Косарев Александр Васильевич. Страхование информационных рисков Диссертация

brief description:
Косарев Александр Васильевич. Страхование информационных рисков : Дис. ... канд. экон. наук : 08.00.10 : Москва, 2004 191 c. РГБ ОД, 61:04-8/2852

Содержание к диссертации

Введение
Глава 1. Особенности страхования в сфере информационной деятельности 13
1.1. Страховой рынок и его особенности 13
1.2. Информационные риски и их проявление 23
1.3. Страхование как механизм защиты от информационных рисков 41
Глава 2. Современная практика страхования информационных рисков 56
2.1. Анализ страхового поля сферы информационной деятельности 56
2.2. Имущественное страхование в системе страхования информационных рисков
23. Страхование ответственности в информационной сфере деятельности
109 129
Глава 3. Совершенствование страхования информационных рисков в сфере бизнеса 109
3.1, Организационные принципы страхования информационных рисков
3.2. Нормативно-методическая база организации страхования информационных рисков
Заключение 147
Список литературы 151
Приложения

Введение к работе

Рыночным отношениям присущи различного рода риски, а, следовательно, возросла роль страховых организаций в поддержании устойчивой деятельности предприятий малого, среднего и крупного бизнеса. Страхование призвано снижать рисковую сторону их хозяйственной деятельности. В нынешних условиях развивающейся информатизации страховые компании, помимо традиционных видов услуг (страхование жизни, страхование от несчастных случаев и болезней, медицинское страхование, страхование средств транспорта и грузов, страхование имущества и др.), стали развивать новый для российских условий вид страхования - страхование информационных рисков. В значительной степени это связано с тем, что резко усиливается процесс внедрения компьютерных и телекоммуникационных средств в управленческие процессы самых различных сфер деятельности хозяйствования. Стремительно меняется состав технической базы обработки информации, программные продукты, технологии использования информационных компонентов. Помимо автономного использования компьютерных средств все активнее внедряются сетевые технологии на базе персональных ПК, серверного оборудования, а также универсальных ЭВМ, системы сетевой обработки данных с применением Интернет - технологий. Лишь за 2002 г. обороты электронной коммерции через Интернет выросли более чем на 70%, с 354 до 615 млрд. долл., а число пользователей Интернет достигло почти 498 млн. человек во всем мире [113].
Широкий информационный обмен нередко сопровождается развитием компьютерных злоупотреблений и преступлений, а создаваемое в рамках субъектов хозяйствования (банки, биржи, финансовые и консалтинговые организации и др.) информационное пространство не является полностью защищенным от внутренних и внешних посягательств.
Одним из факторов устойчивого развития бизнеса является наличие, владение и эффективное использование информационных ресурсов. Рьшоч-
ная конкуренция вносит в нынешнюю информационную деятельность особенности, которых не было в период централизованной экономики. На смену закрытым обособленным информационным системам идут глобальные, открытые системы. При этом недоработки аппаратного, программного, организационного, технологического и других видов обеспечения предоставляют несанкционированный доступ различных категорий пользователей к информации, находящейся в разных системах.
Особенно опасным в последние 10-15 лет становится нарастающий процесс несанкционированного вторжения посторонних лиц в информационные ресурсы хозяйствующих субъектов и частных лиц, нередко приводящий к серьезным потрясениям, как в коммерческой деятельности, так и в частной жизни. К таким действиям относятся; ознакомление с информацией конкурирующих субъектов, ее изменение, подмена, тиражирование, компьютерная вирусология, преднамеренные действия по искажению информационных баз данных. По данным аудиторской фирмы "Эрнст энд Янг", две трети российских фирм в 2001 г. столкнулись с нарушениями в сфере компьютерной безопасности. Ежегодные потери, связанные с компьютерными преступлениями, оцениваются сотнями миллионов долларов [116].
Учитывая стратегическую важность информационной безопасности, Указом президента РФ от 9 сентября 2000 г. утверждена Доктрина информационной безопасности Российской Федерации. В числе многих важных проблем в ней содержится пункт и о необходимостисоздания системы страхования информационных рисков физических и юридических лиц[3].
