Соболева Мария
Информационная безопасность является одним из подвидов национальной безопасности и стратегическим национальным приоритетом. Подп. 4 п. 26 Указа Президента РФ от 02.07.2021 N 400 "О Стратегии национальной безопасности Российской Федерации " В связи с этим внимание будет уделено созданию условий для развития новых для российского рынка страховых продуктов, учитывая все более широкую цифровизацию экономических и общественных отношений, в том числе применение искусственного интеллекта, а также повышение значимости киберрисков и климатических рисков для экономики. Распоряжение Правительства РФ от 29.12.2022 N 4355-р «Об утверждении Стратегии развития финансового рынка РФ до 2030 года»
Действие ФЗ 187-ФЗ* распространяется на 14 сфер деятельности организаций здравоохранение, наука, банковская сфера и иные финансовые сферы оборонная промышленность и др. Обеспечение безопасности значимого объекта критической информационной инфраструктуры достигается в частности: -информированием о компьютерных инцидентах ФСБ России, а также Центрального банка РФ (в случае, если субъект критической информационной инфраструктуры осуществляет деятельность в банковской сфере и в иных сферах финансового рынка); -предотвращением неправомерного доступа к информации, обрабатываемой значимым объектом критической информационной инфраструктуры, уничтожения такой информации, её модифицирования, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий в отношении такой информации. -недопущением воздействия на технические средства обработки информации, в результате которого может быть нарушено и/или прекращено функционирование значимого объекта критической информационной инфраструктуры -восстановлением функционирования значимого объекта критической информационной инфраструктуры, обеспечиваемого в том числе за счёт создания и хранения резервных копий необходимой для этого информации, т.е. это обязательные для соблюдения требования. Комплекс применяемых мер представляет собой систему безопасности значимых объектов критической информационной инфраструктуры (общепринятое сокращение СБ ЗОКИИ). Информировать Национальный координационный центр по компьютерным инцидентам (НКЦКИ) об инцидентах на объектах критической информационной структуры обязаны все организации -субъекты критической информационной инфраструктуры. * Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"
Статистика НКЦКИ за 27.03.2025 - 02.04.2025, режим доступа: https://www.cert.gov.ru/news/statistika-nktski/statistika-nktski-za-27-03-2025-02-04-2025/
Многие граждане в России могут совершать большинство финансовых операций в онлайн-режиме круглосуточно с помощью мобильных приложений. Развитие подобных решений наряду с плюсами для потребителей финансовых услуг привело также к росту мошеннических действий с использованием цифровых технологий, увеличению количества нелегальных участников финансового рынка и "финансовых пирамид", осуществляющих деятельность посредством информационно-телекоммуникационной сети "Интернет". В этой связи в ближайшие годы приоритет в вопросах финансовой безопасности будут иметь вопросы финансовой кибербезопасности, под которой понимается совокупность методов и практик управления киберрисками, в том числе защиты от атак злоумышленников в отношении цифровых финансовых технологий. Распоряжение Правительства РФ от 24.10.2023 N 2958-р «Об утверждении Стратегии повышения финансовой грамотности и формирования финансовой культуры до 2030 года. Федеральным законом от 01.04.2025 № 41-ФЗ «О создании государственной информационной системы противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации» в рамках борьбы с телефонным мошенничеством устанавливается: самозапрет на заключение договоров об оказании услуг связи без личного присутствия; запрет на передачу SIM-карт третьим лицам (кроме близких родственников); самозапрет на международные звонки, спам - обзвоны и рассылки; обязательная маркировка всех исходящих телефонных вызовов от организаций. Закон вступает в силу с 1 июня 2025 г., за исключением положений, для которых предусмотрены иные сроки. Подписан закон о борьбе с кибермошенниками, режим доступа: https://epp.genproc.gov.ru/web/proc_86/activity/legal-education/explain?item=101853395.
