Страхование информационных рисков тема диссертации по экономике, полный текст автореферата
- Ученая степень
- кандидата экономических наук
- Автор
- Косарев, Александр Васильевич
- Место защиты
- Москва
- Год
- 2004
- Шифр ВАК РФ
- 08.00.10
Диссертация: содержание автор диссертационного исследования: кандидата экономических наук, Косарев, Александр Васильевич
Введение
Глава 1. Особенности страхования в сфере информационной деятельности
1.1. Страховой рынок и его особенности
1.2. Информационные риски и их проявление
1.3. Страхование как механизм защиты от информационных рисков
Глава 2. Современная практика страхования информационных рисков
2.1. Анализ страхового поля сферы информационной деятельности
2.2. Имущественное страхование в системе страхования информационных рисков
2.3. Страхование ответственности в информационной сфере деятельности
Глава 3. Совершенствование страхования информационных рисков в сфере бизнеса
3.1. Организационные принципы страхования информационных рисков
3.2. Нормативно-методическая база организации страхования информационных рисков
Диссертация: введение по экономике, на тему "Страхование информационных рисков"
Рыночным отношениям присущи различного рода риски, а, следовательно, возросла роль страховых организаций в поддержании устойчивой деятельности предприятий малого, среднего и крупного бизнеса. Страхование призвано снижать рисковую сторону их хозяйственной деятельности. В нынешних условиях развивающейся информатизации страховые компании, помимо традиционных видов услуг (страхование жизни, страхование от несчастных случаев и болезней, медицинское страхование, страхование средств транспорта и грузов, страхование имущества и др.), стали развивать новый для российских условий вид страхования - страхование информационных рисков. В значительной степени это связано с тем, что резко усиливается процесс внедрения компьютерных и телекоммуникационных средств в управленческие процессы самых различных сфер деятельности хозяйствования. Стремительно меняется состав технической базы обработки информации, программные продукты, технологии использования информационных компонентов. Помимо автономного использования компьютерных средств все активнее внедряются сетевые технологии на базе персональных ПК, серверного оборудования, а также универсальных ЭВМ, системы сетевой обработки данных с применением Интернет - технологий. Лишь за 2002 г. обороты электронной коммерции через Интернет выросли более чем на 70%, с 354 до 615 млрд. долл., а число пользователей Интернет достигло почти 498 млн. человек во всем мире [113].
Широкий информационный обмен нередко сопровождается развитием компьютерных злоупотреблений и преступлений, а создаваемое в рамках субъектов хозяйствования (банки, биржи, финансовые и консалтинговые организации и др.) информационное пространство не является полностью защищенным от внутренних и внешних посягательств.
Одним из факторов устойчивого развития бизнеса является наличие, владение и эффективное использование информационных ресурсов. Рыночная конкуренция вносит в нынешнюю информационную деятельность особенности, которых не было в период централизованной экономики. На смену закрытым обособленным информационным системам идут глобальные, открытые системы. При этом недоработки аппаратного, программного, организационного, технологического и других видов обеспечения предоставляют несанкционированный доступ различных категорий пользователей к информации, находящейся в разных системах.
Особенно опасным в последние 10-15 лет становится нарастающий процесс несанкционированного вторжения посторонних лиц в информационные ресурсы хозяйствующих субъектов и частных лиц, нередко приводящий к серьезным потрясениям, как в коммерческой деятельности, так и в частной жизни. К таким действиям относятся: ознакомление с информацией конкурирующих субъектов, ее изменение, подмена, тиражирование, компьютерная вирусология, преднамеренные действия по искажению информационных баз данных. По данным аудиторской фирмы "Эрнст энд Янг", две трети российских фирм в 2001 г. столкнулись с нарушениями в сфере компьютерной безопасности. Ежегодные потери, связанные с компьютерными преступлениями, оцениваются сотнями миллионов долларов [116].
Учитывая стратегическую важность информационной безопасности, Указом президента РФ от 9 сентября 2000 г. утверждена Доктрина информационной безопасности Российской Федерации. В числе многих важных проблем в ней содержится пункт и о необходимости создания системы страхования информационных рисков физических и юридических лиц [3].
В соответствии с этой Доктриной при Ассоциации российских банков создана Рабочая группа организации страхования информационных рисков в кредитно-финансовой деятельности. Цель создания группы - разработка условий по обеспечению компенсации ущерба, причиненного коммерческим банкам и организациям-разработчикам автоматизированных банковских систем в результате отказов и сбоев программного обеспечения, отказов технических средств, несанкционированных действий лиц, внедрения программ-вирусов, умышленных и неумышленных действий обслуживающего персонала^ 20].
К сожалению, надо признать, что обеспечение защиты конфиденциальной информации, не составляющей государственную тайну, не поставлено на достаточно высокий уровень, а сегодня сведения именно такого рода составляют значительную долю информации, циркулирующей в информационно-коммуникационных системах коммерческих организаций.
Создаваемые своими силами или силами специализированных организаций информационные системы такого типа не являются идеально защищенными от возможных посягательств, атак и т.д., растет интенсивность вирусных компьютерных инцидентов. В частности, в 2002 г. в мире было зафиксировано 12 крупных и 34 менее значительных вирусных эпидемий. Урон, нанесенный мировому сообществу компьютерными вирусами в 2002 г., оценивался в 14,5 млрд. долларов, превысив показатель 2001 г. на 10%.[47]. В январе 2004 г. вирус Novarg заразил более 500 тыс. компьютеров, в том числе почти 300 тыс. в России, нанеся существенный урон информационным системам. Компания SCO Group пообещала выплатить 250 тыс. долл. за любую информацию, которая поможет найти разработчика вируса [136].
В настоящее время информация становится важным стратегическим товаром, утрата которого может привести к существенным экономическим потерям для хозяйствующих субъектов. У руководителей многих организаций и предприятий к настоящему времени сложилось четкое понимание, что необходимо минимизировать риски и получать гарантии компенсации понесенных потерь, причиненных утратой информации.
