Методические рекомендации (материалы) для преподавателя 11 Методические указания для студентов 11 Учебно-методическое обеспечение самостоятельной работы студентов
Скачать 2.64 Mb.
|
Рис. 13.1. Основные стадии процесса страхования информационных рисков Предварительное обследование предприятия до заключения договора страхования во многом аналогично проведению внешнего аудита и также может осуществляться независимой специализированной компанией. По окончании такой проверки могут быть сформированы два основных документа: отчет (заключение) о состоянии информационной безопасности на предприятии; рекомендации по повышению уровня защищенности информационных ресурсов и уменьшению рисков. Такое обследование в дальнейшем создает предпосылки для принятия решения о возможности и целесообразности страхования информационных рисков данного предприятия, а также для обоснованного количественного анализа рисков и определения основных параметров договора страхования. На основе оценок рисков (с учетом реализации рекомендованных мероприятий по их уменьшению) определяется одно из наиболее существенных условий договора страхования – ставка страхования. Как правило, ее размер не превышает пяти процентов, однако на практике он может варьироваться в диапазоне от нескольких десятых долей процента до пяти и более процентов. На размер ставки в каждом конкретном случае могут повлиять несколько факторов: статистические данные, касающиеся нарушений информационной безопасности на аналогичных предприятиях (в сопоставимых условиях); уровень защищенности информационных ресурсов данного предприятия (качество используемых технических средств, уровень организационного обеспечения информационной безопасности на предприятии и т.п.); интенсивность текущей хозяйственной деятельности (выполнения текущих бизнес-операций); страховая сумма – стоимость информационных активов, подлежащих страхованию (как правило, чем больше стоимость страхуемых ресурсов, тем ниже удельная ставка страхования). Помимо ставки страхования в процессе согласования условий договора также определяется другой важный параметр – лимит ответственности страховой компании (максимальная величина средств, которые могут быть выплачены страховщиком страхователю в течение всего срока действия договора страхования). Как правило, страховая сумма должна быть достаточно большой, чтобы у страховой компании была возможность компенсировать накладные расходы (в частности, расходы на предварительное обследование предприятия), связанные с заключением договора страхования. В случае реализации риска (возникновения страхового случая) застрахованные информационные ресурсы могут быть полностью утрачены. При этом страховая компания должна будет произвести страховые выплаты в полном объеме (в пределах установленного лимита ответственности). В случае, если повреждена только часть информационных ресурсов, для предприятия и страховой компании начинается сложный процесс определения суммы ущерба, которая должна быть компенсирована. Такая оценка также может быть произведена независимой третьей стороной. Кроме того, предметом анализа в этой ситуации могут быть все обстоятельства, связанные с произошедшим страховым случаем. В частности, договором страхования может быть предусмотрена обязанность предприятия-клиента предпринять ряд мер в рамках определенного плана аварийных мероприятий с целью минимизировать ущерб. Таким образом, страховая компания, прежде чем произвести выплаты, должна будет убедиться в том, что предприятием-клиентом были предприняты определенные меры предосторожности. То обстоятельство, что взаимодействие страховщика и страхователя при определении размера страховых выплат является одним из наиболее проблемных вопросов, заставляет передовые компании искать новые формы организации процесса страхования. Так, например, для разрешения проблем при реализации некоторых страховых рисков и уменьшения убытков третьей стороной в договоре страхования может выступать компания – поставщик информационных систем и комплексных решений, которая при наступлении страхового случая может на некоторое время (на период восстановительных работ) предоставить резервные программные и аппаратные средства для обеспечения непрерывности основной деятельности предприятия-страхователя, а также организовать сами восстановительные работы. В этом случае страховая компания может сократить размер страховых выплат на компенсацию упущенной выгоды предприятия-страхователя и избежать некоторых излишних выплат на восстановление утраченных информационных ресурсов. Помимо страхования собственно информационных рисков, также важное значение имеет страхование гражданской ответственности компаний, оказывающих информационные услуги и услуги по защите информации большому числу пользователей: страхование гражданской ответственности удостоверяющих центров, работающих в инфраструктуре публичных ключей; страхование ответственности фондовых бирж и других электронных торговых площадок по возмещению имущественного вреда третьим лицам; страхование гражданской ответственности разработчиков и поставщиков средств защиты информации. Необходимость страхования гражданской ответственности компаний-поставщиков продуктов и услуг перед потребителями в этом случае обусловлена тем, что их услугами (продуктами) пользуется большое число клиентов, каждый из которых с использованием этих продуктов и услуг управляет дорогостоящими информационными активами (финансовыми средствами, конфиденциальными сведениями, разглашение которых может привести к огромным убыткам, и т.