________________
Конявский В.А., Кузьмин М.Ю., Кристальный Б.В.
Аннотация
В статье рассмотрен ряд проблем, препятствующих, по мнению авторов, широкому распространению методов страхования информационных рисков в России. Выявлена наиболее значимая из них – проблема оценки безопасности информационных технологий, применяемых юридическими и физическими лицами, которая требует значительных затрат как со стороны страховых компаний (на проведение экспертизы информационных технологий), так и со стороны клиентов (на выполнение рекомендаций страховых компаний).
В статье предложены возможные методы снижения затрат на страхование информационных рисков, позволяющие расширить область страхования – от носителей информации и средств их обработки до информационных технологий и информационных систем в целом. Предложенный подход проиллюстрирован примерами применения новой инновационной отечественной импортозамещающей продукции – защищенных микрокомпьютеров на базе «гарвардских» микропроцессоров.
Практическая ценность рассмотренного в статье подхода заключается в том, что он может быть применен в страховании информационных рисков не только юридических, но и физических лиц. Это будет способствовать существенному расширению отечественного рынка доверенных информационных технологий с застрахованными информационными рисками.
Ключевые слова: информационная технология, безопасность информационной технологии, информационная безопасность, информационный риск, страхование информационных рисков.
Страхование информационных рисков вот уже почти 15 лет является одной из самых трудно решаемых и в то же время актуальной проблемой в обеспечении информационной безопасности. С одной стороны, развитие и вместе с тем усложнение информационных технологий и применяемых в них средств и систем обусловливают потребность общества в непрерывном совершенствовании всех видов обеспечения информационной безопасности, включая методы страхования информационных рисков. С другой стороны, возрастает сложность и трудоемкость оценки рисков информационной безопасности информационных и других систем, используемых физическими и юридическими лицами (далее – клиентами).
В настоящей статье анализируются факторы, сдерживающие развитие страхования информационных рисков в России, формулируются предложения по решению этой актуальной задачи. Понятие «информационная технология» рассматривается с точки зрения процессного подхода, согласно которому информационная технология есть совокупность регламентированных технологических процессов обработки (хранения, приема–передачи и др.) информации, включая ресурсы процесса – технические (аппаратные и программно-аппаратные) средства обработки информации и обрабатываемую информацию в виде данных на носителях информации, а также участвующий в реализации процесса персонал.
Нормативная база системы страхования
информационных рисков в России
9 сентября 2015 г. исполнилось 15 лет с момента принятия старейшего правового документа в области информационной безопасности современной России – «Доктрины информационной безопасности Российской Федерации» [1]. До настоящего времени Доктрина является единственным основополагающим правовым документом, в котором в качестве экономического метода обеспечения информационной безопасности страны рассматривается «создание системы страхования информационных рисков физических и юридических лиц» (раздел 2, п. 5).
Для решения практических вопросов, связанных с созданием системы страхования информационных рисков, которая предусматривает компенсацию ущерба в случае реализации угрозы информационной безопасности, Указанием Госкомсвязи [2], действовавшим в период с 1998 по 2004 г., была создана специальная рабочая группа. Она включает представителей Госкомсвязи России, ведущих российских страховых компаний и организаций. Указание содержало Соглашение между участниками рабочей группы по сотрудничеству в области создания, развертывания и развития системы страхования информационных рисков, в том числе разработку правовых, нормативных и методических документов, финансирование проводимых работ, опытное внедрение страховых продуктов и осуществление страхования информационных ресурсов, систем и технологий. Ведущую роль в исследовательских работах в этой области выполнил Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ). Среди страховых компаний первопроходцами и участниками рабочей группы стали «Промышленно-страховая компания», «Ингосстрах», «РОСНО», «Лидер», «Страховая акционерная компания ʺИнформстрахʺ» и другие.
