Страховые компании оказывают услуги в сфере страховой защиты имущественных интересов юридических и физических лиц. В процессе деятельности они становятся обладателями большого объема информации, носящей характер коммерческой тайны или же персональных данных. И то и другое защищено законом. Распространение этих сведений среди широкого круга лиц может привести к финансовому ущербу для компании и ее клиентов. При этом страховая информация является активом, имеющим самостоятельную ценность. Поэтому специалисты службы безопасности страховых компаний обязаны прилагать значительные усилия в области защиты информации.
Правовое регулирование защиты информации в сфере страховой деятельности
Статус информации как объекта правовой защиты регулируется несколькими федеральными законами. Среди них закон «Об информации, информационных технологиях и защите информации», Гражданский кодекс, закон «О защите персональных данных» и другие.
В деятельности страховой компании образуются следующие объекты информации:
- коммерческая тайна самой страховой компании, данные о ее договорах, финансовых взаимоотношениях, бухгалтерская информация;
- коммерческая тайна клиентов и партнеров организации, данные об их активах, имуществе, платежах, произошедших страховых событиях;
- персональные данные сотрудников компании и сотрудников клиентов, эта информация иногда включает номера автомобилей, водительских удостоверений, кредитных карт;
- медицинская тайна клиентов компании, пользующихся услугами добровольного медицинского страхования.
Все массивы информации содержатся как на бумажных, так и на электронных носителях. Эти данные могут стать объектом противоправного покушения, их сохранность требует принятия серьезных мер безопасности. Несанкционированный доступ к охраняемым законом сведениям является уголовным преступлением, предусмотренным статьей 272 Уголовного кодекса.
Виды угроз информационной безопасности
Перечень угроз безопасности включает атаки как внешнего, так и внутреннего происхождения. Информационные базы данных, принадлежащие страховым компаниям, часто становятся объектами покушений хакеров. Частыми целями преступных посягательств являются клиентские базы данных, содержащие информацию о номерах телефонов, номерах автомобилей, медицинских историях. В ряде случаев мошенники, используя данные, похищенные у страховщиков, создавали сайты-клоны, применяемые для продажи недействительных полисов ОСАГО. В США в прошлом году преступниками была взломана система защиты одной из крупнейших страховых компаний, данные сотен тысяч клиентов оказались в открытом доступе.
Кроме того, не исключен риск заражения компьютерных систем компании различными вирусами, которые могут причинить существенный ущерб в виде:
- блокировки доступа к важным файлам;
- уничтожения файлов;
- передачи информации третьим лицам.
Не всегда установленный антивирус будет надежной защитой от спланированной атаки. Кроме внешней угрозы проникновения в компьютерные сети страховой компании существуют и внутренние. Отдельные сотрудники могут намеренно похищать коммерческую информацию с целью ее распространения или передачи конкурентам.
Меры и средства защиты информации
Стандарты защиты информации в России предусмотрены ГОСТами. Кроме того, информационная безопасность страховой компании должна обеспечиваться целым комплексом мер, среди которых:
- административные;
- организационные;
- технические.
Все они должны применяться совместно. Опираться система защиты должна на управление персоналом компании и контроль над ним. Меры технического характера не менее важны, но не могут существовать в отрыве от организационных мер.
Административные меры безопасности
Эти способы защиты включают в себя разработку внутренних нормативных документов, обеспечивающих информирование сотрудников о системе действий, необходимых для обеспечения информационной безопасности. Такие документы хранятся в открытом доступе, в страховой компании должно быть организовано ознакомление с ними персонала.
Служба безопасности страховой компании разрабатывает и предлагает на утверждение руководства политику защиты конфиденциальной информации. Этот локальный нормативный акт должен содержать:
- основные принципы защиты конфиденциальной информации в компании;
- обязанности каждого сотрудника в части защиты доверенных ему сведений;
- задачи руководства по обеспечению охраны информации;
- регламенты обращения с компьютерной техникой и средствами коммуникации;
- меры ответственности за нарушение положений документа.
Кроме того, приложением ко всем трудовым договорам должен стать перечень информации, носящей характер коммерческой, а в самих договорах должны быть предусмотрены меры ответственности за ее разглашение.
Организационные меры безопасности
В большей степени они направлены на устранение внутренней угрозы утечки информации и мотивацию сотрудников на соблюдение утвержденных регламентов. Эти меры предпринимаются службой безопасности во взаимодействии с сотрудниками служб управления персоналом.
В числе организационных мер обеспечения информационной безопасности можно назвать следующие:
- установление различных степеней допуска сотрудников к сведениям, содержащим коммерческую тайну;
- ограничение круга лиц, имеющих допуск к конфиденциальной информации страховой компании;
- организация порядка использования материальных носителей, установление контроля над копированием и сканированием документов, ограничение доступа сотрудников к внешней электронной почте;
- проведение периодических проверок соблюдения регламентов;
- привлечение специалистов для проведения тренингов по защите информации;
- проведение мероприятий по созданию режима коммерческой тайны;
- внесение в договоры компании с клиентами норм, касающихся обязательств соблюдения последними режима коммерческой тайны в отношении переданной им информации;
- привлечение к ответственности лиц, виновных в разглашении информации.
Иногда система работы с безопасностью информации требует создания в компании специального подразделения, в чьи функции будет входить только эта деятельность.
Также следует учитывать, что при проектировании большинства информационных систем уровень защиты от внешнего проникновения был значительно ниже, чем необходим в настоящее время. Среди организационных мер может быть и их аудит, который установит соответствие современным стандартам.
Существуют дополнительные меры организационного характера, позволяющие снизить потери от утечек информации. Уже несколько лет сами страховщики реализуют такой продукт, как страхование от угроз информационной безопасности. Он достаточно популярен. Применение этого способа защиты поможет минимизировать ущерб в случае расспрос транения коммерческой тайны.
Технические меры
Эта группа мер рассчитана на использование действенных технических средств защиты. Для ее реализации используются аппаратные, программные и криптографические средства.
Первые предполагают установку систем резервного копирования и защиту от несанкционированного проникновения, вторые отвечают за работу антивирусов и иных защитных программ, третьи обеспечивают шифрование всей хранимой и передаваемой по каналам связи информации. Наиболее часто для защиты информации применяются межсетевые экраны и системы обнаружения вторжений. Технические средства требуют постоянного обновления и модернизации, так как скорость устаревания программных продуктов очень высока. Сегодня предлагаются программы, которые обеспечивают комплексные меры по защите информации, это DLP-системы и SIEM-системы. Первые предотвращают утечку данных при их передаче по каналам электронной почты, с использованием мессенжеров или при передаче на принтер. Если программа зафиксирует преобразование информации в момент ее передачи, что может означать ее перехват, она прекращает ее направление на внешние каналы. SIEM-системы представляют из себя комплексные средства управления безопасности, они определяют все уязвимые места системы и предоставляют информацию обо всех возможных угрозах, выявляя паттерны, отличные от стандартного поведения самой системы и ее пользователей.
С каждым днем мошенники разрабатывают новые средства преодоления защитных барьеров, и степень опасности утраты ценных сведений растет, а вместе с ней и риск возможных финансовых потерь. Минимизировать риски можно, пройдя аудит своих систем защиты и получив рекомендации по их модернизации.
Комплексное применение современных технических средств в работе службы безопасности страховой компании может обеспечить высокий уровень защиты информации от утечек и несанкционированного доступа. Следует учитывать, что все предпринимаемые действия должны в полной мере соответствовать требованиям российского законодательства.
ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Текст работы размещён без изображений и формул.
Полная версия работы доступна во вкладке «Файлы работы» в формате PDF
Согласно проведённым исследованиям, актуальность выбранной темы заключается в том, что защита информации, в современной российской рыночной экономике является обязательным условием успеха любого руководителя в сфере своей деятельности, а значит и страховая деятельность не исключение. Страховые компании, как и любые другие хозяйствующие субъекты, нуждаются в защите своей конфиденциальной информации. В связи с развитием информационных технологий, обслуживающих все управленческие процессы страховых компаний, всё более разнообразными и сложными становятся угрозы и атаки, способные нанести огромный материальный и моральный ущерб. Поэтому страховые компании должны обеспечивать безопасность обрабатываемых персональных данных своих клиентов, в связи с тем, что их услуги в большой степени являются персонализированными и оказываются индивидуально, а также информацию, которую страховщики используют для достижения уставных целей, ради которых они созданы. Её разглашение или утечка лишит возможности реализовать данные цели.
Таким образом, целью данной научной работы является анализ существующих мер и способов защиты информации в процессе страховой деятельности, направленные на устранение возникновения возможных угроз и атак преднамеренного и случайного характеров, а также представить рекомендации по достижению эффективной защиты конфиденциальной информации.
Задачи научной работы состоят в том чтобы:
-
Выделить основные нормативно-правовые акты в области защиты информации и перечень конфиденциальной информации в страховой деятельности;
-
Проанализировать различные виды угроз, влияющих на информационную безопасность страховой компании в целом;
-
Рассмотреть основные меры, методы и средства защиты конфиденциальной информации в процессе страховой деятельности;
-
Представить рекомендации по достижению эффективной защиты информации в страховой деятельности.
Основным объектом правоотношений в информационной сфере выступает ценный ресурс – информация, который следует оберегать.
Информация – это сведения (сообщения, данные) независимо от формы их представления. Она может являться объектом публичных, гражданских и иных правовых отношений. Данное определение даётся в ФЗ РФ «Об информации, информационных технологиях и о защите информации»[4].
Информацию можно классифицировать по-разному. К примеру, информация по признаку собственности, по доступу информации, и её использованию:
1) Неограниченного доступа (массовая информация, общенаучная информация и т.д.);
2) Ограниченного доступа (доступ к ней ограничен федеральными законами).
В процессе страховой деятельности, защита обеспечивается к информации ограниченного доступа, т.е. конфиденциальной информации. Действующий ФЗ «Об информации, информационных технологиях и защите информации», в отличии от предыдущего федерального закона «Об информации информатизации и защите информации», термина «конфиденциальная информация» не содержит. Однако он описывает понятие «конфиденциальности». «Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя»[4].
