Aleksandr Kulkov

Страхование рисков утечки информации и персональных данных

В этой теме 5 сообщений

Добрый день, коллеги!

Со времени релиза первой версии Инфопериметра, которая активно обсуждалась на данном ресурсе и за что отдельное спасибо, прошло больше года - и мы не стоим на месте) Как и обещал, первыми информирую о новых направлениях именно участников форума.

Не секрет, что за этот год мы очень сблизились с ОСАО "Ингосстрах" и вывели на рынок два новых страховых продукта - страхование инфорисков (в новом понимании) и страхование интернет-ресурсов. Подробно об этих программах можно прочитать на http://www.infooborona.ru и http://www.reg.ru/help/insurance. Если есть вопросы по этим программам с радостью отвечу, но это тема скорее отдельного топика. Могу только сказать, что статистика обращений внушает оптимизм - и можно даже пафосно говорить что Россия готова к таким продуктам:)

Здесь же хотел осветить наши несколько далеко идущие планы. Ни для кого наверное не открою Америку в свете новой редакции закона о персданных. И в принципе по утечкам информации - все мы понимаем, что 100% механизмов защиты не существует и вряд ли технически возможно их реализовать. В связи с этим наши дальнейшие шаги на ниве страхования инфорисков нацеливаем на страхование рисков утечки информации и персданных. Но по этим вопросам есть куча открытых проблем - как отслеживать факт утечки и собирать доказательную базу инцидента и как оценить ущерб. В рамках этого мы с радостью готовы принимать в программу партнеров по разработке и выводу на рынок такого продукта. Можем уверенно говорить об эксклюзиве на первые продажи при необходимости (как пример - наш эксклюзивный партнер по страхованию сайтов - РЕГ.РУ).

В связи с этим предлагаю организацию небольшого круглого столика в нашем офисе по вопросу участия в программе, идей и предложений. Желающих окликнуться - буду рад слышать 740-5388. Александр Кульков, генеральный директор ООО "ИнфоОборона".

PS: Также на встрече, естественно, будут представители Ингосстраха и можно будет поднять вопросы также по страхованию профессиональной ответственности разработчиков DLP-решений. Ведь я думаю я не одинок в том, что очень хочу знать точный ответ на вопрос заказчика "А что будет, если всё же после внедрения системы произойдёт утечка?":)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

страхование рисков в сфере информационных технологий становится очень актуальной темой. Когда-то я пытался ставить подобный вопрос, даже сделал предварительную проработку со страховиками - но был непонят. Видимо, всякая идея должна вызреть...НО - в этом случае - поздравляю! Вы на правильном пути

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Направление интересное, потому как дает клиенту возможность не просто минимизировать риски, а и покрывать их за счет страховки в случае реализации.

Слабое место предложения - определение страхового случая. Возмьмем любую угрозу, внутреннюю или внешнюю: взлом сети, вирусная эпидемия, утечка, утрата критически важных данных. Почти всегда можно спихнуть вину на клиента, доказать обратное будет тяжело. Человеческий фактор как ни крути виноват в большей части инцидентов.

Потом встает проблема оценки ущерба и выплат. Например, как оценить ущерб от кражи клиентской базы? Компания может просто закрыться через пол года после этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Примерно те же вопросы задаем себе и мы. Но как показывает практика нет ничего невозможного - страхование сайтов в теории год назад тоже звучало смешно, а сейчас мы планомерно запускаем две программы по этому направлению, где все аспекты учтены. На любое действие абсолютно точно существует противодействие. Казалось бы - что может быть проще чем обмануть программу автострахования - но ведь распространилась же повсеместно. Потому в этом вопросе главное не от пессимизма отталкиваться. И помнить, что в если в случае разбора инцидента всплывает факт мошенничества - то это вопрос УК, хотя и не стоит исключать группу людей, которых это не остановит.

Человеческий фактор как ни крути виноват в большей части инцидентов.

Абсолютно верно. Но, к примеру, уже существует страховая программа для топ-персонала. К сожалению не помню названия программы - могу уточнить, но суть в том, что акционеры компании могут застраховаться от действий новоприбывшего топ-менеджера, если те будут иметь негативный характер и повлекут за собой потери. И это абсолютно серьёзно) Страховые компании в курсе термина "человеческий фактор" и в принципе готовы с ним работать.

Направление интересное, потому как дает клиенту возможность не просто минимизировать риски, а и покрывать их за счет страховки в случае реализации.

Это скорее ближе к страхованию проф ответственности разработчиков или интеграторов DLP-решений. Аналогично страхованию проф ответственности аудиторов PCI DSS.