С целью развертывания системы страхования информационных рисков в России Указанием были рекомендованы разработанные базовые документы и/или их проекты:
Типовые объекты страхования информационных рисков и оценка их страховых рисков
Как правило, каждая компания, осуществляющая страхование информационных рисков, использует собственную методику, определяющую объекты страхования и порядок оценки их рисков. В соответствии с существующей практикой, например, компании «Ингосстрах» [11], в качестве объектов страхования рассматриваются следующие активы:
Компания, желающая застраховать информационные риски, перед заключением договора страхования должна пройти информационный аудит (аудит информационной безопасности), в рамках которого осуществляется оценка защищенности информационной системы (и/или информационной технологии) клиента. Информационный аудит, как правило, требует привлечения страховой компанией профессионального специалиста-аудитора в области информационных технологий и информационной безопасности. В результате обследования информационной системы и оценки ее защищенности аудитор формулирует рекомендации по устранению угроз информационной безопасности, регламентации процессов информационных технологий и др., при условии выполнения которых оплата страхового покрытия обойдется клиенту дешевле, поскольку выполнение рекомендаций уменьшает риски возникновения страхового случая. Например, для страхуемых информационных активов (баз данных и программного обеспечения) должна быть предусмотрена возможность их восстановления, для финансовых активов и другой требуемой защиты (конфиденциальной, коммерческой и т.п.) информации должны применяться программно-технические средства их защиты.
Если в течение срока действия полиса у клиента произошли изменения используемой информационной технологии, которые могут повлечь изменение степени риска, то в соответствии с Информационным сообщением Совбеза РФ [12] (ст. 959) клиент обязан уведомить об этом страховую компанию. Страховая компания имеет право назначить процедуру повторного информационного аудита, результат которого может повлечь изменение условий страхования и увеличение суммы страховой премии в случае возрастания рисков объектов страхования.
Факторы, сдерживающие распространение страхования информационных рисков
Исходя из описания процесса оценки информационных рисков объектов страхования, можно определить, что же ограничивает массовое применение страхования информационных рисков.
Во-первых, это достаточно затратный для клиента информационный аудит, который сопоставим по выполняемым работам и необходимым ресурсам с аудитом информационной безопасности или с аттестацией информационных систем Одной из проблем, требующих решения при информационном аудите, является трудность локализованного (изолированного) рассмотрения объекта страхования, т.е. выявления и учета зависимости объекта страхования от других компонентов информационных систем, которые могут оказывать влияние на безопасность рассматриваемого объекта.. Небольшие организации могут не располагать необходимыми финансовыми средствами.
Во-вторых, информационный аудит требует наличия у клиента полностью регламентированной информационной технологии, без которой невозможно оценить защищенность объектов страхования и, следовательно, связанные с ними информационные риски. Не секрет, что подобная регламентация является неосуществимой мечтой для подавляющего числа организаций-клиентов.
В-третьих, даже в небольших компаниях применяемая информационная технология достаточно часто претерпевает изменения, вызванные, в частности, необходимостью использования нового прикладного программного обеспечения, модернизацией технических средств и т.п. Об этих изменениях клиент должен сообщить страховой компании, которая принимает решение о повторном проведении информационного аудита, что предполагает дополнительные затраты клиента на страхование.
Все сказанное относится к клиентам, являющимся юридическими лицами. Что касается физических лиц, то в открытом доступе в сети интернет, включая сайты российских страховых компаний, отсутствуют сведения о фактах проведения в России аудита информационных технологий и систем, принадлежащих физическим лицам, а также о страховании ими информационных рисков. Возможно, дело здесь в том, что информационные технологии используются физическими лицами в личных целях и что для некритичных информационных технологий затраты на ликвидацию последствий их нарушений в случае реализации угроз информационной безопасности могут оцениваться людьми как значительно меньшие по сравнению с затратами на информационный аудит и страхование информационных рисков. Для критичных информационных технологий, например, использования систем электронных платежей, затраты на страхование информационных рисков могут представлять серьезную финансовую проблему для многих физических лиц в основном из-за необходимых затрат на выполнение требований информационного аудита.
Можно сделать вывод, что расширению российского рынка страхования информационных рисков способствовало бы снижение затрат клиентов на первичный и повторный информационный аудит и на страхование информационных рисков в целом. В этом случае страхование информационных рисков будет доступно по стоимости не только юридическим, но и физическим лицам.
Существенное снижение затрат на аудит может быть достигнуто путем:
Как обеспечить регламентированность, защищенность и гарантированную неизменяемость информационной технологии
В качестве примера, иллюстрирующего применение предложенного подхода к страхованию информационных рисков, рассмотрено использование физическими и юридическими лицами инновационной отечественной испортозамещающей продукции – защищенных микрокомпьютеров на базе «гарвардских» микропроцессоров, производимых ПАО «Трастед Клауд Компьютерс–миллионер».