п.). Таким образом, у компаний-поставщиков таких продуктов и услуг возникают риски того, что к ним будут предъявлены иски о возмещении ущерба, понесенного клиентами вследствие того, что злоумышленники воспользовались уязвимостями в поставляемых продуктах. Очевидно, что собственные активы и доступные средства, имеющиеся у компаний-поставщиков, как правило, гораздо меньше потенциально возможного ущерба, который может возникнуть у их клиентов. В результате этого страхование оказывается единственным средством обеспечения ответственности и, следовательно, построения цивилизованных взаимоотношений на рынке средств защиты информации, а также услуг по защите информации. Рынок страховых услуг Мировая практика страхования информационных рисков начала складываться в девяностых годах и получила свое развитие после 2000-го года, когда, с одной стороны, риски информационной безопасности стали более серьезными, чем когда-либо, а с другой – в западных странах окончательно сложилась практика не включать информационные риски в универсальные страховые полисы, которыми обычно покрывались основные бизнес-риски. Таким образом, к настоящему времени крупнейшими мировыми компаниями, оказывающими услуги по страхованию информационных рисков, являются: Британская страховая компания "Lloyds of London"; американская компания "AIG"; Zurich North America ("The E-Risk Edge solution"); страховая группа "Chubb"; страховая компания "Marsh". Страхование информационных рисков компанией Lloyds of London осуществляется совместно с известной компанией Counterpane, предоставляющей услуги по оценке состояния защищенности информационных ресурсов и по текущей поддержке информационной безопасности. Также в этой работе участвуют компании Frank Crystal & Co. и SafeOnline Ltd. Эти фирмы предлагают два основных совместных страховых продукта: Internet Asset and Income Protection Coverage ("Покрытие рисков, связанных с информационными активами и информационной деятельностью") – программа страхования информационных ресурсов отдельных компаний; Internet Asset and Income Protection Warranty Plan ("План гарантирования информационных активов и информационной деятельности") – основанный на страховании план гарантирования надежности работы поставщиков услуг Интернет. Американская страховая компания American International Group, Inc. (AIG), действующая в 130 странах мира, в лице своего подразделения AIG eBusiness Risk Solutions (AIG eBRS) предлагает программу страхования информационных рисков netAdvantage (AIG netAdvantage Suite). В рамках своей комплексной программы страхования эта компания предлагает скидки клиентам, пользующимся определенными средствами защиты информации. Для обеспечения эффективности и комплексности услуг по страхованию AIG eBRS организовывает технологические альянсы с компаниями, поставляющими средства защиты информации, а также проводящими аудиты безопасности. В рамках программы netAdvantage предлагается несколько вариантов страховой защиты: защита от ущерба в случае неправомерного разглашения частных данных; защита от уничтожения (утраты) данных или программного обеспечения; защита от ущерба в случае нарушения операционной деятельности (упущенная выгода и дополнительные расходы) в случае нарушений информационной безопасности; страховая компенсация затрат на нейтрализацию уязвимостей; страховая компенсация затрат на восстановление деловой репутации (PR) в случае реализации рисков. В России одной из первых компаний, начавших предоставлять услуги такого рода, стал "Ингосстрах". В 1999 году было подписано "Соглашение о сотрудничестве в области страхования информационных ресурсов" между Министерством РФ по связи и информатизации, с одной стороны, и страховыми компаниями "Ингосстрах" и "Инфистрах" – с другой. Начиная с 2000 года некоторые российские страховые компании получили лицензии на осуществление такой деятельности, однако в целом этот рынок в России остается неразвитым. Деятельность страховых компаний, как правило, ориентирована на страхование банковских рисков и крупных объектов (таких как "Российская торговая система", РТС или система межбанковского процессингового центра электронного документооборота Faktura.Ru), при этом некоторые сегменты этого рынка практически не развиваются. 14. Лекция: Экономика информационной безопасности Методические основы экономики информационной безопасности Управление информационной безопасностью, так же как и управление во многих других сферах деятельности, предполагает периодическое принятие различных управленческих решений, заключающихся, как правило, в выборе определенных альтернатив (отборе одной из возможных организационных схем или одного из доступных технических решений) или определении некоторых параметров отдельных организационных и/или технических систем и подсистем. Одним из возможных подходов к выбору альтернатив в ситуации принятия управленческого решения является т.