Александр Кришталюк - Правовые аспекты системы безопасности

В то же время при реализации эта система требует объективности и независимости проведения испытаний образцов продукции и экспертизы результатов таких испытаний. Это возможно при выполнении следующих условий: наличия постоянного совершенствования нормативно-технических документов, определяющих требования к характеристикам защищенности продукции, использования в процессе испытаний сертифицированных тестовых средств при строгом соблюдении предписанных правил и процедур.

Следует отметить, что и в вопросах сертификации продукции в целом, в сертификации СВТ по требованиям безопасности информации мы значительно отстали от развитых зарубежных стран. В США, например, для обработки секретной и несекретной информации правительственных ведомств и фирм-подрядчиков Пентагона используется только сертифицированная по требованиям безопасности национальных стандартов программно-техническая продукция. В этих целях публикуются соответствующие каталоги защищенных СВТ, и на рынок поставляются серийные защищенные изделия.

Все более широкие слои общества пользуются услугами сберегательного банка, коммерческих банков, инвестиционных фондов, трастовых компаний, финансово-промышленных групп и других государственных и частных финансово-кредитных организаций. Для удовлетворения возрастающих потребностей общества в услугах финансовые учреждения постоянно совершенствуют свою работу в части внедрения современных технических и программных средств вычислительной техники, информационных систем и коммуникационных сетей передачи информации.

Использование эффективных информационных технологий обеспечивает огромные преимущества в процессе передачи, хранения и обработки потоков информации.

Такое положение, связанное с освоением современных информационных технологий, потенциально создает предпосылки для возникновения риска утраты важной государственной информации за счет ошибок, возникающих в технических и программных средствах вычислительной техники, ошибок и неквалифицированных действий обслуживающего персонала, несанкционированного действия третьих лиц, других причин. Имеются случаи воздействия "электронного пиратства" на сферу кредитно-финансовых банковских компьютерных систем.

С ростом и интеграцией компьютерных сетей (масштаба фирмы, банка, предприятия, города, региона), с появлением распределенных кредитно-финансовых сетей электронного межбанковского клиринга, программ типа «Клиент-Банк» и других прикладных коммуникационных систем возможные потери могут возрастать.

Статистика показывает, что среди информационных преступлений 30 % составляют раскрытие пароля, 22 % – несанкционированный доступ, 44 % – программные закладки, включая «вирусы», и 2 % – воздействие извне системы. Утечка только 20 % информации ведет к разорению 65 % фирм и компаний.

По некоторым оценкам, в прошлом году российская компьютерная индустрия потеряла из-за пиратства 75 млн. дол.

Поэтому информационная безопасность компьютерных систем и коммуникаций приобретает особую роль и становится одним из важнейших аспектов деятельности государственных и коммерческих организаций.

Информационная безопасность может быть достигнута в результате использования организационных мер защиты, а также программно-аппаратных комплексов защиты каналов связи, компьютерных систем и данных.

Однако информационную систему нужно не только эффективно защитить, но и убедить в надежности ее пользователей. Очевидно, и опыт это доказывает, достигнуть 100 % безопасности информации практически невозможно. Если система незащищена, риск потери информации составляет 50–60 %. Введение парольной защиты, разграничения доступа, криптографии снижает риск до 30 %, использование технических средств защиты от несанкционированных действий – 10 %. Снижение риска до 1 % (умышленные действия обслуживающего персонала) достигается полной изоляцией информационной системы или компьютера.

Следовательно, имеется реальная возможность наступления непредвиденного события (страхового случая), влекущего за собой потерю работоспособности сложных электронных систем, утрату конфиденциальной информации и потерю дохода.

Исходя из вышеизложенного и предположив, что наступление риска потери информации носит случайный характер, не зависящий от воли владельца информации, закономерно усиливается интерес к страхованию собственников и пользователей информационных систем, информационных ресурсов, технических и программных средств вычислительной техники.

Становление и постепенное расширение рыночных отношений коренным образом меняет место и роль страхования в защите экономических и информационных интересов предприятий и предпринимателей, объективно привязывают предпринимателей к страхованию.

Плата за страхование – страховые взносы есть плата за риск, плата за спокойствие в хозяйственной жизни.

Именно страховая компания, которая покроет риски финансового института, вкладчиков и разработчика информационной системы может стать гарантом информационной безопасности.

Интерес к страхованию усиливается и высокой степенью возникновения пожаров, аварий, нарастанием криминогенной обстановки. Государственная либо коммерческая организация, обеспечивая безопасность информации, в том числе страхованием информационных рисков, привлекает этим клиентов, повышает надежность информационных систем и получает дополнительную прибыль.

В условиях рыночных отношений особенно актуальной становится проблема обязательной и добровольной формы страхования. К приоритетным относятся те объекты (обязательное страхование), гибель которых задевает не только интересы страхователей, но и всего общества.

При обязательном страховании почти на одну треть снижаются размеры страховых выплат в связи со сплошным охватом объектов страхования.

Указом Президента от 6 апреля 1994 г. "Об основных направлениях государственной политики в сфере обязательного страхования" установлено, что при разработке проектов законов РФ по данным вопросам обязательного страхования должно обеспечиваться первоочередное правовое урегулирование видов, непосредственно направленных на защиту прав и свобод человека и гражданина, гарантированных Конституцией РФ.

Одной из форм возмещения ущерба является страховая защита в виде обязательного страхования информационных рисков.

Обязательное страхование становится необходимым тогда, когда наносимый страховыми случаями ущерб задевает интересы не только страхователя, но и государства, всего общества.