Одним из источников компенсации понесенных убытков становится действенная система страховой защиты, предоставляемая страховыми организациями. Приходится констатировать, что в отечественной практике сфера страхования информационной деятельности развивается крайне медленно и освоена в сравнительно небольших размерах. Поэтому не случайно, что секцией по информационной безопасности Научного совета при Совете Безопасности Российской Федерации в числе приоритетных проблем научных исследований в области информационной безопасности РФ включена тема "Разработка моделей и механизмов страхования информационных рисков".
На Западе начало страхования информационных рисков относится к концу 90-х годов прошлого столетия. В теоретическом плане эта проблема решалась в работах зарубежных специалистов - Bland D., Dorfrnan М., Rejda G. и др. [27,109,110]. Практический же опыт был представлен лишь методическими материалами таких зарубежных страховых компаний и страховых брокеров как AIG, Aon, АХА, CHUBB, Hiscox, Marsh и некоторых других. За относительно небольшой период этот вид страхования приобрел там большую популярность. К страхованию информационных рисков, прежде всего, стали прибегать крупные финансово-банковские и промышленные компании, холдинги, обладающие не только мощными информационными ресурсами и современными компьютерными и телекоммуникационными системами преобразования данных, но и достаточными финансовыми ресурсами.
В 1994 г. Федеральной службой России по надзору за страховой деятельностью утверждена новая редакция "Условий лицензирования страховой деятельности на территории Российской Федерации"[14], действующая и по настоящее время. Она включает три вида личного страхования, шесть - имущественного и шесть видов страхования ответственности. Однако, вид "страхование информационных рисков" этим документом не предусмотрен.
Учитывая значимость проблемы информационной безопасности и роль страхования информационных рисков как механизма обеспечения устойчивого развития экономики хозяйствующих субъектов, в ряде стран СНГ предприняты попытки разработки соответствующих документов на государственном уровне, например, закон Украины "О страховании", проект закона Кыргызстана "О страховании информационных рисков"[40] и др.
В России практический опыт страхования информационных рисков находится в начальной стадии. Из 1436 зарегистрированных на 01.10.2003 в Государственном реестре Минфина России страховых компаний [42] лишь незначительная часть (например, Ингосстрах, Военно-страховая компания, РОСНО, Согласие, Северная казна и др.) предприняли попытки освоить этот вид страхования. Не имея лицензионного права на страхование информационных рисков, страховые компании получают лицензии на право его осуществления по разделам " страхование других видов имущества" и "страхование иных видов гражданской ответственности".
Принимая во внимание рост объемов экономической информации, множество создаваемых и используемых программных продуктов, повышение значимости информации как специфичного ресурса в современных рыночных условиях, а также наблюдаемое увеличение экономических потерь хозяйствующих субъектов вследствие компьютерных преступлений, у многих руководителей организаций финансово-банковской и иной экономической сферы меняется отношение к страхованию информационных рисков.
С другой стороны, страховые организации с позиции методического обеспечения еще не готовы предложить свои услуги в этом направлении широкому кругу потенциальных страхователей. В числе основных причин: отсутствие четкой классификации информационных угроз и их экономических последствий; отсутствие нормативных материалов по анализу организаций с позиций их информационной защищенности; сокрытие статистики компьютерных преступлений; отсутствие научно-обоснованной и подтвержденной практикой математико-экономической методологии анализа рисковых видов страхования в информационной сфере; недостаточная подготовка специалистов страховых компаний в области анализа и решения проблем информационной безопасности.
Можно утверждать, что страхование в области информационной технологии и, более узко, страхование информационных рисков является новой, относительно самостоятельной областью страхования с присущими ей следующими отличительными чертами: наличие разнообразного спектра объектов, подвергающихся информационным угрозам, и многообразие путей возникновения информационных угроз; множественность видов проявления последствий информационных угроз; индивидуальность и уникальность оценки каждого риска; затруднительный характер получения достоверных оценок возможных рисков в силу уникальности информационных технологий, аппаратно-программных средств, специфики защитных мероприятий.
Рыночные отношения между хозяйствующими субъектами, усилившиеся в начале 90-х годов прошлого столетия, способствовали возрастанию доли страхования транспорта, грузов, объектов недвижимости, жизни, авиационного, выезжающих за рубеж и т.д. Именно эти направления стали объектами научного исследования и обобщения в работах российских теоретиков и практиков: Архипова А.П., Гвозденко А.А., Гомелли В.Б., Еремина Б.А., Ка-галовской Э.Т., Лукина А.В., Орланюк-Малицкой Л.А., Рябикина В.И., Федоровой Т.А., Цыганова А.А., Шахова В.В., Юлдашева Р.Т. и др.
Наряду с общими теоретическими вопросами страхования в работах названных ученых и специалистов в той или иной степени затронуты проблемы применения математических методов для оценки рисков в условиях рыночной конъюнктуры, но проблемы страхования информационных рисков не анализировались.
В последние годы на семинарах, конференциях и в периодической печати предметом рассмотрения стали отдельные стороны страхования информационных рисков, но они, в основном, затрагивают возможность предоставления такой страховой защиты государственным структурах. Некоторые аспекты этой проблемы подверглись анализу в диссертациях Очередько В.П.[69], Кудрявцева О.А.[63] и др. Работы, посвященные комплексному исследованию страхования информационных рисков в сфере бизнес-процессов в России, практически отсутствуют.
Необходимость безотлагательного решения перечисленных вопросов определили выбор темы, цель и задачи настоящего диссертационного исследования.
Цель и задачи исследования. Целью диссертации является разработка теоретико-прикладного аппарата страхования информационных рисков. Эта цель исследования определила необходимость решения следующих задач:
1. рассмотреть возможность реализации в современных условиях нового вида страхования - страхования информационных рисков;
2. проанализировать существующие подходы к определению информационных рисков и на этой основе конкретизировать понятие, сущность и особенности информационных рисков;
3. рассмотреть состояние страхования информационных рисков ведущими страховыми компаниями Российской Федерации;
4. исследовать источники возникновения информационных рисков и возможные механизмы защиты информационных ресурсов, и с позиций страхования разработать классификацию информационных рисков;
5. разработать механизм страховой защиты сферы информационной деятельности от различных видов компьютерных злоупотреблений;
6. разработать методические подходы к организации и проведению страхования информационных рисков;
7. разработать рекомендации по совершенствованию нормативно-методической базы страхования информационных рисков.
