Правовое регулирование защиты информации в страховой сфере

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

ВВЕДЕНИЕ

Любая предпринимательская деятельность тесно взаимосвязана с получением, накоплением, обработкой и использованием разнообразной информации. Неопределенности и риски, сопутствующие предпринимательству являются одной из его характеризующих черт. Сегодня уровень конкурентоспособности в немалой степени зависит от умения защитить конфиденциальную информацию от хищений, несанкционированного использования, изменения или уничтожения. Опыт эксплуатации информационных систем и ресурсов в различных сферах деятельности неопровержимо показывает, что существуют различные и весьма реальные угрозы (риски) потери информации, приводящие к конкретному, материально выразимому, ущербу.

Новым в законодательстве является введение обязанности организаций, обрабатывающих персональные данные принимать меры к их защите.

На сегодняшний день не выработана достаточная судебная или правоприменительная практика, введение в действие этого института будет происходить путем проб и ошибок.

Там где есть риск - всегда есть место для его страхования.

Если страхование как деятельность по защите от рисков достаточно широко развита в России, имеет большую правоприменительную и судебную практику, то страхование информационных рисков для России является совершенно новым направлением.

Анализ практики страхования информационных рисков показывает, что пока страховые компании с опаской относятся к нему, так как нет единого мнения по поводу определения информационных рисков и единой достоверной методики по их определению. Вместе с тем, представляется, что данное направление будет очень востребовано в ближайшем будущем, а значит тот, кто первый возьмется за разработку данного направления страхования получит ощутимую экономическую выгоду и преимущество на рынке подобных услуг.

На текущем этапе страховые кампании, оказывающие услуги по страхованию информационных рисков пользуются зарубежными наработками и опытом.

Его внедрение и подведение под него российской правовой базы представляется исключительно актуальным.

Целью настоящей итоговой квалификационной работы является анализ института защиты информации в страховой сфере.

Для достижения поставленной цели будут решены следующие задачи:

исследовать понятие и проблемы правового регулирования таких институтов как страховая деятельность и информационные отношения (информационные риски, связи, потоки информации);

раскрыть содержание права на информацию и его реализацию в страховой сфере;

изучить институты информации ограниченного доступа в сфере страхования;

определить понятие страховой тайны и персональных данных в сфере страхования;

выявить проблемы информационной безопасности в сфере страхования;

проанализировать действие и деятельность института контроля и надзора за обеспечением информационной безопасности в сфере страхования.

Предметом исследования выступают общественные отношения, возникающие при функционировании института защиты информации в страховой сфере.

Объектом исследования являются нормативные правовые акты России, монографии, научные статьи, статистические данные, регулирующие или исследующие институт защиты информации в страховой сфере, а также зарубежный опыт в данной сфере.

Институт защиты информации в страховой сфере является новым в законодательстве и малоизученным. Отдельным вопросам его исследования посвящены работы таких исследователей как А.А. Анисимов, Д. Дьяконов, А. Исаев, О. Седов, В. Ференец и других.

Теоретической базой исследования послужили труды, раскрывающие содержание права на информацию, понятия страховой тайны и персональных данных, информационной безопасности другие.

Нормативной базой послужили Конституция Российской Федерации, законодательство в сфере страхования, защиты информации в целом и законодательство, регулирующее понятие и защиту персональных данных, а также подзаконные нормативные акты в данной сфере.

Эмпирической базой послужили результаты проверок Роскомнадзора деятельности страховых компаний на предмет соблюдения законодательства о защите персональных данных.

Методологической базой исследования являются методы анализа и синтеза, логический, системный, статистический, формально-юридический.

Настоящая магистерская диссертация состоит из введения двух глав, объединяющих семь параграфов, заключения и списка источников и литературы.

ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ И ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В СТРАХОВОЙ СФЕРЕ

§ 1. Страховая деятельность и информационные отношения (информационные риски, связи, потоки информации)

Роль информационных технологий возрастает с каждым днем практически во всех областях хозяйствования, что обусловлено многими факторами и прежде всего формированием информационного сектора экономики. То, насколько развит именно этот относительно новый сектор, очерчивает границы возможностей хозяйствующих субъектов, позволяет получать, искать и распространять информацию, а также оказывает огромное влияние на систему производственных отношений. Благодаря этому закладывается основа системы информационных отношений в обществе, намечаются ориентиры государственной политики в информационной сфере, а информационные процессы общества становятся предметом сознательной, целенаправленной и научно обоснованной деятельности.

Немаловажную роль в создании и регулировании информационных процессов играет право. Право непосредственным образом воздействует на ход информационных процессов, определяя и поддерживая направления, формирующие внешний вид информационного общества. Информационное общество развивается огромными шагами, что не может не оказывать влияния на характер общественных отношений как между членами общества, так и между обществом и государством. Специфика таких отношений не позволяет регулировать их только при помощи норм классических отраслей права, поскольку информация как объект права имеет свои юридические особенности.