В указе Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188 к сведениям конфиденциального характера относят:
-
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
-
Сведения, составляющие тайну следствия и судопроизводства
-
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
-
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, страховая, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
-
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
-
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них[7].
Из вышеперечисленных сведений, в процессе страховой деятельности, реализуется контроль по обеспечению мер защиты информации ограниченного доступа, непосредственно за:
-
Коммерческой тайной страховой компании;
-
Профессиональной тайной (Тайна страхования);
-
Персональных данных сотрудников страховой компании.
Ключом успеха обеспечения сохранности и защиты данной конфиденциальной информации, является комплексное определение всех возможных угроз и факторов, влияющих на системы информационной безопасности, а также основных мер и способов защиты информации. Все меры должны быть экономически целесообразными, и эффективными, чтобы достичь высоких финансовых результатов, и избежать нерациональных расходов, направленных на ликвидацию возможных угроз, и потерь в форме материального и морального ущербов.
К основным мерам защиты информации относятся:
-
Законодательные;
-
Административные;
-
Организационные;
-
Инженерно-технические.
Законодательные меры защиты информации разрабатываются, утверждаются и контролируются государством, путём создания основных законов, подзаконных актов, национальных стандартов в области защиты конфиденциальной информации страховой компании. К ним относятся:
-
Конституция РФ (Ст.23,24,29)[1];
-
Гражданский кодекс РФ (Глава 48 Ст. 946)[2];
-
Трудовой кодекс РФ (Глава 14)[3];
-
Федеральный закон от 27.07.2006 «Об информации, информационных технологиях и о защите информации» № 149-ФЗ[4];
-
Федеральный закон от 29.07.2004 «О коммерческой тайне» N 98-ФЗ[5];
-
Федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ[6];
-
Указ Президента РФ от 6 марта 1997 г. «Об утверждении перечня сведений конфиденциального характера». № 188[7];
-
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения[10];
-
ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью[11];
-
Другие НПА.
Все вышеперечисленные законодательные основы защиты информации, являются ключевым фактором обеспечения информационной безопасности в области коммерческой тайны, тайны страхования, и защиты персональных данных работников страховой компании. На их основе формируются другие направления с точки зрения административной, организационной и технической защиты информации в страховой деятельности.
Административные меры защиты предполагают разработку и утверждение руководством страховой компании нормативных документов, положений, инструкций на основе законодательных стандартов РФ, а также присвоение грифов секретности документам и материалам, и соответствующий контроль доступа к ним сотрудников. Основным таким документом, выступает политика информационной безопасности страховой компании.
Данная политика должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации, а также устанавливать ответственность руководства, и излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:
а) определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
б) изложение целей и принципов информационной безопасности, сформулированных руководством;
в) краткое изложение наиболее существенных для страховой компании политик безопасности, принципов, правил и требований, например:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования в отношении обучения вопросам безопасности;
3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
4) ответственность за нарушения политики безопасности;
г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности[11].
Таким образом, все остальные меры защиты информации компании (организационный, технический) будут зависеть именно от тщательной разработки политики информационной безопасности, способной учитывать все факторы и угрозы, влияющие на систему безопасности информации, и способы противодействия им.
На основе административных мер, в страховой компании разрабатываются организационные меры защиты информации. Организационные меры являются основным центром, в общей системе, защиты конфиденциальной информации, т.к. от полноты и качества решения, руководством компании, организационных задач, будет зависеть эффективность функционирования системы защиты информации в целом. Целью организационных мер выступает: исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения компании ущерба, к которому данная утечка может привести[15]. Таким образом, организационные меры являются ключевым звеном формирования и реализации комплексной защиты информации. Данные меры играют существенную роль в создании надёжного механизма защиты информации.
Если говорить об инженерно-технических мерах защиты информации, то это совокупность специальных органов, методов и технических средств, используемых в интересах защиты конфиденциальной информации. Основными техническими средствами, то по функциональному значению, выступают: физические средства, аппаратные средства, программные средства, криптографические средства[13].
Физические средства защиты это различные инженерные средства и сооружения (охранная сигнализация, системы видеонаблюдения, системы контроля и управления доступом), препятствующие физическому проникновению злоумышленников на объекты защиты, и защищающие персонал, материальные средства и конфиденциальную информацию от противоправных действий.
Аппаратные средства защиты это механические, электронные, электрические и др. устройства, предназначенные для защиты информации от утечки, разглашения и противодействия техническим средствам промышленного шпионажа.
Программные средства защиты это система специальных, прикладных программ, включаемых в состав общего и специального обеспечения, реализующих функций защиты информации и сохранения целостности и конфиденциальности.
Криптографические средства это технические и программные средства, подразумевающие методы шифрования, кодирования или иного преобразования информации, в результате которого её содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования.
Целью применения криптографических методов является защита информационной системы от целенаправленных разрушающих воздействий (атак) со стороны противника.
Очевидно, что все виды технических средств защиты информации, на практике, очень часто взаимодействуют и реализуются совместно, а не по отдельности, т.к. это будет влиять на степень защищённости системы информационной безопасности компании в целом.
Инженерно-технический уровень защиты информации, в первую очередь возлагается на специалистов информационной безопасности. Поэтому страховой компании, в зависимости от размеров и степени влияния на страховом рынке, будут необходимы опытные и квалифицированные кадры.
Крупной страховой компании, которая в высокой степени заинтересована в защите своих конфиденциально важных информационных ресурсов, «одних» специалистов будет не хватать. Поэтому, руководство данной страховой компании примет решение о создании информационной службы безопасности (СИБ), все силы, которой будут сосредоточены на защиту и предотвращение утечки конфиденциальной информации.
СИБ – самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации. Служба информационной безопасности должна подчиняться напрямую первому лицу в организации. В зависимости от объёмов и особенностей задач, в состав Службы информационной безопасности могут входить специалисты по информационной безопасности разных уровней, в рамках своих должностных обязанностей[15].
В должностные обязанности таких специалистов входит:
-
непосредственное участие в создании системы защиты информации, её аудите и мониторинге;
-
анализ информационных рисков;
-
разработка и внедрение мероприятий по их предотвращению.
-
установка, настройка и сопровождение технических средств защиты информации.
Специалисты по безопасности обучают и консультируют сотрудников компании по вопросам обеспечения информационной защиты, разрабатывают нормативно-техническую документацию. Также они защищают локальные компьютерные сети от вирусных атак или взлома хакеров, предотвращают утечку важной информации, подлог данных и некомпетентность (злой умысел) собственных сотрудников[15].
Основными методами защиты информации, используемые специалистами по информационной безопасности, для предотвращения несанкционированного доступа, воздействия и, как следствие, утечки конфиденциальной информации, являются:
-
Препятствие – создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или другого дестабилизирующего фактора;
-
Управление контроля доступом (межсетевые экраны) – оказание управляющих воздействий на элементы защищаемой системы для противостояния возможным путям несанкционированного доступа к информации;
-
Маскировка – действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника (криптографические методы защиты);
-
Регламентация – разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов;
-
Принуждение – метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)[16].
Данные методы, осуществляются на основе проводимых мер, с помощью различных средств, на основе которых реализуется комплексная защита информации от непредвиденных угроз.
Таким образом, любой страховой компании в конечном итоге, придётся выбирать свои пути и способы защиты информации, в зависимости от финансового положения, ликвидности, степени влияния на страховом рынке, размера уставного капитала и т.д., чтобы защитить особо важную, секретную информацию, от которой зависит развитие и благополучие компании. Данный выбор связан, прежде всего, с информатизацией общества и государства, с принятием законодательных нормативных актов, с развитием информационных технологий, переходом на электронный документооборот хозяйствующих субъектов, с ростом преступлений в области информации и случайных непредвиденных обстоятельствах, носящих природный и техногенный характер.
С учётом вышеуказанных факторов страховой компании, на основе нормативно-правовых актов, необходимо провести эффективную политику информационной безопасности, учитывающую уязвимости систем защиты информации и возможные риски возникновения различных угроз.
Следовательно, целесообразно использовать все силы, средства, и методы, имеющиеся в распоряжении страховой компании, для достижения комплексной безопасности информации. Прежде всего, руководству компании необходимо:
-
Осведомить сотрудников о закрытости данной информации, посредством административных и организационных мер защиты информации;
-
Ограничить круг лиц, или же не допустить того, чтобы сотрудники могли свободно оперировать с секретной информацией;
-
Проводить руководством анкетирование, принимаемых на работу граждан, на должности сотрудников компании, и контролировать их работу;
-
Сформировать Службу информационной безопасности, где высококвалифицированные специалисты в области защиты информации способны на основе своего опыта и знаний защитить конфиденциально важную информацию;
-
Установить современные технические оборудования, как основные средства защиты, т.к. они более продуктивно препятствуют случаям преднамеренного характера;
-
Что касается случайных событий, то должны быть оценены риски наступления данных случаев и разработаны детальные планы спасения либо уничтожения информации;
-
Необходимо обязательно шифровать информацию при её передачи по линиям связи, т.е. применять криптографические методы;
-
Эффективно использовать методы информационной безопасности, чтобы снизить степень уязвимости и повысить степень защищенности систем защиты информации.
Эти и другие методы, и средства необходимо комплексно использовать страховой компанией, на основе главных принципов: рациональности, целесообразности и эффективности, а, следовательно, достичь точности, целостности и сохранности конфиденциальной информации.
В заключении можно отметить, что современный мир характеризуется основной тенденцией к постоянному повышению роли информации. С увеличением значимости и ценности информации соответственно растёт и важность её защиты. Все субъекты правоотношения, в том числе страховые компании, заинтересованы в сохранности своей конфиденциально важной информации. Влияние всевозможных угроз побудило их разработать различные меры, методы и средства направленные на защиту систем информационной безопасности.Хорошая защита информации, требует больших вложений, которые не так просто достать. Плохая же защита никому не нужна, так как это означает полную бесполезность всей защиты в целом. Поэтому прежде чем решать вопрос о защите информации, следует определить, стоит ли она того. Способен ли возможный ущерб от разглашения или потери информации превысить затраты на её защиту? С этой же целью надо максимально сузить круг защищаемой информации, чтобы не тратить лишних денег и времени. Во-вторых, прежде чем защищать информацию, нелишне определить перечень вероятных угроз. Все вышеуказанные аспекты анализируются до начала мероприятий по защите информации. В противном случае страховая компания рискует впустую затратить свои силы и средства.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Конституция Российской Федерации : URL: http://www.consultant.ru (дата обращения: 10.11.2013).
