Согласно проведённым исследованиям, актуальность выбранной темы заключается в том, что защита информации, в современной российской рыночной экономике является обязательным условием успеха любого руководителя в сфере своей деятельности, а значит и страховая деятельность не исключение. Страховые компании, как и любые другие хозяйствующие субъекты, нуждаются в защите своей конфиденциальной информации. В связи с развитием информационных технологий, обслуживающих все управленческие процессы страховых компаний, всё более разнообразными и сложными становятся угрозы и атаки, способные нанести огромный материальный и моральный ущерб. Поэтому страховые компании должны обеспечивать безопасность обрабатываемых персональных данных своих клиентов, в связи с тем, что их услуги в большой степени являются персонализированными и оказываются индивидуально, а также информацию, которую страховщики используют для достижения уставных целей, ради которых они созданы. Её разглашение или утечка лишит возможности реализовать данные цели.
Таким образом, целью данной научной работы является анализ существующих мер и способов защиты информации в процессе страховой деятельности, направленные на устранение возникновения возможных угроз и атак преднамеренного и случайного характеров, а также представить рекомендации по достижению эффективной защиты конфиденциальной информации.
Задачи научной работы состоят в том чтобы:
Выделить основные нормативно-правовые акты в области защиты информации и перечень конфиденциальной информации в страховой деятельности;
Проанализировать различные виды угроз, влияющих на информационную безопасность страховой компании в целом;
Рассмотреть основные меры, методы и средства защиты конфиденциальной информации в процессе страховой деятельности;
Представить рекомендации по достижению эффективной защиты информации в страховой деятельности.
Основным объектом правоотношений в информационной сфере выступает ценный ресурс – информация, который следует оберегать.
Информация – это сведения (сообщения, данные) независимо от формы их представления. Она может являться объектом публичных, гражданских и иных правовых отношений. Данное определение даётся в ФЗ РФ «Об информации, информационных технологиях и о защите информации»[4].
Информацию можно классифицировать по-разному. К примеру, информация по признаку собственности, по доступу информации, и её использованию:
1) Неограниченного доступа (массовая информация, общенаучная информация и т.д.);
2) Ограниченного доступа (доступ к ней ограничен федеральными законами).
В процессе страховой деятельности, защита обеспечивается к информации ограниченного доступа, т.е. конфиденциальной информации. Действующий ФЗ «Об информации, информационных технологиях и защите информации», в отличии от предыдущего федерального закона «Об информации информатизации и защите информации», термина «конфиденциальная информация» не содержит. Однако он описывает понятие «конфиденциальности». «Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя»[4].
В указе Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188 к сведениям конфиденциального характера относят:
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
Сведения, составляющие тайну следствия и судопроизводства
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, страховая, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них[7].
Из вышеперечисленных сведений, в процессе страховой деятельности, реализуется контроль по обеспечению мер защиты информации ограниченного доступа, непосредственно за:
Коммерческой тайной страховой компании;
Профессиональной тайной (Тайна страхования);
Персональных данных сотрудников страховой компании.
Ключом успеха обеспечения сохранности и защиты данной конфиденциальной информации, является комплексное определение всех возможных угроз и факторов, влияющих на системы информационной безопасности, а также основных мер и способов защиты информации. Все меры должны быть экономически целесообразными, и эффективными, чтобы достичь высоких финансовых результатов, и избежать нерациональных расходов, направленных на ликвидацию возможных угроз, и потерь в форме материального и морального ущербов.
К основным мерам защиты информации относятся:
Законодательные;
Административные;
Организационные;
Инженерно-технические.
