Страница 1 из 1

Барьеры страхованию информационных рисков в РФ

СообщениеДобавлено: Вт 09 май, 2017 14:45
Alex Rail
Точка зрения связиста: о барьерах, затрудняющих внедрение системы страхования информационных рисков на объектах КИИ и промышленных предприятиях РФ, включая реализацию мероприятий по защите ИТ-объектов, адекватных киберугрозам 2017 -2021 годов.


В соответствие с международной практикой, в коммерческий пакет ИБ - услуг, как правило, входят услуги страхования информационных рисков Заказчика. Это позволяет создать, на рыночных принципах, замкнутый цикл всех работ по защите информационной сферы объекта Заказчика, с финансовой ответственностью действующих сторон и контролем/мониторингом всех процессов обеспечения ИБ на основе статусных НМД и Законов.

Такой подход используется в промышленно развитых странах (США, ЕС), но в России «нельзя исключать» барьеры на подобном пути. Можно допустить, что это связано, прежде всего, со следующими обстоятельствами:

• построением, в период 1993-2017 годы, практически всех цифровых проводных и беспроводных сетей ССОП РФ (и IP сетей) на зарубежном оборудовании и ПП, в которых «не исключены» аппаратные и программные закладки (НДВ);

• различными источниками кибератак на промышленные предприятия и объекты КИИ в сегодняшней России и странах Запада: атаки хакеров, террористов и кибервойск (технических разведок) или только атаки хакеров и террористов. И, соответственно, разными уязвимостями, моделями и каналами атак;

• возможным несоответствием базовых документов СБ РФ и ФСТЭК киберугрозам России 2017 – 2021 годов и, соответственно, необходимость выполнения комплекса дополнительных работ по ИБ (см. статью Ускорение создания АПК ИБ для КВО адекватных вызовам 2017 г. ) ;

• возможной «нестыковкой» НМД для аттестации объектов информатизации по требованиям безопасности информации, НМД для аудита информационной безопасности ИТ-объектов, с организационно-техническими мерами, следующими из Приказа ФСТЭК №31 от 14.03.2014: первые два документа определяют меры по защите от кибервойск и ТР, а третий – только от хакеров и террористов;

• отсутствием юридической ответственности и финансовой заинтересованности собственников предприятий и объектов КИИ РФ в обеспечении ИБ, адекватной киберугрозам 2017 – 2021 годов (как часто утверждают чиновники, достаточно получить сертификат);

• отсутствием ФЗ и нормативных актов, позволяющим вводить затраты на обеспечение ИБ предприятий Заказчика в себестоимость продукции.

Можно ожидать, что только после устранения описанных «проблем», в РФ будут созданы законодательная и нормативно-методическая база, и рыночная среда, инициирующие востребованность услуг по страхованию информационных рисков ИТ-объектов Заказчика (см. Приложение 1).

Поскольку устранение вышеописанных «проблем», в соответствие с мировой практикой, предлагается проводить на рыночных принципах, то и для снижения рисков, повышения качества и сокращения сроков конкретных работ по защите ИТ-объектов Заказчика, целесообразно их организовывать и выполнять строго на коммерческих принципах. При таком подходе, типовой комплекс работ по подготовке к выводу на российский рынок услуг ИБ с страхованием информационных рисков, на примере ПАО Ростелеком, приведен в Приложении 2.

Материал является авторским, подготовлен профессионалами связи и маркетологами МВА, ссылка обязательна.

С уважением,
Alex Rail

9 мая 2017


ПРИЛОЖЕНИЕ 1

Система страхования информационных рисков в России.

Система страхования информационных рисков предусматривает компенсацию ущерба, в случае реализации угрозы информационной безопасности. Среди страховых компаний, выразивших заинтересованность в предоставлении услуг такого страхования в РФ, можно выделить «Промышленно-страховую компанию», «Ингосстрах», «РОСНО», «Лидер», «Информстрах».

Страхование информационных рисков сегодня предусмотрено национальными стандартами РФ, например: национальным стандартом по защите информации и обеспечению безопасности сетей электросвязи ГОСТ Р 52448-2005 установлено, что система обеспечения безопасности (СОБ) сетей электросвязи сети связи общего пользования является элементом системы информационной безопасности Российской Федерации. Деятельность Органов СОБ сети электросвязи, в частности, подразумевает «выполнение мероприятий по анализу информационных рисков, созданию системы управления рисками и страхования информационных рисков».

С целью развертывания системы страхования информационных рисков в РФ к настоящему времени разработан ряд базовых документов (проектов):

• «Концепция страхования информационных рисков»,
• «Правила страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан»,
• «Методика управления информационными рисками»,
• «Методика оценки стоимости информационных систем, ресурсов, программных и технических средств вычислительной техники как объектов страхования»,
• «Положение и инструкция о проведении экспертизы информационных систем, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая».

Как правило, каждая страховая компания, осуществляющая страхование информационных рисков, использует собственную методику, определяющую объекты страхования и порядок оценки их рисков. В соответствии с существующей практикой, в качестве объектов страхования рассматриваются:

• информационные активы: электронные данные (архивы, базы данных и др.) и программное обеспечение (компьютерные программы и системы);
• финансовые активы (денежные средства на счетах в банках);
• технические средства (компьютерное, телекоммуникационное и другое оборудование для хранения, обработки и передачи информации);
• профессиональная ответственность.