2 Гражданский кодекс Российской Федерации : URL: http://www.consultant.ru (дата обращения: 10.11.2013).
3 Трудовой кодекс Российской Федерации : URL: http://www.consultant.ru (дата обращения: 15.11.2013).
4 Об информации, информационных технологиях и о защите информации : ФЗ от 27.07.2006 г. № 149-ФЗ : URL: http://www.consultant.ru (дата обращения: 10.11.2013).
5 О коммерческой тайне : ФЗ от 29.07.2004 г. N 98-ФЗ : URL: http://www.consultant.ru (дата обращения: 11.11.2013).
6 О персональных данных : ФЗ от 27.07.2006 г. N 152-ФЗ : URL: http://www.consultant.ru (дата обращения: 12.11.2013).
7 Об утверждении перечня сведений конфиденциального характера : указ Президента Российской Федерации от 06.03.1997 г. № 188 : URL: http://www.consultant.ru (дата обращения: 11.11.2013).
8 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных : постановление Правительства РФ от 01.11.2012 г. № 1119 : URL: http://www.consultant.ru (дата обращения: 15.11.2013).
9 Информационные системы и технологии управления : учебник / под ред. Г.А. Титоренко. 3-е изд, перераб. и доп. М. : ЮНИТИ-ДАНА, 2011. 591 с.
10 Защита информации. Основные термины и определения : ГОСТ Р 50922-2006. Введ. 27.12.2006 : URL://www.consultant.ru (дата обращения: 20.11.2013).
11 Информационная технология. Практические правила управления информационной безопасностью : ГОСТ Р ИСО/МЭК 17799-2005. Введ. 29.12.2005 : URL://www.consultant.ru (дата обращения: 20.11.2013).
12 Поляков А.В. Информационная безопасность организации // Социально-гуманитарные знания. 2010. №5. С. 174.
13 URL: http://www.it-ideas74.ru/articles/12-security-policy.html (дата обращения: 16.11.2013).
14 URL: http://www.sec-it.ru (дата обращения: 15.11.2013).
15 URL: http://www.all-ib.ru (дата обращения: 15.11.2013).
16 URL: http://www.securitylab.ru (дата обращения: 17.11.2013).
Содержание:
Введение
С того времени как появилась ЭВМ встал вопрос о способах защиты информации накапливаемой, хранимой и обрабатываемой в ЭВМ. При этом под защитой информации понимается создание в ЭВМ и вычислительных системах организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации. Причём при утере информации в бытовой ЭВМ не так страшно как в системах реального времени. Выход из строя такой системы может повлечь за собой катастрофические последствия. Компьютерные вирусы написанные хакерами способны нанести ущерб компьютерным системам. Каждый день появляются новые вирусы несущие новые угрозы потери или публичного распространения информации. Информационная безопасность стремится обеспечить бесперебойную работу системы. Под безопасностью понимается защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов. Под угрозой безопасности понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств
Значимость темы курсовой работы определяется такими факторами, как непосредственная защита информации в страховых системах, потеря материальных ценностей.
Таким образом, этим и определяется актуальность выбранной темы данной курсовой работы «Система защиты информации в системах страхования».
Объектом курсового исследования является понятие информационной безопасности.
Предметом курсового исследования это теоретическая сущность безопасности информации, различные угрозы, а также способы предотвращения утечки информации.
В соответствии с этим целью курсовой работы является рассмотрение и исследование, как с теоретической, так и с практической стороны аспектов систем безопасности в страховых системах.
Исходя из данной цели, в работе ставятся и решаются следующие задачи:
В первой главе планируется рассмотреть теоретическую основу информационной безопасности, и её виды. Для этого необходимо провести подробное исследование по следующим вопросам:
— рассмотреть понятие угрозы безопасности информации и её классификации;
— рассмотреть виды угроз;
— изучить принципы построения угроз.
Во второй главе планируется рассмотреть практическое применение методов защиты информации в страховых системах в рамках и реализации на практике. Для этого необходимо провести подробное исследование по следующим вопросам:
— рассмотреть методы защиты;
— рассмотреть способы построения;
— сделать соответствующие выводы по результатам исследований.
Прикладная значимость данного исследования определяется возможностью использования выводов работы в дальнейших разработках по дисциплине «Система защиты информации в системах страхования», а также при написании выпускной квалификационной работы.
При написании курсовой работы были использованы нормативные акты Российской Федерации, в том числе главный налоговый документ страны –.
Цели и задачи курсовой работы обусловили следующую её структуру. Работа состоит из содержания, введения, двух глав («Безопасность информации на предприятиях и фирмах», «Безопасность информационных систем страховых организаций»), заключения, библиографии, приложений.
1. Безопасность информации на предприятиях и фирмах
1.1 Понятие безопасности информации
Для обеспечения безопасной передачи информации необходимо определить основные направления защиты. Коммерческая тайна — это информация защищена от несанкционированного вторжения, либо кража информации. Информация и факторы заключающие её как информацию указано в Приложении 3.
Коммерческая информация может быть интересна конкурентам предприятия. Например, финансовая отчетность, сумма денег на счетах, список деловых партнеров, оборот средств, заключать контракты, и т.д. Широко используются средства скрытого наблюдения и прослушивания в коммерческой деятельности в области безопасности и жизни отдельных лиц.
Для того чтобы получить компромат, возможно использовать шантаж и специальное оборудование.[1]
Для обеспечения безопасности информации путем создания службы безопасности или воспользоваться услугами охранных компаний, которые имеют опыт работы в области информационной безопасности. В дополнение к организационным мерам по защите информации от несанкционированного доступа, не следует пренебрегать техническими средствами. В России запретили производство и продажу специального оборудования без надлежащей лицензии. Тем не менее, политические и экономические условия создают предпосылки быстрое заполнение рынка путем несанкционированного перехвата и наблюдения.
Основными производителями специального оборудования являются США, Германия, Япония и Россия. Есть образцы бытовой техники. Коммерческие фирмы уже предлагают эти продукты в широком ассортименте. .
Есть много технических информационных каналов. Технические каналы
утечки информации могут быть естественными и искусственными. Естественные каналы включают в себя акустический канал; телефонные линии; радиолиния (радиотелефон, пейджинг, радиостанции и т.д.); офисное оборудование паразитные выбросы. Естественные каналы могут контролироваться, например, при помощи записывающих устройств.
Искусственные каналы создаются преднамеренно. Голосовые данные могут быть записаны или передаваться с помощью радиоволн (миниатюрные передатчики) и стационарные телефоны (линии сигнализации, блок питания). Любой проводник линия может использоваться для передачи сигналов в качестве проводника или антенны. Таким образом, можно подключить передатчики до бесконечности.[2]
Защита данных может быть активным и пассивным. Активная защита причиной вывода вредных помех информации. Пассивный способ — определяет каналы информации. При выборе устройств, для защиты, информации необходимо проконсультироваться со специалистами. Они помогут выбрать правильное оборудование для удовлетворения требований. Они могут осмотреть помещение на наличие ошибок. Это будет использовать большое количество средств обнаружения утечек, а также работу, проведенную специалистами. Возможно, покупка недорогого набора для обнаружения утечек и защиты информационных каналов[3].
Защита от несанкционированного доступа к компьютерной информации приобретает все большее значение. Возникновение локальных и глобальных компьютерных сетей, электронной почты, обмена информацией и программных продуктов привело к возможности несанкционированного доступа для защиты информационных систем банков, страховых компаний, похищение неденежных активов и коммерческой тайны[4]. Шифрованной факсимильной связи и компьютерной информации предназначены для защиты данных, передаваемых по каналам связи. При передаче информации на с одного пункта на другой происходит шифрование и дешифрование на принимающей стороне. Зашифрованные скорость передачи данных, например, с помощью кодеров компании AT & T составляет от 20 кбит / с до 2 Мбит / с.
Наиболее распространенный метод защиты данных — использование соответствующих программных продуктов и устройств контроля доступа. Пользователь может «быть признан» исходным кодом на специальной карточке, отпечатков пальцев и т.д. Защита производится данных с использованием различных программных средств. Они включают в себя программное обеспечение, обеспечивающее систему паролем, различные методы шифрования, копия программного обеспечения защиты продуктов и распространения вирусов. Широкий спектр существующих аппаратных и программных средств позволяет: идентифицировать пользователя. [5]
Так же возможно ограничить полномочия для доступа к устройствам и различать работы по времени; ограничить доступ к банкам данных;
-использовать систему паролей; вести учет пользовательского опыта и попыток несанкционированного доступа;
-обеспечивают настройки программной среды в зависимости от прав пользователя;[6]
-для защиты конфиденциальности, целостности и достоверности информации, передаваемой по каналам связи.
Как правило, во время промышленного шпионажа не так обнародовали факты взлома информации. Наиболее распространенные случаи — запись разговора, и магнитофоны, прослушивание и радиомикрофоны. Для подъема коммерческой информации с использованием беспроводных микрофонов, регистраторы, контроллеры, телефонные линии, небольшие телевизионные камеры и так далее.[7] Например, управление телефонной линии, вы можете получить полную информацию о привычках абонента, его связи, деятельности и повседневной жизни. В случае обычного радиотелефона, эта задача упрощается, так как линия достаточно, чтобы слушать с помощью обычного сканирующего приемника.
Под системностью как основной частью системно-концептуального похода понимается:
— системность целевая, т. е. защищенность информации рассматривается как основная часть общего понятия качества информации;
— системность пространственная, предлагающая взаимоувязанное решение всех вопросов защиты на всех компонентах предприятия;
— системность временная, означающая непрерывность работ по ЗИ, осуществляемых в соответствии планам;
— системность организационная, означающая единство организации всех работ по ЗИ и управления ими[8].
Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также целенаправленной организации всех работ по ЗИ.
Комплексный (системный) подход к построению любой системы включает в себя: прежде всего, изучение объекта внедряемой системы; оценку угроз безопасности объекта; анализ средств, которыми будем оперировать при построении системы; оценку экономической целесообразности; изучение самой системы, ее свойств, принципов работы и возможность увеличения ее эффективности; соотношение всех внутренних и внешних факторов; возможность дополнительных изменений в процессе построения системы и полную организацию всего процесса от начала до конца.[9]
Комплексный (системный) подход — это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его задачей является оптимизация всей системы в совокупности, а не улучшение эффективности отдельных частей. Это объясняется тем, что, как показывает практика, улучшение одних параметров часто приводит к ухудшению других, поэтому необходимо стараться обеспечить баланс противоречий требований и характеристик.
Комплексный (системный) подход не рекомендует приступать к созданию системы до тех пор, пока не определены следующие ее компоненты:
1. Входные элементы. Это те элементы, для обработки которых создается система. В качестве входных элементов выступают виды угроз безопасности, возможные на данном объекте;
2. Ресурсы. Это средства, которые обеспечивают создание и функционирование системы (например, материальные затраты, энергопотребление, допустимые размеры и т. д.). Обычно рекомендуется четко определять виды и допустимое потребление каждого вида ресурса как в процессе создания системы, так и в ходе ее эксплуатации;
3. Окружающая среда. Следует помнить, что любая реальная система всегда взаимодействует с другими системами, каждый объект связан с другими объектами. Очень важно установить границы области других систем, не подчиняющихся руководителю данного предприятия и не входящих в сферу его ответственности.[10]
Характерным примером важности решения этой задачи является распределение функций по защите информации, передаваемой сигналами в кабельной линии, проходящей по территориям различных объектов. Как бы ни устанавливались границы системы, нельзя игнорировать ее взаимодействие с окружающей средой, ибо в этом случае принятые решения могут оказаться бессмысленными. Это справедливо как для границ защищаемого объекта, так и для границ системы защиты;[11]
4. Назначение и функции. Для каждой системы должна быть сформулирована цель, к которой она (система) стремится. Эта цель может быть описана как назначение системы, как ее функция. Чем точнее и конкретнее указано назначение или перечислены функции системы, тем быстрее и правильнее можно выбрать лучший вариант ее построения. Так, например, цель, сформулированная в самом общем виде как обеспечение безопасности объекта, заставит рассматривать варианты создания глобальной системы защиты. Если уточнить ее, определив, например, как обеспечение безопасности информации, передаваемой по каналам связи внутри здания, то круг возможных решений существенно сузится. Следует иметь в виду, что, как правило, глобальная цель достигается через достижение множества менее общих локальных целей (подцелей). Построение такого «дерева целей» значительно облегчает, ускоряет и удешевляет процесс создания системы;
Таким образом, учитывая многообразие потенциальных угроз информации на предприятии, сложность его структуры, а также участие человека в технологическом процессе обработки информации, цели защиты информации могут быть достигнуты только путем создания СЗИ на основе комплексного подхода
Рисунок 1. Требования СЗИ
.
1.2 Методы защиты информации, и методы хранения
Современные методы обработки, передачи и хранения информации, способствовали возникновению угроз, связанных с потерей, искажение, и раскрытие данных, адресованных или принадлежащих конечным пользователям. Таким образом, информационная безопасность компьютерных систем и сетей является одним из ведущих направлений развития ИТ.
Следует рассмотреть основные понятия информационной безопасности и информационной безопасности компьютерных систем и сетей, с учетом определения ГОСТ 50922-96.
Информационная безопасность – предполагает специальные меры по предотвращению утечки защищаемой информации, а также несанкционированное и непреднамеренное воздействие на защищаемую информации.[12]
Объект защиты — информация, средства массовой информации или информационного процесса, для которых необходимо обеспечить защиту в соответствии с намеченной целью защиты информации.
Цель защиты информации — это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу информацию пользователю в результате возможных утечек и / или несанкционированного и непреднамеренного воздействия на информацию.[13]
Эффективность информационной безопасности — степень соответствия защиты информации результатов цели.
Защита утечки информации — деятельность по предотвращению неконтролируемого распространения информации, которая будет защищена от разглашения, несанкционированного доступа (НСД) к защищенной информации и получения защищенной информации злоумышленниками.
Защита информации от раскрытия информации — деятельности для предотвращения несанкционированного регулировки защищенной информации неконтролируемого количества получателей.
Защита информации от несанкционированного доступа — деятельность по предотвращению получения охраняемой информации заинтересованных лиц с необходимыми правовыми документами или собственником или владельцем информации или прав доступа к защищенной информации[14].
Заинтересованные лица, осуществляющие несанкционированный доступ к защищенной информации, государство может действовать, юридическое лицо, группа лиц, общественная организация, отдельное физическое лицо.[15]
Рисунок 2. Стратегия безопасности информации
Защита информационной системы — совокупность органов, использующих свою технологию защиты информации, а также охрана объектов, организована и функционирует в соответствии с правилами, установленными соответствующими правовыми, организационными, административными и нормативных документов по защите информации.
Согласно информации, в курсе информационной безопасности от несанкционированного контроля, преобразования и уничтожения, а также безопасности информационных ресурсов от воздействия, направленных на нарушение их работы. Природа этих воздействий могут быть самыми разнообразными.[16]
Это — вредоносные попытки вторжения, и человеческие ошибки, а также отказ аппаратных средств и программного обеспечения, а также стихийные бедствия (землетрясение, ураган, пожар) и так далее.
Современная автоматизированная система (АС) обработки данных представляет собой сложную систему, состоящую из многих компонентов различной степени автономности, которые соединены друг с другом и имеют способность к обмену данными. Практически каждый компонент может подвергаться внешнему воздействию, или потерпеть неудачу. Компоненты могут быть разделены на следующие группы:[17]
— аппаратные — компьютеры и их комплектующие (процессоры, мониторы, терминалы, периферийные устройства — жесткие диски, принтеры, контроллеры, кабели, линии связи, и т.д …);
— Программное обеспечение — приобретенное программное обеспечение, источник, объект, файлы изображений; ОС и системного программного обеспечения (компиляторы, линкеры и т.д.), утилиты, диагностические программы, и так далее. И т.д .;
— данные — хранятся временно или постоянно, на магнитных носителях, печать, файлы, системные журналы и т.д.,..[18]
— Сотрудники — сотрудники и пользователи. В приложении 2 отражена схема отбора сотрудников на должность по работе с информацией.
Одной из характеристик информационной безопасности АС является то, что такие абстрактные понятия, как информация, объекты и субъекты системы соответствуют физическим представлениям в компьютерной среде:
— предоставление информации — информации на машинных носителях в виде внешних устройств, компьютерных систем (терминалы, принтеры, различные приводы, линии связи и каналы), память, файлы, записи и т.д.,..
— Системные объекты — пассивные компоненты системы, которые хранят, получать или передавать информацию. Объект доступа означает, что доступ к информации, содержащейся в нем;
— системные объекты — активные компоненты системы, которые могут вызвать поток информации от объекта к объекту или изменения в состоянии системы. В качестве субъектов могут служить пользователям, активные программы и процессы.[19]
Информационная безопасность компьютерных систем достигается за счет обеспечения конфиденциальности, целостности и подлинности обрабатываемых данных, а также наличие и целостность информационных компонентов и системных ресурсов. Вышеуказанные основные свойства информации нуждаются в более полной интерпретации.[20]
Конфиденциальность данных — это статус, придаваемый данных и определения требуемой степени защиты. Для получения конфиденциальных данных включают в себя, например, следующее:
-личной информации пользователей; счета (имена пользователей и пароли);
-Информация о кредитной карте; по разработке и различных внутренних документов;
-бухгалтерской информации.
Конфиденциальная информация должна быть известна только уполномоченным и прошедшим проверку подлинности (уставного) системы субъектов (людей, процессы, программы). Для других субъектов системы, эта информация должна быть неизвестна.[21]
Установление классов важность защиты защищенной информации (защиты объектов) под названием категоризации защищенной информации.
Информационная безопасность — один из главных приоритетов современного бизнеса, как нарушения в этой области приводят к катастрофическим последствиям для любого бизнеса. Использование высоких информационных технологий XXI века, с одной стороны, дает значительные преимущества в деятельности предприятий и организаций, а с другой — потенциально создает предпосылки для утечки, хищения, утраты, искажения, подделки, уничтожения, копирования, и блокирование информации и, как следствие, применение экономических, социальных или других видов ущерба, то есть проблемы информационных рисков и поиск путей снижения ущерба становится все более острой с каждым годом.[22]
Практика функционирования автоматизированных информационных систем показывает, что достижение 100% безопасность — это дорого и не всегда пригодны в качестве:
— Даже самые передовые на сегодняшний день системы защиты информации не могут удовлетворить угрозы, которые могут возникнуть в будущем;
— Стоимость комплексной защиты может быть значительно выше, чем стоимость защищаемых информационных ресурсов. Стоимость затрат отражена на рисунке 1.
Рисунок 1. Стоимость затрат на защиту информационную безопасность
Важность информационной безопасности в нашей стране подчеркивает создание доктрины информационной безопасности по инициативе президента России. Методы обеспечения информационной безопасности Российской Федерации, в соответствии с доктриной, разделяются на правовые, организационно-технические и экономические.
Экономические методы обеспечения информационной безопасности включают в себя разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования, улучшение работы системы финансирования по реализации правовых, организационных и технических методов защиты информации, создание информации страхование рисков физических и юридических лиц.