Законодательные меры защиты информации разрабатываются, утверждаются и контролируются государством, путём создания основных законов, подзаконных актов, национальных стандартов в области защиты конфиденциальной информации страховой компании. К ним относятся:
Конституция РФ (Ст.23,24,29)[1];
Гражданский кодекс РФ (Глава 48 Ст. 946)[2];
Трудовой кодекс РФ (Глава 14)[3];
Федеральный закон от 27.07.2006 «Об информации, информационных технологиях и о защите информации» № 149-ФЗ[4];
Федеральный закон от 29.07.2004 «О коммерческой тайне» N 98-ФЗ[5];
Федеральный закон от 27.07.2006 «О персональных данных» №152-ФЗ[6];
Указ Президента РФ от 6 марта 1997 г. «Об утверждении перечня сведений конфиденциального характера». № 188[7];
ГОСТ Р 50922-2006. Защита информации. Основные термины и определения[10];
ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью[11];
Другие НПА.
Все вышеперечисленные законодательные основы защиты информации, являются ключевым фактором обеспечения информационной безопасности в области коммерческой тайны, тайны страхования, и защиты персональных данных работников страховой компании. На их основе формируются другие направления с точки зрения административной, организационной и технической защиты информации в страховой деятельности.
Административные меры защиты предполагают разработку и утверждение руководством страховой компании нормативных документов, положений, инструкций на основе законодательных стандартов РФ, а также присвоение грифов секретности документам и материалам, и соответствующий контроль доступа к ним сотрудников. Основным таким документом, выступает политика информационной безопасности страховой компании.
Данная политика должна быть утверждена, издана и надлежащим образом доведена до сведения всех сотрудников организации, а также устанавливать ответственность руководства, и излагать подход организации к управлению информационной безопасностью. Как минимум, политика должна включать следующее:
а) определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
б) изложение целей и принципов информационной безопасности, сформулированных руководством;
в) краткое изложение наиболее существенных для страховой компании политик безопасности, принципов, правил и требований, например:
1) соответствие законодательным требованиям и договорным обязательствам;
2) требования в отношении обучения вопросам безопасности;
3) предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
4) ответственность за нарушения политики безопасности;
г) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности[11].
Таким образом, все остальные меры защиты информации компании (организационный, технический) будут зависеть именно от тщательной разработки политики информационной безопасности, способной учитывать все факторы и угрозы, влияющие на систему безопасности информации, и способы противодействия им.
На основе административных мер, в страховой компании разрабатываются организационные меры защиты информации. Организационные меры являются основным центром, в общей системе, защиты конфиденциальной информации, т.к. от полноты и качества решения, руководством компании, организационных задач, будет зависеть эффективность функционирования системы защиты информации в целом. Целью организационных мер выступает: исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения компании ущерба, к которому данная утечка может привести[15]. Таким образом, организационные меры являются ключевым звеном формирования и реализации комплексной защиты информации. Данные меры играют существенную роль в создании надёжного механизма защиты информации.
Если говорить об инженерно-технических мерах защиты информации, то это совокупность специальных органов, методов и технических средств, используемых в интересах защиты конфиденциальной информации. Основными техническими средствами, то по функциональному значению, выступают: физические средства, аппаратные средства, программные средства, криптографические средства[13].
Физические средства защиты это различные инженерные средства и сооружения (охранная сигнализация, системы видеонаблюдения, системы контроля и управления доступом), препятствующие физическому проникновению злоумышленников на объекты защиты, и защищающие персонал, материальные средства и конфиденциальную информацию от противоправных действий.
Аппаратные средства защиты это механические, электронные, электрические и др. устройства, предназначенные для защиты информации от утечки, разглашения и противодействия техническим средствам промышленного шпионажа.
Программные средства защиты это система специальных, прикладных программ, включаемых в состав общего и специального обеспечения, реализующих функций защиты информации и сохранения целостности и конфиденциальности.
Криптографические средства это технические и программные средства, подразумевающие методы шифрования, кодирования или иного преобразования информации, в результате которого её содержание становится недоступным без предъявления ключа криптограммы и обратного преобразования.
Целью применения криптографических методов является защита информационной системы от целенаправленных разрушающих воздействий (атак) со стороны противника.
