В коммерческих предприятиях право выбора мероприятий по обеспечению информационной безопасности принадлежит ее собственнику. При этом действующая в стране система правовых норм защиты информации должна оказывать методологическую помощь и правовую поддержку организации защитных мероприятий.
Безопасность информации — это защита информации от случайного или преднамеренного доступа лиц, не имеющих на это права, ее получения, раскрытия, модификации или разрушения. Реализация требований и правил по защите информации, поддержанию информационных систем в защищенном состоянии, эксплуатация специальных технических и программно-математических средств защиты и обеспечение организационных и научно-технических мер защиты информации, обрабатывающих информацию с ограниченным доступом в непосредственных структурах, осуществляются службами безопасности информации.
Построение комплексной системы защиты информации на предприятии предполагает реализацию следующих этапов:
|
|
I. Проведение предварительного обследования состояния объекта и уровня организации защиты информации.
На этом этапе проводится анализ объекта защиты с выделением следующих направлений: установление состава информации, нуждающейся в защите; определение наиболее важных (критических) элементов защищаемой информации; срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации); определение ключевых элементов информации (индикаторов), отражающих характер охраняемых сведений; проведение классификации индикаторов по функциональным зонам (производственно-технологические процессы, система материально-технического обеспечения, подразделения
управления и т.д.), осуществление выбора и обоснование требований ПО ищите информации на заданном объекте.
2. Ни тором папе выявляются потенциально возможные уг-р01Ы информации и вероятности их появления, определяется, кого Может чаинтересовать защищаемая информация; оцениваются Методы, используемые конкурентами для получения этой информации; определяются вероятные каналы утечки информации; раз-рйбятмппется система мероприятий по пресечению действий конкурента.
На этом этапе определяется политика безопасности, допустимый степень риска, набор процедур и методов исключения несанкционированного доступа к информационным ресурсам.
Разрабатываются специальные шкалы оценок допустимых потерь в натуральном и денежном эквивалентах. Это обусловлено тем, что на каждом предприятии существует своя граница «допустимости» потерь, определяемая ценностью информации, масштабами разработок, бюджетом и множеством других экономических, организационных, политических и этических факторов. Если потери меньше, чем затраты, требуемые на разработку, внедрение и 'женлуатацию средств защиты, и если с точки зрения интересов 'жономической информационной системы возможный несанкционированный доступ не приведет к существенным изменениям в работе, то такой риск считается допустимым. Однако необходимо учитывать, что в большинстве случаев исключается даже незначительная утечка информации, например, когда идет речь о содержании конфиденциальной информации, связанной с анализом конъюнктуры рынка, новых технологий или оригинальных технических решений.
|
|
Одним из основных и весьма сложных вопросов создания СЗИ является разработка и принятие политики безопасности. Под политикой безопасности понимают комплекс законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критической информации. Политика безопасности должна охватывать все особенности процесса обработки информации, определять поведение системы в различных ситуациях. Важным моментом является разработка механизмов обнаружения попыток несанкционированного доступа к защищаемым ресурсам, которые могут базироваться на экспертных системах и
включать регистрацию, распознавание и обработку событий, связанных с доступом к информации, а также проверку в реальном масштабе времени соответствия всех условий доступа, принятых в концепции СЗИ и защиты данных.
3. В рамках третьего этапа анализируется состояние постоянно действующих подсистем обеспечения безопасности, в том числе таких, как физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.
4. На основании проведенных аналитических исследований предыдущих трех этапов обосновываются задачи защиты информации, их классификации и определяются необходимые меры защиты, что составляет содержание работ четвертого этапа.
5. На пятом этапе рассматриваются представленные предложения по всем необходимым мерам защиты, сравниваются полученные результаты с требуемыми и анализируются стоимостные затраты на обеспечение безопасности объекта.
6. Обосновывается структура и технология функционирования комплексной системы защиты информации. Определяется состав технического, математического, программного, информационного и лингвистического обеспечения, нормативно-методических документов и организационно-технических мероприятий по защите информации.
7. Определяются технико-экономические оценки разработанного проекта комплекса. На этом этапе оцениваются: надежность всех компонентов комплексной системы защиты информации и надежность выполнения функций защиты; живучесть системы защиты, экономическая оценка эффективности комплексной системы защиты информации.
8. Осуществляется отработка организационно-правовых и нормативно-методических вопросов защиты информации, разработка правил выполнения процедур и мероприятий по защите информации, определение прав и обязанностей подразделений и лиц, участвующих в работе комплексной системы защиты информации. Установление правил и порядка контроля работы системы защиты.
