Створення системи інформаційної безпеки компанії на основі програмних і технічних засобів економічно недоцільно. У зв'язку з цим актуальним є використання механізму страхування.
Активний розвиток ринку інформаційного страхування повинно забезпечити розподіл наслідків від настання інформаційних ризиків серед максимально великої кількості компаній. З огляду на те, що розмір збитків від настання інформаційних ризиків може виявитися досить істотним і в окремих випадках навіть стати причиною банкрутства, яке в подальшому може призвести до падіння фінансових показників цілого ряду компаній, інформаційне страхування в даному випадку може виступити в якості інструменту, що підтримує стабільність ринку .
Зупинимося детальніше на питанні про те, як застосування інформаційного страхування може підвищити ефективність роботи АСУ компанії. Припустимо, що компанія при нормальній роботі має дохід I e i при цьому з імовірністю р можна сказати, що втрати компанії в разі нанесення шкоди збереженої у неї інформації складуть
де I e 0 - дохід компанії в разі нанесення шкоди її інформаційній системі.
Збитки компанії можуть бути наступні:
· Прямі збитки від інформаційних ризиків;
· Збитки, пов'язані з відновленням інформації;
· Збитки, пов'язані з перервами у виробництві;
· Збитки, пов'язані з втратою клієнтів;
· Збитки, пов'язані з відповідальністю перед третіми особами.
Захист, що надається за полісом страхування інформаційних ризиків може, за бажанням клієнта, поширюватися на одну з груп, а також на всі групи.
Позначимо через s розмір страхового відшкодування, яке буде виплачено страховою компанією в разі настання страхового випадку, при цьому вартість страхового захисту становить у доларів за 1 долар покриття. У разі настання страхового випадку (яке може статися з ймовірністю р) корисність страхування інформаційних ризиків буде відповідати доходу компанії в разі відсутності збитків, пов'язаних із заподіянням шкоди інформації, що зберігається за вирахуванням витрат на покупку поліса, плюс розмір відшкодування, отриманого за умовами страхування:
При беззбиткове проходження поліса (ймовірність цього складає 1-p) корисність буде визначатися на основі доходу компанії за відсутності збитків мінус витрати, пов'язані з оплатою страхової премії:
Таким чином, при покупці поліса страхування вдається максимізувати очікувану корисність для обох випадків - як при настанні страхового випадку, так і при беззбиткове проходження поліса:
s = аrg mах ЕU = РU (I e 1 - L e - уs + s) + (1 - р) U (I e 1 - ys)
Компанія може вибрати один з трьох шляхів захисту від інформаційних ризиків:
· Розвиток класичних засобів захисту інформації;
· Створення спеціальних резервів (самострахування);
Як самострахування, так і страхування виконують функцію з мінімізації наслідків настання збитку, пов'язаного з заподіянням шкоди інформації. Основна різниця між ними полягає в тому, що в разі страхування збиток буде розподілятися між цілою групою страхувальників, а в разі створення спеціальних резервів (самострахування) відшкодування відбуватиметься цілком з власних коштів. Вкладення ж грошей в класичні засоби захисту інформації - спроба зменшити не розмір, а ймовірність - настання збитків.
Страхування інформаційних ризиків в нашій країні здійснюється низкою компаній. Слід відзначити той факт, що страхування інформаційних ризиків ще багато в чому служить не для забезпечення захисту від інформаційних ризиків, а для підкреслення іміджу Страхувальника.
Розглянемо методику страхування інформаційних ризиків Ингосстраха. До розрахункових показників відносяться:
q - очікувана кількість договорів страхування;
Sc - середня страхова сума за одним договором страхування;
Sb - середня сума страхового відшкодування за одним договором страхування;
Р - ймовірність настання страхової події по виду інформаційного ризику (цих видів передбачено 6).
Страховий тариф (Тс) визначається як сума:
де NС - основна частина нетто-ставки;
RN - ризикова надбавка;
Ng - навантаження. В основі розрахунку тарифних ставок лежить показник збитковості (величина виплат на 100 руб. Страхової суми), а сам розрахунок тарифних ставок зроблений на підставі передбачуваних обсягів страхових операцій.
А - втрата, знищення або пошкодження застрахованих інформаційних активів внаслідок ненавмисних помилок в проектуванні, розробці, створенні, інсталяції, конфігурації, обслуговуванні або експлуатації інформаційних систем;
В - втрата, знищення або пошкодження застрахованих інформаційних активів внаслідок комп'ютерних атак, скоєних проти страхувальника;
З - втрата, знищення або пошкодження застрахованих інформаційних активів в результаті дій комп'ютерних вірусів;
D - неправомірне списання фінансових активів в електронній формі з рахунків страхувальника в результаті введення шахрайських електронних команд в інформаційну систему страхувальника або в результаті несанкціонованої модифікації комп'ютерного коду страхувальника, або передачі фальсифікованого електронного доручення, нібито виходить від імені страхувальника, в банк або депозитарій страхувальника, що стали наслідком несанкціонованого доступу до інформаційної системи страхувальника з боку третіх осіб, які не мають на це відповідними чих повноважень;
Е - втрата, знищення або пошкодження застрахованих інформаційних активів або фінансових активів в електронній формі в результаті умисних протиправних дій співробітника Страхувальника, скоєних самостійно або в змові для вилучення незаконної особистої фінансової вигоди або нанесення Страхувальнику збитків;
F - збитки від тимчасового припинення підприємницької діяльності внаслідок настання подій.
