Безопасность информационных технологий и страхование (А. Исаев, "Финансовая газета", N 47, ноябрь 2000 г.)

Безопасность информационных технологий и страхование


Термин "безопасность информационных технологий" понимается специалистами по-разному, причем чаще всего имеется в виду какой-то один аспект этой проблемы. Например, с точки зрения производителя источников бесперебойного питания серьезную угрозу для вычислительной системы представляет нестабильность энергосети, а с позиции разработчика антивирусных программ - риск уничтожения бесценных данных. Каждый из этих аспектов, безусловно, заслуживает отдельного изучения, но для потребителя важно обеспечить безопасность вообще, а не только по отдельным рискам.

Перед потребителем стоят конкретные задачи - наладить производственный процесс, бухгалтерский или складской учет, управление финансами и кадрами, т.е. обеспечить бизнес-процесс. И если какая-либо реализация информационных технологий (некая совокупность вычислительных систем, средств связи, специализированного оборудования, программ и т.п.) позволяет решить эту задачу оптимальным способом, потребитель тратит время и деньги на ее внедрение. Но доверив бизнес-процесс информационной системе, он попадает в прямую зависимость от ее работоспособности. Эта зависимость критична ровно настолько, насколько критичен для фирмы соответствующий бизнес-процесс. Другими словами, если по любой причине оказалась неработоспособной система, отвечающая за ключевой бизнес-процесс, то это ставит под угрозу существование всего предприятия. И для потребителя безопасность внедряемых информационных технологий - это проблема, связанная с обеспечением их правильного и бесперебойного функционирования.


Средства обеспечения безопасности информационных технологий


Представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к допустимому (с позиции бизнеса) времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности.

Рассмотрим (в самых общих чертах) средства, которые можно применять по отдельности или в сочетаниях:

"горячее" дублирование системы (полное либо ключевых компонентов). Например, два идентичных вычислительных комплекса (основной и "дубль") соединены высокоскоростной линией связи и работают синхронно. Если внезапно останавливается основной, то выполнение задачи мгновенно переключается на дубль;

"холодное" резервирование и поддержание склада запасных частей и устройств. Время восстановления исчисляется минутами - на замену неработоспособных компонентов и перезапуск системы;

аварийные сервисы различных масштабов (гарантийный и послегарантийный, обычный и расширенный, например с предоставлением замены на время ремонта). Могут приобретаться как "в комплекте" с оборудованием и другими услугами у одного поставщика, так и отдельно у третьей стороны;

применение оборудования с повышенной отказоустойчивостью, источников бесперебойного питания, специализированных систем диагностики и контроля;

применение специализированных программных и/или аппаратных средств для защиты от хакерских атак;

подписка на антивирусное обслуживание, в том числе и с аварийным выездом специалистов;

"горячие линии" поддержки (телефонные и через Интернет) для оборудования и программного обеспечения.

Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.


Страховой механизм


Многие сервисы представляют собой, по сути, реализацию страховых технологий, хотя и специфическую (прикладную). В качестве примера рассмотрим самый распространенный сервис - гарантию на оборудование. Страховой взнос (заранее и на определенный срок) платят все покупатели, так как он включен в цену. Страховой риск - отказ оборудования (утрата работоспособности) в результате проявления дефектов материалов и ошибок при изготовлении, сборке или монтаже. Существует и исключение - несоблюдение покупателем регламентированных условий эксплуатации. Страховое возмещение производится в натуральной форме, в размере стоимости ремонта либо замены. Его получают не все покупатели, а только те, у которых произошел страховой случай. Аккумулируемые резервы направляются на поддержание сети сервис-центров и складов запасных частей и т.д.

Есть и такой сервис: по заявке заказчика специалисты исполнителя оценивают риск возникновения любых аварийных ситуаций (пожар, удар молнии, наводнение, взрыв, различного рода аварии инженерных систем, отказ оборудования, повреждение линий связи и др.) и возможные их последствия для бизнеса заказчика, выдают перечень рекомендуемых превентивных мероприятий для снижения риска и заключают договор на определенный срок, согласно которому при наступлении оговоренных событий не выплачивается страховое возмещение. При возникновении аварийной ситуации исполнитель в течение оговоренного срока (нескольких часов) предоставляет заказчику на определенный срок (до нескольких недель) информационную систему заранее согласованной и протестированной заказчиком конфигурации с необходимыми программными средствами, линиями связи и т.п. на своей резервной площадке или на площадке заказчика. На российском рынке эту услугу предоставляют пока лишь несколько фирм, и называется она у них по-разному: Business Recovery Services (BRS) - услуги по восстановлению бизнеса; Disaster Recovery System (DRS) - система восстановления бизнеса после аварии и т.п.