В соответствии с этой Доктриной при Ассоциации российских банков создана Рабочая группа организации страхования информационных рисков в кредитно-финансовой деятельности. Цель создания группы - разработка условий по обеспечению компенсации ущерба, причиненного коммерческим банкам и организациям-разработчикам автоматизированных банковских систем в результате отказов и сбоев программного обеспечения, отказов тсхни-
ческих средств, несанкционированных действий лиц, внедрения программ-вирусов, умышленных и неумышленных действий обслуживающего персо-нала[120].
К сожалению, надо признать, что обеспечение защиты конфиденциальной информации, не составляющей государственную тайну, не поставлено на достаточно высокий уровень, а сегодня сведения именно такого рода составляют значительную долю информации, циркулирующей в информационно-коммуникационных системах коммерческих организаций.
Создаваемые своими силами или силами специализированных организаций информационные системы такого типа не являются идеально защищенными от возможных посягательств, атак и т.д., растет интенсивность вирусных компьютерных инцидентов. В частности, в 2002 г, в мире было зафиксировано 12 крупных и 34 менее значительных вирусных эпидемий. Урон, нанесенный мировому сообществу компьютерными вирусами в 2002 г., оценивался в 14,5 млрд. долларов, превысив показатель 2001 г, на 10%,[47]. В январе 2004 г. вирус Novarg заразил более 500 тыс. компьютеров, в том числе почти 300 тыс. в России, нанеся существенный урон информационным системам. Компания SCO Group пообещала выплатить 250 тыс, долл. за любую информацию, которая поможет найти разработчика вируса [136].
В настоящее время информация становится важным стратегическим товаром, утрата которого может привести к существенным экономическим потерям для хозяйствующих субъектов. У руководителей многих организаций и предприятий к настоящему времени сложилось четкое понимание, что необходимо минимизировать риски и получать гарантии компенсации понесенных потерь, причиненных утратой информации.
Одним из источников компенсации понесенных убытков становится действенная система страховой защиты, предоставляемая страховыми организациями. Приходится констатировать, что в отечественной практике сфера страхования информационной деятельности развивается крайне медленно и
освоена в сравнительно небольших размерах. Поэтому не случайно, что секцией по информационной безопасности Научного совета при Совете Безопасности Российской Федерации в числе приоритетных проблем научных исследований в области информационной безопасности РФ включена тема "Разработка моделей и механизмов страхования информационных рисков".
На Западе начало страхования информационных рисков относится к концу 90-х годов прошлого столетия. В теоретическом плане эта проблема решалась в работах зарубежных специалистов - Bland D., Dorfman М, Rejda G. и др. [27*109,110]. Практический же опыт был представлен лишь методическими материалами таких зарубежных страховых компаний и страховых брокеров как AIG, Aon, АХА, CHUBB, Hiscox, Marsh и некоторых других. За относительно небольшой период этот вид страхования приобрел там большую популярность, К страхованию информационных рисков, прежде всего, стали прибегать крупные финансово-банковские и промышленные компании, холдинги, обладающие не только мощными информационными ресурсами и современными компьютерными и телекоммуникационными системами преобразования данных, но и достаточными финансовыми ресурсами.
В 1994 г. Федеральной службой России по надзору за страховой деятельностью утверждена новая редакция "Условий лицензирования страховой деятельности на территории Российской Федерации,а[14], действующая и по настоящее время. Она включает три вида личного страхования, шесть - имущественного и шесть видов страхования ответственности. Однако, вид "страхование информационных рисков'1этим документом не предусмотрен.
Учитывая значимость проблемы информационной безопасности и роль страхования информационных рисков как механизма обеспечения устойчивого развития экономики хозяйствующих субъектов, в ряде стран СНГ предприняты попытки разработки соответствующих документов на государственном уровне, например, закон Украины "О страховании35, проект закона Кыргызстана "О страховании информационных рисков"[40] и др.