Это соединение является классическим (программное и аппаратное обеспечение), методы защиты информации и механизмов безопасности может помочь компании создать самую надежную систему информационной безопасности (SIS).[23]
К сожалению, страхование информации о рисках по-прежнему является исключительным видом страхования в нашей стране. Основной причиной этого является стоимость услуг. Профессиональные андеррайтеры, действующие в страховых компаниях не может искусственно занижают размер страховых тарифов в погоне за потенциальным клиентом. Следует иметь ввиду, что из-за страховщиков формируется собранных премий фонд, который впоследствии идет на возмещение убытков страхователей. Нехватка премий из-за несоответствия стоимости риска тарифной ставки может привести к тому, что страховые компании просто не что-нибудь еще, чтобы сделать платежи в случае массового наступления страховых событий.
Однако, учитывая тот факт, что в таком новом виде страхования, как страхование информационных рисков, но не существует каких-либо жестких стандартов обслуживания клиентов, а также тот факт, что страховщики должны поощрять индивидуальный подход к потенциальным клиентам, страхователь может торговаться над стоимостью их страховой защиты. А аукцион должен идти на основе математических расчетов, аргументы, показывающие, что работа по информационной безопасности осуществляется на должном уровне.
Страхователь должно быть ясно, что чем больше он тратил на безопасность своей информационной системы, SIS более надежной, чем, тем меньше вероятность того, что злоумышленник сможет проникнуть и поставить под угрозу целостность хранимой информации, тем меньше она будет иметь уплатить страховую компанию за политику.[24]
2. Безопасность информационных систем страховых организаций
2.1 Построение систем безопасности
Первая причина — это традиционная близость сферы, вторая — чрезмерное обобщение и поверхностности суждений. Таким образом, если в финансовом секторе, сохранение конфиденциальной информации является гарантией надежности и доверия к учреждению со стороны заказчика, только замедление рабочих процессов могут быть причиной неэффективности. Деятельности издания включает в себя работу журналистов в различных частях города или даже страны с различными портативными устройствами, быстрой передачи информации как раз вовремя для макета.
Для того чтобы был уверенность в сохранении безопасности информации, следует ввести ограничение на использование флэш-устройств, ноутбуков и других средств связи.
Система безопасности построена для конкретной организации, учитывая его профиль деятельности с целью улучшения обмена информацией, но ни в коем случае она не должна нарушать «прозрачность» организации и эффективности взаимодействия внутри и снаружи.
К сожалению, некоторые компании по-прежнему считают, что специальные меры по защите конфиденциальной внутренней информации может серьезно снизить эффективность текущей деятельности своих ключевых подразделений.[25]
Это первый миф, с которым сталкивается большинство разработчиков и ИТ-аутсорсинга на рынке информационной безопасности. На самом деле, компетентная система безопасности предназначена не только для защиты информации от широкого спектра угроз для обеспечения непрерывности бизнеса, но и свести к минимуму ущерб от разглашения «закрытой» информации, чтобы получить максимальную отдачу на вложенный капитал, создавая благоприятные условия для бизнеса.
Следует рассмотреть более подробно ситуацию в области информационной безопасности, которая сложилась на страховом рынке. Начать нужно с того, что этот сектор первоначально был крупнейшим потребителем информационных технологий в России. Но в процессе их активного использования были проблемы и вызовы, которые только стали более сложными с течением времени все более и более крупные риски страховых компаний приходят от использования высокотехнологичных решений. Здесь должны развеять еще один миф: главная угроза информационных систем российских страховщиков исходит не от вторжения злоумышленников извне, но и от самих работников-страховщика. Это может быть преднамеренным или непреднамеренным эффектом, который вызван элементарным незнанием основных правил работы с информацией.[26]
Таким образом, согласно последним исследованиям, наиболее важных областей в области компьютерной безопасности являются:[27]
-Защита данных (классификация, идентификация и шифрование), а также прикладное программное обеспечение от уязвимостей;
-нарушение политики безопасности в соответствии с законом Сарбейнса-Оксли, HIPPA;
-обнаружение кражи и потери конфиденциальной информации.
Несмотря на то, что деятельность страховой компании или любой другой финансовый институт, имеет свою специфику, наиболее важные области информационной безопасности по-прежнему о тех же самых общих проблем в построении системы информационной безопасности. Условно их можно разделить на три основные категории: правовые, организационные и технические. Следовательно, существующая система информационной безопасности, которая относится к организационно-техническим мероприятиям, программного и аппаратного обеспечения, а также работы персонала компании, предназначены для обеспечения основных свойств доверили эту информацию финансового учреждения — целостность, доступность и конфиденциальность. Опыт наших экспертов показывает, что большинство финансовых институтов, банков и страховых компаний, являются наиболее хорошо развиты в защите, благодаря антивирусным и антиспамовым программам, защита внешнего периметра и организация VPN-каналов, были рассмотрены вопросы доступа к защищенной территории третьих лиц.[28]
Однако, как ни странно, игнорируются вопросы, связанные с управлением съемных носителей, доступ к портам ввода / вывода. Часто, рядовым сотрудникам выделяются больше прав, чем им необходимо для выполнения служебных обязанностей, процессов, чтобы обеспечить «безопасное» резервное копирование, применение криптографии и безопасного хранения копий практически не регулируется. Таким образом, установление и периодический контроль надлежащего функционирования информационной безопасности часто не регулируется, работа всей информационной системы дается на откуп системного администратора. Вопросы сертификации и обеспечение информационной безопасности до требуемого уровня в соответствии с российскими и международными стандартами, не считаются в лучшем случае может быть отложено на потом[29].
В результате, информационные системы большинства финансовых институтов абсолютно беспомощны и слабы внутри. Это отсутствие внимания к угрозам, вызвана в первую очередь тем, что сегодня страховые компании не обязаны информировать общественность об инцидентах внутренних утечек безопасности конфиденциальных и личных данных, мошенничество и т.д. Например, если финансовая компания покажет инсайдер, который пытался украсть деньги от клиентов или продавать их частным данным, он не будет идти в суд и попытаться урегулировать этот вопрос спокойно. В результате этих действий со стороны инсайдеров часто оставить ответ, и страховые компании, с тем чтобы сохранить свою репутацию, игнорировать эти факты, вызывая еще большую волну преступлений в этой области. И это еще один миф самым серьезным сокрытии преступления и оставляя безнаказанными виновника, компания-страховщик не сохраняет свою репутацию и клиентов, а, наоборот, подрывает общий кредит общественного доверия к финансовым институтам. Обратите внимание, что в будущем это не принесет никакой прибыли от страхового рынка. Резервное копирование информации заключается в хранении копии программ на носителе: стримере, гибких носителях, оптических дисках, жестких дисках. На этих носителях копии программ могут находится в нормальном- несжатом или заархивированном виде. Резервное копирование проводится для сохранения программ от повреждений как умышленных, так и случайных, и для хранения редко используемых файлов.[30]
При современном развитии компьютерных технологий требования к запоминающим устройствам в локальной сети растут гораздо быстрее, чем возможности. Соответственно растут и требования к защите. В Приложении 1 указаны требования к защите информации виде схемы. Вместе с геометрическим ростом емкости дисковых подсистем программам копирования на магнитную ленту за время, отпущенное на резервирование, приходится читать и записывать все большие массивы данных. Еще более важно, что программы резервирования должны научиться, таким образом, управлять большим количеством файлов, чтобы пользователям не было чересчур сложно извлекать отдельные файлы.
Криптографическое шифрование информации заключается в таком преобразовании защищаемой информации, при котором по внешнему виду нельзя определить содержание закрытых данных. Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности, — единственным средством защиты информации от хищений.
Основные направления работ по рассматриваемому аспекту защиты можно сформулировать таким образом:
-выбор рациональных систем шифрования для надежного закрытия информации,
-обоснование путей реализации систем шифрования в автоматизированных системах,
-разработка правил использования криптографических методов защиты в процессе функционирования автоматизированных систем,
-оценка эффективности криптографической защиты.
К шифрам, предназначенным для закрытия информации в ЭВМ и автоматизированных системах, предъявляется ряд требований, в том числе: достаточная стойкость или надежность закрытия, простота шифрования и расшифрования от способа внутримашинного представления информации, нечувствительность к небольшим ошибкам шифрования, возможность внутримашинной обработки зашифрованной информации, незначительная избыточность информации за счет шифрования и ряд других. В той или иной степени этим требованиям отвечают некоторые виды шифров замены, перестановки, гаммирования, а также шифры, основанные на аналитических преобразованиях шифруемых данных.[31]
Шифрование заменой заключается в том, что символы шифруемого текста заменяются символами другого или того же алфавита в соответствии с заранее обусловленной схемой замены.[32]
Шифрование перестановкой заключается в том, что символы шифруемого текста переставляются по какому-то правилу в пределах какого-то блока этого текста. При достаточной длине блока, в пределах которого осуществляется перестановка, и сложном и неповторяющемся порядке перестановке можно достигнуть достаточной для практических приложений в автоматизированных системах стойкости шифрования.
Шифрование гаммированием заключается в том, что символы шифруемого текста складываются с символами некоторой случайной последовательности, именуемой гаммой. Стойкость шифрования определяется главным образом размером неповторяющейся части гаммы. Поскольку с помощью ЭВМ можно генерировать практически бесконечную гамму, то данный способ считается одним из основных для шифрования информации в автоматизированных системах. Правда, при этом возникает ряд организационно-технических трудностей, которые, однако, не являются не преодолимыми.
Шифрование аналитическим преобразованием заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу (формуле). Можно, например, использовать правило умножения матрицы на вектор, причем умножаемая матрица является ключом шифрования (поэтому ее размер и содержание должны сохранятся в тайне), а символы умножаемого вектора последовательно служат символы шифруемого текста.[33]
Особенно эффективными являются комбинированные шифры, когда текст последовательно шифруется двумя или большим числом систем шифрования (например, замена и гаммирование, перестановка и гаммирование). Считается, что при этом стойкость шифрования превышает суммарную стойкость в составных шифрах.[34]
Каждую из рассмотренных систем шифрования можно реализовать в автоматизированной системе либо программным путем, либо с помощью специальной аппаратуры. Программная реализация по сравнению с аппаратной является более гибкой и обходится дешевле. Однако аппаратное шифрование в общем случае в несколько раз производительнее. Это обстоятельство при больших объемах закрываемой информации имеет решающее значение.