Очевидно, что все виды технических средств защиты информации, на практике, очень часто взаимодействуют и реализуются совместно, а не по отдельности, т.к. это будет влиять на степень защищённости системы информационной безопасности компании в целом.
Инженерно-технический уровень защиты информации, в первую очередь возлагается на специалистов информационной безопасности. Поэтому страховой компании, в зависимости от размеров и степени влияния на страховом рынке, будут необходимы опытные и квалифицированные кадры.
Крупной страховой компании, которая в высокой степени заинтересована в защите своих конфиденциально важных информационных ресурсов, «одних» специалистов будет не хватать. Поэтому, руководство данной страховой компании примет решение о создании информационной службы безопасности (СИБ), все силы, которой будут сосредоточены на защиту и предотвращение утечки конфиденциальной информации.
СИБ – самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации. Служба информационной безопасности должна подчиняться напрямую первому лицу в организации. В зависимости от объёмов и особенностей задач, в состав Службы информационной безопасности могут входить специалисты по информационной безопасности разных уровней, в рамках своих должностных обязанностей[15].
В должностные обязанности таких специалистов входит:
непосредственное участие в создании системы защиты информации, её аудите и мониторинге;
анализ информационных рисков;
разработка и внедрение мероприятий по их предотвращению.
установка, настройка и сопровождение технических средств защиты информации.
Специалисты по безопасности обучают и консультируют сотрудников компании по вопросам обеспечения информационной защиты, разрабатывают нормативно-техническую документацию. Также они защищают локальные компьютерные сети от вирусных атак или взлома хакеров, предотвращают утечку важной информации, подлог данных и некомпетентность (злой умысел) собственных сотрудников[15].
Основными методами защиты информации, используемые специалистами по информационной безопасности, для предотвращения несанкционированного доступа, воздействия и, как следствие, утечки конфиденциальной информации, являются:
Препятствие – создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или другого дестабилизирующего фактора;
Управление контроля доступом (межсетевые экраны) – оказание управляющих воздействий на элементы защищаемой системы для противостояния возможным путям несанкционированного доступа к информации;
Маскировка – действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника (криптографические методы защиты);
Регламентация – разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов;
Принуждение – метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)[16].
Данные методы, осуществляются на основе проводимых мер, с помощью различных средств, на основе которых реализуется комплексная защита информации от непредвиденных угроз.
Таким образом, любой страховой компании в конечном итоге, придётся выбирать свои пути и способы защиты информации, в зависимости от финансового положения, ликвидности, степени влияния на страховом рынке, размера уставного капитала и т.д., чтобы защитить особо важную, секретную информацию, от которой зависит развитие и благополучие компании. Данный выбор связан, прежде всего, с информатизацией общества и государства, с принятием законодательных нормативных актов, с развитием информационных технологий, переходом на электронный документооборот хозяйствующих субъектов, с ростом преступлений в области информации и случайных непредвиденных обстоятельствах, носящих природный и техногенный характер.
С учётом вышеуказанных факторов страховой компании, на основе нормативно-правовых актов, необходимо провести эффективную политику информационной безопасности, учитывающую уязвимости систем защиты информации и возможные риски возникновения различных угроз.
Следовательно, целесообразно использовать все силы, средства, и методы, имеющиеся в распоряжении страховой компании, для достижения комплексной безопасности информации. Прежде всего, руководству компании необходимо:
Осведомить сотрудников о закрытости данной информации, посредством административных и организационных мер защиты информации;
Ограничить круг лиц, или же не допустить того, чтобы сотрудники могли свободно оперировать с секретной информацией;
Проводить руководством анкетирование, принимаемых на работу граждан, на должности сотрудников компании, и контролировать их работу;
Сформировать Службу информационной безопасности, где высококвалифицированные специалисты в области защиты информации способны на основе своего опыта и знаний защитить конфиденциально важную информацию;
Установить современные технические оборудования, как основные средства защиты, т.к. они более продуктивно препятствуют случаям преднамеренного характера;
Что касается случайных событий, то должны быть оценены риски наступления данных случаев и разработаны детальные планы спасения либо уничтожения информации;
Необходимо обязательно шифровать информацию при её передачи по линиям связи, т.е. применять криптографические методы;
Эффективно использовать методы информационной безопасности, чтобы снизить степень уязвимости и повысить степень защищенности систем защиты информации.
