Замулянець К.В.
Уманський державний педагогічний університет імені Павла Тичини, Україна
СТРАХУВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Сучасна цивілізація виробляє величезну кількість цифрової інформації, зростання якої пов’язане зі збільшенням залежності від інтернет-сервісів , розповсюдженням смартфонів з відеокамерами, зростаючими вимогами корпоративних інформаційних систем.
Бурхливі темпи створення нових інформаційно-комунікаційних технологій, зростання обсягів цифрової інформації і підвищення її значимості несуть у собі ризики, потенційно створюють передумови для витоку, розкрадання, втрати, спотворення, підробки, знищення, копіювання і блокування інформації і, як наслідок, ведуть до заподіяння шкоди.
Проблеми ризиків інформаційної безпеки ( РІБ ) і знаходження шляхів зниження шкоди стають з кожним роком все актуальніше. Однак не всі власники і користувачі інформаційних ресурсів можуть самостійно забезпечити надійний захист інформації та гарантоване покриття ризиків. Зазначимо, що заходи щодо забезпечення інформаційної безпеки поділяються на два напрямки: організаційні та технічні. Баланс цих двох складових визначається критеріями ефективності, рівнем розвитку відповідних технологій і є в цілому предметом задачі оптимізації. Очевидно, що в міру поглиблення технічного прогресу частка організаційних заходів повинна не просто скорочуватися, а певним чином видозмінюватися, отримуючи нові напрями розвитку. Основними недоліками організаційних заходів є їх епізодичний, обмежений тимчасовими і територіальними рамками характер, низька швидкодія і істотна роль суб'єктивного фактора. На заповнення саме цих недоліків у першу чергу повинні бути націлені перспективні технічні методи захисту інформації.
Також частково вирішити проблеми ризиків інформаційної безпеки можливо шляхом створення дієвого страхового захисту – системи страхування ризиків інформаційної безпеки, яка є важливим і перспективним інструментом управління РІБ організації, економічно вигідним методом компенсації збитку власникам інформаційних активів. Страхування ризиків інформаційної безпеки – практично неосвоєна сфера українського страхового ринку, оскільки відсутні нормативно-правова, методична база та комплексні ґрунтовні дослідження цих питань.
Під ризиком інформаційної безпеки розуміють імовірність того, що дана загроза буде експлуатувати вразливість активу або групи активів і тим самим завдасть шкоду організації.
Страхування ризиків інформаційної безпеки зводиться не тільки до страхування інформації. Страхуються взагалі ризики, пов'язані з інформаційними активами і ризики втрати фінансових активів, і ризики зупинки комерційної діяльності, і ризики, пов'язані з виникненням цивільної відповідальності. Це дозволяє розглядати проблему в комплексі.
Створення та розвиток ринку страхування в інформаційній сфері, нормативно-методичної бази та проведення заходів, спрямованих на впровадження в державах-учасниках СНД системи страхування інформаційних ризиків було передбачено ще в 1999 році, яка на жаль, до цього часу не реалізована.
Використовуючи механізм страхування, загальний ризик зменшується в результаті двох чинників: – витрати на страхування нижче витрат на побудову системи захисту, у випадку, коли існує велика кількість загроз, імовірність реалізації яких невисока; – організація отримує можливість за рахунок страхових виплат компенсувати (хоча б частково) збиток від вимушеного простою і втрати інформаційних активів.
Можливою є модель страхування ризику інформаційної безпеки, яка повинна діяти за аналогією з традиційними принципами та методами страхування. На нашу думку, умовна модель страхування РІБ могла б мати вигляд, зображений у табл. 1.
Таблиця 1. Модель страхування ризиків інформаційної безпеки страхувальника та страховика
|
Страхувальник |
Страховик |
|
Ініціювання страхування на вибір |
|
|
Узгодження умов страхування |
|
|
Передстрахова експертиза – сюрвей |
|
|
Андерайтинг |
|
|
Укладання договору страхування (перестрахування) |
|
|
Настання страхового випадку |
|
|
Повідомлення страховика про настання страхового випадку |
Алгоритм дій страховика |
|
Заходи щодо запобігання збиткам, завданих настанням страхового випадку, їх зменшення |
Оцінка заданих збитків та складання страхового акту |
|
Збір, підготовка та систематизація доказів, підтверджуючих факт настання страхового випадку і завдання збитків, а також витрат з метою їх зменшення |
Здійснення страхової виплати |
|
Реалізація регресивних прав |
|
|
Припинення договору страхування |
|
Створення та впровадження моделі, механізму, системи страхування ризиків інформаційної безпеки може захистити організації, що використовують високі інформаційні технології, від втрат і збитків, що виникають у результаті збоїв технічних і програмних компонентів інформаційних систем, розкрадання і модифікації інформації, несанкціонованого доступу до інформаційних ресурсів та ін., а також грати попереджувальну і мотиваційну роль.
На даний момент в Україні гостро відчувається потреба в науковому узагальнені чинних норм національного і міжнародного права, здобутків правової думки у цій галузі з метою створення та впровадження у діючу практику загальнодержавної системи страхування ризиків інформаційної безпеки, чіткого визначення методів та механізмів страхування ризиків інформаційної безпеки. Для цього слід провести комплекс науково-дослідних робіт з аналізу проблем страхування інформаційних ризиків, класифікувати їх і виділити основні; дослідити ринок послуг в галузі страхування; розробити теоретичну, нормативну та методичну бази системи страхування ризиків інформаційної безпеки.