2.2 Организационные мероприятия по защите информации
Организационные мероприятия, связанные с защитой информации (в том числе — с защитой автоматизированной системы управления), обычно включают в себя:
-разработку инструкций и регламентов для сотрудников;
-организацию охраны помещений и разработку пропускного режима;
-ограничение доступа в помещения, где размещены серверы автоматизированной системы управления;
-хранение носителей информации и бумажной документации в сейфах или других защищенных местах;
-установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами;
-ликвидацию ненужных носителей информации и документов;
-уничтожение всей информации на жестких дисках компьютеров, где были установлены компоненты системы, перед их отправкой в ремонт;
-проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности.[35]
Для минимизации рисков, связанных с несанкционированным доступом на предприятие или в его отдельные подразделения, может использоваться метод создания рубежей защиты. Это подразумевает, что территория предприятия разбивается на несколько зон, ранжированных по степени закрытости для сотрудников или посетителей. В результате возникает возможность для разграничения доступа к наиболее важным информационным ресурсам предприятия. Тем самым обеспечивается их максимальная защита[36]. Пример организации рубежей защиты приведен на рисунке 3
Рисунок 3. Организация рубежей защиты
Определение потенциальных угроз безопасности информации. Их можно разделить на три группы — это угрозы, возникающие:
-вследствие действий человека — это могут быть как случайные ошибки специалистов предприятия при работе с информационной системой (неправильный ввод данных или их удаление), так и предумышленные действия (кража документов или носителей информации);
-вследствие некорректной работы или отказа технических или программных средств (например, сбой в работе операционной системы, вызванный вирусом);
-из-за стихийных бедствий, природных катаклизмов, форс-мажорных обстоятельств (наводнения, пожары, смерчи, военные действия и т.д.).
Список потенциальных угроз для информационной безопасности предприятия может быть очень велик. Рекомендуется оценить каждую из них с позиции здравого смысла или данных статистики, а затем проранжировать по степени вероятности возникновения и объема потенциального ущерба[37].
Составление перечня данных, подлежащих защите. Информация, которая используется на предприятии, может быть открытой (доступна для всех) или закрытой (доступна для ограниченного круга лиц). К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, не относятся к категории конфиденциальной информации (согласно законодательству или внутренним документам предприятия). Ущерб от потери подобного рода сведений не является значительным, поэтому их защита не приоритетна.
Ко второму типу относятся:
-данные, являющиеся государственной тайной — их перечень определяется законодательством;
-коммерческие или служебные сведения — любая информация, связанная с производством, финансами, использующимися технологиями, утечка или утрата которой может нанести ущерб интересам предприятия;
персональные данные сотрудников.
Эта информация должна быть защищена в первую очередь. Для каждого типа такого рода данных указывается, как и где они возникают, с помощью каких программных или технических средств ведется их обработка, какие подразделения (сотрудники) с ними работают и т.д.[38]
Создание подразделения, ответственного за вопросы защиты информации. Как правило, на российских предприятиях существует разделение функций, связанных с обеспечением информационной безопасности. Это подразумевает, что за разработку политики защиты данных, выполнение организационных мер отвечает служба безопасности компании, а вопросы, связанные с применением любых программных и аппаратных средств, включаются в компетенцию ИТ-подразделения. Нередко возникают ситуации, когда стремление как можно надежнее защитить данные вступает в противоречие с потребностями бизнеса предприятия. В том числе это происходит, если меры безопасности разрабатываются без учета возможностей современных ИТ-средств.[39]
Например, на одном из предприятий служба безопасности запретила сотрудникам иметь доступ к рабочему адресу электронной почты из внешней среды, мотивируя свое решение необходимостью избежать утечек информации. В результате стали возникать задержки при выполнении бизнес-процессов: сотрудники не могли оперативно принимать необходимые управленческие решения, если они находились не в офисе предприятия. Участие в разработке подобной меры сотрудников ИТ-подразделения позволило бы избежать этой проблемы: доступ к рабочей почте был бы сохранен, а защита данных обеспечивалась бы за счет применения дополнительных программных средств.[40]
Поэтому более правильным подходом является создание единой точки принятия решений, а именно создание подразделения, задачей которого будет решение всего спектра вопросов по защите информации на предприятии. В его состав необходимо включить как сотрудников службы безопасности, так и ИТ-специалистов.[41]
Заключение
В заключении данной курсовой работы были сделаны следующие выводы:
В первой главе были рассмотрены теоретические аспекты защиты информации в целом. Было дано определение безопасности информации, как проанализирована классификация угроз защиты информации и их виды.
Рассмотрены принципы создания и затрат на безопасность информации и определены функции системы защиты. Все это дает полную картину о необходимости и целесообразности существования безопасных программ, методик в целом.
Во второй главе была проанализирована система защиты информации в системах страхования..
Цели защиты информации в страховой системе следующие:
1) Защита данных (классификация, идентификация и шифрование), а также прикладное программное обеспечение от уязвимостей.
2) предотвращение убытков.
Проблема защиты информации не нова. Она появилась еще задолго до
появления компьютеров. Стремительное совершенствование компьютерных технологий сказалось и на принципах построения защиты информации.
С самого начала своего развития системы информационной безопасности:
— разрабатывались для военных ведомств. Разглашение такой информации могло привести к огромным жертвам, в том числе и человеческим. Поэтому конфиденциальности (то есть неразглашению информации) в первых системах
— безопасности уделялось особое внимание. Очевидно, что надежно защитить
-сообщения и данные от подглядывания и перехвата может только полное их шифрование.
Принципиальная особенность современной ситуации заключается в том, что важнейшей задачей сегодня становится защита информации в компьютерных сетях.
Широкое внедрение компьютеров во все виды деятельности, постоянное наращивание их вычислительной мощности, использование компьютерных сетей различного масштаба привели к тому, что угрозы потери конфиденциальной информации в системах обработки данных стали неотъемлемой частью практически любой деятельности.
Библиография
1. Завгородний В.И. Комплексная защита информации в компьютерных системах: уч. пособие. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 488 с.
2. Халяпин Д.Б. Защита информации. – Баярд М, 2004.- 431 с: ил.
3. Берник В., Матвеев С., Харин Ю. Математические и компьютерные основы криптологии. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 315 с.
4. Источник сети Internet: www.college.ru
5.Безбогов А.А., Шамкин В.Н. Методы и средства защиты компьютерной информации, ТГТУ, 2006, 120с.
6.Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с
7.«Защита информации в сетях ЭВМ» – А. Злой, Москва 1999 год.
8. Буслвнко Н.И. Массовая информация и информационная безопасность России. Ростов н/Д., 2002.
9. Информационная безопасность России / В.Г. Шевченко, Н.В. Федотов, Г.Х. Архагов и др. М., 2001.
10. Смирнов А.И. Информационная глобализация и Россия: вызовы и возможности. М., 2005.
11. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000.
12. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c.
13. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. — М.: МГИУ, 2010. — 277 c.
14. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c.
15. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. — М.: Акад. Проект, 2008. — 544 c.
Приложение 1
Приложение 2
Приложение 3
-
Завгородний В.И. Комплексная защита информации в компьютерных системах: уч. пособие. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 488 с ↑
-
Берник В., Матвеев С., Харин Ю. Математические и компьютерные основы криптологии. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 315 с. ↑
-
Завгородний В.И. Комплексная защита информации в компьютерных системах: уч. пособие. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 488 с ↑
-
Халяпин Д.Б. Защита информации. – Баярд М, 2004.- 431 с: ил ↑
-
Берник В., Матвеев С., Харин Ю. Математические и компьютерные основы криптологии. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 315 с. ↑
-
Завгородний В.И. Комплексная защита информации в компьютерных системах: уч. пособие. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 488 с ↑
-
Халяпин Д.Б. Защита информации. – Баярд М, 2004.- 431 с: ил ↑
-
Безбогов А.А., Шамкин В.Н. Методы и средства защиты компьютерной информации, ТГТУ, 2006, 120с. ↑
-
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000. ↑
-
Безбогов А.А., Шамкин В.Н. Методы и средства защиты компьютерной информации, ТГТУ, 2006, 120с. ↑
-
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000. ↑
-
Буслвнко Н.И. Массовая информация и информационная безопасность России. Ростов н/Д., 2002 ↑
-
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000. ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Буслвнко Н.И. Массовая информация и информационная безопасность России. Ростов н/Д., 2002 ↑
-
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000. ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000. ↑
-
Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. М., 2000. ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Буслвнко Н.И. Массовая информация и информационная безопасность России. Ростов н/Д., 2002 ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c. ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
-
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c. ↑
-
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c. ↑
-
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c. ↑
-
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c. ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
-
Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. — М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. — 416 c. ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
-
Информационная безопасность России / В.Г. Шевченко, Н.В. Федотов, Г.Х. Архагов и др. М., 2001. ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Информационная безопасность России / В.Г. Шевченко, Н.В. Федотов, Г.Х. Архагов и др. М., 2001. ↑
-
Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. — М.: Акад. Проект, 2008. — 544 c ↑
-
Молдовян А.А., Молдовян Н.А., Советов Б.Я. Криптография. — СПб.: Издательство “Лань”, 2001. — 224с ↑
-
Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. — М.: АРТА, 2012. — 296 c. ↑
- Системы предотвращения утечек конфиденциальной информации
- Методики отбора персонала для работы с конфиденциальной информацией
- Методика защиты информации в системе электронного документооборота
- Основные виды и понятия ценных бумаг
- Юридическая сущность предпринимательского права.
- Правовое регулирование рекламной деятельности (Регулирование рынка рекламы)
- Рынок ценных бумаг (Назначение и содержание государственного регулирования)
- Разработка рекомендаций по сбору и оценке событий информационной безопасности (Понятие аудита безопасности информационных систем)
- Система защиты информации в зарубежных странах (Понятие информационной защиты)
- Система защиты информации в банковских системах (Банковская сеть, модели внутренней и внешней угрозы)
- Защита информации в процессе переговоров и совещаний.