Эти и другие методы, и средства необходимо комплексно использовать страховой компанией, на основе главных принципов: рациональности, целесообразности и эффективности, а, следовательно, достичь точности, целостности и сохранности конфиденциальной информации.
В заключении можно отметить, что современный мир характеризуется основной тенденцией к постоянному повышению роли информации. С увеличением значимости и ценности информации соответственно растёт и важность её защиты. Все субъекты правоотношения, в том числе страховые компании, заинтересованы в сохранности своей конфиденциально важной информации. Влияние всевозможных угроз побудило их разработать различные меры, методы и средства направленные на защиту систем информационной безопасности.Хорошая защита информации, требует больших вложений, которые не так просто достать. Плохая же защита никому не нужна, так как это означает полную бесполезность всей защиты в целом. Поэтому прежде чем решать вопрос о защите информации, следует определить, стоит ли она того. Способен ли возможный ущерб от разглашения или потери информации превысить затраты на её защиту? С этой же целью надо максимально сузить круг защищаемой информации, чтобы не тратить лишних денег и времени. Во-вторых, прежде чем защищать информацию, нелишне определить перечень вероятных угроз. Все вышеуказанные аспекты анализируются до начала мероприятий по защите информации. В противном случае страховая компания рискует впустую затратить свои силы и средства.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Конституция Российской Федерации : URL: http://www.consultant.ru (дата обращения: 10.11.2013).
2 Гражданский кодекс Российской Федерации : URL: http://www.consultant.ru (дата обращения: 10.11.2013).
3 Трудовой кодекс Российской Федерации : URL: http://www.consultant.ru (дата обращения: 15.11.2013).
4 Об информации, информационных технологиях и о защите информации : ФЗ от 27.07.2006 г. № 149-ФЗ : URL: http://www.consultant.ru (дата обращения: 10.11.2013).
5 О коммерческой тайне : ФЗ от 29.07.2004 г. N 98-ФЗ : URL: http://www.consultant.ru (дата обращения: 11.11.2013).
6 О персональных данных : ФЗ от 27.07.2006 г. N 152-ФЗ : URL: http://www.consultant.ru (дата обращения: 12.11.2013).
7 Об утверждении перечня сведений конфиденциального характера : указ Президента Российской Федерации от 06.03.1997 г. № 188 : URL: http://www.consultant.ru (дата обращения: 11.11.2013).
8 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных : постановление Правительства РФ от 01.11.2012 г. № 1119 : URL: http://www.consultant.ru (дата обращения: 15.11.2013).
9 Информационные системы и технологии управления : учебник / под ред. Г.А. Титоренко. 3-е изд, перераб. и доп. М. : ЮНИТИ-ДАНА, 2011. 591 с.
10 Защита информации. Основные термины и определения : ГОСТ Р 50922-2006. Введ. 27.12.2006 : URL://www.consultant.ru (дата обращения: 20.11.2013).
11 Информационная технология. Практические правила управления информационной безопасностью : ГОСТ Р ИСО/МЭК 17799-2005. Введ. 29.12.2005 : URL://www.consultant.ru (дата обращения: 20.11.2013).
12 Поляков А.В. Информационная безопасность организации // Социально-гуманитарные знания. 2010. №5. С. 174.
13 URL: http://www.it-ideas74.ru/articles/12-security-policy.html (дата обращения: 16.11.2013).
14 URL: http://www.sec-it.ru (дата обращения: 15.11.2013).
15 URL: http://www.all-ib.ru (дата обращения: 15.11.2013).
16 URL: http://www.securitylab.ru (дата обращения: 17.11.2013).