9. Внедрение системы защиты информации и доведение до
персонала реализуемых мер безопасности.
Отпи включает непосредственно работы по внедрению и вводу СПИ в жсплуатацию, обучение и аттестацию персонала, дальнейшее развитие и поддержку составных частей системы информационной безопасности, а также регулярное тестирование. Тести-роиание должно проводиться регулярно на протяжении всего жизненного цикла СИЕ для выявления новых видов угроз, которые не были предусмотрены при разработке. На основе информации о новых угрозах и каналах утечки информации, модификации информационных и коммуникационных технологий должна проводиться саоевремсниая модификация и развитие отдельных компонентов или всей СЗИ.
|
|
2.2. Анализ угроз и оценка рисков информационной безопасности
Необходимым условием обоснования эффективности создании и функционирования системы информационной безопасности является анализ факторов, приводящих к потерям информации, и экономическая оценка понесенного при их осуществлении
ущерба.
Совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации, называется угрозой. Уязвимость характеризует слабость системы защиты, информации, что и приводит к возможности реализации угрозы.
Угрозы подразделяются на объективные и субъективные.
К объективным угрозам относятся угрозы, обусловленные
1) внутренними факторами:
- дефекты, сбои, отказы, аварии технических средств и систем обработки информации;
- дефекты, сбои, отказы, аварии программного обеспечения обработки информации;
- электро-магнитное излучение;
- излучение сигналов, функционально присущих обработке
информации;
2) внешними факторами:
- явления техногенного характера;
- природные явления, стихийные бедствия.
К субъективным факторам относятся угрозы, обусловленные
1) внутренними факторами:
- неправомерные действия, разглашение защищаемой информации лицами, имеющими к ней право доступа;
- несанкционированный доступ к защищаемой информации;
- изменение компьютерной информации, разработка и распространение компьютерных вирусов;
- неправильное организационное обеспечение защиты информации, небрежность в разработке, поддержке и эксплуатации систем защиты информации;
- ошибки обслуживающего персонала при эксплуатации технических средств и программного обеспечения, влияющие на уровень информационной безопасности;
|
|
2) внешними факторами:
- доступ к защищаемой информации с применением технических и программных средств;
- блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку;
- перехват данных при передаче информации по глобальным сетям.
Основными направлениями защиты информации обычно являются:
- ЗИ от утечки, в том числе от разглашения, от несанкционированного доступа и от промышленно-экономического шпионажа;
- ЗИ от несанкционированного воздействия;
- ЗИ от непреднамеренного воздействия.
Несанкционированные манипуляции с информацией могут
приводить к следующим последствиям:
-утрата информации - неосторожные действия владельца информации, представленной на различных носителях и в файлах, или лица, которому была доверена информация в силу его официальных обязанностей, в результате которых информация была потеряна и стала достоянием посторонних лиц;
-раскрытие информации - умышленные или неосторожные действия, в результате которых содержание информации, пред-
ставленной на различных носителях и в файлах, стало известным или доступным для посторонних лиц;
порча информации - умышленные или неосторожные действия, приводящие к полному или частичному уничтожению информации, представленной на различных носителях и в файлах;
кража информации - умышленные действия, направленные ни несанкционированное изъятие информации из системы ее обра-Гми'ки как посредством кражи носителей информации, так и по-с|«дством дублирования информации, представленной в виде файлов;
-подделка информации - умышленные или неосторожные действия, в результате которых нарушается целостность информации, находящейся на различных носителях и в файлах ЭИС;
-блокирование информации - умышленные или неосторожные действия, приводящие к недоступности информации в системе ое обработки;
- нарушение работы системы обработки информации -
умышленные или неосторожные действия, приводящие к частич
ному или полному отказу системы обработки или создающие бла-
I оприятные условия для выполнения вышеперечисленных действий.
При анализе угроз информационной безопасности важно иметь в виду и разновидности нарушителей, которые могут быть систематизированы в следующие группы:
- первая группа - так называемые хакеры;
-вторая группа- преступники, преследующие цели обогащения путем непосредственного внедрения в финансовые системы или получения коммерческой и другой информации для организации действий уголовного характера;
- третья группа - террористы и другие экстремистские груп
пы, использующие внедрение в информационные системы для со
вершения устрашающих действий, шантажа и т.п.;
-четвертая группа - различные коммерческие организации и структуры, стремящиеся вести промышленный шпионаж и борьбу с конкурентами путем добычи или искажения конфиденциальной финансовой, технологической, проектной, рекламной и другой информации.
Уровень экономической безопасности по информационной составляющей определяется по формуле (1.1), представленной в предыдущей главе.