Объект и предмет исследования. Объектом исследования является современный страховой рынок в сфере информационной деятельности. Предметом исследования является страхование информационных рисков.
Теоретический и методологический аппарат исследования. Теоретической основой диссертационной работы являются основные положения экономической теории, теории информационных систем, труды отечественных и зарубежных авторов по теории страхования и проблемам темы диссертации. При решении конкретных задач использовались общенаучные методы исследования: логического и системного анализа и оценки событий, аналогии, сравнения и обобщения, элементы математической статистики, методы экспертных оценок.
В качестве информационной базы исследования рассмотрены законы, положения, действующие нормативные и методические материалы по организации процессов страхования и организации информационной безопасности в органах власти и хозяйствующих субъектов коммерческой деятельности, научно-практические разработки ведущих страховых компаний России (Ингосстрах, РОСНО, ВСК, Согласие и др.), и специализированных организаций по обеспечению информационной безопасности (компании Компью-Линк, НИП "Информзащита", ВНИИ вычислительной техники и информатизации и др.).
В процессе исследования автором изучены и проанализированы работы отечественных и зарубежных ученых в области теории и практики страхования в исследуемой предметной области, а также материалы семинаров, совещаний, конференций, официальные публикации в журналах и на сайтах сети Интернет по проблеме компьютерных преступлений и страхования информационных рисков.
Работа выполнена в соответствии с пунктом 6.5 "Формирование теоретических и методологических основ новых видов страховых продуктов и систем социальной поддержки и защиты населения страны" Паспорта специальности "Финансы, денежное обращение и кредит".
Научная новизна работы заключается в разработке концепции страхования информационных рисков, базирующейся на современной зарубежной и отечественной методологии теории и практики страхования. Работа содержит следующие элементы научной новизны:
1. определены основные характеристики информационных рисков, выявлены их особенности с позиций страхования, предложена классификация информационных рисков;
2. выявлены причины низкого уровня развития рынка страхования информационных рисков в России;
3. с учетом особенностей информационных рисков предложена авторская трактовка "страхового поля" для данного вида страхования и выработаны рекомендации по отбору состава его участников;
4. выявлен состав объектов имущественного страхования и определены виды страхования ответственности при страховании рисков участников сферы информационной деятельности;
5. разработана методика предстраховой экспертизы как часть андеррайтерской политики, учитывающая специфику страхования информационных рисков;
6. разработаны информационная модель расчета стоимости страховых услуг по страхованию информационных рисков и механизм ее реализации.
Практическая значимость работы. Содержащиеся в работе выводы и рекомендации ориентированы на широкое внедрение страховыми организациями страхования информационных рисков. Данный вид страхования способен защитить предприятия и организации, использующие высокие информационные технологии, от потерь и убытков, возникающих в результате сбоев технических и программных компонентов информационных систем, хищения и модификации информации, несанкционированного доступа к информационным ресурсам и проч.
Разработанная методика предстраховой экспертизы как часть андеррайтинга рисков с позиций информационной уязвимости информационных систем, состав базовых показателей алгоритмов расчета ущерба от информационных угроз, предложенная унифицированная форма страхового полиса (договора) по страхованию информационных рисков могут быть использованы страховыми компаниями России при подготовке нормативно-методических материалов, регламентирующих процессы заключения договоров страхования информационных рисков.
Апробация и внедрение результатов исследования. Публикации.
Работа выполнена в рамках НИР Финансовой академии при Правительстве Российской Федерации в соответствии с темой "Проблемы формирования отечественного страхового рынка" (№ государственной регистрации 01.200.118574).
Разработанная методика при составлении программы страховой защиты по страхованию информационных рисков, а также регламент рассмотрения и урегулирования претензий по страхованию информационных рисков внедрены, в деятельность страховой компании "Ингосстрах" и получили положительное заключение.
Результаты исследования доложены на научно-методических конференциях, проходивших в Финансовой академии в 2000-2002 гг.[59, 60], используются кафедрой "Страховое дело" Финансовой академии при Правительстве Российской Федерации в преподавании дисциплин "Теория страхования" и "Страховое дело".
Публикации. Основные результаты исследований отражены в 5 публикациях автора общим объемом 1,7 печатных листа, раскрывающих основное содержание и выводы по направлению исследования.
Структура диссертации определена целью и задачами, которые поставлены в работе. Диссертация состоит из введения, трех глав, заключения, списка литературы и приложений.
Диссертация: заключение по теме "Финансы, денежное обращение и кредит", Косарев, Александр Васильевич
Результаты работы экспертной группы могут быть представлены в виде, удобном для восприятия и выработки решений по коррекции существующей системы защиты информации. Поскольку каждый информационный ресурс может быть подвержен воздействию нескольких потенциальных угроз, принципиальное значение имеет суммарная (интегральная) вероятность доступа к информационным ресурсам, которая складывается из элементарных вероятностей доступа к отдельным точкам прохождения информации.
Рассмотренная концепция анализа и управления рисками на всех стадиях жизненного цикла, предложенная американской компанией General Accounting Office, как показало изучение литературы, положительно оценена рядом отечественных организаций, занимающихся проблемами информационной безопасности. В частности, в методических материалах известной российской компании КомпьюЛинк (управление системных проектов) [16] предлагается величину информационного риска по каждому ресурсу (Rin) рассчитывать по формуле:
R. =Р . * Р . * Q .
AXin 1 napi 1 ruj «Jpi. где Pnapi - вероятность нападения на 1-ресурс,
Pruv - вероятность реализации J-ой угрозы,
Spi - ущерб от информационного вторжения
Если принять эту формулу за основу вычисления информационного риска, то возникает вопрос, каким образом определять способы взвешивания ее составляющих. На наш взгляд, здесь возможны два метода: на основе статистических данных и путем экспертной оценки.
Первый метод достаточно объективен, если накоплен достаточный статистический материал о реально случившихся происшествиях; выполнен анализ и классификация их причин; выявлены факторы, от которых они зависят. Но информационные системы и информационные технологии ныне настолько динамичны, что собранная статистика может и не дать требуемого результата.