Информация является объектом права, поэтому ей, как и другим объектам права, присущи определенные риски, которые необходимо страховать. Ввиду всевозрастающего значения информации для жизни общества необходимо создание надежной и эффективной системы страхового обеспечения информационного поля Лихачев В.К. Организационно-правовое обеспечение страхования информационных рисков // Организация продаж страховых продуктов. - 2008. - N 1. - С. 13..

Правовой основой для проведения работ по созданию системы страхования информационных рисков является Доктрина информационной безопасности Российской Федерации (далее - Доктрина), утвержденная Президентом РФ 9 сентября 2000 г. Доктрина информационной безопасности Российской Федерации: утв. Президентом РФ 09.09.2000 N Пр-1895 // Российская газета. - 2000. - 28 сентября.

Информационные технологии слишком сложны и многогранны. С одной стороны, они позволяют предприятиям на порядок улучшить свои показатели за счет увеличения скорости и удобства обработки информации, ее хранения, передачи и получения. Но, с другой стороны, использование IT-технологий создает огромные потенциальные риски хищения, утечки, искажения, утраты, копирования, уничтожения и подделки информации, что влечет за собой экономические и другие потери.

Сейчас нередки случаи проникновения в информационные системы и сети органов государственной власти, факты кражи и уничтожения банковской информации и программного обеспечения систем электронных платежей и т.п.

По оценкам Британской федерации предпринимателей, средний размер ущерба от проникновения в банковские компьютерные сети составляет порядка 500 тыс. долл., что значительно превышает среднюю величину ущерба от ограбления одного банка. Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в 100 млрд долл. Основная опасность базам данных исходит от внутренних пользователей - ими совершается 94% преступлений, в то время как внешними - только 6%. К сожалению, подобной статистики для России пока не существует, однако различными институтами ведутся работы по сбору и анализу подобной информации.

Угрозу в информационной сфере можно определить как предполагаемое событие, в случае наступления которого будет нанесен ущерб. Предотвращение данной угрозы для общества в целом и для отдельной личности, а также для государства в сфере информационной безопасности основывается на разработке и реализации комплекса мер и механизмов защиты. К экономическим методам предотвращения угроз информационной безопасности можно отнести страхование, которое обеспечивает компенсацию ущерба в случае реализации угрозы.

Основной законодательной базой для осуществления страхового обеспечения информационного поля являются ГК РФ, Закон РФ от 27 ноября 1992 г. N 4015-1 «Об организации страхового дела в Российской Федерации» Об организации страхового дела в Российской Федерации: Закон РФ от 27.11.1992 N 4015-1 (ред. от 30.11.2011) // Российская газета. - 1993. - 12 января. и упомянутая выше Доктрина информационной безопасности РФ.

Законодательство не рассматривает любую информацию как самостоятельный объект регулирования. Информация выступает в качестве такового только в том случае, когда является документом. Говоря о страховании информационных рисков, имеют в виду страхование документированной информации, то есть зафиксированной на материальном носителе информации с реквизитами, позволяющими ее идентифицировать.

Доктрина определила создание системы страхования информационных рисков юридических и физических лиц как один из экономических методов обеспечения информационной безопасности Российской Федерации.

Сегодня создана правовая основа, определяющая субъекты, объекты страхования и страховые риски для проведения добровольного страхования информационных ресурсов и систем.

Одной из структур, активно занимающихся разработкой различных нормативных документов по страхованию информационных рисков, является Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ). Данный НИИ с 1996 г. проводит комплекс научно-исследовательских работ по анализу проблемы страхования в отрасли связи и информатизации, исследованию отечественного и зарубежного рынков страхования информационных систем, ресурсов и технологий, разработке правовой, нормативно-методической и организационной базы системы страхования информационных рисков. Проблема создания системы страхования информационных рисков прорабатывается институтом совместно с рядом министерств и ведомств и одобрена Администрацией Президента РФ, МВД России, ФАПСИ, ГТК, ТПП РФ, АРБ и другими заинтересованными государственными органами и организациями. Институт активно участвует в разработке, подготовке и обсуждении различных сторон проблемы страхования информационных рисков. Ниже приведена небольшая хронология мероприятий, в которых активно принимал участие ВНИИПВТИ.

В соответствии с Распоряжением Администрации Президента РФ от 12 июля 1996 г. N А4-6069 ВНИИПВТИ был подготовлен проект указа Президента РФ «О порядке развертывания в Российской Федерации системы страхования информационных рисков», а в 1997 г. на основе полученных замечаний и предложений была подготовлена его вторая редакция.