Общие понесенные затраты на реализацию мер по обеспечению информационной составляющей ЭБ будут складываться из текущих и единовременных затрат на повышение уровня защищенности предприятия от угроз информационной безопасности.
Текущие (систематические) затраты включают в себя следующие группы затрат:
1) затраты на контроль
- плановые проверки и испытания;
- внеплановые проверки и испытания;
- соблюдение политики безопасности;
- внешние контрольные затраты;
- анализ политики безопасности предприятия;
2) предупредительные затраты
- управление системой ЗИ;
- регламентное обслуживание средств ЗИ;
- аудит системы безопасности;
- качество технологий;
- доверие к технологии;
- обучение персонала.
Оценка ущерба от различных рисков потери информации в наиболее полном виде должна включать в себя учет как прямых, так и косвенных убытков.
Прямые убытки - это непосредственный ущерб здоровью, имуществу или имущественным интересам предприятия в денежной форме.
Прямые убытки от понесенного ущерба составят затраты предприятия на восстановление системы безопасности до соответствия требованиям политике безопасности, восстановление информационных ресурсов предприятия, затраты на выявление причин нарушения политики безопасности и затраты на переделки.
Косвенные убытки являются следствием того, что организация какое-то время не может осуществлять свою нормальную деятельность. Это находит свое отражение в продвижении продукции на рынке, приводит к потере новаторства и, как следствие, к понесенному экономическому ущербу предприятия. Эко-
комический ущерб выражается в упущенной выгоде, убытках в виде претензий и исков вследствие невыполнения обязательств перед контрагентами, расходах на юридическое урегулирование дел и т.д.
Причинами упущенной выгоды могут быть:
•• снижение или остановка производства;
- неконкурентоспособность выпускаемой продукции;
- пассивно- выжидательная позиция фирмы на рынке;
- недопоставка продукции или услуг потребителям;
- некомпетентность управления;
- умышленное доведение фирмы до банкротства и т.д.
Общий ущерб (У) от атаки на информационный ресурс мож
но определить по формуле:
У = П„ + ПЛПпр, (2.1)
где П„ - стоимость потерь от снижения производительности сотрудников атакованного узла или сегмента; Пв - стоимость восстановления работоспособности атакованного узла или сегмента, которая будет складываться из стоимости замены оборудования и ■ншасных частей, стоимости восстановления узла (переустановки системы) и стоимости повторного ввода информации; 17„р - упущенная выгода от простоя атакованного узла или сегмента, в результате снижения объема продажи.
Анализ уровня информационной безопасности может проводиться также на основе анализа качественных показателей. Оценки состояния защищенности информации могут основываться на методе вопросников: оценивать степень защищенности информации по ряду показателей, используя балльную систему оценки. 11ри анализе используется комплексный подход, учитывающий следующие компоненты:
- общая организация системы ЗИ;
- система ЗИ от несанкционированного доступа;
- система ЗИ управления телекоммуникациями и физическая защита;
- персонал;
- система восстановления.
Существуют различные методы оценки рисков информационной безопасности при использовании программных средств и информационных систем управления.
Оценка риска - это этап анализа риска с целью определения его количественных характеристик: вероятность наступления неблагоприятных событий и возможный размер ущерба.
Концепции анализа рисков, управления рисками на всех стадиях жизненного цикла информационной технологии были предложены многими крупными организациями, занимающимися проблемами информационной безопасности. Отечественные аналитики начали использовать различные методики на практике. Несколькими российскими организациями были разработаны собственные методики анализа и управления рисками, разработано собственное ПО, которое, наряду с зарубежным, имеется на отечественном рынке.
Существует ряд подходов к измерению рисков. Наиболее распространенные из них:
- оценка по двум факторам;
- оценка по трем факторам.
1. В простейшем случае используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:
РИСК - Р происшествия ■ ЦЕНА ПОТЕРИ, (2.2)
где Р происшествия - вероятность происшествия за рассматриваемый промежуток времени.
Если переменные являются количественными величинами, то риск - это оценка математического ожидания потерь.
Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна.
Рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).
Вначале должны быть определены шкалы.
Определяется субъективная шкала вероятностей событий, например:
А - Событие практически никогда не происходит. В - Событие случается редко.
С - Вероятность события за рассматриваемый промежуток времени около 0.5.
I) - Скорее всего событие произойдет.
I'! Событие почти обязательно произойдет.
Кроме того, определяется субъективная шкала серьезности Происшествий, например:
N (№ёН§]Ые) - Воздействием можно пренебречь.
М| (Мтог) - Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию -незначительно.
Мо (Моа'егай) - Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.