Метод экспертной оценки позволяет абстрагироваться от малосущественных технологических и технических деталей, учесть не только программно-технические, но и иные аспекты. Достоинством данного подхода является возможность учета множества косвенных факторов; но косвенные факторы и их веса зависят от сферы деятельности организации и иных обстоятельств, иными словами здесь требуется подстройка под конкретный объект.
Объединив риски по всем ресурсам при принятой архитектуре компьютеризированной информационной системы и внедренной в нее системе защиты информации, можно получить общую величину информационного риска (ORjn) для бизнес-организации.
ORin = SRjn
Таким образом, варьируя варианты построения системы защиты информации и архитектуры компьютерной системы, можно рассмотреть различные значения риска за счет изменения вероятности реализации угроз. При этом важно выбрать один из множества вариантов с наилучшим критерием принятия решения. Такими критериями могут быть или допустимая величина уровня риска, т.е.
KRiN< = A, где А - задаваемая константа, либо отношение затрат на обеспечение информационной безопасности (Zib) к стоимости информационных ресурсов (Sir), т.е.
Третий выделенный нами этап процесса управления страхованием информационных рисков (рис. 3-1) связан с оформлением необходимого комплекта документации. При этом могут быть использованы типовые формы (с необходимой корректировкой их) либо созданы уникальные, исходя из специфики деятельности страхователя и подлежащих страхованию рисков. Подробно этот вопрос рассмотрен в параграфе 3.2 диссертации.
В случае реализации страхового события и причинения страхователю материального ущерба необходимо определить величину нанесенного ущерба и рассчитать сумму страхового возмещения. Приходится констатировать, что в настоящее время в России отсутствует типовая Методика расчета величины ущерба применительно к страхованию информационных рисков, хотя она объективно необходима.
Как правило, основанием для принятия решения о выплате служит заявление страхователя и документальное подтверждение величины понесенного ущерба, если иное не предусмотрено договором страхования или требованиями законодательства. Решению о выплате предшествует работа по рассмотрению заявленного убытка, включающая: подтверждение наличия и своевременности регистрации убытков; установление сроков начала и окончания действия договоров, условий действительности договора на момент наступления убытка; своевременность заявления страхователями о страховом случае; наличие документов, подтверждающих факт и обстоятельства наступления страхового случая.
При этом важно, чтобы оценка ущерба была осуществлена квалифицированно. При страховании информационных рисков важно не столько знать и оценить размер ущерба при наступлении страхового случая, а выяснить какая часть ресурсов действительно пострадала, какие ресурсы подлежат использованию в дальнейшем. С экономических подходов (включая налоговые) важно, чтобы страхователь не завысил размер ущерба. Это может привести, с одной стороны, к ухудшению финансового состояния страховщика, а с другой стороны, к занижению налоговых обязательств компании (в случае тщательного внешнего аудита). Поэтому размер ущерба страховщик должен оценивать очень точно. В связи с этим приходится вновь говорить о необходимости знания специалистами страховых компаний тонкостей информационных технологий, а также привлечения к оценке ущерба независимых экспертов.
Поскольку страхование информационных рисков можно осуществлять как на условиях страхования имущества, так и страхования ответственности, то и расчет сумм причиненного ущерба должен отличаться по составу исходных показателей и алгоритмов расчета.
В дополнение к страхованию информационных рисков страховая компания может предложить страхование аппаратной части информационной системы. В этом случае страховая защита распространяется на случаи повреждения или гибели оборудования вследствие событий, покрываемых огневым страхованием или страхованием электронных устройств (оборудования).
В случае имущественного страхования информационных рисков вполне приемлемыми являются способы прямого счета. Для расчета стоимости ущерба нами предлагается набор базовых показателей (приложение N 6).
В том случае, когда третье лицо предъявляет иск к страхователю из-за того, что ему по вине (действию или бездействию) страхователя причинен материальный ущерб, то страховая компания должна произвести расчет обоснованности суммы заявленной претензии. Например, в банке раскрыта электронная подпись клиента, которая гарантировалась "защитником" на 100%, в силу чего сняты деньги в размере А-руб. В этом случае рассчитать суммы прямого ущерба достаточно просто. Если же в результате раскрытия электронной подписи внесены изменения в документацию клиента, соглашения, предложения и т.д., то определить точную сумму ущерба проблематичнее. Показатели и алгоритмы в этих условиях, как правило, индивидуальны и в качестве основы для выполнения расчета должны быть использованы косвенные методы с элементами вероятностной или экспертной оценки.
3.2. Нормативно-методическая база организации страховых операций по информационным рискам
Взаимоотношения между страховой компанией и потенциальными страхователями информационных рисков базируются на использовании комплекса нормативно-правовой документации (рис. 3-3).
Рис. 3-3 Состав документации страховщика Для получения лицензии на любой новый вид страхования страховая компания в соответствии с действующими нормативными документами [14,75] среди ряда документов (заявление, учредительный документ, свиде
ДОКУМЕНТАЦИЯ СТРАХОВЩИКА
Для получение лицензии на страхование информационных рисков
Для оформления договорных отношений со страхователем по страхованию информационных рисков
Для определения факта наступления страхового случая и расчета суммы ущерба и страхового возмещения тельство о регистрации и др.) обязана предоставить конкретные Правила (условия) по заявленному виду страхования. К Правилам в обязательном порядке должны быть приложены образцы форм договоров страхования, полисов, сертификатов, а также расчет страховых тарифов с указанием Методики расчета. Это требование распространяется и на страхование информационных рисков.
В соответствии с общими положениями Методики [11] страхование информационных рисков является рисковым видом страхования, относящимся к видам страховой деятельности, иным, чем страхование жизни. Данный вид не предусматривает обязательств страховщика по выплате страховой суммы по окончании срока действия договора страхования и не связан с накоплением страховой сумм в течение срока действия договора. Как и в других видах страхования, при страховании информационных рисков используется система тарифных ставок.
Расчет тарифных ставок по рисковым видам страхования, как известно, проводится на основе методов страховой статистики, которая представляет собой систематизированное изучение и обобщение наиболее массовых и типичных страховых операций и стоимостных показателей, характеризующих страховое дело. К сожалению, наше исследование по указанным выше причинам не может опереться на большую фактическую статистическую базу, между тем для выработки рекомендаций по совершенствованию системы расчета тарифных показателей при страховании информационных рисков достаточно интересны предложения, изложенные в [16,35,74].
