ВОПРОС НАЗРЕЛ
Быстрое расширение перечня электронных финансовых услуг, их широкое распространение по России, всё больший охват граждан и компаний сопровождаются ростом разнообразных рисков, связанных с информационной безопасностью, и увеличением размеров наносимого ущерба. Поэтому страхование информационных рисков, в частности, в области финансовых услуг, медленно, но верно растет и развивается. Однако это развитие сильно отстает от растущих потребностей. Можно привести всего несколько примеров.
Так, ОСАО «Ингосстрах» «предлагает специальную программу страхования информационных рисков, рассчитанную на широкий круг предприятий, активно использующих в своей деятельности информационные технологии для обработки, хранения и передачи информации… в качестве объекта страхования выступают информационные ресурсы (базы данных, библиотеки, архивы в электронном виде на технических носителях, программные средства и комплексы) и финансовые активы (денежные средства в виде электронных записей на счетах, ценные бумаги в электронном виде)» (см.http://www.directorinfo.ru/Article.aspx?id=13278&iid=541).
Другой пример: «По словам генерального директора LETA Group А. Чачавы, Group IB, входящая в LETA, и РОСНО разрабатывают совместный страховой продукт. При этом IT-компания возьмёт на себя технические вопросы, включая проведение расследований IT-инцидентов в случае их возникновения… пока «страховой проект» находится в стадии разработки – компании согласовывают условия сотрудничества, готовят договоры и т.п., поэтому детальной информации по своему предложению страхования IT-рисков они предоставить не могут» (см.http://tristar.com.ua/1/art/rossiiskie_strahovshiki_i_otsenka_it_riskov_24596.html).
Обсуждение этой проблемы велось в деловой и специализированной прессе. В частности, в №1 за 2011 год журнала «BIS Journal – Информационная безопасность банков» была опубликована статья председателя Комитета по банковской безопасности Ассоциации российских банков Александра Велигуры с красноречивым подзаголовком: «Банки поспешат раскошелиться на простую, эффективную и не слишком дорогую страховку IT-рисков» (электронную версию см. http://www.ib-bank.ru/bis/a/35). Вскоре, в марте, на деловом портале BFM.ru была опубликована посвящённая новой страховой услуге статья Александра Михайлова «Страховщикам помогут оценить IT-риски» (см. http://www.bfm.ru/articles/2011/03/20/strahovshhikam-pomogut-ocenit-it-riski.html).
«Рубиконом» стало принятие 27 июня 2011 года федерального закона РФ № 161-ФЗ «О национальной платежной системе». Пункт 15 статьи 9 обязывает оператора, которому не удалось уличить клиента в несоблюдении правил безопасности электронных платежей, возместить тому сумму ущерба. Банки и операторы платёжных систем, включая мобильные платежи и интернет-деньги, начали задумываться: не стоит ли подстраховаться, «переведя стрелки» рисков на страховые компании. Что называется, назрел вопрос о появлении отечественных специализированных страховых продуктов, подобных зарубежным полисам комплексного страхования профессиональных банковских рисков, включающих:
(См. http://www.ifdk-nsurance.ru/content/articles/index.php?article=535).
СТАНДАРТ ДОПУСКАЕТ
Кроме объективной потребности в услуге по страхованию IT-рисков, в частности, в кредитно-финансовой сфере, для её появления и распространения на рынке нужна нормативная база. Основой такой базы может служить отраслевой стандарт – СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения».
В разделе 5 «Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций банковской системы Российской Федерации» присутствует пункт 5.14, который признаёт возможность, понизив риски до определенного уровня, остаточную часть перевести на стороннюю организацию, например, застраховать. Далее, в разделе 8 «Система менеджмента информационной безопасности организаций банковской системы Российской Федерации» есть пункт 8.5.1, который предписывает документально оформлять план страхования недопустимых рисков нарушения информационной безопасности.
Методика оценки соответствия информационной безопасности организации отраслевому стандарту (СТО БР ИББС 1.2-2010) содержит групповой показатель М14, оценивающий наличие документально оформленных планов обработки рисков. Среди обязательных способов обработки недопустимых рисков – отказ от рискованного вида или способа деятельности, осознанное принятие риска и, как вариант, его страхование.
Закон «О национальной платёжной системе» актуализировал эти положения отраслевого стандарта информационной безопасности. Но для того, чтобы на страховом рынке появилась услуга страхования информационных рисков как продукт, доступный и привлекательный для кредитно-финансовых организаций, требуется многоплановая проработка многих вопросов.
ЧТО ПРЕДСТОИТ СДЕЛАТЬ
Начать придётся с анализа существующей ситуации – принятых законов, включая проекты, подзаконных нормативных актов и стандартов. Эта работа нужна для дальнейшей разработки предложений по совершенствованию нормативно-правовой базы страхования информационных рисков кредитно-финансовых учреждений. В частности, для подготовки различных рекомендаций, методик и предложений по внесению изменений в нормативные документы и стандарт Банка России.