К числу особенностей защищенных микрокомпьютеров на базе «гарвардских» микропроцессоров относятся:
принципиальная невозможность осуществить запись в память, занимаемую программой, исключает вероятность разрушения программ в случае их сбоев при обработке данных или компьютерных атак;
Примечание. В процессорах традиционной «фон-неймановской» архитектуры (основа большинства используемых персональных компьютеров) такого свойства нет, поэтому в системах на их базе требуются дополнительные средства защиты.
динамически изменяемая архитектура, которая обеспечивает необходимую защищенность и эффективность;
обеспечение неизменности операционной системы и прикладных программ;
обеспечение «вирусного иммунитета»;
возможность адаптации «стандартных» операционных систем для микрокомпьютеров.
Используемая в микрокомпьютерах новая архитектура позволяет:
существенно повысить защищенность клиентских компьютеров;
значительно снизить стоимость защиты;
обеспечить создание защищенного облака (one touch security);
создать защищенные клиентские компьютеры (локальные, сетевые, облачные), планшеты, телефоны и др.
Состав линейки защищенных микрокомпьютеров:
1) микрокомпьютеры MKT и МКТ+ представляют собой
Рис. 1 Микрокомпьютеры MKT и МКТ+
к монитору – через DVI;
Рис. 2 Микрокомпьютер MKTrusT
Рис. 3 Терминальная станция MKT-card
• терминал, состоящий из стационарной док-станции, к которой подключается периферия, и отчуждаемого мобильного устройства – носителя всей персонифицированной части информационной среды клиентского рабочего места;
• MKT-card и MKT-card long – это доверенный облачный микрокомпьютер с динамически изменяемой архитектурой.
Технические характеристики:
• параметры компьютера аналогичны остальным решениям линейки;
• док-станция содержит: 8 USB-портов; выход HDMI; сетевой разъем RJ-45;
разъем питания;
• док-станция коммутируется: с периферийным оборудованием через USB;
с монитором через HDMI; с сетью – через RJ-45; возможно использование WiFi (при условии разрешения на его применение).
4) Планшетный компьютер TrusTPad представляет собой
Рис. 3 Планшетный компьютер TrusTPad
Особенности микрокомпьютеров:
При применении микрокомпьютеров в защищенном режиме обеспечивается конкретная регламентированная и описанная в документации информационная технология, которая гарантированно неизменяема, т.к. в процессе работы у пользователя просто нет средств для непреднамеренного или умышленного ее изменения. В частности, пользователь может использовать такой микрокомпьютер для защищенной работы в системе «клиент–банк» для совершения электронных платежей, будучи уверен в том, что со стороны клиента системы гарантированно обеспечивается выполнение регламентированной технологии взаимодействия с банком.
Указанные свойства и характеристики микрокомпьютеров позволяют не проводить информационный аудит каждого микрокомпьютера, применяемого юридическим или физическим лицом в определенной информационной технологии, что существенно снижает расходы клиентов на оценку страхуемых ими информационных рисков.
Гарантированная микрокомпьютером защищенность и неизменность используемой информационной технологии позволяет страховой компании легко оценить страхуемые информационные риски клиента как практически нулевые (ненулевой вклад в риски дает, например, возможная поломка или потеря микрокомпьютера. В последнем случае использовать микрокомпьютер посторонний пользователь не сможет). Величина страховой премии клиента при использовании таких микрокомпьютеров будет весьма незначительной.
Таким образом, за счет применения средств, аналогичных рассмотренным микрокомпьютерам, которые обеспечивают регламентированность, защищенность и гарантированную неизменяемость используемой информационной технологии, российский рынок страхования информационных рисков, по нашему мнению, может быть расширен, в том числе за счет охвата страхованием физических лиц.
* * *
Современный уровень развития информационных технологий открывает новые возможности для развития системы страхования информационных рисков в России. В первую очередь это связано с применением доверенных элементов информационных технологий – средств обработки информации, обеспечивающих и гарантирующих защищенность и неизменность реализуемой с их помощью информационной технологии. Гарантированная защищенность и неизменность информационных технологий существенно снижает риски их применения, что дает возможность страховым компаниям, с одной стороны, снизить размер страховой премии, а с другой – повысить страховые выплаты.