В наиболее обобщенном виде, имеющем практическое приложение, страховая статистика обычно сводится к анализу следующих показателей: N - число объектов страхования L - число пострадавших объектов М - число страховых случаев SCB- совокупная сумма страховых выплат
SCc-совокупная страховая сумма
Расчетным показателем страховой статистики (Рк) является частота (частность) страховых случаев, т.е. соотношение между числом страховых случаев и числом застрахованных объектов:
Pk=M/N при условии страхования, когда
0<= Рк <= 1
По принятой практике, если вероятность события достигает крайних значений (0 или 1), то страхование на случай наступления данного события не производится. Применительно к нашему виду страхования это означает, что договора не должны заключаться, когда страхователь убежден в абсолютной защищенности своей информационной системы, либо им не реализовано практически никаких защитных мероприятий и его информационная система в любое время может подвергаться угрозам разрушения или вторжения.
Другим показателем является опустошительность (О) одного страхового случая, т.е. отношение числа пострадавших объектов к числу происшедших страховых случаев: О - —
К сожалению, на сегодняшний момент не существует единой типовой методики расчета тарифов при страховании информационных рисков. Тем не менее, уже с 2001 г., ряд компаний (Ингосстрах, РОСНО, Прогресс-Гарант и др.) осуществили процесс лицензирования этого вида страхования. Для этого каждая страховая организация разрабатывала свою собственную методику расчета тарифных ставок и сумм возмещений за причиненный ущерб от информационных угроз. Проанализируем некоторые положения Методики Ингосстраха [10].
При лицензировании деятельности по страхованию информационных рисков компанией Ингосстрах в основу расчетных документов была положена Методика, утвержденная распоряжением Федеральной службы РФ по надзору за страховой деятельностью N 02-03-36 от 08.07.1993г. и рекомендованная страховым компаниям для расчетов по рисковым видам страхования. Для выработки своих авторских рекомендаций считаем целесообразным первоначально остановиться на ряде принципиальных положений теории актуарных расчетов, сравнив их с основными положениями названной выше Методики.
По утверждению [74,с.81], ставка для страховой компании - это определенная цена неопределенного обязательства. Наиболее корректное определение ставки основывается на некотором усреднении имеющейся (или предполагаемой) группы договоров и соответственно - на нахождении статистических характеристик этой группы. Этот метод основан на использовании накопленных данных страховой статистики. В нашем случае обширный статистический материал по страхованию информационных рисков отсутствует.
Правда, в теории страховой статистики существует и иной метод - метод расчета ставок на основе функции полезности. В его основе лежат не столько статистические характеристики портфеля, сколько соотношения денежных предпочтений страховщика и страхователя. С помощью этого метода исследуется, насколько страховая компания и страхователь оценивают определенную сумму денег по сравнению с денежной оценкой неопределенного риска.
По мнению специалистов в области статистики и актуарных расчетов [53,72], для применения этого метода необходимо иметь четкую систему оценки компанией предпочтительности суммы денег по сравнению с другой, что в реальных условиях страхования информационных рисков и при очень малом опыте в России не представляется возможным.
Поэтому следует согласиться с тем, что страховщик в своей деятельности должен проводить ряд различных по содержанию и характеру видов страхования, требующих адекватного математического измерения взятых по договорам обязательств. При универсальном подходе, например к страхованию средств транспорта и грузов, недвижимого имущества, финансовых рисков, информационных рисков и др., состав и значения исходных и расчетных показателей должны в требуемой мере отражать специфику вида страхования.
Анализируя Методику [10], можно заметить, что заложенные в ней принципы расчета универсальны, строятся на общей методологии актуарных расчетов и практически могут быть использованы при других видах страхования. При этом к расчетным показателям относятся: q - ожидаемое количество договоров страхования Sc - средняя страховая сумма по одному договору страхования Sb - средняя сумма страхового возмещения по одному договору страхования
Р - вероятность наступления страхового события по виду информационного риска (этих видов предусмотрено 6).
Страховой тариф (Тс) определяется как сумма:
Тс = NC + RN +Ng, где NC - основная часть нетто-ставки
RN - рисковая надбавка Ng - нагрузка
В основе расчета тарифных ставок по Методике Ингосстраха лежит показатель убыточности (величина выплат на 100 руб. страховой суммы), а сам расчет тарифных ставок произведен на основании предполагаемых объемов страховых операций.
Показатели, приведенные в таблице 3-1, были определены экспертным путем и не базировались на анализе отечественных статистических данных, собранных за несколько лет, по причине отсутствия полной и достоверной статистики о случаях реализации информационных рисков.
ЗАКЛЮЧЕНИЕ
Проведенное в диссертации исследование вопросов страхования информационных рисков позволило сделать следующие выводы.
1. За последнее десятилетие страхование в России претерпело существенные изменения: создано большое число негосударственных страховых компаний; появились новые страховые услуги; страховые компании получили самостоятельность в решении не только тактических, но и стратегических вопросов; активизировалась деятельность страховых компаний в инвестиционной сфере, началось интенсивное проникновение на внешний страховой рынок. Вместе с тем, организационная и нормативно-методическая сторона деятельности многих страховых компаний нуждается в совершенствовании.
2. Информатизация общества и связанные с ней проблемы сетевых информационных технологий, широкое использование зарубежными и отечественными организациями и предприятиями в своей деятельности услуг глобальной сети Интернет; необходимость обеспечения безопасности информации и устранения несанкционированного доступа к информационным ресурсам; множественный вероятностный характер информационных угроз и необходимость снижения рисковых ситуаций для предприятий и организаций объективно обусловили появление новой страховой услуги - страхования информационных рисков.
3. На основе анализа зарубежной и отечественной практики страхования информационных рисков установлено, что в настоящее время размах этой деятельности в России явно недостаточен. Среди причин такого положения: отсутствие информации у руководителей предприятий о возможности страхования таких рисков; отсутствие достаточно полного и четкого законодательства по страхованию информационных рисков; несогласованность организационно-методических документов и правил, используемых разными организациями при осуществлении этого нового вида страхования; высокая (в ряде случаев недостаточно обоснованная) стоимость предлагаемых страховых услуг; недостаточная реклама услуги по страхованию информационных рисков; сложность определения величины фактически причиненного ущерба информационным и финансовым ресурсам в электронном виде; отсутствие экономического обоснования преимуществ расходов на данное страхование по сравнению с затратами на программную и аппаратную защиту информации.