В России практический опыт страхования информационных рисков находится в начальной стадии. Из 1436 зарегистрированных на 01.10.2003 в Государственном реестре Минфина России страховых компаний [42] лишь незначительная часть (например, Ингосстрах, Военно-страховая компания, РОСНО, Согласие, Северная казна и др.) предприняли попытки освоить этот вид страхования. Не имея лицензионного права на страхование информационных рисков, страховые компании получают лицензии на право его осуществления по разделам " страхование других видов имущества" и "страхование иных видов гражданской ответственности".
Принимая во внимание рост объемов экономической информации, множество создаваемых и используемых программных продуктов, повышение значимости информации как специфичного ресурса в современных рыночных условиях, а также наблюдаемое увеличение экономических потерь хозяйствующих субъектов вследствие компьютерных преступлений, у многих руководителей организаций финансово-банковской и иной экономической сферы меняется отношение к страхованию информационных рисков.
С другой стороны, страховые организации с позиции методического обеспечения еще нс готовы предложить свои услуги в этом направлении широкому кругу потенциальных страхователей. В числе основных причин:
а отсутствие четкой классификации информационных угроз и их экономических последствий;
а отсутствие нормативных материалов по анализу организаций с позиций их информационной защищенности;
а сокрытие статистики компьютерных преступлений; а отсутствие научно-обоснованной и подтвержденной практикой математико-экономической методологии анализа рисковых видов страхования в информационной сфере;
о недостаточная подготовка специалистов страховых компаний в области анализа и решения проблем информационной безопасности.
Можно утверждать, что страхование в области информационной технологии и, более узко, страхование информационных рисков является новой, относительно самостоятельной областью страхования с присущими ей следующими отличительными чертами:
наличие разнообразного спектра объектов, подвергающихся информационным угрозам, и многообразие путей возникновения информационных угроз;
множественность видов проявления последствий информационных угроз;
индивидуальность и уникальность оценки каждого риска;
затруднительный характер получения достоверных оценок возможных рисков в силу уникальности информационных технологий, аппаратно-программных средств, специфики защитных мероприятий.
Рыночные отношения менту хозяйствующими субъектами, усилившиеся в начале 90-х годов прошлого столетия, способствовали возрастанию доли страхования транспорта, грузов, объектов недвижимости, жизни, авиационного, выезжающих за рубеж и т.д. Именно эти направления стали объектами научного исследования и обобщения в работах российских теоретиков и практиков: Архипова АЛ, Гвозденко А.А., Гомелли В.Б., Еремина Б.А., Ка-галовской Э.Т., Лукина А.Б., Орланюк-Малицкой Л.А., Рябикина В.И., Федоровой Т.А,, Цыганова А.А.ТШахова В.В., Юлдашева РЛ и др.
Наряду с общими теоретическими вопросами страхования в работах названных ученых и специалистов в той или иной степени затронуты проблемы применения математических методов для оценки рисков в условиях рыночной конъюнктуры, но проблемы страхования информационных рисков не анализировались,
В последние годы на семинарах, конференциях и в периодической печати предметом рассмотрения стали отдельные стороны страхования информационных рисков, но они, в основном, затрагивают возможность предостав-
ления такой страховой защиты государственным структурах. Некоторые аспекты этой проблемы подверглись анализу в диссертациях Очередько В.Щ69], Кудрявцева О.А.[63] и др. Работы, посвященные комплексному исследованию страхования информационных рисков в сфере бизнес-процессов в России, практически отсутствуют.
Необходимость безотлагательного решения перечисленных вопросов определили выбор темы, цель и задачи настоящего диссертационного исследования.
Цель и задачи исследования. Целью диссертации является разработка теоретико-прикладного аппарата страхования информационных рисков. Эта цель исследования определила необходимость решения следующих задач;
1. рассмотреть возможность реализации в современных условиях нового вида страхования - страхования информационных рисков;
2. проанализировать существующие подходы к определению информационных рисков и на этой основе конкретизировать понятие, сущность и особенности информационных рисков;
3. рассмотреть состояние страхования информационных рисков ведущими страховыми компаниями Российской Федерации;
4. исследовать источники возникновения информационных рисков и возможные механизмы защиты информационных ресурсов, и с позиций страхования разработать классификацию информационных рисков;
5. разработать механизм страховой защиты сферы информационной деятельности от различных видов компьютерных злоупотреблений;
6. разработать методические подходы к организации и проведению страхования информационных рисков;
7. разработать рекомендации по совершенствованию нормативно-методической базы страхования информационных рисков.