У (Кепоиз) - Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует па кыиолнение критически важных задач.
С (Спйеа1) - Происшествие приводит к невозможности решения критически важных задач.
Для оценки рисков определяется шкала из трех значений: низкий риск;
- средний риск;
- высокий риск.
Риск, связанный с определенным событием, зависит от двух факторов и может быть определен по таблице 2.1.
Таблица 2.1 Определение риска в зависимости от двух факторов
Вероятность | ЫедИдМе | Мтог | МойегаЕе | Зепоиз | Сг№са1 |
А | Низкий риск | Низкий риск | Низкий риск | Средний риск | Средний риск |
В | Низкий риск | Низкий риск | Средний риск | Средний риск | Высокий риск |
С | Низкий риск | Средний риск | Средний риск | Средний риск | Высокий риск |
Р | Средний риск | Средний риск | Средний риск | Средний риск | Высокий риск |
Е | Средний риск | Высокий риск | Высокий риск | Высокий риск | Высокий риск |
Шкалы факторов риска и сама таблица могут быть определены иначе, иметь другое число градаций.
Подобный подход к оценке рисков достаточно распространен для оценки рисков базового среднего уровня безопасности.
При разработке (использовании) методик оценки рисков необходимо учитывать следующие особенности:
Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки.
Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.
2. Оценка рисков по трем факторам.
В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.
Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:
Р происшествия = Ругрозы • Руязвимости. (2.3)
Соответственно риск определяется следующим образом: РИСК = Ругрозы ■ Руязвимости ■ ЦЕНА ПОТЕРИ. (2.4)
Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов. Подобные таблицы используются как в «бумажных» вариантах методик оценки рисков, так и в различного рода инструментальных средствах - ПО анализа рисков. В последнем случае матрица задается разработчиками ПО и, как правило, не подлежит корректировке. Это один из факторов, ограничивающих точность подобного рода инструментария
Для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:
- экспертные оценки;
- статистические данные;
-- учет факторов, влияющих на уровни угроз и уязвимостей.
Один и') возможных подходов к разработке подобных мето-ЛКК *■ накопление статистических данных о реально случившихся Происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации МОЖНО оценить угрозы и уязвимости в других информационных оиотемих.
Практические сложности в реализации этого подхода следующие:
• ко-нервых, должен быть собран весьма обширный материал о происшествиях в этой области;
• во-вторых, применение этого подхода оправдано далеко не всегда.
Пели информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Пели система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), то оценки угроз и уязвимостей могут оказаться недостоверными.
Наиболее распространенным в настоящее время является Подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Он позволяет абстрагироваться от мол «существенных технических деталей, учесть не только программно-технические, но и иные аспекты.
Пример реализации подобного подхода, используемого в методе СКАММ 4.0 для одного из классов рисков: «Использование чужого идентификатора сотрудниками организации («маска-рид»)», приведен в приложении. Несомненным достоинством дшшого подхода является возможность учета множества косвенных факторов (не только технических). Методика проста и дает иладельцу информационных ресурсов ясное представление, каким образом получается итоговая оценка и что надо изменить, чтобы улучшить оценки. Оценки рисков и уязвимостей в рассмотренном примере являются качественными величинами. Однако подобными методами могут быть получены и количественные оценки, необходимые при расчете остаточных рисков, решении оптимизационных задач.
26
Инструментальные средства анализа рисков позволяют автоматизировать работу специалистов в области защиты информации, осуществляющих оценку информационных рисков предприятия. Специализированное ПО, реализующее методики анализа рисков, может относиться к категории программных продуктов (продается на рынке) либо являться собственностью ведомства или организации и не продаваться. Если ПО разрабатывается как программный продукт, оно должно быть в достаточной степени универсальным. Ведомственные варианты ПО адаптированы под особенности постановок задач анализа и управления рисками, и позволяют учесть специфику информационных технологий организации. Предлагаемое на рынке ПО ориентировано в основном на уровень информационной безопасности, несколько превышающий базовый уровень защищенности.
В 2000 году был принят международный стандарт 130 17799, за основу которого был взят Британский стандарт ВЗ 7799, в результате большинство инструментальных средств (ПО анализа и управления рисками) было в последнее время модифицировано таким образом, чтобы обеспечить соответствие требованиям этого стандарта. В качестве примеров программных средств в соответствующих 15017799 следует назвать ПО анализа рисков и аудита «СоЬга», разрабатываемая компанией Шзк Аззоаа^ез, и Виаау Зуз1ет, разрабатываемый компанией СошИегтеазигез Сог-рогапоп..