Основные положения по внедрению организациями информационной безопасности во внутреннюю деятельность определены в Стандарте. Стандарт подготовлен с целью установления требований по созданию, внедрению, поддержке и постоянному улучшению системы менеджмента информационной безопасности. Решение о внедрении системы менеджмента информационной безопасности является стратегическим решением организации. На то, в каком виде в организации будет создана и внедрена система менеджмента информационной безопасности, влияют потребности и цели деятельности организации, требования безопасности, реализуемые организацией процессы деятельности, а также размеры и структура организации. Предполагается, что все указанные факторы влияния изменяются со временем. Система менеджмента информационной безопасности сохраняет конфиденциальность, целостность и доступность информации за счет применения процесса управления рисками и дает заинтересованным сторонам уверенность в том, что риски надлежащим образом управляются. Важно, чтобы система менеджмента информационной безопасности организации составляла часть процессов и структуры управления организации и была интегрирована с ними. Также важно, чтобы информационная безопасность учитывалась при проектировании процессов, информационных систем и средств управления. Предполагается, что система менеджмента информационной безопасности будет адаптироваться к потребностям организации. НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ТРЕБОВАНИЯ ГОСТ Р ИСО/МЭК 27001-2021 Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2021 г. N 1653-ст
Опрос: российский бизнес игнорирует ИБ-меры Почти половина (49%) российских компаний не используют базовые антивирусные программы и средства резервного копирования данных. Реже всего средства кибербезопасности используют производственные компании, дистрибуторы и девелоперы. Только 33% компаний осуществляют мониторинг, а 26% проводят регулярный аудит безопасности. Наиболее распространенные способы защиты – сегментация сети и минимизация прав доступа, которыми пользуются 60% рынка. Лишь 37% компаний обучают своих сотрудников вопросам кибербезопасности. Опрос затрагивал средние (выручка от 2 млрд руб. в год) и крупные (от 10 млрд руб. в год) компании в сферах производства, транспорта, гостинично -ресторанного бизнеса и телекоммуникаций. Режим доступа: https://rspectr.com/novosti/opros-rossijskij-biznes-ignoriruet-ib-mery
Определение киберриска дано в п. 7.2.* риск преднамеренных действий со стороны работников кредитной организации и (или) третьих лиц с использованием программных и (или) программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа (далее – киберриск ). * Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
Д.Е. Намиот, Е.А. Ильюшин приводят 12 рисков по NIST (NIST Национальный институт стандартов и технологий США, подразделение Управления по технологиям США, одного из агентств Министерства торговли США) одним из которых является, информационная безопасность: снижение барьеров для наступательных кибервозможностей, в том числе посредством автоматизированного обнаружения и эксплуатации уязвимостей для облегчения взлома, вредоносного ПО, фишинга, наступательных киберопераций или других кибератак; увеличение поверхности атаки для целевых кибератак, которые могут поставить под угрозу доступность системы или конфиденциальность или целостность обучающих данных, кода или весов модели. Приоритетное внимание интеграции кибербезопасности в управление операционными рисками и формирование культуры бдительности помогут финансовому сектору обеспечить свою стабильность и защитить экономику в целом от каскадных эффектов кибератак. Управление киберрисками должно учитывать влияние таких факторов, как модернизация имеющихся и появление новых бизнес-процессов компании; освоение новых и модернизация старых технологий; наличие технологически связанных цепочек разных экономических субъектов. Отдельного внимания в проблеме управления киберрисками заслуживают вопросы инвестиций в технологии кибербезопасности; измерения эффективности разных вариантов инвестиций по снижению киберрисков в целях выбора наилучшего из них; сопоставления эффективности инвестиций по снижению киберрисков с эффективностью инвестиций по снижению других видов рисков; отбора конкретных технологий кибербезопасности, направленных на снижение возможностей реализации киберугрозы, т. е. направленных против несанкционированного доступа к информации, ее кражи, уничтожения данных и т. д. Д.Е. Намиот, Е.А. Ильюшин, «О киберрисках генеративного Искусственного Интеллекта». International Journal of Open Information Technologies ISSN: 2307-8162 vol. 12, no. 10, 2024
Приоритетное внимание интеграции кибербезопасности в управление операционными рисками и формирование культуры бдительности помогут финансовому сектору обеспечить свою стабильность и защитить экономику в целом от каскадных эффектов кибератак. Т.С. Абдыгулов, Т.Т. Абдыгулов, Т.К. Камчыбеков, НАДЗОР ЗА СИСТЕМНЫМИ КИБЕРРИСКАМИ В ФИНАНСОВОЙ СИСТЕМЕ, Economy and Business: Theory and Practice, vol. 12-2 (118), 2024 Управление киберрисками должно учитывать влияние таких факторов, как модернизация имеющихся и появление новых бизнес-процессов компании; освоение новых и модернизация старых технологий; наличие технологически связанных цепочек разных экономических субъектов. Отдельного внимания в проблеме управления киберрисками заслуживают вопросы инвестиций в технологии кибербезопасности; измерения эффективности разных вариантов инвестиций по снижению киберрисков в целях выбора наилучшего из них; сопоставления эффективности инвестиций по снижению киберрисков с эффективностью инвестиций по снижению других видов рисков; отбора конкретных технологий кибербезопасности, направленных на снижение возможностей реализации киберугрозы, т. е. направленных против несанкционированного доступа к информации, ее кражи, уничтожения данных и т. д Халин В. Г., Чернова Г. В. Цифровизация и киберриски // Управленческое консультирование. 2023. № 7. С. 28–41.