Объект и предмет исследования.Объектом исследования является современный страховой рынок в сфере информационной деятельности. Предметом исследования является страхование информационных рисков.
Теопетический и методологический аппарат исследовании. Теоретической основой диссертационной работы являются основные положения экономической теории, теории информационных систем, труды отечественных и зарубежных авторов по теории страхования и проблемам темы диссертации. При решении конкретных задач использовались общенаучные методы исследования: логического и системного анализа и оценки событий, аналогии, сравнения и обобщения, элементы математической статистики, методы экспертных оценок.
В качестве информационной базы исследования рассмотрены законы, положения, действующие нормативные и методические материалы по организации процессов страхования и организации информационной безопасности в органах власти и хозяйствующих субъектов коммерческой деятельности, научно-практические разработки ведущих страховых компаний России (Ингосстрах, РОСНО, ВСК, Согласие и др.), и специализированных организаций по обеспечению информационной безопасности (компании Компькь Линк, НИП "Информзащита", ВНИИ вычислительной техники и информатизации и др.),
В процессе исследования автором изучены и проанализированы работы отечественных и зарубежных ученых в области теории и практики страхования в исследуемой предметной области, а также материалы семинаров, совещаний, конференций, официальные публикации в журналах и на сайтах сети Интернет по проблеме компьютерных преступлений и страхования информационных рисков.
Работа выполнена в соответствии с пунктом 6,5 "Формирование теоретических и методологических основ новых видов страховых продуктов и систем социальной поддержки и защиты населения страны" Паспорта специальности "Финансы, денежное обращение и кредит".
Научная новиїна работызаключается в разработке концепции страхования информационных рисков, базирующейся па современной зарубежной и отечественной методологии теории и практики страхования.
Работа содержит следующие элементы научной новизны:
8. определены основные характеристики информационных рисков, выявлены их особенности с позиции страхования, предложена классификация информационных рисков;
9. выявлены причины низкого уровня развития рынка страхования инсіюрмаци-онных рисков в России;
10. с учетом особенностей информационных рисков предложена авторская трактовка ''страхового поля" для данного вида страхования и выработаны рекомендации по отбору состава его участников;
11. выявлен состав объектов имущественного страхования и определены виды страхования ответственности при страховании рисков участников сферы информационной деятельности;
12. разработана методика предстраховой экспертизы как часть андеррайтерской политики, учитывающая специфику страхования информационных рисков;
13. разработаны информационная модель расчета стоимости страховых услуг по страхованию информационных рисков и механизм ее реализации.
Практическая значимость работы.Содержащиеся в работе выводы и рекомендации ориентированы на широкое внедрение страховыми организациями страхования информационных рисков. Данный вид страхования способен защитить предприятия и организации» использующие высокие информационные технологии, от потерь и убытков, возникающих в результате сбоев технических и программных компонентов информационных систем, хищения и модификации информации, несанкционированного доступа к информационным ресурсам и проч.
Разработанная методика предстраховой экспертизы как часть андеррайтинга рисков с позиций информационной уязвимости информационных систем, состав базовых показателей алгоритмов расчета ущерба от информационных угроз, предложенная унифицированная форма страхового полиса (договора) по страхованию информационных рисков могут быть использованы страховыми компаниями России при подготовке нормативно-методических материалов, регламентирующих процессы заключения договоров страхования информационных рисков.
Апробация и внедрение результатов исследования. Публикации.
Работа выполнена в рамках НИР Финансовой академии при Правительстве Российской Федерации в соответствии с темой "Проблемы формирования отечест-БС1ЇНОГО страхового рынка" (№ государственной регистрации 01.200.118574).
Разработанная методика при составлении программы страховой защиты по страхованию информационных рисков, а т