4. Определено, что основополагающими целями создания системы страхования информационных рисков в России являются:
• формирование механизма компенсации финансовых потерь собственникам и пользователям информационных систем и сетей из-за нарушения их информационной безопасности;
• создание механизма предотвращения и минимизации возможных потерь.
5. Обосновано, что страхование информационных рисков может быть эффективно организовано при реализации комплекса мероприятий, в том числе: объективной и полной классификации проявлений угроз в информационной сфере; поэтапного включения в систему страховой защиты наиболее опасных информационных рисков; развития правовой базы и экономических основ страховой защиты всех участников страхового поля.
6. В результате исследования проявлений и особенностей информационных рисков, а также применительно к сфере информационной деятельности страхового поля и предложены их определения, более полно отражающие их содержательную сторону.
7. Анализ причин медленного развития страхования информационных рисков в стране показал, что одним из тормозящих факторов является недостаточная проработанность в отечественном законодательстве, в том числе в Налоговом кодексе, условий и источников уплаты страховой премии по данному виду страхования. Учитывая все большую интеграцию России в международное экономическое и информационное пространство, выход российских страховых компаний на международный рынок, необходимо внести поправки и дополнения в действующее законодательство. Совокупность рекомендуемых дополнений и поправок представлена в приложении 8 диссертации.
8. Обоснована отраслевая принадлежность страхования информационных рисков к имущественному страхованию и страхованию ответственности в информационной сфере деятельности. Выявлены и классифицированы страховые события, обусловленные развитием Интернет-бизнеса. Показана возможность и пути использования западного опыта применительно к российским условиям.
9. Проанализировав различные подходы к управлению риском, автором рекомендовано особое внимание уделять формированию спроса на страховые услуги и удовлетворению интересов по страхованию. В предлагаемой схеме управления страхованием информационных рисков выделены и детально представлены четыре процедуры: инспекторский осмотр, обследование и анализ информационных рисков, разработка условий и оформление документации, действия страховщика при урегулировании страхового случая. Представлен авторский вариант анкеты-вопросника по страхованию информационных рисков, который может быть использован различными страховыми организациями России.
10. Страхование информационных рисков предполагает использование системы экономико-математических моделей и расчетных показателей на различных этапах этого процесса. Выявлены причины, препятствующие внедрению единых методик по расчету страховых тарифов и определению величины причиненного ущерба. Предложен базовый набор показателей для исчисления сумм страхового возмещения.
11. Сформулированы условия, которые с организационных и экономических позиций определения стоимости страховых услуг, должны способствовать развитию страхования информационных рисков. Для совершенствования методики расчета страховых услуг по страхованию информационных рисков предложен ее инструмент в виде информационной модели расчета.
12. На основе анализа используемых в страховых компаниях нормативных документов предложена их оптимизация. Разработана форма полиса страхования информационных рисков, которая может быть использована компаниями как типовая.
13. Придавая большое значение организационно-правовым аспектам страхования информационных рисков, предложено разработать специальный закон о страховании информационных рисков (либо внести поправки в действующий Закон). В рамках реализации Закона создать профессиональное объединение страховщиков (РАСИР), членами которого должны быть все страховые компании, работающие на рынке страхования информационных рисков. РАСИР должно разрабатывать правила профессиональной деятельности на этом рынке и создать условия осуществления компенсационных выплат страхователям в случае несостоятельности страховщика.
14. Признавая важную роль учебного процесса для переподготовки специалиста-страховщика высокой квалификации, высказаны предложения по его совершенствованию.
Конечно, столь новая и сложная тема не претендует на всеобъемлющее решение в рамках представленного диссертационного исследования. Тем не менее, мы считаем, что проведенное исследование и высказанные рекомендации позволят усовершенствовать теорию и расширить практику страхования информационных рисков в России.
Диссертация: библиография по экономике, кандидата экономических наук, Косарев, Александр Васильевич, Москва
1. ГОСТ Р.6.30-97 "Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов"
2. Гражданский кодекс Российской Федерации. Части первая, вторая. М.: ЭКСМО, 2002-416 с.
3. Доктрина информационной безопасности Российской Федерации. Утверждена Указом Президента РФ № Пр-1895 от 9 сентября 2000 г.
4. Закон РФ "О статусе военнослужащих" от 22 января 1993 г.
5. Закон РФ "О медицинском страховании граждан в Российской Федерации" отЗ апреля 1993 г.
6. Закон РФ от 27 ноября 1992 г. № 4015-1 "Об организации страхового дела в Российской Федерации".7. "Комплексная страховая программа для предприятий связи и информационного бизнеса" М.: ОСАО "Ингосстрах", 2002 г.
7. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Гостехкомиссия России. Сборник руководящих документов по защите информации от несанкционированного доступа, М., 1998 г.
8. Концепция развития страхования в Российской Федерации. Утверждена распоряжением Правительства РФ 25. 09. 2002 г.
9. Методика ОСАО "Ингосстрах" Расчет и экономическое обоснование тарифных ставок по страхованию информационных систем. Москва, 2001 г.
10. Методика расчета тарифных ставок по рисковым видам страхования. Утверждена распоряжением Федеральной службы РФ по надзору за страховой деятельностью, № 02-03-36 от 08.07.93 г.
11. Налоговый кодекс Российской Федерации. Части первая и вторая. М.: ЭКСМО, 2002 г.-480 с.
12. Правила страхования информационных систем ОСАО "Ингосстрах", Москва, 2001 г.
13. Приказ Федеральной службы России по надзору за страховой деятельностью от 19.05. 1994 г. № 02-02/08 "Об утверждении новой редакции "Условий лицензирования страховой деятельности на территории Российской Федерации"
14. Стандарт ISO: 17799-00 (Стандарт Великобритании BS 7799-95 "Практические правила управления информационной безопасностью")
15. Технологии анализа рисков. М.: КомпьюЛинк, 2002 г.
16. Указ Президента РФ "Об основных направлениях государственной политики в сфере обязательного страхования" от 6 апреля 1994 г.
