ТАШКЕНТСКИЙ МЕЖДУНАРОДНЫЙ ФОРУМ ПО СТРАХОВАНИЮ TASHKENT INTERNATIONAL INSURANCE FORUM СТРАХОВАНИЕ ИНФОРМАЦИОННЫХ РИСКОВ В УЗБЕКИСТАНЕ: от этапа разработки до внедрения на практике Фаррух Хасанов Заместитель генерального директора страховой компании «ALSKOM» Основополагающие законодательные документы по формированию и развитию сферы ИКТ Узбекистана Законы Республики Узбекистан: - «О связи»; - «Об электронной коммерции»; - «Об информатизации»; - «Об электронной цифровой подписи»; - «Об электронном документообороте»; - «О средствах массовой информации», - «О гарантиях и свободе доступа к информации». «Программа развития компьютеризации и информационно-коммуникационных технологий на 2002-2010 года», утвержденная постановлением Кабинета Министров Республики Узбекистан в 2002 году Национальные стандарты Республики Узбекистан по методам обеспечения информационной безопасности 1. O’z DST ISO/ IEC 27001:2009. Методы обеспечения безопасности. Системы управления информационной безопасностью 2. O’z DST ISO/ IEC 27002:2008. Методы обеспечения безопасности. Практические правила управления информационной безопасностью Перечень разработанных нормативных документов по страхованию информационных рисков 1. Правила страхования информационных рисков. 2. Методика расчета стоимости информационных систем от информационных рисков. 3. Методика оценки ущерба и определение суммы страхового возмещения. 4. Инструкция по проведению экспертизы (аудита) безопасности информационных систем. Порядок опытного внедрения страхования информационных рисков 1 ЭТАП. Анализ 2 ЭТАП. Разработка условий страхования Проведение опроса (заполнение заявления на страхование) Проведение экспертизы (аудита) информационной безопасности ИС Выявления факторов риска и принятие решения (страховать или не страховать) Определения перечня рисков Определение страховой суммы по ИС Разработка тарифа страхования Согласование условий страхования 3 ЭТАП. Заключение договора страхования Заключение договора страхования Оплата страховой премии Выдача страхового полиса 4 ЭТАП. Рассмотрение страховых случаев и выплата страхового возмещения Изучение последствий информационных угроз Оценочные расчеты по стоимости выплат Решение о выплате страхового возмещения Перечень информационных рисков, подлежащих страхованию 1. Сбои (выход из строя) информационных систем вследствие ошибок при их проектировании, разработке, создании, инсталляции, конфигурировании, обслуживании или эксплуатации. 2. Умышленные противоправные действия сотрудников страхователя, совершенные ими самостоятельно или в сговоре с третьими лицами с целью нанести ущерб страхователю или получить незаконную финансовую выгоду. 3. Компьютерные атаки против страхователя со стороны третьих лиц. 4. Умышленные противоправные действия третьих лиц, направленные на несанкционированное изменение, копирование, повреждение, уничтожение электронных данных, постоянный или временный вывод из строя информационных систем страхователя. 5. Действия компьютерных вирусов – фрагментов вредоносного компьютерного кода или электронных инструкций, способных самостоятельно или при их активации пользователями самовоспроизводиться и распространяться в информационных системах и сетях (сюда входят также «троянские кони», «черви», «логические бомбы»). 6. Хищение денежных средств и ценных бумаг в электронном виде в результате несанкционированного доступа третьих лиц к информационной системе, в том числе осуществленное путем: a) ввода мошеннических электронных команд в информационные системы страхователя; b) несанкционированной модификации компьютерного кода (программ) страхователя; c) передачи сфальсифицированного (мошеннического) электронного поручения, якобы исходящего от имени страхователя, в банк или депозитарий страхователя. Что подлежит страхованию? - информационные ресурсы - информация в любом электронном виде (базы данных, библиотеки, архивы в электронной форме на технических носителях любого рода), программные средства и комплексы, находящиеся в разработке или эксплуатации; - убытки от временной приостановки коммерческой деятельности при наступлении страхового случая - это недополученная прибыль за период вынужденного простоя, текущие расходы по поддержанию бизнеса в период вынужденного простоя, т.е. это оплата труда сотрудников, обязательные отчисления и не зависящие от объекта производства платежи; - финансовые активы - денежные средства в электронной форме в виде записей на счетах (системы клиент-банк), ценные бумаги в электронном (бездокументарном) виде. - дополнительные расходы по экстренному восстановлению бизнеса: временная аренда оборудования; использование процессинговых услуг сторонних организаций; расходы по срочной замене оборудования и программного обеспечения; расходы по расследованию обстоятельств страхового случая; расходы по защите репутации страхователя. a) b) c) d) е) БЛАГОДАРЮ ЗА ВНИМАНИЕ