В ноябре 1997 г. была проведена коллегия Минсвязи России по вопросу «О состоянии разработки и перспективах развития системы страхования информационных рисков». В феврале 1998 г. проведено заседание Государственной комиссии по информатизации при Минсвязи России «О порядке развертывания в Российской Федерации системы страхования информационных рисков». Коллегия и Госкомиссия одобрили работы по созданию и развитию в Российской Федерации системы страхования информационных рисков.

В октябре 2000 г. было проведено заседание Госкомиссии по электросвязи Минсвязи России «О мерах обеспечения информационной безопасности на сетях ВСС России». Решением комиссии предусматривается провести анализ действующих нормативных правовых документов и разработать предложения по созданию механизма компенсации ущерба в отрасли связи.

В 1999 - 2001 гг. между Минсвязи России и страховыми компаниями «Ингосстрах» и «Инфистрах» подписано Соглашение о сотрудничестве в области страхования информационных рисков.

В 2000 г. заключены договоры страхования гражданской ответственности разработчика средств защиты информации «Аккорд» - Особого конструкторского бюро систем автоматизированного проектирования и разработчика программного комплекса «Банк - клиент» - компании «Российские финансовые коммуникации».

В настоящее время в соответствии с решением Госкомиссии по электросвязи проводится научно-исследовательская работа по созданию механизма компенсации ущерба операторам связи в результате реализации угроз информационной безопасности. Также подобные работы разворачиваются в кредитно-финансовой сфере деятельности в рамках Ассоциации российских банков, где создана рабочая группа из представителей коммерческих банков, разработчиков автоматизированных банковских систем, ВНИИПВТИ, страховых компаний.

Правовой основой для проведения указанных работ является Доктрина. В соответствии с Доктриной экономические методы противодействия угрозам информационной безопасности предусматривают создание системы страхования информационных рисков физических и юридических лиц, которая должна обеспечивать компенсацию ущерба в случае реализации угрозы.

В результате были разработаны:

1) предложения по правовому обеспечению механизма компенсации ущерба при реализации угроз информационной безопасности на сетях ВСС России;

2) технико-экономическое и социальное обоснования эффективности механизма страхования информационных рисков;

3) проект концепции страхования информационных рисков в отрасли связи;

4) проект положения о порядке страхования информационных рисков на сетях ВСС России;

5) проект методики проведения финансового аудита (оценки стоимости) систем и сетей связи;

6) проект положения о порядке проведения экспертизы объектов и сетей связи при заключении договора страхования и при наступлении страхового случая;

7) проект руководства по анализу, минимизации и страхованию информационных рисков в отрасли связи;

8) проект перечня мероприятий по минимизации информационных рисков в информационно-телекоммуникационных сетях и системах, проект отраслевого стандарта ОСТ «Классификация информационных рисков на сетях ВСС России»;

9) проект положения о Фонде страховой превенции, комплект организационных документов по аккредитации, Положение по аккредитации страховых компаний;

10) Положение по аккредитации экспертных и аудиторских компаний;

11) Положение о комиссии по аккредитации страховых и экспертных компаний;

12) проект положения о страховании рисков для участников электронного ведения бизнеса;

13) схемы взаимодействия участников электронного ведения бизнеса;

14) рекомендации операторам связи о порядке и условиях минимизации и страхования информационных рисков;

15) технико-экономическое обоснование эффективности страхования информационных рисков;

16) проект методики оценки ущерба и суммы страхового возмещения;

17) проекты типовых договорных и финансовых документов по взаимодействию участников процесса страхования информационных рисков (операторы связи, эксперты, аудиторы, страховые организации, потребители услуг связи).

Правовая охраноспособность объектов интеллектуальной, промышленной собственности и информационных ресурсов в значительной степени определена. Однако эти объекты являются достаточно многочисленными, характеризуются сложностью, а главное, имеют различия в правовом режиме. Данные обстоятельства существенно затрудняют выработку единого подхода к регулированию отношений с объектами информационного содержания, в том числе на рынке страхования.

Но если правовой режим информационных объектов в той или иной степени определен, то вопрос определения стоимости (по крайней мере, в России) для большинства объектов отработан значительно хуже. Если для объектов промышленного и авторского права в целом хотя бы понятно, как его решать, то для конфиденциальной информации такая методология фактически отсутствует.

Полис страхования информационных активов будет полезен компаниям, желающим защититься от убытков, которые возникают вследствие утраты, уничтожения или повреждения в электронной форме информационных и финансовых активов. Например, случиться это может в результате незаконного списания финансовых средств с электронных счетов предприятия.

Кроме того, финансовое благополучие компании может пострадать от целенаправленных компьютерных атак и всевозможных вирусов. Также опасны поломка оборудования и непреднамеренные ошибки в проектировании, создании, инсталляции, конфигурировании, обслуживании или эксплуатации информационных систем Макаренцев А. Страховой backup // Консультант. - 2009. - N 13. - С. 32..