В настоящее время на российском рынке продается отечественное ПО «АванГард», разработка института системного анализа РАН. «АванГард» позиционируется как экспертная система управления информационной безопасностью. Предлагаются две версии метода: «АванГард-Анализ» - для проведения анализа рисков, «АванГард-Контроль» - управление рисками.
Данный программный комплекс обладает развитыми средствами для построения моделей информационных систем с позиции информационной безопасности. В нем можно строить модели разных уровней (административного, организационного, программно-технического, физического) и разной степени абстракции. Авторы метода постарались не вносить «внутрь» конкретные методики расчета составляющих элементов рисков. Риск (в терминах авторов размер риска) определяется как произведение
уЩврби (и терминах авторов цена риска) на вероятность риска. ИйКйДИЫС дшшые - ущерб и вероятность - должны быть введены I модель. Существует справочная база данных, помогающая в»мВире чтих значений, но процедура намеренно не формализована. Такой подход имеет свои достоинства и недостатки. Недостатком янлистси то, что методологически сложный этап - выбор значений, которые к тому же должны быть измерены в количественных шка-ЛИХ, полностью перекладывается на аналитика (пользователя).
В настоящее время на рынке имеется ПО, реализующее различные методики анализа рисков. Однако одного «лучшего» универсального метода не существует, в каждом случае требуется ■ыбирвть подходящее ПО и настраивать его в соответствии со спецификой объекта исследования. По этой причине «бумажные» методики остаются весьма распространенными.
И нишей стране в настоящее время пока еще чаще всего используются разнообразные «бумажные» методики анализа рисков, достоинствами которых является гибкость и адаптивность. Как пропило, разработкой данных методик занимаются компании -системные и специализированные интеграторы в области защиты информации. По понятным причинам методики обычно не публикуются, поскольку относятся к «Кпоу Нош» компании. В силу -шкрытости данных методик судить об их качестве, объективности и возможностях достаточно сложно.
Изучение и оценка угроз негативных воздействий на информационную составляющую экономической безопасности предприятия тшюлят обосновать необходимость создания системы ЗИ, рассчитать эффективность принятых мер по предотвращению ущербов от негативных воздействий на информационную безопасность.
2.3. Страхование рисков как способ экономической защиты информации
В организациях, достигнувших определенной степени зрелости, проведение анализа рисков и управление рисками на всех стадиях жизненного цикла информационной технологии являются обязательными элементами в системе мероприятий по обеспечению режима информационной безопасности.
Управление риском - это процесс, целью которого является уменьшение или компенсация ущерба при наступлении неблагоприятных событий. Процесс управления риском включает в себя следующие этапы:
• анализ риска, выбор методов воздействия;
• принятие решения;
• непосредственное воздействие на риск;
• контроль и корректировка результатов процесса управления.
Все способы воздействия на риск можно разделить на три ос
новные группы.
1. Снижение риска за счет:
- исключения риска;
- снижения вероятности возникновения риска;
- снижения возможного ущерба.
2. Сохранение риска на существующем уровне в результате:
- самострахования (за счет использования средств из резервного фонда);
- привлечения внешних финансовых источников (дотации, займы), для компенсации убытков и восстановления производства.
3. Передача риска третьим лицам, при сохранении сущест
вующего уровня риска:
- страхование;
- получение финансовых гарантий;
- другие методы (договорные, юридические и т.д.).
В России основная масса средств, выделяемых на защиту информации, тратится на выполнение мероприятий, направленных на предупреждение утечки информации. В случае произошедшей утечки конфиденциальной информации предприятие несет материальный или моральный ущерб, при этом тратя огромные средства на локализацию последствий произошедшего. Практика показывает, что только комплексная система защиты информации является наиболее надежной защитой секретов предприятия. Комплексная система защиты информации должна предусматривать процедуру управления информационными рисками на предприятии. Однако методам, направленным на компенсацию ущерба при уже реализованных угрозах безопасности информации, руководителями предприятий уделяется недостаточное внима-
!№•< С другой стороны, применение методов возмещения убыт-ИМ ЩЧметую является более обоснованным с экономической ТОЧКИ зрения.
Рилнчпме виды обеспечения системы защиты информации ММ1ЮГ сноп методы и способы защиты информации. В сущест-|ующих условиях развития рыночных отношений в стране можно выделить еще один метод защиты информации - страхование Информационных рисков.
Страхование информационных рисков предприятия - это метод чшциты информации в рамках финансово-экономического обеспечения системы защиты информации, основанный на выдаче страховыми обществами гарантий субъектам информационных отношений по восполнению материального ущерба в случае реализации угроз информационной безопасности.
