществление предварительного обследования организации и оценки возможных рисков для информационных систем и ресурсов.
- Выполнение организацией рекомендаций по уменьшению вероятности реализации страховых рисков, полученных от страховой компании.
- Согласование сторонами условий страхования и подписание договора.
- При наступлении страхового события проведение оценки ущерба и расчет размера страхового возмещения.
- Осуществление выплаты страхового возмещения.
Первый этап имеет много общего с проведением внешней аудиторской проверки и может осуществляться специализированными компаниями. По итогам данной проверки страховой компании выдается заключение о текущем состоянии информационной безопасности в организации, а также рекомендации по повышению уровня защиты информационных систем и снижению вероятности возникновения рисков.
После обследования страхования компания принимает решение о возможности заключения страхового договора с предприятием.
Если предприятие отказывается проводить мероприятия по снижению рисков, что связано с дополнительными расходами, то страховая компания отказывает в заключении договора, т.к. вероятность наступления страхового случая остается высокой.
Если предприятие согласилось на принятие защитных мер, то после выполнения рекомендаций по уменьшению рисков страховщик определяет одно из наиболее важных условий договора – стоимость страхования, на которую могут влиять различные факторы. Основными из них являются анализ данных статистики по схожим предприятиям, уровень защиты информационных систем, размер страховой суммы.
Если при реализации страхового риска информационные ресурсы подверглись полному уничтожению, то страховая компания производит выплату страхового возмещения в полном объеме (в пределах страховой суммы). Если же имело место частичное повреждение, то страховщику предстоит провести оценку утраченных ресурсов и определить размер ущерба. В данном случае возможно привлечение независимых экспертов.
Перед осуществлением страховой выплаты страховая компания должна будет проверить, что страхователем были приняты все меры безопасности по сохранению информационных ресурсов. Чаще всего выплаты производятся не единовременным платежом, а делятся на части и выплачиваются в течение срока действия договора.
