Деятельность любой организации так или иначе подвержена тем или иным угрозам и, соответственно, сопряжена с рисками их осуществления. Развитие и распространение информационных технологий кроме расширения возможностей и повышения эффективности работы влечет за собой усиление зависимости от информационно-телекоммуникационных систем и, как следствие, меняет структуру предпринимательского риска. В частности, возрастает стратегический риск в связи с возможностью ошибиться в отношении выбора того или иного информационно-технологического направления.
Увеличивается операционный риск в связи с возможными сбоями в информационных системах при выполнении деловых и управленческих операций. Возрастают также правовой, репутационный и системный риски. Правовой риск возрастает в связи с отставанием нормативной базы от развития информационных технологий. Репутационный риск возрастает в связи с распространением информации о сбоях и проблемах, связанных с используемыми новыми информационными технологиями, даже если они происходят не в данной организации, а при использовании подобных систем где-то в другом месте. Системный риск относится к сфере деятельности (отрасли) в целом и является поводом для беспокойства организаций, ответственных за ее состояние. Отмеченное усиление зависимости результатов работы организаций от работы информационных систем требует соответствующего обеспечения информационной безопасности. Обеспечение безопасности предпринимательской и управленческой деятельности имеет целью снижение рисков, с которыми связано ее ведение, до некоего приемлемого уровня. Результаты работы определяются не наличием рисков, а тем, насколько успешно руководство предприятий и организаций оценивает их и принимает меры по их снижению. Какие меры могут быть приняты для компенсации возрастания рисков в связи с развитием информационных технологий? Обычной рекомендацией является обеспечение адекватного уровня безопасности в сфере информационных технологий (информационной безопасности — razgovorodele.ru). Однако здесь возникает вопрос: что считать адекватным? Абсолютной безопасности не существует, кроме того, меры и средства безопасности требуют затрат и постоянной модернизации. Как сопоставить конкретные затраты с возможными (совсем не обязательными) потерями? Принятие мер безопасности можно дополнить другой мерой компенсации рисков страхованием информационных ресурсов. Эта услуга пока еще медленно, но все-таки пробивает себе дорогу в России. Ее развитие сдерживается во многом из-за несовершенства методик оценивания стоимости информационных ресурсов и рисков. Одной из причин этого является то, что статистика происшествий неполна и недостоверна. По имеющимся оценкам, большая часть инцидентов, связанных с нарушениями информационной безопасности, не предается огласке. Другая причина заключается в отсутствии единой системы оценки состояния защищенности информационной системы организации. Не совсем понятно, каким требованиям должна удовлетворять система обеспечения информационной безопасности с учетом ее стоимости и рисков потерь. Следствием этого является высокая стоимость данной страховой услуги, вытекающая из экспертной оценки «с запасом». Выход представляется в более тесной увязке условий страхования с оценкой состояния защищенности информационной системы организации. Если найти такие условия, которые были бы выгодны всем участникам процесса, то предприятия и организации получат гарантированную защиту от потерь на условиях, которые зависят от принятых мер обеспечения безопасности. Затраты предприятия будут складываться из стоимости мер информационной безопасности и оплаты страхования, причем повышение мер безопасности снижает при прочих равных условиях стоимость страховки. Страховые же компании расширят клиентуру за счет снижения страховых взносов для тех клиентов, которые соответствуют заданным требованиям безопасности. Услуга страхования информационных рисков подешевеет и станет доступной не только крупным, но и средним и мелким предприятиям и организациям. Коммерческая выгода для страховых компаний будет состоять в том, что они повысят доходность своего бизнеса за счет снижения числа страховых случаев у тех клиентов, которые соответствует заданным требованиям безопасности: более защищенный клиент платит меньший взнос, но и вероятность того, что ему придется выплачивать страховку, меньше, чем для менее защищенного. Отмеченное выше потенциальное расширение клиентуры также является положительным фактором для страхователей. Для широкого использования страхования информационных рисков необходимо выработать стандартизованные требования к информационной безопасности, позволяющие оценивать ее состояние в конкретной организации по некой общей шкале, потребуется оценить выполнимость условий, при которых данное взаимодействие будет экономически выгодно всем участникам, т.е. найти соответствующее соотношение условий страхования и мер защиты. Для достижения этого нужны соответствующие формы сотрудничества между страховыми компаниями, организациями-клиентами и поставщиками услуг информационной безопасности. В целом рассмотренная выше методика позволяет оценить или переоценить уровень текущего состояния защищенности информационных активов предприятия, а также выработать рекомендации по обеспечению (повышению) информационной безопасности. В том числе снизить потенциальные потери путем повышения устойчивости функционирования корпоративной сети, разработать концепцию и политику безопасности — razgovorodele.ru. Рассмотренная методика также позволяет предложить планы защиты конфиденциальной информации предприятия, передаваемой по открытым каналам связи, защиты информации от умышленного искажения (разрушения), несанкционированного доступа к ней, ее копирования или использования. |