Потом встает проблема оценки ущерба и выплат. Например, как оценить ущерб от кражи клиентской базы? Компания может просто закрыться через пол года после этого.

Вот это самый большой и интересный вопрос... Государство дало нам четкое определение персданных. Но совершенно забыло дать механизмы их оценки. Вот эту вещь придется именно изобретать. Поскольку страховые компании работают по большей части с прямыми подтверженными убытками. Исключение может составить только страхование жизни - там оценка взята с потолка. Но применить такую методику к инфорискам у нас не получилось. Поэтому нужна прозрачная логическая цепочка оценки. Или механизм государственного регулирования.

С другой стороны - совершенно не обязательно пытаться одной программой покрыть все возможные риски - в этом мы уже опытным путем убедились. Для начала нужно сделать чёткую классификацию утечек информации по типам (здесь очень важно участие всех потенциально заинтересованных сторон), далее проставить напротив каждого класса степень риска - и далее планомерно делать страховые программы исходя из классов и рисков. Опять же по аналогии с сайтами - сначала мы ответили себе на вопрос "А что же в принципе может случиться с сайтом?", затем проанализировали каждый потенциальный случай и проанализировали риски, затем подготовили модель определения фактов наступления страхового случая, затем перешли к самим страховым программам. Сначала казалось нереально - сейчас всё просто и легко.

В качестве доказательной базы мне лично видится система корреляции логов, работающая в режиме чёрного ящика. Это наиболее недорогое и действенное решение по сравнению с существующими DLP-решениями. И оно позволяет практически однозначно определять факты взлома, несанкционированного доступа, вирусной активности и т.п. Здесь важно понимать, что в пакете со страховкой нельзя навешивать систему, в разы превышающую по стоимости страховку. Можно лишь оперировать скидками при условии наличия системы.

Я потому и предложил формат круглого стола для обсуждения темы. Поскольку есть реальный опыт - и его довольно много, есть западные наработки, и есть желание со стороны страховщиков сделать такой продукт. По крайней мере именно в таком режиме разрабатывалась программа страхования интернет-ресурсов. Нужно понимать, что хороший продукт - это не просто видение одной компании, а мнение отрасли в целом. И в этом мы полностью открыты и готовы к конструктивному диалогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть два конкретных вопроса по программе страхования сайтов:

- каким образом и кто оценивает размер ущерба в результате инцидента?

- каков лимит ответственности страховщика и как он расчитывается (на сайте есть только информация по премиям)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • amid525
      Зашел на форум после некоторого перерыва. М-да, сайт потух вовсе.. Помню были времена, когда в день несколько сотен-тысяч его посещали, когда обсуждали "бабушкин антивирус")). (Вот это был не превзойденный и уже ни когда не повторимый пиар для форума! Ех....) Да и не только, в каждой практически теме, каждый день были сообщения.. Неужели компьютеров, или угроз стало меньше, заражений?? Раньше(пару лет назад) тоже загонялся выборами антивирусов, напуганный страшилками о опасных вирусах и поголовных заражений..  Время показало - Ни чего этого нет!  Брожу где хочу.  Имея только бесплатный фаервол комодо 5, и Кериш Доктор. И браузер с блокировщиком рекламы. Вот тут-то неоценимая от него помощь, нежели от антивирусов.. С крещением всех, и наступившим 2018!
    • amid525
    • stroitel80
      Надо попробовать на старом компе и все станет ясно
    • msulianov
      Перечень работ по ремонту серводвигателей, который мы выполняем 1) диагностика:
      - проверка изоляции обмоток статора,
      - проверка вращающего момента на валу двигателя при номинальном токе,
      - проверка момента удержания вала при включенном тормозе двигателя,
      - проверка наличия сигналов энкодера,
      - проверка наличия сигналов резольвера,
      - проверка наличия сигналов датчика положения ротора, 2) настройка (юстировка) энкодера (резольвера или датчика положения) относительно вала двигателя, 3) ремонт энкодера (резольвера или датчика положения), 4) замена энкодера (резольвера или датчика положения), 5) поставка энкодера (резольвера или датчика положения), 6) перемотка резольвера, 7) считывание данных из энкодера, извлечение данных из неисправного энкодера, 8) запись данных в новый энкодер, 9) программирование энкодера, 10) замена подшипников, 11) замена сальников, 12) ремонт тормоза двигателя, 13) перемотка обмотки тормоза, 14) замена силовых разъемов, 15) замена разъемов датчика положения ротора, 16) замена датчиков температуры установленных в двигателе, 17) перемотка статорной обмотки двигателя.  контакты: http://www.remontservo.ru  [email protected] +79171215301    
    • Openair