Контакты
Подписка
МЕНЮ
Контакты
Подписка

Страхование рисков ИБ как инструмент регулятора

Страхование рисков ИБ как инструмент регулятора

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Страхование рисков ИБ как инструмент регулятора

Одним из стандартных способов обработки рисков является страхование, Этот способ широко используется во всех отраслях, кроме информационной безопасности. Может быть, имеет смысл обсудить вопрос перехода от контроля регуляторов к страхованию?
Сергей Котов
заместитель начальника управления
информационной безопасности и связи ОАО "НОТА-Банк"

В настоящее время выполнение требований по информационной безопасности в банковской сфере контролируют Банк России, ФСБ, ФСТЭК, Роскомнадзор (не считая требований PCI DSS, которые контролируются платежными системами). Сами требования расписаны достаточно подробно в законах, стандартах и т.п.

Понятно, что не все банки – и далеко не сразу – бросятся страховать риски ИБ. Видимо, потребуется ввести обязательное страхование (граждане пережили ОСАГО без демонстраций). При этом такой механизм будет все же более демократичным (и, главное, как представляется, более объективным) в сравнении с установлением обязательных резервов (так как ставки будут определяться рынком, а потребители будут получать компенсации напрямую от страховых компаний), что, кстати, разгрузит регуляторов.

В России около тысячи банков. Их проверяют в плановом и внеплановом порядке с различной периодичностью и по разным поводам, однако клиенты (и банки тоже, но в основном клиенты) продолжают терять деньги. В то же время "проверяльщиков" явно недостаточно уже сейчас, а по мере освоения гражданами (и конкурентами) процедур обращения в Роскомнадзор – и подавно не хватит. Банк России предпринимает шаги по внедрению комплекса стандартов, в том числе рассылая в банки письма с вопросами по этому поводу, согласовывая подходы с другими регуляторами и т.д. Само наличие комплекса стандартов (надеюсь, он будет и дальше расширяться) – фактор явно положительный, если рассматривать его, как рабочий (на данный момент, на мой взгляд, уже вполне рабочий) инструмент. Но усилия эти приносят результат довольно неспешно (может быть, это и не плохо) в силу многих причин (в первую очередь экономических, но не в последнюю очередь методических и организационных). Периодически появляются слухи о скором введении обязательных резервов по рискам ИБ, но пока не свершилось. Но, может быть, стоит оставить хороший инструмент тем, кто умеет (и готов) им пользоваться и не заставлять регуляторов работать по формальному признаку и одновременно позволить "потерпевшим" получать реальную компенсацию (ведь речь, надеюсь, не про ОСАГО, хотя многие и ему рады)?

Страхование – стандартный способ обработки рисков (в нашем случае пока в теории)

Этот способ широко используется во всех отраслях (страхуются даже космические запуски), кроме рисков информационной безопасности.

Может быть, имеет смысл перейти от прямого контроля регуляторов (в редких пока случаях) к страхованию? При этом, с одной стороны, и банк, и клиенты смогут получить компенсацию в случае реализации риска, а с другой – не возникнет необходимости силового внедрения стандартов и других требований (и некий аналог резервов).

Страховые компании смогут достаточно быстро отрегулировать отношения со страхователями путем изменения ставок. Достаточно объективным параметром в этом случае могут служить выводы независимых аудиторских компаний об уровне соответствия СТО БР ИББС. Квалификация аудитора (или сама возможность привлечения конкретного аудитора) при этом может быть подтверждена аккредитацией при одном из регуляторов или, например, в ABISS или в другом авторитетном органе. Кстати, ответственность аудиторов также может быть застрахована.

Страхование ИБ станет обязательным?

Понятно, что не все банки – и далеко не сразу – бросятся страховать риски ИБ. Видимо, потребуется ввести обязательное страхование (граждане пережили ОСАГО без демонстраций). При этом такой механизм будет все же более демократичным (и главное, как представляется, более объективным) в сравнении с установлением обязательных резервов (так как ставки будут определяться рынком, а потребители будут получать компенсации напрямую от страховых компаний), что, кстати, разгрузит регуляторов.

К тому же станут более очевидными процессы формирования бюджетов ИБ (объемы и темпы затрат).

Очевидно, что от страховых компаний потребуется серьезная проработка вопроса и период накопления опыта. Но это их прибыль, а стало быть – справятся (возвращаясь к пресловутому ОСАГО, стонут, но страхуют – сомневаюсь, что в убыток).

Потребуется также довольно большое количество аудиторских компаний или существенное повышение мощности имеющихся (а скорее и то и другое). Но "проверяльщи-ков" и так потребуется очень много (только государственные "проверяльщики" обычно мало за что отвечают и с ними обычно легче договориться), да и нужно ли их содержать за казенный счет в таком количестве?

В любом случае остается существенной проблемой подготовка и аттестация кадров, но ее придется решать при любых раскладах.

И в заключение хотел бы сказать, что это не попытка предложить готовое решение, это попытка обсудить вариант, который кажется возможным.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2011

Приобрести этот номер или подписаться

Статьи про теме