Киберстрахование - это защита от любого внешнего или внутреннего (действия самого сотрудника организации), умышленного или неумышленного (в результате социальной инженерии) воздействия на информационные ресурсы организации (серверы, инфраструктура, сайт, электронная почта, базы данных и т.д.) с целью нанесения прямого или косвенного ущерба ее деятельности. Страховой случай в страховании киберрисков - это факт нанесения ущерба компании в результате реализации любого из сценариев, связанных с инцидентом информационной безопасности. Киберстрахование : на развилке [Интервью с Н. Галушиным] // Современные страховые технологии. 2024. N 1. С. 16 – 19, Справочно-правовая система Консультант плюс
Современные ПО являются уязвимыми. Необходимо взаимодействие между страховыми компаниями и компаниями, предоставляющими услуги в области информационной безопасности. Это позволит снизить стоимость страховых услуг, повысить качество защиты и предложить клиентам более комплексные решения.Киберстрахование в условиях цифровизации является необходимым инструментом защиты бизнеса и его интеллектуальной собственности. Однако данная отрасль всё ещё находится на пути своего развития и совершенствования. Лишь при достижении консенсуса между страховыми компаниями, компаниями, предотвращающими кибератаки и их клиентами, можно будет с уверенностью говорить о высоком уровне защищённости и устойчивости к киберугрозам бизнеса и экономики в целом. Клишина Юлия Евгеньевна, Углицких Ольга Николаевна, Серафимова Вероника Алексеевна, СТРАХОВАНИЕ ЮРИДИЧЕСКИХ ЛИЦ ОТ КИБЕРРИСКОВ: ПРОБЛЕМЫ И ПЕРСПЕКТИВЫ РАЗВИТИЯ, Финансы и учетная политика Выпуск № 2, 2023
Перечисление всех доменов, которые есть у компании, а также их субдоменов, сертификатов, сканирование портов и имен хостов, анализ сетевых взаимодействий с контрагентами имеют решающее значение для получения наилучшего представления об инфраструктуре компании. Такую информацию невозможно получить через анкетирование. Страховщики должны привлекать компании, оценивающие кибер-угрозы, выбирая те из них, которые обладают лучшими технологиями для создания точного профиля кибер-рисков. Сотрудничество с такими компаниями может давать доступ к актуальным данным о киберугрозах в различных отраслях. Это упростит формирование четкой картины потенциальных убытков, что упрощает подбор наиболее подходящего страхового покрытия для клиента и снижает стоимость полиса в долгосрочной перспективе. Также не следует избегать сбора информации, которая находится в открытом доступе. Несмотря на то, что это самый очевидный вариант, именно эта информация может позволить представить полную картину рисков потенциального страхователя. Анюшина М.А., Артамонов Н.И. Проблемы оценки и тарификации кибер-рисков в страховании, Сборник трудов XX Международной научно-практической конференции. В 2 т.. Том 1. 2019, с. 24-29
Сбер Страхование * Страхование киберрисков — это специализированное страхование, которое защищает компании от финансовых потерь, связанных с кибератаками, утечками данных и другими инцидентами в сфере информационной безопасности. Страховой риск/случай Списание средств Повреждение систем Повреждение оборудования Ущерб имуществу Повреждение данных Расходы за вред третьим лицам Расходы за вред окружающей среде Расходы на заработную плату Расходы на аренд Расходы на платежи по кредиту Расходы на налоговые платежи Расходы на диагностику Расходы на расследование Расходы на услуги юристов Расходы на защиту Расходы на извещение Расходы на репутационный консалтинг Расходы на урегулирование *Режим доступа: https://sberbankins.ru/products/cyber-insurance/
ООО «Союз Страховые Брокеры»** Киберстрахование – это надежный инструмент защиты бизнеса от угроз, связанных с информационной безопасностью. Современные компании ежедневно сталкиваются с рисками утечки данных, кибератак, шифрования файлов вирусами-вымогателями и другими инцидентами, способными привести к значительным финансовым потерям Страховой риск/случай Кибератака Восстановление данных, удаление вредоносного ПО Взлом IT-систем (Расходы на расследование инцидента) Утечка конфиденциальных данных (Компенсация ущерба клиентам, штрафы регуляторов) Вирус-шифровальщик (Оплата выкупа или восстановление инфраструктуры) Простой бизнеса (Компенсация убытков от остановки работы) **Режим доступа: https://souzsk.ru/cyber
СОГАЗ *** Страховой риск/случай кибератака – целенаправленное и несанкционированное воздействие программных и/или программно-аппаратных средств на Компьютерную систему (в т.ч. посредством воздействия вредоносного кода, внешнего воздействия из сети Интернет, связанного с атаками типа «отказ в обслуживании» (атаками типа DoS / DDoS ); ошибки и умысел (бездействие) работников, приводящие к кибератаке; технический сбой. ***Режим доступа: https://www.sogaz.ru/corporate/respons/cyberrisks/
В современном цифровом пространстве организации сталкиваются с постоянно растущей угрозой кибератак. Эти атаки могут привести к значительным финансовым потерям, ущербу репутации, утечке персональных данных и иным последствиям. В ответ на эту растущую угрозу развивается рынок киберстрахования. Совершенствование законодательства и повышение осведомленности о киберрисках, а также реализация мер по формированию информационной безопасности позволит повысить уровень защиты организаций, входящих в сферу субъектов критической информации и обеспечить стабильность их деятельности.
