Развитие системы корпоративного риск - менеджмента предусматривает активное участие подразделений и сотрудников Компании в процессе выявления и оценки рисков, постоянное расширение области исследования и совершенствование методов оценки потенциальных опасностей, систематическое использование информации о рисках при принятии управленческих решений на всех уровнях управления Компании

    4. Программа страхования рисков

      С каждым годом увеличивается  число российских компаний, имеющих  свою корпоративную сеть. В результате  руководители все чаще сталкиваются  с проблемой сохранения как  корпоративных, так и личных  конфиденциальных данных.

    О важности защиты информации, содержащейся в электронных устройствах, говорит хотя бы тот факт, что известный компьютерный вирус I Love You повредил около 70 млн. компьютеров по всему миру, нанеся ущерб более чем в 10 млрд. долл. В настоящее время насчитывается от 30 до 50 тыс. всевозможных вирусов, и их количество постоянно растет1.

      Ведущие мировые страховые компании  уже начали активно развивать  это направление. Одна из наиболее  известных программ в данной  области — Net Secure, предлагаемая страховым брокером Marsh Inc. Полис предусматривает возмещение потерь, вызванных сбоями в работе сети и недос-тупностью сайта страхователя; максимальное страховое покрытие составляет 200 млн. долл.

      Существует и полис Lloyd’s, по условиям которого страхователь, установивший средства информационной безопасности от разработчика, заранее оговоренного со страховой компанией (в настоящее время это Counterpane Security Inc.), получает страховые гарантии по возмещению ущерба, причиненного атаками хакеров. При страховом взносе в 20 тыс. долл. страхователь в течение года может рассчитывать на страховое возмещение в размере до 1 млн. долл., а при взносе в 75 тыс. долл. — до 10 млн. долл.

      По мнению экспертов, механическая  и программная защита информации и баз данных имеет определенный верхний предел, обусловленный свойствами установленного оборудования и спецификой применяемых технологий. Поэтому естественным дополнением к техническим способам защиты могут стать программы страхования «информационных рисков».

    В российской практике появилось несколько  страховых продуктов, аналогичных западным образцам. Один из них построен в соответствии с западной программой Computer Crime и защищает от электронных и компьютерных преступлений. Страховой продукт, аналог Net Secure, обеспечивает возмещение ущерба в случае несанкционированного доступа к содержимому сайта и кражи данных, гибели электронного оборудования, внесения вирусов, нелояльности персонала, нарушения конфиденциальности данных.

      Наиболее развитый сегмент этого  рынка — страхование от электронных  и компьютерных преступлений, которое  предусматривает возмещение убытков, понесенных вследствие:

      несанкционированного ввода данных  или их изменения; 

      введения в компьютерную систему  мошеннически подготовленных или  модифицированных команд;

      повреждения, уничтожения или  перехвата информации;

      блокирования доступа к данным  и к Web-сайту; 

      воздействия компьютерных вирусов.

    Объектом  страхования в данном случае являются имущест-венные интересы, связанные с владением, пользованием и распоряжением информацией, находящейся на электронных носителях.

      В российской практике данный  страховой продукт наиболее часто  выступает как сопутствующий в пакете комплексного страхования банков (ВВВ), хотя появляются и аналогичные продукты, рассчитанные на иные организации. Отличительная особенность этого вида страхования— возможность застраховать риски только самого страхователя и только в его пользу, т.е. в страховании от компьютерных и электронных преступлений неприменимы понятия «застрахованное лицо» и «выгодоприобретатель».

      Компания «Ингосстрах» предлагает специальную программу страхования информационных рисков, рассчитанную на широкий круг предприятий, активно использующих в своей деятельности информационные технологии для обработки, хранения и передачи информации. Здесь в качестве объекта страхования выступают информационные ресурсы (базы данных, библиотеки, архивы в электронном виде на технических носителях, программные средства и комплексы) и финансовые активы (денежные средства в виде электронных записей на счетах, ценные бумаги в электронном виде). При этом в подходах к определению страховой суммы часто могут возникать разногласия. Например, для баз с бухгалтерской информацией за основу берется восстановительная стоимость базы данных, т.е. сумма предполагаемых затрат по воссозданию бухгалтерских документов с привлечением аудиторской фирмы.

