СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ

- Несанкционированные действия со стороны собственных сотрудников компании.

- Сбои систем по причине ошибок при их проектировании, разработке, создании, установке, настройке и эксплуатации. В данное событие очень четко вписываются различные ошибки персонала (в т.ч. и непреднамеренные), которые сводят на нет все мероприятия по защите корпоративных ресурсов.

- Страховым случаем также является временное прекращение деятельности вследствие любого из вышеперечисленных страховых случаев.

Процедура страхования информационных рисков

Страхование реализуется в виде последовательного выполнения 5 обязательных шагов:

- переговоры, определяющие условия страхования

- разработка и согласование предложений по страхованию

- проведение экспертизы страхователя

- выполнение рекомендаций, полученных в результате экспертизы

- подписание договора о страховании.

Прежде чем страховая компания примет на себя риски страхователя, она должна убедиться, что сеть страхуемой компании не является дырявым решетом, и первая же атака не приведет к наступлению страхового случая. Другими словами, непременным условием страхования информационных рисков является проведение специальной экспертизы по анализу рисков страхового объекта. Эта экспертиза, по-русски звучащая также как и по-английски - "сюрвей" (от английского "survey" - "осмотр"), проводится экспертами в области информационной безопасности, которые и выносят свой вердикт об уровне защищенности страхуемой компании.

Особенность этой экспертизы в том, что совершается она независимыми специалистами, неработающими ни в страхуемой, ни в страховой компании. Считается, что это позволит страховой компании получить более точную картину о страхователе, а последнему - оценить свою систему защиты с точки зрения независимого незаинтересованного эксперта. Надо помнить, что привлечение российских экспертов обходится в несколько раз дешевле их западных собратьев, предпочитающих почасовую оплату труда. Половина стоимости такого сюрвея компенсируется страховой компании при заключении соответствующего договора страхования.

 

СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ

Однако предстраховая экспертиза не является гарантией заключения договора. Дело в том, что по результатам проведенного анализа может потребоваться реализация дополнительных технических и организационных защитных мер, снижающих риски нанесения ущерба корпоративным ресурсам. Не все компании могут пойти на дополнительные затраты, а без них договор страхования заключаться не будет, т.к. вероятность наступления страхового случая становится слишком высокой. Как говорит начальник управления информатизации "Промышленно-страховой компании" И.В. Парафейников: "Мы готовы страховать такие риски, но в этом случае страхователю предъявляются требования провести ряд организационно-технических мероприятий для сокращения нашего риска, а это, естественно, резко повышает цену вопроса, поэтому многие компании считают, что страховать информационные риски себе дороже".

Как только наступает страховой случай, страховая компания выезжает на место и проводит оценку нанесенного ущерба, после чего наступает момент выплаты страхового возмещения. Однако выплаты производятся не единовременно, а в течение срока действия страхового полиса (как правило, 1 год).

СТОИМОСТЬ СТРАХОВАНИЯ

Какова цена вопроса? Это, пожалуй, самый трудный вопрос, на который нет точного ответа. Стоимость этой услуги рассчитывается индивидуально для каждого клиента, но обычно не превышает 5% от установленного в полисе страхования лимита ответственности страховой компании. В качестве параметров, влияющих на ставку страхования, используются:

- Стоимость застрахованных ресурсов. Чем она выше, тем ниже ставка страхования. Например, компания Lloyd определяет страховой взнос в 20000 долларов (т.е. 5%) при стоимости информации в 1 миллион долларов и 75000 долларов (т.е. 0,75%) при возрастании стоимости информации до 10 миллионов долларов.

- Используемые средства защиты. Чем известнее система защиты, тем ниже ставка страхования.

- Статистика атак для аналогичных компаний отрасли.

Самое сложное - это определить лимит ответственности, т.е. ту сумму, которую будет обязана выплатить страховая компания в результате наступления страхового случая. В свою очередь, эта сумма делится на 2 составляющих:

- стоимость информационных ресурсов

- размер убытков от прекращения деятельности в результате наступления страхового случая.

Необходимо добавить, что многие страховые компании устанавливают нижнюю границу страховой суммы, ниже которой она опускаться не может. Например, у Ингосстраха эта сумма равна 50000 долларов США, у западных компаний эта планка значительно выше, что связано с увеличением накладных расходов на проведение различных страховых мероприятий. Верхняя граница возмещаемого ущерба никем не ограничивается, хотя существует негласная граница (например, на Западе она равна 100 миллионам долларов), превышение которой требует более тесного контакта со страховой компанией и четкой проработки всех юридических и технических моментов. В среднем же, лимит ответственности на западном рынке страхования информационных рисков составляет от ста тысяч до 5 миллионов долларов. Для России эта цифра пока не определена ввиду отсутствия необходимой статистики.

 

СТОИМОСТЬ СТРАХОВАНИЯ

Страховые компании, как правило, работают в тесном контакте с производителями средств защиты информации.

В России подобные услуги предлагают ИНГОССТРАХ, СОГЛАСИЕ.

Отметим, что страхование риска является одним из наиболее распространенных способов управления рисками (если нельзя принять и уменьшить – страхуют).