Преимущества страхования в качестве метода защиты очевидны. Это не только способ возмещения материального ущерба. Использование страхования предполагает анализ объекта страхования, и также полный и тщательный аудит состояния системы 1ИМ1НТМ информации предприятия перед заключением договора. Причем в этом заинтересован как страхователь, которому важно не переплатить взносы, так и страховщик, который не захочет принимать на страхование «недоделанную» систему. Страхование играет и стимулирующую роль - фирма, улучшая свою систему защиты информации, получает возможность снизить свои страховые взносы.
Выигрыш от страхования информационных рисков выражается также в повышении эффективности функционирования предприятия, в результате чего возрастает доверие к нему со стороны потенциальных клиентов и партнеров. По этому параметру деятельность предприятий приближается к мировым стандартам. Кроме того, страхование информационных рисков повышает информационную прозрачность предприятий на внутреннем и ннешнем рынках.
Обычно страхование используется как дополнительная мера шциты информации. В случае если другие меры оказываются слишком дорогостоящими или непригодными, страхование используется как альтернативный метод.
При выборе страхования как метода защиты информации проводится сопоставление затрат от потери информации и стоимости мероприятий по ее защите. Исходя из критерия «эффективность-стоимость», принимается решение об использовании того или иного метода защиты информации.
В случае выбора страхования как метода защиты информации рекомендуется обратить внимание на следующие факторы:
1. Страхование стоит использовать, когда вероятность реализации угрозы не очень велика, но последствия для информационной системы значительны.
2. Немаловажен такой показатель, как ценность информации. Если для предприятия важна сама информация, ее конфиденциальность, наличие, то необходимо большую часть средств направлять именно на предотвращение несанкционированного доступа к ней, то есть использование инженерно-технических или программно-аппаратных или криптографических средств защиты. Если же информация подлежит восстановлению, и ее потеря или модификация незначительно сказывается на работоспособности информационной системы, то целесообразно большую часть средств направлять на страхование.
3. Ущерб от потенциальных потерь низкий при достаточно высокой вероятности реализации угрозы.
При определении объема страхового покрытия страхователь должен понимать, что ввиду новизны страхования именно информационных рисков и отсутствия статистики необходимо подробно описать в страховых договорах все возможные страховые случаи, а также правила и условия страхования. После принятия решения об использовании страхования в качестве метода защиты информации специалист по защите информации (информационной безопасности) должен составить справку по объектам, подлежащим страхованию, рискам и возможным потерям, по вероятности реализации рисков и по размерам возможных убытков и принять решение по поводу вида страхования, типа договора, условий страхования и т.п. После выбора вида страхования необходимо заключить договор со страховой компанией. Компания может указать на недостатки в существующей системе защиты и не принять на страхование какие-то объекты, В таком случае необходимо ликвидировать «дыры» в системе.
В иоптнстствии с классификацией, принятой органами госу-ДЦрОТИепного страхового надзора, выделяют следующие виды «ГрЙХопшшя:
- СТрпчование имущества;
- страхование ответственности;
- личное страхование.
Страхование имущества
В рамках системы защиты информации можно выделить следующие объекты страхования:
■ чдания и сооружения, в которых могут находиться объекты ШЦиты (помещения службы защиты информации, в которых постоянно хранятся и обрабатываются носители информации, др. выделенные помещения);
■ находящиеся в выделенных помещениях объекты защиты (письменные и видовые носители информации, средства передачи и обработки информации, системы обеспечения производст-непиой деятельности, средства радио и кабельной связи, радио-пещнния и телевидения);
- средства защиты информации (инженерно-технические, программно-аппаратные, криптографические, электрические, электронные, оптические и другие устройства и приспособления, приборы и технические системы);
- средства транспортировки письменных и видовых носите
лей, а также сами носители информации.
Следует различать следующие разновидности страхования имущества:
а) страхование имущества и имущественных интересов отдельно и в совокупности от огня и других опасностей, в том числе и стихийных бедствий.
Часто имущество подвержено угрозе пожара, наводнения, чемлетрясения, аварии, удара молнии и взрыва газа, употребляемого в бытовых целях и т.д. Подлежат также возмещению убытки, происшедшие вследствие принятых мер для спасения имущества, тушения пожара или предупреждения его распространения.
Дополнительно в договор страхования может быть включена ответственность страховщика за убытки от повреждения или гибели имущества в результате стихийных бедствий (извержения
вулкана, землетрясения, горных обвалов, оползней, бури, вихря, урагана, ливня, наводнения и т.п.); повреждения электрических установок, приборов и машин от действия электрического тока; внезапной порчи водопроводных, противопожарных и канализационных устройств; кражи с взломом.