Страховыми рисками указанных объектов страхования, как правило, считаются:

• для информационных активов – утрата, уничтожение или повреждение застрахованных информационных активов вследствие: непреднамеренных ошибок в проектировании, разработке, создании, инсталляции, конфигурировании, обслуживании или эксплуатации информационных систем; совершенных компьютерных атак (до настоящего времени не указаны источники-модели-каналы атак, что не позволяет выработать адекватный комплекс защитных мер), действий компьютерных вирусов, а также умышленных противоправных действий клиента.

• для финансовых активов – утрата вследствие их неправомерного списания со счетов в результате ввода мошеннических команд в информационные системы, несанкционированной модификации программ, использование поддельного электронного платежного поручения, несанкционированного доступа к информационной системе клиента не уполномоченных на это лиц, а также умышленных противоправных действий клиента.

• для технических средств – их повреждение вследствие пожара, удара молнии, взрыва газа, стихийных бедствий, аварий инженерных коммуникаций, системы электроснабжения (не рассмотрено возможное блокирование технических средств вследствие кибератак технических разведок, например, атак, через линейные входы оборудования линейного тракта ( ВОЛС или РРЛ), на сети управления магистральных и городских сетей SDH/DSL ПАО РТК, которые охватывают около 6000 КВО РФ и тысячи промышленных режимных предприятий РФ), а также кража, умышленное уничтожение или повреждение, ошибки в эксплуатации, изготовлении или монтаже.

• для профессиональной ответственности – непреднамеренная профессиональная ошибка при исполнении должностных обязанностей, непреднамеренное разглашение конфиденциальных сведений и коммерческой тайны, которые стали известны в связи с исполнением должностных обязанностей, в том числе и после увольнения.

Компания, желающая застраховать информационные риски, перед заключением договора страхования должна пройти аттестацию объекта информатизации и аудит информационной безопасности). В результате обследования информационной системы и оценки ее защищенности аудитор формулирует рекомендации по устранению угроз информационной безопасности, регламентации процессов информационных технологий и организационных мероприятий, при условии выполнения которых оплата страхового покрытия обойдется клиенту дешевле, поскольку выполнение рекомендаций уменьшает риски возникновения страхового случая.



ПРИЛОЖЕНИЕ 2

Типовой комплекс работ по подготовке к выводу на российский рынок услуг ИБ со страхованием информационных рисков, на примере ПАО Ростелеком (не включает работы «по приведению в соответствие» базовых документов по ИБ РФ).

Примерный состав работ может включать:

• разработку Концепции предоставления ИБ-услуг на базе инфраструктуры федерального оператора связи (с учетом синергии одновременной работы компании на рынках гос. предприятий (КВО), предприятий СМБ и домашних пользователей), примерный объем рынка (300 +200) млн. долл./год;

• организацию и выполнение работ по созданию законодательной и нормативной базы для реализации концепции ИБ-услуг со страхованием информационных рисков, включая оператора связи, страховые компании, отрасли промышленности РФ, Минкомсвязи, ФСБ, ФСТЭК;

• организацию кооперации: банк – федеральный оператор связи - производители АПК ИБ - КВО РФ и предприятия СМБ - страховые компании - надзорные органы, обеспечивающей полный цикл работ на основе бизнес-механизмов и финансовых методов контроля;

• организацию и выполнение на магистральных и городских сетях SDH, DSL оператора связи комплекса работ для защиты сетей TMN от кибератак силами и средствами ТР;

• разработку Стратегии оператора связи на рынке ИБ-услуг со страхованием информационных рисков на трех сегментах рынка РФ: КВО и гос. предприятия РФ (более 15 тыс.) - частные компании СМБ (десятки тысяч) - домашние пользователи (более 30 млн.);

• выполнение инвестиционного планирования по всем проектам ИБ-услуг компании на полный жизненный цикл продуктов, составление консолидированного бизнес-плана с учетом требований института PMI (США);

• организация финансирования работ по выводу ИБ-услуг на рынок (собственные средства компании или банковский кредит), создание новой бизнес-единицы (НБЕ), разработка миссии, стратегии развития, маркетинговой и конкурентной стратегии, и стратегий ценообразования и продаж;

• разработка организационной структуры НБЕ, KPI и схемы взаимодействия подразделений; разработка миссии и определение корпоративных ценностей и основных положений корпоративной культуры, разработка должностных требований к TOPам и специалистам, разработка редакции опросных листов для HR – менеджеров при фильтрации кандидатов (в соответствие со стандартами управления компанией);

• выполнение финансового и календарного планирования работ по ИБ-проектам, разработка планов нормативного, технологического, метрологического и маркетингового обеспечения работ,

• выполнение комплекса работ по разработке и продвижению на конкурентный рынок ИБ-услуг (продуктов),

• вывод на рынок уникальных пакетов ИБ – услуг, включающих: аттестацию объектов информатизации Заказчика; аудит ИТ-сетей Заказчика на требования ИБ; финансовую оценку информационных рисков Заказчика, на основе инструментальных методов контроля; выполнение комплексной оценки уровня безопасности ИТ-сети Заказчика и выполнение организационно-технических работ по снижению информационных рисков до заданного уровня; подключение Заказчика к ИБ-услугам оператора связи, адекватным заданным требованиям, на договорной основе; страхование информационных рисков Заказчика после выполнения работ по защите объекта Заказчика, разработка регламента ежегодных поверок.

• создание службы поддержки клиентов, гарантийного и послегарантийного обслуживания:

• для КВО РФ и гос. предприятий с регламентом выполнения ремонтных работ,
• для предприятий СМБ,
• для домашних пользователей.