Во-вторых, использование доверенных информационных технологий существенно снижает затраты на оценку их безопасности страховыми компаниями и затраты клиентов на выполнение рекомендаций по снижению рисков безопасности применяемых ими информационных технологий. Гарантированная защищенность и неизменность информационной технологии исключает необходимость затрат на ее переоценку страховыми компаниями.
В-третьих, применение доверенных, защищенных от изменения информационных технологий открывает широкие возможности для страхования информационных рисков физическими лицами, которые в настоящее время практически не охвачены этой системой, например, для страхования рисков нарушения целостности информационной системы «клиент–банк» и в целом безопасности финансовых операций с ее использованием.
В-четвертых, предложенный подход позволяет осуществлять поставку доверенных информационных технологий в виде комплексного пакета, содержащего, например, доверенное средство информационных технологий и типовой полис страхования информационных рисков применения этого средства физическим лицом для осуществления электронных платежей.
Использование доверенных информационных средств и систем с гарантированно неизменяемой реализуемой ими информационной технологией является основой для дальнейшего развития систем страхования информационных рисков в России. В апреле 2015 г. Совет безопасности РФ сообщил о начале разработки новой редакции Доктрины информационной безопасности Российской Федерации [13]. Среди четырех основных составляющих национальных интересов страны в информационной сфере (п. 1 раздела 1) предусмотрена «защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем».
Учитывая существующую в России практику применения страхования информационных рисков и новые возможности, позволяющие использовать гарантированно неизменные и защищенные информационные технологии, можно полагать, что страхование информационных рисков останется в новой редакции Доктрины в перечне методов обеспечения информационной безопасности.
Литература
1. Доктрина информационной безопасности Российской Федерации. Утверждена Президентом РФ 09.09.2000 № Пр-1895.
2. Указание Госкомсвязи РФ от 04.12.1998 № 121-у «О реализации Соглашения о сотрудничестве в области страхования информационных рисков» (вместе с Соглашением от 10.11.1998 № 6836).
3. Приказ Росрыболовства от 12.10.2009 № 896 «Об утверждении Концепции внедрения и использования информационных технологий в деятельности Росрыболовства, его территориальных органов и находящихся в его ведении организаций».
4. ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.
5. Конявский В.А., Хованов В.Н. Роль и место системы страхования информационных рисков в обеспечении информационной безопасности // Управление защитой информации. 2009. С. 15–22. http://www.pvti.ru/data/file/part3.pdf
5. Конявский В.А., Хованов В.Н. Страхование информационных рисков и обеспечение информационной безопасности // Управление защитой информации. 2000. № 1. http://www.okbsapr.ru/index_hovanov.html
6. Конявская С.В. Страхование информационных рисков: подводные камни // Information Security. 2007. № 6–1 (декабрь 2006 – январь 2007). С. 58, 59.
7. Конявский В.А., Хованов В.Н. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности // ИНФОРМОСТ – Средства связи. 2003. № 15.
8. Конявский В. А. Мобильные платежи – проблемы и пути решения // Комплексная защита информации. Материалы XI Международной конференции. 20–23 марта 2007 г. Новополоцк. 2007. С. 135. http://www.okbsapr.ru/konyavski_2007_2.html
9. Макаренцев А. Страховой backup / Консультант. 2009. № 13.
10. Компания «Ингосстрах». Страхование рисков в области информационных технологий и телекоммуникаций. http://www.ingos.ru/ru/corporate/communications/
11. Гражданский кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (ред. от 06.04.2015, с изменениями от 07.04.2015).
12. Информационное сообщение Совета Безопасности Российской Федерации от 07.04.2015 о начале разработки новой редакции Доктрины информационной безопасности Российской Федерации. http://www.scrf.gov.ru/news/874.html
______________________________________________
КОНЯВСКИЙ Валерий Аркадьевич
Доктор технических наук, профессор, научный руководитель ОАО «Конструкторское бюро полупроводникового машиностроения ʺРостехʺ»
КУЗЬМИН Михаил Юрьевич
Начальник отдела ОАО «Конструкторское бюро полупроводникового машиностроения ʺРостехʺ»
КРИСТАЛЬНЫЙ Борис Владимирович
Профессор, советник генерального директора ОАО «Конструкторское бюро полупроводникового машиностроения ʺРостехʺ»