Страхование информационных рисков в России

Страхование информационных рисков в России

Николай Сергеевич Круглов, председатель Совета директоров страховой компании "РОСТРА', рассказал редакции, насколько страхование информационных рисков сейчас актуально в России, какие шаги для осуществления данного вида деятельности предпринимаются в настоящее время, какие проблемы в этой области существуют

- Николай Сергеевич, почему страховые компании решают заниматься страхованием информационных рисков?

- Актуальность данного вида деятельности очевидна. Я на своем опыте знаю, что такое потеря данных. У нас дважды были серьезные сбои, и пришлось прилагать много усилий, в том числе и финансовых, чтобы восстановить всю информацию. Тогда мне стало совершенно ясно, что информацию нужно защищать обязательно, причем защита должна быть всесторонней.

Для этого необходимо выполнение ряда условий. Во-первых, страховая компания должна выступать в партнерстве с организациями, которые занимаются качественным ПО в сфере защиты информации. Одна страховая компания с этой работой не может справиться, так как она не обладает информацией о специфике деятельности тех организаций, которые занимаются разработкой продуктов в сфере ИБ. Несколько встреч с такими организациями я уже провел. В конце октября сего года мы планируем провести организационное совещание, после чего начнем разрабатывать совместный продукт.

Во-вторых, для того чтобы страховая компания работала в этом направлении, она должна иметь ряд документов: лицензию ФСБ для работы с режимными предприятиями, лицензию СВР, так как некоторые организации имеют свои интересы за рубежом. Помимо этого, компания должна иметь свой режимно-секретный отдел, на создание которого необходимо отдельное разрешение ФСБ. И если лицензии ФСБ для работы с режимными предприятиями имеются у многих компаний, то свои режимно-секретные отделы, а также лицензии СВР есть только у 4 или 5 компаний по всей России.

Но главная сложность заключается в том, что у нас нет пока нормальной законодательной базы, а следовательно, нет и необходимого комплекта документов, который состоит из правил страхования, тарифов на данный вид деятельности, разработанного страхового полиса, заявления и т.п. Поэтому на данный момент страхование информационных рисков у нас в стране если кем-то и осуществляется, то, по нашему мнению, это не совсем законно.

- Как давно страхование информационных рисков существует за рубежом?

- Разработка и активное внедрение этого вида деятельности за рубежом началось с начала 1990-х гг. Страхованием информационных рисков активно занимаются, в частности, Lloyd, AIG, Marsh. Конечно, у них можно перенять опыт, но не весь, потому что российские условия специфичны. По российским меркам пока невозможно оценить сумму возмещения ущерба при потере информации. Поэтому данный вопрос тоже сейчас находится в стадии разработки. Следовательно, пока еще нельзя оценить и доходность этого бизнеса.

- Какие еще шаги в сфере страхования информационных рисков вами предпринимаются?

- Сейчас мы вступили в Ассоциацию защиты информации, для которой стали интересны после получения всех необходимых лицензий, дающих нам право работать с любой организацией. Прежде страхование информационных рисков для нас не представляло большого интереса, но как только мы вступили в Ассоциацию, познакомились со спецификой ее работы, нам стал интересен данный вид деятельности. И пока плюсов мы здесь видим больше, чем минусов.

- Не могли бы Вы рассказать о выгодах, которые в результате страхования информационных рисков может получить и заказчик и производитель средств ИБ?

- Ни одна страховая компания работать в ущерб себе не будет. Прежде чем страховать, необходимо проверить, насколько хорошо защищена в компании информация. Для того чтобы вести конкретный разговор о страховании, нужно будет установить те элементы защиты, которые порекомендуем мы и наши партнеры. Будет привлечена экспертная организация для проверки состояния защищенности информации в компании, являющейся потенциальным страхователем. По заключению экспертов мы будем давать рекомендации на установку СЗИ. Вот и первая выгода: у заказчика появится защищенная база, за которую он будет относительно спокоен. Вторая выгода заключается в том, что, если что-то и произойдет с информацией, несмотря на все меры предосторожности, то затраты по ее восстановлению будет нести страховая копания в пределах лимита своей ответственности.

Кроме того, от данного вида деятельности поставщики и разработчики СЗИ получат и другие выгоды, такие, как увеличение и оживление потока выпуска и реализации своей продукции.