Система страхования компьютерных рисков как важное условие обеспечения безопасности
Ю.А. Гордеев, Н.В. Ключко, А.А. Кононов


Хорошо известно, что новые информационные технологии несут с собой и новые риски. Мы всегда должны помнить о том, чем мы рискуем, если компьютерные системы, на надежность которых мы полагаемся, перестанут выполнять свои функции должным образом. Имеем ли мы, и если имеем, то каковы гарантии того, что не произойдут события риска, вызванные недостаточной надежностью и безопасностью используемых информационных технологий? Кто может дать нам такие гарантии с обязательством возместить нанесенный ущерб и потери из-за того, что те или иные программно-аппаратные средства, те или иные информационные системы окажутся недостаточно защищенными и надежными? Эти вопросы, конечно, риторические, поэтому задача создания системы обеспечения гарантий безопасности используемых технологий представляется жизненно важной.

Главной функцией такой системы должно стать управление безопасностью информационной инфраструктуры, нацеленное на обеспечение минимизации рисков ее функционирования. Такая система должна быть в значительной степени саморегулируемой, например, как фондовый рынок.

Как этого добиться? Очевидно, что производители тех или иных компьютерных систем, программных продуктов, владельцы информационных баз данных или организации, выполняющие роль удостоверяющих центров открытых криптографических ключей, вряд ли смогут самостоятельно обеспечить гарантированное покрытие рисков своих клиентов и пользователей. Такие гарантии могут быть обеспечены или только достаточно богатым государством, или страховыми организациями. Государство, естественно, не в состоянии финансово обеспечить гарантии для любого из производимых продуктов, зато оно может потребовать, чтобы каждый серьезный продукт, каждая система, каждая услуга, появляющиеся на информационном рынке, были застрахованы. Что касается страховых организаций, то они при достаточной нормативной базе в принципе готовы страховать любые риски. Таким образом, если производители или поставщики (услуг, систем) будут обязаны страховать свои продукты, то они должны будут доказать страховщикам, что их продукты максимально надежны и защищены, и риски, связанные с их использованием, минимальны. В свою очередь, страховщики будут стремиться минимизировать ставки страхования, будут вынуждены либо создавать собственные экспертные службы, либо пользоваться услугами специализированных экспертных фирм, способных провести аудит безопасности и оценить степень надежности и защищенности оцениваемых продуктов и услуг. В качестве критериев для оценки могут использоваться профили защиты конкретных продуктов, систем или услуг, построенные на основании требований таких организаций как ФАПСИ, Гостехкомиссия или стандартов типа ISO 15408. Свою роль в контроле над безопасностью предлагаемых технологий должны будут сыграть и фирмы, которые займутся перестрахованием страховых рисков, связанных с безопасностью информационной инфраструктуры.

Другим направлением страхования в рамках системы обеспечения гарантий безопасности используемых информационных технологий должно стать обязательное страхование использования интегрированных компьютерных систем для бизнес-процессов и систем управления.

В этом случае должны страховаться риски, связанные с возникновением чрезвычайных ситуаций в результате нарушения безопасного функционирования указанных систем. Федеральный закон "О промышленной безопасности опасных производственных объектов", обсуждаемый в Госдуме законопроект "Об обязательном страховании гражданской ответственности за причинение вреда при эксплуатации опасного объекта", целый ряд других уже принятых законов и готовящихся законопроектов могут расцениваться как первые шаги в данном направлении.

При этом размер страховых взносов организаций, эксплуатирующих интегрированные системы, будет во многом определяться теми страховыми гарантиями, которые имеются по отдельным компонентам. Чем больше гарантий по отдельным компонентам, тем меньше незастрахованный остаток риска. Ставки взносов будут также во многом зависеть от гарантий, которые будут давать компании-интеграторы, и от выполнения требований по безопасности в процессе эксплуатации. При этом вряд ли страховщики будут полагаться на разовое инспектирование соблюдения политики безопасности, как это делается при выдаче лицензий. Для того, чтобы снизить случаи выплат страховых компенсаций, им придется договариваться с их клиентами о возможности периодических внезапных инспекций, а клиентам придется на это соглашаться, чтобы уменьшить сумму страховых взносов.

Наши исследования, проводимые с использованием комплексной экспертной системы управления информационной безопасностью "АванГард", и опыт оценки и отслеживания динамики рисков при принятии мер по защите и обеспечению гарантий безопасности показывают, что при экспоненциальном, как правило, снижении компонентного риска системы до нуля общесистемный риск так же экспоненциально снижается, но до величины чистого интеграционного риска. Наибольшего снижения риска использования системы можно добиться путем снижения риска ее основных рискообразующих (критических) компонентов.

Указанное наблюдение позволяет сделать важный вывод о возможности создания экономически целостных систем всеобъемлющего страхования компьютерных рисков сложных организационных и технических систем. Так, если компьютерная система будет создаваться на базе застрахованных компонент, цена страхового полиса, покрывающего риски эксплуатации системы в целом, может быть снижена (так же экспоненциально, как будут снижены риски после страхования критических компонент) на величину застрахованных компонентных рисков. Таким образом, хотя застрахованные компоненты будут стоить дороже, это получит свою компенсацию в виде снижения стоимости общесистемного страхового полиса.

Внедрение обязательного страхования компьютерных рисков может в значительной степени минимизировать техногенные риски вообще. Кроме того, очевидно, что чем большая часть денежных ресурсов в стране будет формироваться за счет страховых взносов, тем большее число механизмов управления обществом и тем большая часть инвестиционного капитала будут нацелены на снижение возможности страховых случаев, что существенно повысит гарантированную безопасность жизнедеятельности общества.

Процесс формирования общества "гарантированной безопасности" должен начинаться с наиболее обеспеченных слоев, с богатых корпоративных структур. Именно они, в первую очередь, готовы платить больше за большую безопасность. На практике это означает, что вводить обязательность страхования для информационных систем и продуктов надо начинать с банковских платежных систем (в том числе, в первую очередь, удостоверяющих центров открытых ключей ЭЦП), систем для нефте- и газодобывающих отраслей, постепенно распространяя эту практику на другой сырьевой, производственный и прочий бизнес, госучреждения и госпредприятия, оптовую и розничную торговлю.

В заключение необходимо отметить, что проблема создания системы страховых гарантий безопасности информационной инфраструктуры представляется особенно актуальной в связи с принятием закона "Об электронной цифровой подписи" и вытекающей из него необходимостью создания сети удостоверяющих центров открытых ключей цифровой подписи, которые должны будут брать на себя гражданскую ответственность за убытки, понесенные лицами, полагающимися на выданные им сертификаты ключей подписи, в случае, если эти сертификаты окажутся недостоверными. Очевидно, что эту ответственность нужно страховать. Создание системы страхования гражданской ответственности удостоверяющих центров может стать первым практическим шагом к созданию системы обязательного страхования других компьютерных рисков.

Гордеев Юрий Александрович - старший научный сотрудник Института системного анализа РАН (ИСА РАН), кандидат технических наук.

Ключко Наталья Васильевна - старший научный сотрудник ИСА РАН, кандидат экономических наук.

Кононов Александр Анатольевич - старший научный сотрудник ИСА РАН, кандидат технических наук.

© Информационное общество, 2002, вып. 1, сc. 27-28.