н. "волевой" подход, когда решение по тем или иным причинам принимается интуитивно и формально обоснованная причинно-следственная взаимосвязь между определенными исходными предпосылками и конкретным принятым решением не может быть установлена. Очевидно, что альтернативой "волевому" подходу становится принятие решений, основанное на определенных формальных процедурах и последовательном анализе. Основой такого анализа и последующего принятия решений является экономический анализ, предполагающий изучение всех (или хотя бы основных) факторов, под влиянием которых происходит развитие анализируемых систем, закономерностей их поведения, динамики изменения, а также использование универсальной денежной оценки. Именно на основе адекватно построенных экономических моделей и осуществляемого с их помощью экономического анализа должны приниматься решения, касающиеся как общей стратегии развития, так и отдельных организационных и технических мероприятий, как на уровне государств, регионов и отраслей, так и на уровне отдельных предприятий, подразделений и информационных систем. При этом, так же как и экономика любой отрасли деятельности имеет свои особенности, экономика информационной безопасности, рассматриваемая как относительно самостоятельная дисциплина, с одной стороны, базируется на некоторых общих экономических законах и методах анализа, а с другой – нуждается в индивидуальном понимании, развитии специфических подходов к анализу, накоплении статистических данных, специфичных для этой сферы, формировании устойчивых представлений о факторах, под влиянием которых функционируют информационные системы и средства защиты информации. Сложность задач экономического анализа практически во всех областях деятельности, как правило, обуславливается тем, что многие ключевые параметры экономических моделей невозможно достоверно оценить, и они носят вероятностный характер (такие как, например, показатели потребительского спроса). Анализ усложняется также тем, что даже небольшие колебания (корректировка оценок) таких параметров могут серьезно повлиять на значения целевой функции и, соответственно, на решения, принимаемые по результатам анализа. Таким образом, для обеспечения как можно большей достоверности расчетов в процессе проведения экономического анализа и принятия решений необходимо организовать комплекс работ по сбору исходной информации, расчету прогнозных значений, опросу экспертов в различных областях и обработке всех данных. При этом в процессе проведения такого анализа необходимо уделять особое внимание промежуточным решениям, касающимся оценок тех или иных параметров, входящих в общую модель. Необходимо также учитывать то обстоятельство, что сам по себе такой анализ может оказаться достаточно ресурсоемкой процедурой и потребовать привлечения дополнительных специалистов и сторонних консультантов, а также усилий со стороны различных специалистов (экспертов), работающих на самом предприятии, – все эти затраты, в конечном счете, должны быть оправданы. Особая сложность экономического анализа в такой сфере, как информационная безопасность, обуславливается такими специфическими факторами, как: быстрое развитие информационных технологий и методик, используемых в этой сфере (как средств и методов защиты, так и средств и методов нападения); невозможность достоверно предугадать все возможные сценарии нападения на информационные системы и модели поведения нападающих; невозможность дать достоверную, достаточно точную оценку стоимости информационных ресурсов, а также оценить последствия различных нарушений в денежном выражении. Это требует дополнительных усилий по организации процесса экономического анализа, а также зачастую приводит к тому, что многие принимаемые решения, относящиеся к обеспечению информационной безопасности, могут оказаться неадекватными. Примерами ситуаций, в которых недостаточная развитость методологии экономического анализа негативно влияет на состояние информационной безопасности, могут быть случаи, когда: руководство предприятия может принять неадекватные решения относительно инвестиций в средства защиты информации, что, в свою очередь, может привести к убыткам, которых можно было избежать; руководство предприятия может принять определенные решения относительно организации бизнес-процессов и процессов обработки информации на предприятии, исходя из стремления сократить текущие затраты и уменьшить нагрузку на персонал, при этом не принимая во внимание экономические последствия недостаточной защищенности информационных ресурсов; страхователь и страховщик могут не заключить договор о страховании информационных рисков или установить неадекватные параметры такого договора ввиду того, что отсутствуют модели и методы оценки экономических параметров сделки. Анализ вложений в средства защиты информации В процессе текущей деятельности предприятиям постоянно приходится сталкиваться с теми или иными изменениями: уточняются бизнес-процессы, меняется конъюнктура рынков сбыта и рынков потребляемых материальных ресурсов и услуг, появляются новые технологии, изменяют свое поведение конкуренты и контрагенты, меняется законодательство и политика государства и т.