Следует отметить, что фирмы, предоставляющие подобные услуги, должны уметь рассчитывать страховой тариф, т.е. правильно соотносить свои будущие затраты на помощь пострадавшим с ценой услуги (страховым взносом), которую должен заплатить каждый клиент.

Страховую природу имеет любой сервис, предлагаемый в форме абонентской подписки на определенный срок и предусматривающий реальную помощь в экстренных аварийных случаях. А с точки зрения потребителя "холодное" резервирование и поддержание склада запасных частей тоже является страхованием (самострахованием), поскольку воплощает его главный принцип - возможность ценой небольших затрат избежать более серьезных проблем.

Напрашивается вывод, что рынок информационных технологий, порождая зависимость потребителей от работоспособности их информационных систем, в состоянии предложить и полный спектр мер по обеспечению безопасности, из которого каждый потребитель может выбрать для себя оптимальные по соотношению стоимости, объема, качества услуг и потребности в них. Однако этот вывод представляется неверным, по крайней мере в настоящий момент. Клиент не может рассчитывать на гарантийный сервис, если его оборудование, например, залило водой из-за аварии водопровода этажом выше. А клиенту по договору BRS, получившему резервную информационную систему, необходимо восстанавливать свою, поврежденную или уничтоженную, причем делать это нужно в достаточно сжатые сроки, поскольку срок предоставления услуг BRS ограничен. Именно такие задачи призвано решать "классическое" страхование. Действительно, даже при имущественном страховании, лицензии на проведение которого есть у большинства страховых компаний, в качестве страховых рисков может рассматриваться практически любая аварийная ситуация: пожар, взрыв, стихийные бедствия, аварии инженерных систем, противоправные действия третьих лиц и т.п., вплоть до падения летательных аппаратов, а страховое возмещение может быть предусмотрено в размере восстановительной стоимости имущества. Кроме того, многие страховые компании имеют лицензии на специализированные виды страхования, например страхование электронных устройств, страхование вычислительной техники и т.п., как правило, достаточно адекватно отражающие специфику предмета, т.е. те аспекты, которые в обычном имущественном страховании могут быть оговорены, здесь оговариваются заранее:

в качестве объектов страхования названы вычислительные устройства, оборудование и линии связи, автоматизированные комплексы и т.п.;

набор страховых рисков помимо традиционных включает и специфические, такие, как отказ (утрата работоспособности) в результате проявления дефектов материалов и ошибок при изготовлении, сборке или монтаже, из-за аварий и/или нестабильности энергосети, в результате ошибок персонала и т.п.;

подробно расписаны варианты определения (согласования с клиентом) восстановительной стоимости и размера страхового возмещения - от стоимости заменяемых частей до восстановления "под ключ".

Кроме того, многие страховые компании располагают лицензиями, позволяющими страховать (хотя и с оговорками) убытки от перерыва в производственной или коммерческой деятельности, наступившего, в частности, вследствие повреждения или уничтожения застрахованного оборудования, а потери в бизнесе могут значительно превышать стоимость восстановления информационной системы.

Все эти страховые услуги доступны, страховые компании заинтересованы в клиентах, и клиент, обладающий знаниями специалиста-практика в страховом деле, может их получить.


Интеграция сервиса и страхование


Потребитель привык к тому, что рынок информационных технологий предлагает ему "комплексные решения" его проблем. Правда, термин "решение" имеет несколько рекламный характер. Но даже "решение для мини-бухгалтерии", представляющее собой серийный компьютер с подключенным серийным принтером и с установленной "коробочной" (т.е. продающейся в розницу) универсальной бухгалтерской программой, действительно является решением для непосвященного в компьютерные тонкости бухгалтера.