Як відомо, основна частина нетто-ставки (NС) відповідає середнім виплатам страховика, що залежать від ймовірності настання страхового випадку, середньої страхової суми та середнього відшкодування розраховується за формулою
Нетто-ставка (собівартість страхової послуги) призначена для створення страхового фонду, що забезпечує еквівалентність взаємовідносин між страховиком і страхувальником, а також фінансову стійкість страхової компанії.
Принцип еквівалентності полягає в наступному: страхувальник повинен заплатити страховику стільки, скільки в середньому на нього очікується виробити виплат, але, приймаючи на себе ризик страхувальника, страховик крім середніх очікуваних втрат повинен стягувати деяку плату "за ризик" - деяким чином компенсує можливість флуктуації виплат.
Іншим розрахунковим показником є ризикова надбавка. Вона вводиться для того, щоб врахувати ймовірні відхилення кількості страхових випадків щодо їх середнього значення. Можливі два варіанти розрахунку ризикової надбавки:
• для кожного ризику (страхового випадку) окремо;
• по декільком видам ризиків (по всьому або частини страхового портфеля)
Для розрахунку ризикової надбавки (RN), що враховує ймовірність перевищення суми виплат по перспективному портфелю над її середніми значеннями. Ингосстрах використовує перший спосіб. В умовах подальшої активізації практики страхування інформаційних ризиків, підвищенні його привабливості для страхувальників, особливо при страхуванні окремих видів і проявів ризиків, очевидно, що ризикова надбавка може розраховуватися по всьому страховому полю, що дозволить зменшити її розмір. Методикою Ингосстраха передбачено розрахунок ще двох показників:
• сукупної нетто-ставки (SN);
З огляду на прийняті позначення, формула розрахунку сукупної нетто-ставки приймає такий вигляд:
Формула для розрахунку брутто-ставки (ВС), традиційно включає сукупну нетто-ставку (SN) і навантаження (Ng), певну Ингосстрахом на рівні 30%, являє собою відношення:
Результати розрахунку тарифних ставок свідчать про те, що найбільш реальними (отже, з більш високими тарифними ставками) у страхувальників вважаються інформаційні ризики, що виникли внаслідок спрямованих проти нього комп'ютерних атак, умисних протиправних дій співробітників страхувальника, а також збитків від тимчасового припинення підприємницької діяльності.
Здійснивши розрахунок результуючої, тарифної ставки по страхуванню інформаційних систем, Ингосстрах визначив тарифну ставку в розмірі 1,04 (руб.) З 100 руб. страхової суми і зафіксував діапазон істотного коливання ставки страхової премії за конкретним договором страхування за рахунок застосування підвищувальних (від 1,0 до 5,0) і знижують (від 0,2 до 1,0) коефіцієнтів.
З огляду на практично повну відсутність досвіду роботи з інформаційними ризиками, страхові компанії часто встановлюють тарифи, які в дійсності не відображають реальну ймовірність настання страхового випадку, пов'язаного з нанесення шкоди інформації. Страхування інформаційних ризиків здійснюється в якості додаткового бонусу до основного полісу страхування, що покриває, наприклад, скажімо ризики заподіяння шкоди майну компанії.
Тим часом варто зауважити, що, з огляду на темпи розвитку інтересу страхування інформаційних ризиків за кордоном, можна впевнено сказати, що і в нашій країні ставлення до даного виду страхування буде змінюватися і в досить незабаром комплексна система інформаційної безпеки компаній буде дійсно комплексної і буде на додаток до всіх інших включати ще й економічні методи захисту інформації, зокрема механізм страхування.
1. Методи забезпечення інформаційної безпеки Російської Федерації?
2. Правові методи забезпечення інформаційної безпеки Російської Федерації?
3. Організаційно - технічні методи забезпечення інформаційної безпеки Російської Федерації?
4. Економічні методи забезпечення інформаційної безпеки Російської Федерації?
5. Основні заходи щодо забезпечення інформаційної безпеки Російської Федерації в сфері економіки?
6. Найбільш важливі об'єкти забезпечення інформаційної безпеки Російської Федерації в галузі науки і техніки?
7. Обмеження доступу як метод забезпечення інформації безпеки?
8. Біометричні методи аутентифікації людини?
9. Статистика застосування біометричних технологій?
10. Відбитки пальців як біометрична характеристика ідентифікації людини?
11. Очі як біометрична характеристика ідентифікації людини
12. Особа як біометрична характеристика ідентифікації людини
13. Долоня як біометрична характеристика ідентифікації людини.
14. Динамічні характеристики як біометрична характеристика ідентифікації людини?
15. Класифікація систем тривожної сигналізації?
16. Контроль доступу до апаратури як метод забезпечення інформаційної безпеки?
17. Розмежування та контроль доступу до інформації як метод забезпечення інформаційної безпеки?
18. Надання привілеїв на доступ як метод забезпечення інформаційної безпеки?
19. Ідентифікація та встановлення автентичності об'єкта (суб'єкта)?
20. Об'єкти ідентифікації та встановлення автентичності в АСУ?
21. Ідентифікація та встановлення автентичності особистості?
22. Ідентифікація та встановлення автентичності технічних засобів?
23. Ідентифікація та встановлення автентичності документів?
24. Ідентифікація та встановлення автентичності інформації на засобах її відображення і друку?
25. Захист інформації від витоку за рахунок побічного електромагнітного випромінювання і наведень?
26. Методи і засоби захисту інформації від побічного електромагнітного випромінювання і наведень інформації?
27. Методи і засоби захисту інформації від випадкових впливів
28. Методи захисту інформації від аварійних ситуацій?