Таким образом, принимается на страхование широкий набор рисков, который может быть еще расширен и дополнен по соглашению сторон;
б)страхование технических рисков, например, страхование технических средств передачи, приема и обработки информации (ТСПИ).
Широкое применение электронного оборудования, его высокая стоимость, специфика эксплуатации и подверженность различным рискам выделили его страхование в самостоятельную разновидность страхования имущества.
По этому виду страхования возмещению подлежат прямые убытки, образовавшиеся в результате гибели и/или повреждения технических средств передачи и обработки информации, перечисленных в договоре страхования, вследствие случаев, возникших под воздействием внешних факторов, а также кражи. Например, убытки образовавшиеся в результате ошибок в эксплуатации застрахованного имущества, неосторожности обслуживающего персонала или злоумышленных действиях третьих лиц, при коротком замыкании и других аналогичных причин, в случаях пожара, удара молнии или взрыва, а также стихийных бедствий, а также при краже с взломом, грабеже или разбойных действиях; дефектах материалов, ошибках в конструкции, изготовлении или монтаже застрахованного имущества.
Данный вид страхования особенно эффективен в отношении разветвленных компьютерных сетей, сложных электронно-вычислительных комплексов, оборудования связи и другого дорогостоящего оборудования.
Дополнительно может быть предоставлена защита от убытков в случае внезапного прекращения подачи электроэнергии из общих сетей энергоснабжения, выхода из строя систем кондиционирования воздуха, включая ущерб, причиненный самой системе, использования застрахованного оборудования для проведения экспериментальных или исследовательских работ;
») втрпхопаиие от электронных и компьютерных преступлений.
Этот нид страхования позволяет покрывать ущерб от пре-ЯупНЫХ действий с использованием компьютерных сетей и элек-ТфОННМХ средств банка в результате ввода мошеннически подго-Т4М*НПЫх или видоизмененных данных или команд в компьютерные сети банка, перевода средств или связи с клиентами, в том «Й(вЛе во ьремя передачи данных; умышленного уничтожения или рфЛИСН, воровства электронных данных и их носителей, вирусных |т!к; осуществления платежей на основе сфальсифицированных Поручений клиентов, передаваемых по системам электронной, ТМвКСНОЙ, факсимильной или телефонной связи.
Ото новая разновидность страхования, услуги по которой в России предоставляются пока ограниченным количеством стра-ЧОИЫХ компаний;
г) страхование выставочное.
П соответствии с действующей в настоящее время «Инструкцией по обеспечению сохранности документов при организации ИХ экспонирования» (приказ Росархива от 11 ноября 1993 г. № °5) документы, выдаваемые из архива для экспонирования на иыстпвках, должны быть застрахованы. Это обеспечит их защиту от небрежного обращения, хищения, пропажи, повреждений.
(Страхование ответственности
И системе защиты информации это прежде всего страхование профессиональной ответственности, а именно:
а) страхование профессиональных упущений и ошибок раз
личных категорий лиц предприятия, которые в результате допу
щенной небрежности или недостатка опыта в процессе своей
профессиональной деятельности могут причинить ущерб здоро
вью или имуществу клиентуры;
б) страхование ответственности охранных агентств (служб
охраны).
Страховая защита обеспечивается в процессе деятельности но реализации сохранности материальных ценностей, по сопровождению грузов, по охране физических лиц и иных видов охранной деятельности. Страховой полис дает возможность получить возмещение прямого действительного ущерба, причиненного уничтожением или повреждением имущества; дополнитель-
ных расходов, необходимых для восстановления здоровья потерпевших; судебных издержек; расходов на привлечение независимых экспертов; прочих расходов по предварительному выяснению степени виновности;
в) страхование ответственности производителей средств и систем защиты информации, программного обеспечения.
Объектом страхования в данном случае выступает ответственность производителя за причинение имущественного ущерба в случае поставки некачественных средств и систем защиты информации, а также в случае их технического сопровождения с нарушением требований нормативно-технической документации.
Страховые компании предлагают также страхование ответственности разработчиков программного обеспечения, в том числе разработчиков автоматизированных банковских систем. Покрытию подлежит ответственность разработчиков за потенциальный материальный или финансовый ущерб, который может быть нанесен в процессе эксплуатации клиентами их продукции.
Комплексное имущественное страхование
Данный вид страхования является основополагающим элементом страхования банков и других финансовых институтов (например, профессиональных участников фондового рынка) и обеспечивает возмещение прямых убытков, вызванных противоправными действиями их персонала или третьих лиц.