17. Федеральный Закон от 20. 02. 1995 г. № 24-ФЗ "Об информации, информатизации и защите информации"
18. Федеральный закон РФ от 04. 07. 1996 г. № 85-ФЗ "Об участии в международном информационном обмене"
19. Федеральный Закон от 10. 01. 2002 № 1-ФЗ "Об электронной цифровой подписи"
20. Автоматизированные информационные технологии в экономике/Под ред. И.Т. Трубилина. М.: "Финансы и статистика", 2003 г. - 416 с.
21. Аналитико-статистический обзор о деятельности 155 страховых компаний России по итогам 2002 г. М.: Центр экономического анализа агентства "Интерфакс", 2003-48 с.
22. Архипов А.П., Гомелля В.Б. Основы страхового дела. Учебное пособие. -М.: Маркет ДС, 2002 г.
23. Балабанов И.Т. Риск-менеджмент. М.: Финансы и статистика, 1996 г.
24. Беззубцев О.А. О мерах по защите информационных технологий, используемых в государственном управлении. //Бизнес и безопасность в России, №1,2003 г., стр. 11-13.
25. Бланд Д. Страхование:принципы и практика. М.: Финансы и статистика, 1998 г.
26. Винер Н. Кибернетика. Пер. с англ. М.: Советское радио, 1969 г.
27. Волковский В.И. Экономическая безопасность и информация. //Бизнес и безопасность в России, №2,2002 г., стр.35-37
28. Волковский В.И. Угрозы информационной безопасности: последствия неизбежны. -//Бизнес и безопасность в России, №1,2002 г., стр. 14-15.
29. Воронина H.JL, Воронин JI.A. Англо-Русский словарь страховых терминов.-М.: ИРТИСС, 2001 г.
30. Гайсина Д.В. Моделирование и оценка рисков банковских операций спластиковыми картами. Диссертация . кандидата экономических наук,
31. М.: Финансовая академия, 2003 г.
32. Гвозденко А.А. Основы страхования. Учебник. М.: Финансы и статистика, 2003 г. -320 с.
33. Глущенко В.В. Управление рисками. Страхование. М.О.,ТОО НЦП "Крылья", 1999 г.
34. Голубин А.Ю. Математические модели в теории страхования: построение и оптимизация М.: Анкил, 2003 г. - 160 с.
35. Гомелля В. Отношение государства к страхованию. // Страховое ревю, №9, 2003 г., стр.43-47
36. Гомелля В.Б., Туленты Д.С. Страховой маркетинг (Актуальные вопросы методологии, теории и практики), издание. 2-е. М.: "Анкил", 2000 г. - 128 с.
37. Гомелля В.Б. Основы страхового дела.- М.: Финансы и статистика, 1998
38. Гришина Т. От порчи, обвала и нелояльного персонала. Ж. Коммерсант, №76,2001 г.
39. Давыдова В.Г. Развитие информационно-телекоммуникационной инфраструктуры Кыргызской Республики. Ж., Вестник связи, N 11, 2000 г.
40. Данилина Н.М., Кузьмин А.С., Пярин В.А. Как застраховать информационные риски. //., Бизнес и безопасность в России, № 3, 2001 г.
41. ДСН запретил 816 компаниям перестраховывать "дожитие" и имущественные риски. //Новости о страховании, № 9 (1220), 20 января 2004 г., стр. 1
42. Ефимов С.Л. Организация управления страховой компанией: теория, практика, зарубежный опыт. М.: РЮИД, 1995 г.
43. Ефимов С.А. Энциклопедический словарь. Экономика и страхование. -М.: Церих-ПЭЛ, 1996 г.
44. Жуков Информация. Минск, Вышэйшая школа, 1971 г.
45. Журавлев Ю.М. Словарь-справочник по страхованию и перестрахованию. М.: Издательский центр 'Анкил', 1994 г. -180 с.
46. Ингосстрах. Опыт практической деятельности. Под ред. В.П.Кругляка. -М.:Издательский дом Русанова, 1996 г. 432 с.
47. Инфорум-4. Сборник материалов 4-ой Всероссийской конференции "Информационная безопасность России в условиях глобального общества". Под ред. А. В. Жукова.- М.: Редакция журнала "Бизнес +Безопасность", 2002 г. -238 с.
48. Исаева Н.А., Лиманова Е.Г. и др. Экономика предпринимательства: изучение с помощью программы КАРЛ. М.: Финансы и статистика, 1999 г. -431 с.
49. Корнилов И.А. Основы страховой математики. Уч. пособие. М.: ЮНИ-ТИ, 2004 г.-400с.
50. Катасонов В.Ю., Морозов Д.С. Проектное финансирование: организация, управление риском, страхование М.: Анкил, 2000 г. - 370 с.
51. Кобринский Н.Е. Основы экономической кибернетики М.: Экономика, 1969 г.
52. Конявский В.А., Хованов В.Н. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности. Ж., "Информост" - Средства связи, №2,2001 г.
53. Конявский В.А. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности. М.: РКФ-ИмиджЛаб, 2001 г.
54. Косарев А.В. Практические аспекты страхования информационных рисков. М.: Ж. "Управление компанией", № 9(28), 2003 г., стр.61-62
55. Косарев А.В. Информационная безопасность: оценка размеров риска. // "Современные образовательные технологии подготовки специалистов в экономических вузах России. Ч.4.- М.: Финансовая академия, 2001 г., стр. 66-69
56. Косарев А.В. Страхование и компьютеризация. // "XXI век: новая модель специалиста-экономиста". Ч.5.- М.: Финансовая академия, 2000 г., стр.88-91
57. Кравченко С.В. Информационная безопасность предприятия и защита коммерческой тайны, Ж., Экономика и производство, № 3,1999 г.
58. Кудрявцев О.А. Страхование банковских информационных рисков. //Материалы IV Всероссийского форума "Банк: бухгалтерия и налоги", Москва, 17-19 декабря 2002 г.
59. Кудрявцев О.А. Страхование в системе управления рисками инфраструктуры открытых ключей. Диссертация . кандидата экономических наук.
60. М.: Московский международный институт эконометрики, информатики, финансов и права, 2003 г.