Необходимо учесть интересы других участников Национальной платёжной системы (НПС). Например, тех участников фондового рынка, которые являются субъектами 161-ФЗ. В текущем году планируется начать разработку стандарта обеспечения информационной безопасности организаций, регулируемых Федеральной службой по финансовым рынкам России. В этом стандарте необходимо учесть методики и приёмы страхования информационных рисков, учитывающие специфику деятельности таких организаций и их объединений.
Следует организовать разработку и согласование стандартов и правил предпринимательской деятельности в области страхования рисков информационной безопасности. Должны быть описаны многие процедуры, включая создание системы независимых экспертиз, медиаторов и третейских судов, которые могли бы профессионально, с учетом специфики рисков информационной безопасности оценивать параметры страховых случаев, делать обоснованные выводы по ним, принимать понятные и законные решения.
Реализация принятых норм, их применение на практике потребуют кропотливого разъяснения в профессиональной среде многих частных вопросов их реализации. Нужна и обратная связь – сбор, обобщение и анализ опыта субъектов страхования информационных рисков, их рекомендаций.
Затем нужно будет создать базу данных о действующих практиках оценки информационных рисков, аккумулировать статистику реализации угроз, учитывать случаи возмещения ущерба. Обобщить судебную практику разбора исков, связанных со страхованием информационных рисков, в том числе опыт третейских судов. Подготовить предложения по включению в состав третейских судов специалистов, компетентных в правоотношениях в сфере информационной безопасности. И, наконец, определить порядок и процедуры оценки этой компетентности.
Страховым компаниям будут востребованы специалисты, способные провести качественный аудит и вынести экспертное заключение о состоянии систем информационной безопасности банков. Значит, придётся сформулировать требования к компетенции экспертов, оценивающих страховые информационные риски, критерии и способы оценки профессионального уровня этих специалистов, наладить ведение их реестра.
УЧАСТВУЮТ ВСЕ
В этой работе должны быть задействованы многие стороны. В первую очередь, сами кредитные организации и другие участники национальной платёжной системы, организации – участники фондового рынка, страховые компании. По имеющимся оценкам, на российском рынке около 100 страховых компаний, потенциально способных предоставлять услуги страхования рисков информационной безопасности. Далее, в этой работе участвуют партнёрства компаний-страховщиков, а также профессиональных экспертов и аудиторов. Ещё одной стороной будут структуры отрасли, занимающиеся стандартизацией – ПК 1 ТК 122, государственные регуляторы, включая Банк России и ФСФР России.
Сторонам процесса предстоит разделить между собой различные направления работы, договориться, кто и что конкретно делает. Кто ведёт мониторинг развития нормативно-правовой базы и практики страхования информационных рисков кредитно-финансовых учреждений, кто анализирует опыт, кто его освещает, кто определяет компетенции специалистов, формы их подготовки и оценки квалификации.
Конечно, важен вопрос о субъекте, координирующем все эти направления деятельности, которые будут осуществлять разные структуры. Кто будет основным двигателем формирования и продвижения нового вида деятельности? По нашему мнению, наиболее подходящий кандидат на роль инициатора и двигателя этого процесса – НП «АБИСС» как лучшая площадка общения и тесного взаимодействия всех участников отрасли.
Для такой работы НП «АБИСС», согласно уставу, следовало сформировать соответствующий специализированный орган, призванный содействовать разработке и реализации стандартов и правил предпринимательской деятельности в области страхования информационных рисков. Заседание правления НП «АБИСС», состоявшееся 22 марта, утвердило положение о профильном комитете по страхованию рисков информационной безопасности и взаимодействию с профессиональными участниками рынка ценных бумаг.
ОРГАНИЗАТОР-КООРДИНАТОР
Комитет, в который могут входить представители организаций, как членов НП «АБИСС», так и привлекаемых к сотрудничеству, мне довелось возглавить, будучи членом Правления НП «АБИСС» и генеральным директором ООО «Инфосекьюрити Сервис» – компании-соучредителя этого некоммерческого партнёрства. В настоящее время ведётся формирование состава комитета, планирование деятельности и определение сроков выполнения первоочередных задач.
Практически все перечисленные вопросы будут рассматриваться и решаться комитетом. Определены следующие направления работы:
«Пробным камнем» должна стать реализация 1–2 пробных проектов страхования участников Национальной платёжной системы. Анализ результатов такой работы позволит оценить правильность намеченных путей развития, а также определить возможные коррективы, которые потребуется внести. Работа будет осуществляться специалистами, делегированными своими работодателями, участвующими в деятельности комитета. Собрания и другие мероприятия комитета будут проводиться на площадках этих же организаций. Источники финансирования различных проектов будут определяться, исходя из характера начинаний – от средств федерального бюджета до спонсорства заинтересованных структур.