Полис комплексного страхования финансовых институтов от преступлений с участием персонала и третьих лиц (так называемый полис ВВВ - Вапкегв В1апке1 Вопи) применяется вот уже без малого сто лет, конечно претерпевая некоторые изменения. На сегодняшний день ВВВ является основополагающим элементом страховой защиты банка.
Основным риском, покрываемым полисом ВВВ, является риск противоправных действий персонала. Предоставляя это покрытие, страховые компании вводят одну принципиальную оговорку: ими возмещаются лишь убытки от противоправных действий сотрудников, совершенных с целью личного обогащения либо с целью преднамеренного нанесения ущерба.
По полису ВВВ покрытие предоставляется также в отношении рисков утери ценностей, находящихся в помещениях банка (в хранилище, сейфах, кассах и т. д.) и во время их перевозки.
Кроме 'н'ого, страховщики возмещают убытки в результате КбШМЬ'ншння поддельных чеков, депозитных сертификатов, МКМлеи, облигаций, акций, других ценных бумаг, а также фаль-ШМЯЫХ денег. Компенсируется и ущерб, наносимый помещениям К внутренней обстановке банков в результате противоправных двЯетяии третьих лиц.
Комплексный подход к страхованию намного выгоднее по фИКИНеочым условиям (стоимость отдельных рисков, таким обра-ИМ. значительно уменьшается) и удобен с чисто технической ТОЧКИ зрения. Как правило, западные страховщики не идут на от-ДМЬНое страхование информационных рисков, и это понятно: прииичка к ВВВ заставляет страхователя искать виновных в «проколах» компьютерных систем и более ответственно подходить к системам защиты, тем более что по статистике 70-80% преступлений в отношении банков совершается с участием их собственного персонала.
Рачумеется, компьютерные сбои, не связанные с противоправными действиями, можно застраховать и в рамках обычного ЧТрнхоиппия «убытков, связанных с перерывами в коммерческой деятельности», однако в этом случае размеры покрытия будут существенно меньше.
Личное страхование
В качестве объектов личного страхования выступают жизнь, чдоровье и трудоспособность человека. Данный вид страхования можно порекомендовать в том случае, если работник фирмы, предприятия обладает ключевыми знаниями в той или иной области (ведущие специалисты). Такой вид страхования является мощным социально-психологическим методом защиты информации, поскольку является не только моральным, но и материальным стимулом труда любого работника фирмы, предприятия.
Страхование информационных рисков - новый вид страхования, получивший значительное развитие за последние несколько нет. При этом наиболее значительные темпы роста наблюдаются ■ш рубежом, где за сравнительно небольшой промежуток времени страхование информационных рисков выросло до объемов нескольких тысяч страховых полисов по состоянию на 2004 г. По
оценкам экспертов, объемы рынка страхования информационных рисков только в США составляют около $4 млрд.
Вместе с тем, следует отметить, что в России уже создана минимальная информационно-правовая база, необходимая для страхования информационных рисков, и первые шаги в этом направлении уже сделаны. В России в прошлом году было выплачено свыше четырех миллионов долларов по страховым случаям, связанным с информационными рисками. Потенциальный объем страхового поля информационных рисков оценивается в несколько миллиардов долларов. Вместе с тем, этим видом страхования сегодня занимаются менее десятка страховщиков и страховых брокеров. В 2000-2002 гг. в нескольких российских компаниях («Росно», «Ингосстрах» и др.) стартовали новые проекты по страхованию информационных рисков, одновременно компании начали получать лицензии на этот вид страхования. В основном предлагаются два вида страхования: страхование электронных устройств и страхование от преступлений в сфере компьютерной информации и электронных средств связи. Страхование информационных рисков относится к эксклюзивному виду страхования.
Контрольные вопросы
1. Назовите этапы построение комплексной системы защиты информации на предприятии.
2. Понятие политики безопасности и ее роль при создании системы защиты информации.
3. Что является необходимым условием обоснования эффективности создания и функционирования системы информационной безопасности?
4. Что понимается под угрозой информационной безопасности объекта?
5. Перечислите угрозы, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации, обусловленные объективными факторами.
6. К каким последствиям могут привести несанкционированные манипуляции с информацией?
7, Ж каких компонентов складываются общие понесенные ИТрвты на реализацию мер по обеспечению информационной со-•МИЛИющсй ЭБ предприятия?
К. Как определить общий ущерб от атаки на информационные ресурсы?
У. Назовите методы оценки рисков информационной безо-НШЗИости при использовании программных средств и информационных систем управления.
К) 13 чем с экономической точки зрения состоит преимущест-«о стрпхования в качестве метода защиты информации?
11. Какие виды страхования в рамках системы защиты информации возможны?