Применительно к рассматриваемой проблеме безопасности информационных технологий "решение" должно быть найдено и предложено потребителю совместными усилиями поставщиков сервисных услуг и страховых компаний. Только вместе они в состоянии обеспечить комплексный подход, взаимно дополняя друг друга: первые - предоставляют сервис в аварийных ситуациях, вторые - его оплачивают. И тогда каждому потребителю будет предложено действительно оптимальное для него решение. В рамках рассмотренных выше примеров это может выглядеть следующим образом:

покупатель оборудования сможет получить "расширенную гарантию", по которой продавец обязуется предоставлять сервис (бесплатный ремонт или замену), в том числе в случае повреждения или гибели оборудования в результате пожара, взрыва, залива, стихийного бедствия, противоправных действий третьих лиц, аварии или нестабильности энергосети, ошибок персонала и т.п.;

системный интегратор (поставщик информационной системы "под ключ") сможет предложить заказчику расширенное гарантийное сопровождение, в рамках которого он обязуется своими силами в оговоренные сроки восстановить эту информационную систему в случае ее повреждения или гибели в результате пожара, взрыва и т.п.;

заказчику услуг BRS будет предложен договор, согласно которому при возникновении аварийной ситуации (пожара, стихийного бедствия и т.д.) он сможет воспользоваться резервной информационной системой, а тем временем его собственная будет восстановлена силами заранее определенного сервис-центра (а может быть и нескольких сервис-центров) в оговоренные сроки; кроме того, будут покрыты и убытки от вынужденного простоя.

В России аналогичные схемы применяются при страховании автотранспорта. Автовладельцу предлагается ряд связанных услуг. Продавец противоугонной системы напоминает ему о скидках, которые предоставляют страховые компании при наличии этой системы. Страховые компании, описывая свои преимущества, не забывают упомянуть, что автомобиль можно будет отремонтировать в фирменном сервис-центре, с которым у них заключен договор (и будут оплачиваться предварительно выставленные счета за ремонт), а если понадобится оценить ущерб, это сделают независимые эксперты, с которыми тоже заключены договоры. Некоторые страховые компании в комплекте с полисом предлагают клиентам и аварийный сервис специализированных фирм (эвакуатор, выезд технических специалистов, юристов, группы физической защиты) по льготным ценам. Таким образом, потребителю предлагаются решения, за которыми стоит инфраструктура партнерских взаимоотношений и интеграция страховых и сервисных услуг.

От интеграции сервисных и страховых услуг на рынке информационных технологий больше всего выигрывает потребитель. Ему предлагается максимально возможный спектр мер по обеспечению безопасности в привычном и понятном виде - в виде сервиса. При этом условия договора страхования выверяет для него поставщик сервиса, так как он максимально заинтересован, чтобы клиент остался доволен. Значительно упрощается и ускоряется процедура заключения договора страхования, поскольку, например, системный интегратор, спроектировавший и внедривший информационную систему, лучше всех знает, как ее восстанавливать и сколько времени и денег для этого потребуется, а поставщик услуг BRS, проведший полную комплексную оценку безопасности информационной системы заказчика, по сути, проделал за страховую компанию основную часть работы. И наконец, самое главное - упрощается и ускоряется процедура восстановления информационной системы потребителя: вся процедура заранее просчитана и согласована, а может быть даже и "отрепетирована" (комплекс услуг BRS может включать помимо тестирования резервной системы еще и проведение "учебной тревоги").

Поставщики сервиса расширяют спектр своих услуг и возможности их применения, снижая заодно риск потерять постоянного клиента, не сумевшего справиться с аварийной ситуацией. Страховые компании получают возможность развивать целое направление в страховании, попутно снижая издержки как при заключении договоров страхования, так и при страховых случаях.

За рубежом интеграция сервисных и страховых услуг в области безопасности информационных технологий уже идет: поставщики BRS ищут партнеров среди страховых компаний, поставщик сервиса - подразделение международной корпорации - заключил партнерское соглашение с одним из крупнейших страховых брокеров в мире. В России данное направление, несмотря на активное распространение информационных технологий, к сожалению, пока не получило широкого развития, но в будущем оно имеет хорошие перспективы.


А. Исаев,

ведущий специалист

страховой компании "РК-Гарант"


Газета "Финансовая газета"


Учредители: Министерство Финансов Российской Федерации, Главная редакция международного журнала "Проблемы теории и практики управления"

Газета зарегистрирована в Госкомпечати СССР 9 августа 1990 г.

Регистрационное свидетельство N 48

Издается с июля 1991 г.

Индексы 50146, 32232

Адрес редакции: г. Москва, ул. Ткацкая, д. 5, стр. 3

Телефон +7 (499) 166 03 71

http://fingazeta.ru/

Актуальная версия заинтересовавшего Вас документа доступна только в коммерческой версии системы ГАРАНТ. Вы можете приобрести документ за 54 рубля или получить полный доступ к системе ГАРАНТ бесплатно на 3 дня.

Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.