      Если возникли проблемы с «электронными  продажами», то речь идет о  методе определения страховой  суммы, применяемом при страховании  от перерывов в производстве. При этом необходимо особенно внимательно подойти к выбору страховщика и к анализу предлагаемой программы страхования. В обычной практике страхования от перерывов в производстве страховым случаем признается перерыв длительностью не менее 2-х рабочих дней. Однако для электронной коммерции такой срок уже критичен. Следовательно, при страховании от перерывов в деятельности компаний онлайновой торговли следует признавать страховым случаем перерыв уже в 1–2 ч. Кроме того, страховая компания в целях заинтересованного участия страхователя в управлении рисками скорее всего в обязательном порядке установит безусловную франшизу.

    Непременное условие заключения договора страхования  от электронных и компьютерных преступлений  — изучение страховщиком системы  информационной безопасности клиента.

      У многих потенциальных страхователей  в связи с этим возникают  опасения относительно возможного разглашения страховщиком сведений, ставших ему известными в ходе проверки и составляющих коммерческую тайну. Хотя со стороны страховщика это нарушение закона — никто не отменял ст.946 ГК РФ «Тайна страхования». Высказываются и опасения в отношении случайного и непреднамеренного разглашения страховщиком сведений при работе с конкурентами страхователя, а также происков промышленных шпионов.

    Исследование  информационных систем — достаточно сложная процедура, требующая специализированных знаний и навыков. Но для многих российских страховых компаний держать в штате работников, компетентных в области IT-решений и способных грамотно оценить риски, слишком дорого. Поэтому в большинстве случаев при проведении предстраховой экспертизы прибегают к услугам независимой структуры — сюрвейера, который в силу своей специализации заинтересован в наиболее полном анализе того типа рисков, которые предполагается покрыть страховыми гарантиями.

    Надежность  сюрвеера для страхователя обеспечивается тем, что в случае разглашения данных сюрвеер за один день может лишиться столь ценного актива как аккредитация и доверие крупнейших страховых и перестраховочных обществ. Кроме того, использование услуг сюрвейера помогает решить объективный конфликт интересов страховщика и страхователя: первый желает за большие деньги принять минимум риска, второй — передать максимум риска за небольшие деньги.

    По  результатам заключения сюрвейера  страховщик рекомендует ряд превентивных мероприятий, направленных на совершенствование системы информационной безопасности потенциального страхователя. В этом заинтересованы обе стороны страхового договора.

    Известен  случай, когда страховалась информация, при этом страховая выплата определялась стоимостью восстановления утраченного  информационного массива, но не могла превысить заранее оговоренную страховую сумму. Однако превентивные мероприятия договором страхования предусмотрены не были. В результате неблагоприятных событий информация оказалась полностью утрачена. При этом стоимость ее полного восстановления в несколько раз превысила страховую сумму, которая была выплачена страхователю. Если бы еще на стадии заключения договора страхования клиенту предложили внедрить систему резервного копирования, ущерб оказался бы значительно меньше. В итоге проиграли обе стороны: страхователю пришлось самостоятельно компенсировать разницу между реальным ущербом и выплаченной страховой суммой, а страховщик мог бы расстаться с меньшими деньгами.

    Страховая компания вправе потребовать проведения превентивных мероприятий до заключения договора или в течение определенного срока, указанного в нем. Невыполнение клиентом каких-либо указаний обычно влечет за собой досрочное прекращение действия договора. Например, предприятиям электронной коммерции могут быть предложены следующие средства защиты: резервное копирование информации, использование антивирусных программ, технологий шифрования (в т. ч. кодирования) данных, систем аутентификации (введение электронной цифровой подписи для проверки авторства и подлинности документа), межсетевых экранов (брандмауэров); фильтрация трафика, поступающего в сеть или на сервер, и т.д.