VIII Международная научно-практическая конференция «Социально-экономические реформы в контексте интеграционного выбора Украины» (29-30 ноября 2012 г.)

Замулянець К.В.

Уманський державний педагогічний університет імені Павла Тичини, Україна

СТРАХУВАННЯ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

Сучасна цивілізація виробляє величезну кількість цифрової інформації, зростання якої пов’язане зі збільшенням залежності від інтернет-сервісів , розповсюдженням смартфонів з відеокамерами, зростаючими вимогами корпоративних інформаційних систем.

Бурхливі темпи створення нових інформаційно-комунікаційних технологій, зростання обсягів цифрової інформації і підвищення її значимості несуть у собі ризики, потенційно створюють передумови для витоку, розкрадання, втрати, спотворення, підробки, знищення, копіювання і блокування інформації і, як наслідок, ведуть до заподіяння шкоди.

Проблеми ризиків інформаційної безпеки ( РІБ ) і знаходження шляхів зниження шкоди стають з кожним роком все актуальніше. Однак не всі власники і користувачі інформаційних ресурсів можуть самостійно забезпечити надійний захист інформації та гарантоване покриття ризиків. Зазначимо, що заходи щодо забезпечення інформаційної безпеки поділяються на два напрямки: організаційні та технічні. Баланс цих двох складових визначається критеріями ефективності, рівнем розвитку відповідних технологій і є в цілому предметом задачі оптимізації. Очевидно, що в міру поглиблення технічного прогресу частка організаційних заходів повинна не просто скорочуватися, а певним чином видозмінюватися, отримуючи нові напрями розвитку. Основними недоліками організаційних заходів є їх епізодичний, обмежений тимчасовими і територіальними рамками характер, низька швидкодія і істотна роль суб'єктивного фактора. На заповнення саме цих недоліків у першу чергу повинні бути націлені перспективні технічні методи захисту інформації.

Також частково вирішити проблеми ризиків інформаційної безпеки можливо шляхом створення дієвого страхового захисту – системи страхування ризиків інформаційної безпеки, яка є важливим і перспективним інструментом управління РІБ організації, економічно вигідним методом компенсації збитку власникам інформаційних активів. Страхування ризиків інформаційної безпеки – практично неосвоєна сфера українського страхового ринку, оскільки відсутні нормативно-правова, методична база та комплексні ґрунтовні дослідження цих питань.

Під ризиком інформаційної безпеки розуміють імовірність того, що дана загроза буде експлуатувати вразливість активу або групи активів і тим самим завдасть шкоду організації.

Страхування ризиків інформаційної безпеки зводиться не тільки до страхування інформації. Страхуються взагалі ризики, пов'язані з інформаційними активами і ризики втрати фінансових активів, і ризики зупинки комерційної діяльності, і ризики, пов'язані з виникненням цивільної відповідальності. Це дозволяє розглядати проблему в комплексі.

Створення та розвиток ринку страхування в інформаційній сфері, нормативно-методичної бази та проведення заходів, спрямованих на впровадження в державах-учасниках СНД системи страхування інформаційних ризиків було передбачено ще в 1999 році, яка на жаль, до цього часу не реалізована.

Використовуючи механізм страхування, загальний ризик зменшується в результаті двох чинників: – витрати на страхування нижче витрат на побудову системи захисту, у випадку, коли існує велика кількість загроз, імовірність реалізації яких невисока; – організація отримує можливість за рахунок страхових виплат компенсувати (хоча б частково) збиток від вимушеного простою і втрати інформаційних активів.

Можливою є модель страхування ризику інформаційної безпеки, яка повинна діяти за аналогією з традиційними принципами та методами страхування. На нашу думку, умовна модель страхування РІБ могла б мати вигляд, зображений у табл. 1.

Таблиця 1. Модель страхування ризиків інформаційної безпеки страхувальника та страховика

Страхувальник

Страховик

Ініціювання страхування на вибір

Узгодження умов страхування

Передстрахова експертиза – сюрвей

Андерайтинг

Укладання договору страхування (перестрахування)

Настання страхового випадку

Повідомлення страховика про настання страхового випадку

Алгоритм дій страховика

Заходи щодо запобігання збиткам, завданих настанням страхового випадку, їх зменшення

Оцінка заданих збитків та складання страхового акту

Збір, підготовка та систематизація доказів, підтверджуючих факт настання страхового випадку і завдання збитків, а також витрат з метою їх зменшення

Здійснення страхової виплати

Реалізація регресивних прав

Припинення договору страхування

Створення та впровадження моделі, механізму, системи страхування ризиків інформаційної безпеки може захистити організації, що використовують високі інформаційні технології, від втрат і збитків, що виникають у результаті збоїв технічних і програмних компонентів інформаційних систем, розкрадання і модифікації інформації, несанкціонованого доступу до інформаційних ресурсів та ін., а також грати попереджувальну і мотиваційну роль.

На даний момент в Україні гостро відчувається потреба в науковому узагальнені чинних норм національного і міжнародного права, здобутків правової думки у цій галузі з метою створення та впровадження у діючу практику загальнодержавної системи страхування ризиків інформаційної безпеки, чіткого визначення методів та механізмів страхування ризиків інформаційної безпеки. Для цього слід провести комплекс науково-дослідних робіт з аналізу проблем страхування інформаційних ризиків, класифікувати їх і виділити основні; дослідити ринок послуг в галузі страхування; розробити теоретичну, нормативну та методичну бази системи страхування ризиків інформаційної безпеки.