Внедрение информационных систем сопровождается возрастанием рисков компаний и их клиентов
Название семинара «Управление информационными рисками для профессиональных участников фондового рынка», который провели компании «Ингосстрах» и «Информзащита», достаточно точно отражала тематику и круг заинтересованных лиц. Однако затронутые на нем вопросы оказались гораздо шире, выйдя за рамки собственно информационной безопасности. Скорее, речь шла о формах организации взаимодействия между партнерами и их надежности вообще, но в контексте безопасности информационных систем предприятий.
Чем же отличаются эти отношения в условиях цивилизованного рынка? Можно сказать и так: накопленной культурой отношений между партнерами, в частности юридически обеспеченными обязательствами поставщика перед заказчиком, к тому же поддержанными страховыми договорами. Эта простейшая истина, как ни странно, все еще не стала нормой даже в одном из самых продвинутых секторов отечественной экономики — секторе ИТ.
Олег Кудрявцев, заместитель начальника отдела страхования финансовых институтов компании «Ингосстрах», подчеркнул, что внедрение ИТ сопровождается возрастанием рисков компаний и их клиентов из-за злонамеренных или случайных факторов, воздействующих на информационные системы. Этими рисками можно и нужно управлять, понимая, что традиционные представления о средствах обеспечения безопасности позволяют лишь снизить вероятность инцидента или его разрушительную силу, но при этом никак не помогают в случае, если инцидент имел место.
В таком случае страхование выступает средством распределения ответственности. Кудрявцев определил ситуацию следующим образом: «Одна из проблем, связанных со взаимоотношениями между поставщиками и заказчиками, заключается в том, что в нашей стране не сформировались обычаи делового оборота в том виде, в каком они существуют на Западе, где предполагается, что любой субъект, осуществляющий предпринимательскую деятельность, несет за нее ответственность. У нас же соответствующие нормы отражены в Гражданском кодексе, но не всегда применяются».
Типичный пример, который привел Кудрявцев, выглядит так: брокерская компания в нынешних условиях обычно не несет ответственности за передачу информации. Но она, в свою очередь, не сможет предъявить претензии Internet-провайдеру, а тот — оператору услуг связи и т.д. «Так выстраивается цепочка безответственности, — сказал он. — В итоге и ответственность, и все обязательства и прочее перекладываются на плечи конечного пользователя».
Что делать? По мнению Кудрявцева — следовать практике стран с развитой экономикой и общественными отношениями, где эти вопросы решаются просто: по договорам ответственность распределяется, и каждая компания имеет полис страхования своей ответственности. И если ее деятельность нанесла какой-то ущерб, то для его компенсации компания обращается в страховую компанию, поскольку сама она обычно не в состоянии его возместить.
По словам коммерческого директора компании «Информзащита» Виктора Попова, для его коллег нет ничего нового в следующем утверждении: «Все работы по обеспечению информационной безопасности должны завершаться получением страхового полиса». Увы, на практике они постоянно сталкиваются с тем, что заказчики наивно полагают, будто ответственность за безопасность их систем несет либо поставщик, либо та организация, которая выдает сертификационные документы.
«Это далеко не так, мы со своим уставным капиталом не можем идти в сравнение с нефтяной компанией, для которой мы поставляем средства защиты, а сертификаты, как известно, — это всего лишь документы, удостоверяющие соответствие данных средств нормативам, — отметил Попов. — Единственный выход из ситуации заключается в том, чтобы следовать по пути цивилизованных стран и страховать результаты работы».
Именно поэтому «Информзащита» сотрудничает с «Ингосстрахом», который располагает формами для соответствующего страхования и опытом.
Другие участники семинара затронули более частные вопросы безопасности информационных систем.