- Программные комплексы анализа каналов утечки информации (Утечка информации и система мониторинга)
Страхование информационных рисков
15.01.2021
Понятие информационного риска применяют в случае события, создающего угрозу безопасности информации, способного повлечь за собой значительный материальный ущерб. Широкое внедрение IT-технологий повысило опасность преступлений в интернет-пространстве. Конвенцией по борьбе с киберпреступностью (принята Советом Европы 23.11.01г.) определено, что киберпреступлением является любое правонарушение, направленное против целостности, конфиденциальности и доступности компьютерных систем, сетей и данных. Мошенничество, атаки, угрозы и другие несанкционированные действия с приставкой «кибер» наносят серьезный ущерб экономике государства, частным лицам, которые терпят убытки в результате киберпреступлений. По данным аналитиков, среди всех рисков по вероятности возникновения киберугрозы занимают пятое место, по размеру ущерба — седьмое (потери выражаются в миллиардах). Страховка — один из способов минимизации убытков от преступлений в сфере информационной безопасности.
На кого рассчитана услуга киберстрахования?
В понятие «страхование информационных рисков» специалисты вкладывают разный смысл, от узкого — страховка риска утраты/искажения информации, до широкого — продукт, ориентированный на IT сферу.
Такими видами страховок целесообразно пользоваться:
- государственным органам;
- организациям финансового сектора экономики;
- предприятиям с опасным производством;
- крупным онлайн магазинам;
- удостоверяющим и расчетным центрам;
- предприятиям всех видов деятельности, использующим в своей работе комплексные автоматизированные системы контроля управления технологическим циклом производства, финансами, сбытом.
Можно застраховать в комплексе или отдельно гражданскую ответственность за ущерб, который может причинить страхователь потребителям своих услуг (перерыв в обслуживании, технические сбои и другие причины). В этом случае страхуют ответственность операторов связи, консультантов и программистов, регистраторов доменных имен и других участников рынка информационных технологий.
В зоне риска также аккаунты в соцсетях, электронные кошельки, банковские карты и счета граждан.
По оценке специалистов, самые распространенные угрозы — фишинговые письма с вредоносными файлами, которые открывают доступ к конфиденциальной информации. Фактически это — подготовка почвы для более серьезной атаки на предприятие или обычного гражданина (например, кража денег с карт и счетов, мошенничество, вымогательство).
Страховой случай
При страховке киберрисков страховщики применяют такие же подходы, как и при обычном страховании. Полис может покрывать риски:
- взлома информационных систем — внешнее и внутреннее хакерство;
- действий компьютерных вирусов разного типа;
- мошенничества с электронными платежными документами, модификации ПО с целью хищения денежных средств;
- сбоя в результате ошибок проектирования, разработки, установки, настройки или эксплуатации информационных систем;
- временное прекращение деятельности субъекта из-за всех перечисленных событий.
При выборе программы страхования, как метода защиты информации, страхователю нужно реально оценить риски и размеры возможных потерь.
Факт страхового случая устанавливает специализированная IT-компания по информационной защите и безопасности, сотрудничающая со страховщиком.
Сколько стоит страховка?
Страховые суммы рассчитывают конкретно для каждого страхователя. Например, при потерях от компьютерных и электронных преступлений в 1 млн. долларов СК готовы компенсировать среднему и мелкому бизнесу 2-3 тыс. долл., крупным финансовым компаниям — до 100 тыс. В расчете учитывают:
- стоимость информационных ресурсов;
- надежность средств защиты информации;
- статистику атак по отрасли;
- предполагаемые убытков от остановки деятельности в результате преступления.
Возмещению подлежат:
- Расходы на экспертизу по страховому случаю.
- Потерянная прибыль страхователя или третьего лица (при страховании профессиональной ответственности).
- Похищенные деньги.
- Расходы на восстановление информации и всей системы.
- Убытки от приостановления деятельности.
- Затраты на уведомление клиентов и партнеров об инциденте.
- Расходы на восстановление репутации.
Как застраховать информационные риски
Этим видом страхования занимаются крупные игроки страхового рынка, которые самостоятельно разрабатывают и утверждают программы страхования.
Перед подписанием договора, страховщики и потенциальные страхователи проводят переговоры, в ходе которых обговаривают условия страхования информации и киберрисков. Страховщик приглашает независимого эксперта в области информационной безопасности, который проводит экспертизу (survey) степени защищенности технологических систем страхователя.
По результатам предстраховой экспертизы СК может потребовать принять ряд мер, снижающих риск возникновения ущерба. Без этого договор не будет подписан.
В случае обнаружения утечки/утраты информации и угрозы кибератаки застрахованное лицо заявляет об этом СК.
Проблемы российского страхового рынка в сегменте IT
В Европе первая страховка была разработана английской ассоциацией Ллойдс в 1981 году. Полис защищал банки от компьютерных преступлений и был принят в качестве типового. В России только через 10 лет страховщики начали получать лицензию на страхование от электронных и компьютерных преступлений. При этом они не спешат выходить со своими продуктами на рынок по нескольким причинам:
- нечеткое законодательство в этом вопросе;
- проблемы с построением и оценкой модели риска;
- дефицит компетенций в IT страховании;
- недостаток специалистов по определению и урегулированию страховых случаев;
- дорогостоящий андеррайтинг (оценка рисков).
Отечественными программами страхования сейчас пользуются, в основном, компании с высокой маржинальностью, где важна работа IT систем. Для большинства потребителей страхование информационных и киберрисков остается непонятной услугой или они боятся огласки, которая повлияет на их репутацию.
Для физлиц СК предлагают защиту от угрозы списания средств с банковских счетов. Страховка компенсирует гражданам ущерб от потери денег при совершении интернет-покупок, на фишинговых сайтах и при кибератаках на смартфон/компьютер. В полис можно включить годовую лицензию на антивирус от партнеров страховщика. В отдельных продуктах обязательное условие возмещения ущерба — наличие антивируса.
В рамках правительственной программы «Цифровая экономика» в России создают масштабный рынок страхования от киберрисков с соответствующим правовым обеспечением. Работу по этому направлению возглавляет Сбербанк. Идут споры о необходимости сделать страховку обязательной для предприятий всех стратегических отраслей. Но страховщики не хотят, чтобы тарифы устанавливало государство, хотя саму тему считают своевременной из-за растущего спроса у бизнеса.
Вопросы по страхованию
Кто оплачивает услуги экспертной IT-компании, приглашенной для оценки информационных рисков?
Половину стоимости услуг сюрвея компенсирует СК (при заключении договора страхования).
Не всегда можно сразу определить, что система подвергалась кибератаке. Событие может быть растянуто по времени, как в случае фишингового письма. Не будет ли СК считать, что страхователь нарушил сроки уведомления о страховом случае?
Обычно в страховке устанавливают период обнаружения до 180 дней.
Как застраховать средства на банковской карте от мошенников?
Страховые продукты защищают от:
- убытков, возникших в результате сбоя работы техники в банке;
- повреждения/потери карты;
- ограбления возле банкомата в момент получения денег;
- дистанционной кражи денежных средств.
Полис можно оформить онлайн на сайте СК или в банке. Для этого нужно указать свои данные, дать согласие на обработку персональных сведений, выбрать сумму страховки и сроки.
Зачем нужна служба безопасности страховщику?
Прежде чем разобрать механизм работы службы безопасности страховой компании, стоит выяснить, что подлежит защите?
Страховые компании, как и иные финансовые организации, оказывают услуги физическим и юридическим лицам в сфере страховой защиты имущественных интересов. Они предоставляют услуги страховой защиты потенциальных клиентам. Как и любой организации, которая непосредственно связана с большим потоком денежных средств, ей жизненно необходимо внутреннее подразделение, которое занимается защитой активов.
В процессе своей деятельности страховщики помимо активов аккумулируют большой объем данных, составляющих как коммерческую тайну, так и персональные данные. Обработка и хранение таких сведений регулируются законодательством РФ “Об информации, информационных технологиях и о защите информации” от 27.07.2006 N 149-ФЗ (последняя редакция), а также Гражданским кодексом РФ, Федеральным законом “О персональных данных” от 27.07.2006 N 152-ФЗ (последняя редакция).
Распространение этих сведений может привести к финансовым потерям самой компании и ее клиентов. В связи с тем, что информация, обрабатываемая страховщиком, обладает определенной ценностью, ее нужно защищать.
Можно выделить несколько видов сегментов информации, подлежащей защите:
- коммерческая тайна страховой организации – финансовая отчетность, данные по заключенным контрактам;
- коммерческая тайна клиентов и партнеров – сведения об их финансовом состоянии, наличии имущества, произошедших страховых событиях и деталях урегулирования;
- персональные данные сотрудников компании;
- врачебная тайна клиентов компании, оформивших полис ДМС.
Отметим, что все сведения могут быть объектом противоправного действия, регулирующимся Уголовным кодексом РФ.
Пик развития страхового рынка в России пришелся на последние двадцать лет, после вступления в силу закона об ОСАГО, когда большинство страховых компаний столкнулось с увеличением числа договоров по всем видам страхования, преимущественно автострахования. Это повлекло увеличение потока новых клиентов, денежных средств и страховых событий. Поэтому параллельно с увеличением бизнеса изменялся и подход к подразделениям безопасности: из маленьких отделов или отдельных сотрудников, следящих за сохранностью данных, стали появляться крупные подразделения, контролирующие безопасность организации.
Служба безопасности работает по трем основным направлениям, а именно:
- физическая защита объектов компании и персонала;
- внутренняя безопасность;
- экономическая безопасность.
Откуда идет угроза информации?
Данные могут быть подвержены кибератакам как внешнего, так и внутреннего происхождения, потому что базы данных СК становятся популярными целями для хакеров. Основная цель мошенников – завладеть информацией о номерах телефонов клиентов, госномерах автомобилей, медицинских историях.
Зачастую злоумышленники, с использованием сведений похищенных у страховщиков, создавали фишинговые сайты, используемые для продажи «левых» полисов ОСАГО.
Также очевиден риск заражения программного обеспечения компании различными вирусами, которые приведут к уничтожению файлов и утечке данных.
Способы защиты информации
Информационная безопасность страховой компании должна обеспечиваться целым комплексом мер, включающих:
- административные;
- организационные;
- технические.
Все они должны работать сообща.
