Не так давно в публикациях стали осторожно появляться разговоры о страховании рисков ИБ на уровне регуляторов. Действительно, страхование - один из самых действенных и применимых методов переноса рисков (если кто забыл, это один из способов обработки риска в рамках анализа), хотя бы потому, что включает в себя анализ детального измерения уровня рисков и расчета экономических показателей. Почему бы не применять этот уже давно отточенный и проработанный механизм на информационной безопасности, где может пригодиться подобное регулирование взаимоотношений между владельцем информации и субъектом, ее обрабатывающим и, как правило, подвергающим риску? В данном направлении видится ряд проблем.
Во-первых, под вопрос ставится результативность самого страхования рисков ИБ. Насколько ясно из первичных источников информации по этому вопросу, страхованием планируется снять часть нагрузки на регулирующие органы в части контроля рисков ИБ в организациях, уполномоченных на обработку конфиденциальной информации. Скажем, будучи оператором персональных данных, вы будете либо подвергаться частым проверкам Роскомнадзора, подтверждающим, что вы - годный оператор, либо застрахуете свои риски в страховой компании и, в случае реализации риска, получите существенное увеличение страховых взносов и снижение рейтинга доверия. Видимо подразумевается, что страх перед выплатами, равно как и страх перед проверкой регулятора, будет способствовать обеспечению со стороны оператора высокой степени ответственности и адекватного уровня защищенности. Однако, знак равенства между двумя данными воздействиями поставить вряд ли можно, и вот почему.
Представьте, что вам 5 лет и вам категорически запрещено кататься на велосипеде. Есть два пути контроля, первый - мама каждые пять минут будет смотреть, не катаетесь ли вы, - второй - за вами никто не следит, но если вы сядете на велосипед и покатитесь, папа надает вам по ушам. Какой метод будет более действенным? Большинство скажет, что второй, однако, это же большинство не учитывает, что цель - не поймать вас "на горячем", а предотвратить совершение нарушения.
Иными словами, контроль регулятора, пусть и периодический, представляется более превентивным методом обеспечения доверия. Хотя бы потому, что санкция за ненадлежащее выполнение обязательств наиболее вероятно наступает до того, как это ненадлежащее выполнение приведет к ущербу.
Во-вторых, само понятие доверия к информационной системе, сертифицированной, лицензированной или задекларировавшей соответствие тем или иным образом в любом случае остается вопросом исключительно психологическим. Никакие сертификаты и результаты проверок не приведут к повышению уверенности в безопасности информации, обрабатываемой в системе, однако, они хотя бы будут периодическим доказательством работоспособности самой системы. С этой точки зрения ожидание гипотетических санкций по отношению к обработчику не будет так, если можно так выразиться, "успокаивать" владельца информации, как периодическое стабильное подтверждение того, что обработчик "делает все возможное и необходимое".
В-третьих, на данный момент крайне слабо представляется сама структура страхования рисков ИБ. На сегодняшний момент предполагается направить все компетенции регуляторов, выполняющих проверки, на аналитическую работу по оценке рисков в интересах страховщиков, которые будут принимать на себя риски операторов ПД. В этом случае создается ощущение, что будет что-то вроде "старой песни на новый лад", когда те же лица будут выполнять ту же работу, только под эгидой другой организации. И с гораздо меньшей периодичностью. Что, как уже говорилось выше, влечет за собой остальные проблемы.
Подводя итог, хочется сказать, что страхование рисков ИБ, несомненно, должно быть в арсенале регуляторов, для того, чтобы сбалансировать нагрузку на проверяющих и исключить неадекватность оценки, выполняемой, например. конкурентами или заинтересованными сторонами. Однако, на сегодняшний момент слишком рано говорить о том, что страхование сможет заменить проверки регуляторов или усилить доверие к процессам обеспечения информационной безопасности в межотраслевом секторе. На этот счет хотелось бы услышать комментарии профессионалов и мнения заинтересованных сторон.
Во-первых, под вопрос ставится результативность самого страхования рисков ИБ. Насколько ясно из первичных источников информации по этому вопросу, страхованием планируется снять часть нагрузки на регулирующие органы в части контроля рисков ИБ в организациях, уполномоченных на обработку конфиденциальной информации. Скажем, будучи оператором персональных данных, вы будете либо подвергаться частым проверкам Роскомнадзора, подтверждающим, что вы - годный оператор, либо застрахуете свои риски в страховой компании и, в случае реализации риска, получите существенное увеличение страховых взносов и снижение рейтинга доверия. Видимо подразумевается, что страх перед выплатами, равно как и страх перед проверкой регулятора, будет способствовать обеспечению со стороны оператора высокой степени ответственности и адекватного уровня защищенности. Однако, знак равенства между двумя данными воздействиями поставить вряд ли можно, и вот почему.
Представьте, что вам 5 лет и вам категорически запрещено кататься на велосипеде. Есть два пути контроля, первый - мама каждые пять минут будет смотреть, не катаетесь ли вы, - второй - за вами никто не следит, но если вы сядете на велосипед и покатитесь, папа надает вам по ушам. Какой метод будет более действенным? Большинство скажет, что второй, однако, это же большинство не учитывает, что цель - не поймать вас "на горячем", а предотвратить совершение нарушения.
Иными словами, контроль регулятора, пусть и периодический, представляется более превентивным методом обеспечения доверия. Хотя бы потому, что санкция за ненадлежащее выполнение обязательств наиболее вероятно наступает до того, как это ненадлежащее выполнение приведет к ущербу.
Во-вторых, само понятие доверия к информационной системе, сертифицированной, лицензированной или задекларировавшей соответствие тем или иным образом в любом случае остается вопросом исключительно психологическим. Никакие сертификаты и результаты проверок не приведут к повышению уверенности в безопасности информации, обрабатываемой в системе, однако, они хотя бы будут периодическим доказательством работоспособности самой системы. С этой точки зрения ожидание гипотетических санкций по отношению к обработчику не будет так, если можно так выразиться, "успокаивать" владельца информации, как периодическое стабильное подтверждение того, что обработчик "делает все возможное и необходимое".
В-третьих, на данный момент крайне слабо представляется сама структура страхования рисков ИБ. На сегодняшний момент предполагается направить все компетенции регуляторов, выполняющих проверки, на аналитическую работу по оценке рисков в интересах страховщиков, которые будут принимать на себя риски операторов ПД. В этом случае создается ощущение, что будет что-то вроде "старой песни на новый лад", когда те же лица будут выполнять ту же работу, только под эгидой другой организации. И с гораздо меньшей периодичностью. Что, как уже говорилось выше, влечет за собой остальные проблемы.
Подводя итог, хочется сказать, что страхование рисков ИБ, несомненно, должно быть в арсенале регуляторов, для того, чтобы сбалансировать нагрузку на проверяющих и исключить неадекватность оценки, выполняемой, например. конкурентами или заинтересованными сторонами. Однако, на сегодняшний момент слишком рано говорить о том, что страхование сможет заменить проверки регуляторов или усилить доверие к процессам обеспечения информационной безопасности в межотраслевом секторе. На этот счет хотелось бы услышать комментарии профессионалов и мнения заинтересованных сторон.
Комментариев нет:
Отправить комментарий