|
Фактически определение необходимого минимального уровня защиты от информационных рисков на основе программно-технических средств может осуществляться специально созданными для этих целей государственными органами. Тем не менее в данной ситуации нельзя забывать о той опасности, что в случае неправильной оценки рисков, т.с. при установлении стандартов безопасности на уровне выше необходимого обществу, подобные решения могут стать причиной замедления развития экономики страны. И наоборот, установление стандартов безопасности на слишком низком уровне не позволит обеспечить необходимый уровень информационной безопасности в кредитных организациях. Государственные органы по причине оторванности от рынка не обладают достаточной информацией, необходимой для оценки рисков и средств защиты от них, в связи с чем определение экономически оправданного уровня безопасности для различных групп компаний становится фактически невыполнимой задачей. В дополнение к этому нельзя забывать о том факте, что государственные или иные органы, отвечающие за определение режимов информационной безопасности, могут в своей работе испытывать давление со стороны различных групп по недопущению ужесточения стандартов, которые в погоне за максимизацией прибыли в краткосрочном периоде готовы пойти на такие недальновидные действия. Следует также подчеркнуть, что административные расходы, связанные с изменением режима регулирования, значительно выше, чем доход, получаемый от сбора страховых премий, что не позволит страховщикам в должной мере лоббировать свои интересы. Идеальный вариант заключается в установлении режима информационной безопасности на основе рыночных принципов. При этом именно у страховых компаний по мере развития рынка будет скапливаться информация о случаях нанесения ущерба информационной безопасности различных кредитных организаций, именно страховщики смогут 109 |
наедине с информационными рисками, кроме того, использование механизма страхования заставляет компанию изымать из оборота достаточно большие средства, которые принесли бы намного больше пользы, не будучи зарезервированными для возможных будущих убытков. Польза от применения механизма страхования огромна, основная проблема в данном случае заключается в определении того, как наиболее эффективным образом сочетать классические методы защиты и механизм страхования информационных рисков. Как определить ту грань, когда дальнейшее наращивание системы защиты компании на базе классических методов теряет свою эффективность и когда необходимо перераспределить имеющиеся средства уже в пользу информационного страхования. Ответ на этот вопрос представляет большую трудность, так как требует точной оценки рисков. Фактически определение необходимого минимального уровня защиты от информационных рисков на основе программно-технических средств может осуществляться специально созданными для этих целей государственными органами. Тем не менее в данной ситуации нельзя забывать о той опасности, что в случае неправильной оценки рисков, т.е. при установлении стандартов безопасности на уровне, выше необходимого обществу, подобные решения могут стать причиной замедления развития экономики страны. И наоборот, установление стандартов безопасности на слишком низком уровне не позволит обеспечить необходимый уровень информационной безопасности в компаниях. Государственные органы по причине оторванности от рынка не обладают достаточной информацией, необходимой для оценки рисков и средств защиты от них, в связи с чем определение необходимого экономически оправданного уровня безопасности для различных групп компаний становится фактически невыполнимой задачей. 108 В дополнение к этому нельзя забывать о том факте, что государственные или иные органы, отвечающие за определение режимов информационной безопасности, могут в своей работе испытывать давление со стороны различных групп по недопущению ужесточения стандартов, которые в погоне за максимизацией прибыли в краткосрочном периоде готовы пойти на такие недальновидные действия. Следует также подчеркнуть, что административные расходы, связанные с изменением режима регулирования, значительно выше, чем доход, получаемый от сбора страховых премий, что не позволит страховщикам в должной мере лоббировать свои интересы. Идеальный вариант заключается в установлении режима информационной безопасности на основе рыночных принципов. При этом именно у страховых компаний по мере развития рынка будет скапливаться информация о случаях нанесения ущерба ИС различных компаний, именно страховщики смогут осуществлять детальный анализ СИБ каждой компании. Обращаясь в страховую компанию, клиент прежде всего должен получать от страховщика набор консультационных услуг, связанных с выработкой для него рекомендации по модернизации СИБ с целью достижения оптимального сочетания имеющихся в компании классических средств защиты с условиями предоставляемой страховой защиты. Страховщик на основе имеющейся у него статистической информации и сюрвейерского отчета, имеющегося в компании СЙЬ, должен наглядно показать клиенту, что и как необходимо доработать, порекомендовать компании, которые смогут осуществить подобные работы, дать конкретную информацию по вопросу, во сколько обойдется страхователю принятие дополнительных мер защиты (в случае, если они необходимы) и насколько сократится стоимость страховки при дальнейшем модернизации СИБ. Другими словами, вопрос о том, как максимально эффективно сочетать классические методы зашиты с экономическими, должен решаться страховщиком в процессе работы с конкретным страхователем. 109 |