Для их реализации компанией создается специальное подразделение – служба безопасности. Среди его сотрудников работают юристы, специалисты по IT технологиям, а также выходцы из правоохранительных органов. СБ тесно сотрудничает с подразделением по управлению персоналом, так как разработанный комплекс мер по проверке самих сотрудников, а также проверки их взаимодействий в рабочем порядке с контрагентами, – одна из функций Службы безопасности.
Рассмотрим группу мер отдельно
Административные меры безопасности
В эту группу входит разработка внутренних нормативных актов, информирующих сотрудников об организации рабочего процесса в нужном формате для обеспечения информационной безопасности. Ряд документов хранится в открытом доступе, в страховой компании должно быть организовано ознакомление с ними персонала. Служба безопасности страховой компании разрабатывает политику защиты конфиденциальной информации.
Кроме того, приложением ко всем трудовым договорам должен быть перечень информации, носящей характер коммерческой, а в самих договорах должны быть предусмотрены меры ответственности за ее разглашение.
Организационные меры безопасности
Этот класс направлен на устранение внутренней угрозы утечки информации и мотивацию сотрудников на соблюдение регламентов работодателя. Эти меры предпринимаются службой безопасности во взаимодействии с другими структурными подразделениями.
В числе организационных мер обеспечения информационной безопасности можно выделить:
- установление дифференциации по допуску сотрудников к сведениям, содержащим коммерческую тайну;
- ограничение круга лиц, имеющих допуск к таким сведениям;
- организация использования материальных носителей, установление мониторинга над копированием и сканированием документов, ограничение доступа сотрудников к внешней электронной почте;
- проведение периодических проверок соблюдения внутреннего регламентов;
- привлечение специалистов для проведения обучения сотрудников по защите информации;
- проведение мероприятий по созданию режима коммерческой тайны;
- внесение в договоры компании с клиентами норм, касающихся обязательств соблюдения последними режима коммерческой тайны в отношении переданной им информации;
- привлечение к ответственности лиц, виновных в разглашении существуют дополнительные меры организационного характера, позволяющие снизить потери от утечек информации. Уже несколько лет сами страховщики реализуют такой продукт, как страхование от угроз информационной безопасности. Он достаточно популярен. Применение этого способа защиты поможет минимизировать ущерб в случае распространения коммерческой тайны.
Технические меры
Этот комплекс мер рассчитан на использование действенных технических средств защиты с применением аппаратных, программных и криптографических средств – установка систем резервного копирования и защита от несанкционированного проникновения.
С каждым днем мошенники придумывают новые схемы преодоления барьеров, и степень опасности утечки данных растет, а вместе с ней и риск возможных финансовых потерь.
Обезопасить такие данные поможет комплексное применение технических средств в работе службы безопасности страховой компании. В таком случае будет достигнут высокий уровень защиты информации от утечек и несанкционированного доступа.
Давайте рассмотрим ветвь развития подразделения службы безопасности с начала открытия юридического лица или его представительства (филиала).
В первую очередь руководство компании ставит задачу хозяйственно административным подразделением с целью подбора помещения (продающее или урегулирующее убытки), так чтобы схема работы в новом регионе была наиболее продуктивной. На этапе поиска помещения и проведения организационных мероприятий в идеале должно подключиться информационно-аналитическое подразделение службы безопасности, которое проведет анализ рисков на территории, выяснит криминогенную ситуацию проведет моделирование противоправных посягательств и предложит уровень защиты для новых объектов Компании. В дальнейшем, на основании полученных аналитических данных инженерно-техническое подразделение СБ готовит проект и бюджет защиты, передавая его для утверждения. Из опыта можно заключить, что на этом этапе уже возможно договориться с руководством о поисках другого помещения, или согласиться с рисками осознанно.
В каких случаях обращаются в СБ?
В страховых организациях зачастую происходят ситуации, которым присущи признаки мошенничества. Для того, чтобы обезопасить СК от неправомерных действий страхователей, а также для установления факта нарушения законодательства при проведении осмотра поврежденного имущества создана служба безопасности.
Эксперт страхового рынка, экс-руководитель службы безопасности страховой компании Александр Мозалев говорит следующее относительно задач подразделения СБ: “люди – главное богатство страховой компании и поэтому их нормальное состояние и хорошее настроение тоже одна из задач СБ. Сотрудники внутренней безопасности помогают, к примеру, с личными проблемами, когда у работника произошло несчастье или в случае, если объектами криминальных посягательств стало имущество или родственники работников. Внутренняя безопасность консультирует, сопровождает, помогает с поисками адвокатов. Важно понять, что Служба Безопасности – подразделение, которое все 24 часа в сутки стоит на защите финансовых средств, имущества и персонала компании. К сожалению, в обязанности внутренней безопасности входят и задачи по поиску, выявлению и пресечению криминальной деятельности работников. Каждый год таких случаев выявляется все больше: начиная от известного и распространённого случая продажи страховки задним числом, организации фиктивных страховых событий, сговора с автосервисами, откатов и вплоть до продажи баз данных и конкурентной разведки”.
Ее полномочия на этом не заканчиваются, однако являются ключевыми.
Давайте разберемся, в каких случаях привлечение службы безопасности обязательное?
- в случае необходимости получения сведений о конкретном страхователе. Это касается крупных клиентов, а также клиентов с сомнительной историей или вновь появившихся игроков на рынке
- в случае необходимости получения информации об объекте страхования (как в момент принятия на страхование, так и в момент расследования страхового события);
- при принятии конкретного сотрудника на работу. Как правило, крупные страховщики на одном из этапов собеседования проводят проверку на полиграфе, которая и организовывается сотрудниками службы безопасности.
Сотрудники службы безопасности включаются в работу при обнаружении признаков страхового мошенничества, точнее, когда признаки налицо, а доказательства легко оспорить. Среди таких случаев:
- искусственное увеличение размера ущерба;
- мошеннические действия, связанные с заключением договора страхования в отношении несуществующего имущества;
- мошеннические действия при страховании одного имущества с последующей инсценировкой страхового случая с другим имуществом;
- завышение реальной суммы ущерба достигается путем умышленной порчи или уничтожения застрахованного имущества.
Как работают службы безопасности страховых компаний?
Во многих страховых компаниях есть собственная служба безопасности, которая занимается расследованием подозрительных страховых случаев. Компетенция «безопасников» позволяет:
- позвонить страхователю с просьбой уточнить обстоятельства страхового события;
- проверять подлинность полученных от вас документов, путем направления запросов в компетентные и регистрирующие органы;
- лично встречаться с застрахованными лицами;
- проверять биографии клиентов;
- участвовать в оценке результатов независимой экспертизы, в том числе на судебных заседаниях.
Теперь выясним, кого проверяет служба безопасности?
Каждый второй работодатель отметил, что проверяет кандидатов перед тем, как принять их на работу, однако в службу безопасности попадают не больше 30% потенциальных кандидатов.
Чем крупнее компания, тем детальнее прорабатывается вопрос проверки.
Ответственность за мошенничество по страхованию Каско и ОСАГО
Такие виды страхования как ОСАГО и КАСКО являются наиболее востребованными, следовательно объем «уловок» по ним также высок. Основной законодательной нормой при разбирательстве является ст. 159.1 УК РФ. Кроме нее могут вменяться дополнительные статьи российского законодательства, в зависимости от обстоятельств дела.
Деяния квалифицируется по ч. 1 ст. 159.1 УК РФ.
За подобные нарушения можно получить:
- штраф до 120 тыс. рублей или в размере дохода осужденного за период до 1 года;
- обязательные, исправительные или принудительные работы разной длительности;
- арест до 2 лет;
- арест до 4 месяцев.
Деяние, совершенное группой лиц по предварительному сговору, подпадает под ч. 2 ст. 159.1 УК РФ. За него предусмотрены санкции в виде:
- штрафа до 300 тыс. рублей;
- принудительных работ сроком до 5 лет;
- лишения свободы на период до 5 лет.
Если сотрудник совершил мошеннические действия, воспользовался своим служебным положением, либо мошенничество совершено в крупном размере, грозит ч. 3 ст.159.1 УК РФ.
- штраф от 100 до 500 тыс. руб.;
- принудительные работы до 5 лет. Дополнительно суд вправе назначить ограничение свободы на 2 года;
- ограничение свободы сроком до 6 лет
Мнение эксперта
Мы с вами достаточно схематично рассмотрели участие службы безопасности в жизни страховой компании. Конечно, есть и другие направления работы, как, к примеру, возвращение дебиторской задолженности, или осуществление лоббистской деятельности при участии в общественных профессиональных контрольных организациях (по типу ВСС или РСА), или в общественных советах (например, при МВД). Нужно понимать, что организация действенной рабочей службы безопасности страховой компании – это достаточно высокобюджетные мероприятия, так как безопасность должна развиваться так же, как и возможные риски, постоянно обновляться. Жизнь не стоит на месте и криминал уходит в виртуальное пространство, следовательно и защита компании должна быть многогранной и всеобъемлющей, так как основной ее задачей является сохранение устойчивого финансового положения юридического лица. В связи с этим стоит сказать о том, что СБ также подлежит контролю.
Эти мероприятия входят в планирование и защиту открытой части годового бюджета перед советом директоров или правлением. Важно, чтобы работа СБ при всей ее закрытости была понятна и не вызывала отторжения, так как служба безопасности это одна из важных частей для организации здоровой деятельности компании, а также целого сектора экономики.
Комментарии редакции
Защищать данные страховой компании – дело не из легких, поэтому сейчас стоит активно развивать IT технологии и внедрять их в рабочий процесс, не забывая о всевозможных способах защиты. Необходимо постоянно проверять систему на наличие уязвимостей, чтобы не дать хакерам воспользоваться ими.
Также требуется проводить большее взаимодействие с пожилыми людьми, подростками и просто с уязвимыми слоями населения – учить их пользоваться компьютерами и организовывать защиту своих данных.
Больше информации о страховании, страховых компаниях и не только на нашем ресурсе Calmins.com
NEO-волонтер Татьяна П.
Calmins.com ©
Источники: finuslugi.ru, consultant.ru