61. Кудрявцев О., Косарев А. Проблемы страхования информационных рисков. // Страховое ревю, № 9, 2003 г., стр.11-14.
62. Машникова О.В. Страхование деятельности, связанной с использованием информационных технологий. // "Социальные приоритеты развития страхового дела в России"- М.: 2003 г.
63. Михайлов А. Заплати и работай спокойно. // Сегодня, № 106, 19.05.00
64. Мур М. Откуда исходит угроза. Ж., Эксперт, Цифровой мир. № 7(23), сентябрь, 2002
65. Родионов И.И, Гиляревский Р.С., Цветкова В.А., Залаев Г.З. Рынок информационных услуг и продуктов. М.: МК-Периодика, 2002 г. - 549 с.
66. Румянцев О. Г., Додонов В.Н. Юридический энциклопедический словарь. -М.:, "ИНФРА-М", 1997 г.
67. Рябикин В.И. Актуарные расчеты. -М.: Финстатинформ, 1996 г.
68. Мельников П., Москвитин А. Информационная модель расчета страховых тарифов // Страховое ревю, № 4, 2002 г.
69. Сапин В.Н., Абламская JI.B., Ковалев О.Н. Математико-экономическая методология анализа рисковых видов страхования. -М.: Анкил, 1997г 127 с.
70. Сборник типовых правил, условий и договоров страхования. Автор-составитель Цыганов А.А.- М.: Анкил, 2003 г. 416 с.
71. Симонов С., Колдышев П. Обеспечение информационной безопасности в вычислительных комплексах. //Jet Info. Информационный бюллетень. № 4 (107), 2002 г., стр.3-24
72. Современные информационные технологии в сфере государственного управления и правовые проблемы их внедрения. // Сборник материалов круглого стола. Под ред. А. В. Жукова. М.: Редакция журнала "Бизнес +Безопасность", 2002 г. - 80 с.
73. Сплетухов Ю.А., Дюжиков Е.Ф. Страхование: Учебное пособие. М.: ИНФРА-М, 2002 г. - 312 стр.
74. Страхование. Под ред. проф. Шахова В.В. М.: "Анкил", 2002 г. 480 с.
75. Страховое дело. Учебник. Под ред. Орланюк-Малицкой JI.- 2002 г. -208с.
76. Страховое дело. Учебник. Под ред. Рейтмана Л.И. М.: Банковский и биржевой научно-консультационный центр, 1992 г. - 524 с.
77. Страхование от А до Я. Под ред. Л.И. Корчевской и К.Е.Турбиной М.: Инфра-М, 1996 г.-623 с.
78. Скриник А.П., Мервинський А.И. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности в банковской сфере. Киев.: 2001 г.
79. Скородумов Б. Коммерческая информация и Интернет.- // Бизнес и безопасность в России. № 2, 2002 г.
80. Словарь страховых терминов. / Под ред. Е.В. Коломина, В.В. Шахова. -М.: Финансы и статистика, 1992 г.
81. Страхование в Российской Федерации в цифрах 1994-2001гг. / Под ред. И.Б. Котлобовского. М.: Экономический факультет МГУ, ТЕИС, 2002 г. -69 с.
82. Советский энциклопедический словарь. М.: Издательство Советская энциклопедия, 1981 г. - 1600с.
83. Тарасов С. Десять правил, чтобы исключить красный коридор -//Бизнес и безопасность в России, №2, 2002 г.
84. Теория и практика страхования. Учебное пособие. Под ред. Турбиной К.Е.-М.: Анкил,2003г. -с. 704
85. Тосунян Г.А. Электронный документооборот: безопасносность и наоборот." // Бизнес и безопасность в России. № 1, 2002 г.91 .Уткин Э.А. Риск-менеджмент. М.: 1998 г.
86. Уйэл Н. Риск ИТ. Ж. COMPUTERWORLD РОССИЯ, 10 марта 1998 г., стр.35
87. Финансово-кредитный энциклопедический словарь. Под общ. ред. А.Г. Грязновой М.: Финансы и статистика, 2002 г. -1168 с.
88. Финансы. Учебник под ред. Родионовой В.М., М.: Финансы и статистика, 1993 г.
89. Фогельсон Ю.Б. Введение в страховое право. М.: Юристъ, 2001 г. -222с.
90. Хохлов Н.В. Управление риском: Учебное пособие М.: ЮНИТИ-ДАНА, 1999 г.-239 с.
91. Цыбакин Ю.В. Решения должны быть нацелены в будущее. -//Бизнес и безопасность в России, №1, 2003 г., стр. 6-7.
92. Цыганов А. Интернет-страхование в России: первые шаги к внедрению единых стандартов. Ж., Мир электронной коммерции, 2001 г., №2, стр.52-55
93. Цыганов А.А. Значимость типовых правил страхования // Эффективное антикризисное управление. 2001 г., N2
94. Шахов В.В. Страхование как самостоятельная экономическая категория. Ж. Финансы, 1995 г., № 2, стр.38-41
95. Шахов В.В. Страховое дело. М.: Финансы и статистика, 2000 г.
96. Шахов В.В. Теория и управление рисками в страховании,- М.: Финансы и статистика, 2003 г. 224 с.
97. Шахов В.В. Введение в страхование. М.: Финансы и статистика, 1999 г.
98. Шахов В.В. Страхование: Учебник для вузов. М.: Страховой полис, Юнити, 1997 г.-311 с.
99. Юлдашев Р.Т., Тронин Ю.Н. Российское страхование: системный анализ понятий и методология финансового менеджмента . М.: Анкил, 2000 г. -448 с.
100. Юлдашев Р.Т. Введение в продажу страхования, или как научиться продавать надежду. М.:Анкил, 1999 г. - 136 с.
101. Юлдашев Р.Т. Страховой бизнес. Словарь-справочник.- М.: Анкил 2000 г.-272 с.
102. Michael A. Rossi Stand Alone E-Commerce Market Survey, July 2001 by Insurance Law Group, Inc. at (www.inslawgroup.com)
103. Mark S. Dopfman. Introduction to Rise Management and Insurance. -Prentice Hall, 2001.
104. G. Rejda. Principles of Risk Management and Insurance. Addison-Weslej Publishing, 2002