д. В этих условиях менеджерам (в том числе и руководителям, отвечающим за обеспечение информационной безопасности) приходится постоянно анализировать происходящие изменения и адаптировать свою работу к постоянно меняющейся ситуации. Конкретные формы, в которых проявляется реакция руководителей, могут быть различными. Это может быть смена маркетинговой политики, реорганизация бизнес-процессов, изменение технологий, изменение производимого продукта, слияние с конкурентами или их поглощение и т.п. Однако при всем разнообразии возможных моделей поведения в меняющейся среде почти всех их объединяет один важный общий для них методологический элемент: в большинстве случаев реакция бизнеса на новые угрозы и новые возможности предполагает осуществление новых более или менее долгосрочных и ресурсоемких вложений (инвестиций) в определенные организационные и/или технические мероприятия, которые, с одной стороны, предполагают расходование ресурсов (денежных средств), а с другой – дают возможность получить новые выгоды, выражающиеся в увеличении дохода или сокращении некоторых текущих расходов. Таким образом, в ситуации, когда необходимо осуществить некоторые новые организационные или технические мероприятия (реализовать проект), основной задачей лиц, отвечающих за эффективную организацию информационной безопасности, является четкое соотнесение затрат, которые приедтся понести в связи с реализацией этого мероприятия (как единовременные, так и постоянные текущие), и дополнительных (новых) денежных потоков, которые будут получены. В данном случае под денежным потоком может пониматься экономия затрат, предотвращение убытков, а также дополнительный доход предприятия. В качестве основного показателя, отражающего это соотношение, в экономической практике принято использовать функцию отдачи от инвестиций – Return on Investment,  .
где:  – дополнительный денежный поток, создаваемый в результате реализации проекта;  – затраты, связанные с реализацией проекта (расход ресурсов, отрицательная величина);  – ставка дисконтирования;  – функция дисконтирования.Функция дисконтирования используется при анализе инвестиционных вложений для учета влияния фактора времени и приведения разновременных затрат к одному моменту (обычно моменту начала реализации проекта). Ставка дисконтирования в этом случае позволяет учесть изменение стоимости денег с течением времени. Модель отдачи от инвестиций (14.1) наглядно демонстрирует, какие две основные задачи необходимо решить при анализе любого инвестиционного проекта и, в частности, проекта по реализации мероприятий в сфере информационной безопасности: расчет затрат, связанных с проектом, и расчет дополнительного денежного потока. Если методология расчета совокупных затрат (  ) за последние 10-15 лет в целом достаточно полно сформировалась (в виде концепции "Total Cost of Ownership", TCO – Совокупная стоимость владения, ССВ) и активно используется на практике применительно к различным видам информационных систем и элементам информационной инфраструктуры [22], то расчет дополнительного денежного потока (), получаемого в результате инвестиций в средства защиты информации, как правило, вызывает серьезные затруднения. Одним из наиболее перспективных подходов к расчету этого показателя является методика, которая опирается на количественную (денежную) оценку рисков ущерба для информационных ресурсов и оценку уменьшения этих рисков, связанного с реализацией дополнительных мероприятий по защите информации.Таким образом, в целом состав методологии анализа целесообразности вложений средств в проекты, направленные на обеспечение информационной безопасности, схематично представлен на рис. 14.1.  увеличить изображение |
Похожие:
 | Внеаудиторная самостоятельная работа студентов – планируемая учебная, учебно-исследовательская, научно-исследовательская работа студентов,... |  | В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... |
| В рекомендациях даются базовые требования по организации самостоятельной работы, технология организации, виды самостоятельной работы,... | | Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... |
| Методические указания предназначены для подготовки к практическим занятиям и самостоятельной работы студентов по направлению подготовки... | | Методическое пособие предназначено для практических занятий и самостоятельной работы студентов специальностей 110400. 65-«Зоотехния»,... |
| Методические рекомендации по организации самостоятельной работы студентов: учебно-метод пособие/В. С. Ширманов, В. Н. Волков, Е.... | | ... |
| Дисциплина «Организация охраны и конвоирования в уголовно-исполнительной системе» изучается на установочных лекциях и семинарах под... | | Методические указания предназначены для студентов I и II курсов экономических специальностей дневного и заочного отделений. Методические... |