Застраховать информацию может, к примеру, ритейловая сеть, занимающаяся продажей продуктов. Ее деятельность, вплоть до малейших нюансов, накапливается и отражается в базе данных, которая может годами аккумулировать информацию. Но если предположить, что из-за злоумышленных действий конкурентов или вирусных атак база «рухнет», то деятельность магазинов сети просто-напросто остановится, поскольку перестанут правильно функционировать считывающие устройства в кассовых аппаратах, будет невозможно оприходовать товар, который находится в стадии доставки от контрагентов поставщикам. В результате компания понесет реальные немалые убытки.

Нужно отметить, что пока в России можно застраховать лишь ту информацию, которая подлежит восстановлению. Так, возвращаясь к примеру с ритейловой сетью, для решения проблемы работникам магазинов придется вручную подсчитать количество товара на складах и занести эти данные в базу. В свою очередь IT-специалисты помогут восстановить программный продукт, который управляет базой данных. Расходы на оплату сверхурочного труда работников сети и привлеченных программистов покроет полис страхования информационных рисков. Также, если предприятие изначально заключило дополнительное соглашение, страховая компания компенсирует ей недополученную прибыль от перерыва в коммерческой деятельности.

Между тем страховой договор не может покрывать убытки, которые возникли в результате разглашения какой-либо конфиденциальной информации. Например, в частных медицинских учреждениях нередко обслуживаются публичные люди, а обнародование истории болезни такого человека может нанести вред его репутации. Как показывает практика, если впоследствии инициируются судебные разбирательства, то нередко суд обязывает выплатить пострадавшей стороне штраф или пени. А они, как известно, не подлежат страхованию.

Как известно, если компания в большой степени зависит от функционирования компьютерных систем, то в случае сбоя ее основная деятельность прекращается и организация несет убытки. Например, для интернет-магазина остановка чревата потерями, связанными с недополученной прибылью. Страхование же перерывов в коммерческой деятельности возместит владельцу ресурса ту сумму, которую он мог бы получить, если бы его бизнес работал в штатном режиме.

Любой объект в сети, будь то корпоративный сайт, информационный портал или интернет-магазин, может стать жертвой развлекающегося хакера, некомпетентного специалиста, обиженного сотрудника или непорядочного конкурента. Статистика говорит о том, что системы безопасности ведущих российских интернет-магазинов подвергаются хакерским атакам ежедневно. Злоумышленники пытаются разместить якобы оплаченный заказ, полностью или частично остановить работу ресурса, модифицировать информацию на сайте. Как правило, такие угрозы методично отражаются программными и аппаратными средствами безопасности, но и киберпреступникам не откажешь в настойчивости и сообразительности, а значит, есть риск, что рано или поздно их попытки нарушить работу сайта могут увенчаться успехом. В результате компании придется спешно восстанавливать свой ресурс, а финансистам - подсчитывать непредвиденные убытки.

Страхование информационных рисков позволяет обезопасить интернет-ресурс от сбоев, хакерских атак и т.п. На практике это выглядит примерно так: страхователь обнаруживает некую проблему, например недоступность своего интернет-ресурса. Затем заказчик заполняет онлайн-форму, в которой описывает возникшую проблему. После получения заявки IT-специалисты выяснят причину неполадки и начнут восстановление информации, а страховая компания - урегулирование страхового случая. Опыт показывает, что на возвращение ресурса в рабочее состояние уходит не более пары часов, максимум - день.

Объектами страхования могут выступать:

1. Информационные ресурсы:

- информация в любом ее виде: базы данных, библиотеки, архивы в электронной форме на технических носителях любого рода;

- программные средства и комплексы, находящиеся в разработке или эксплуатации.

2. Финансовые активы:

- денежные средства в электронной форме в виде записей на счетах (системы «клиент - банк»);

- ценные бумаги в электронном (бездокументарном) виде.

А вот каковы риски, которые могут быть застрахованы:

- умышленные противоправные действия сотрудников;

- компьютерные атаки;

- действие компьютерных вирусов;

- хищение денежных средств и ценных бумаг в электронном виде;

- сбои (выход из строя) информационных систем Смирнов И.Е. Рынок требует страхования рисков // Организация продаж страховых продуктов. - 2008. - N 3. - С. 45..

По мнению А.А. Анисимова объектами страхования могут быть:

* информационные ресурсы (в любом их виде: базы данных, библиотеки электронных документов и т.п.);

* программное обеспечение (как уже используемые программные собственные и покупные продукты, так и находящиеся в разработке);

* аппаратное обеспечение информационных систем (сетевое оборудование, серверы, рабочие станции, телекоммуникационное оборудование, периферия, источники бесперебойного питания и т.п.);

* финансовые активы (денежные средства, бездокументарные ценные бумаги) в электронной форме (в том числе средства на счетах, управляемых при помощи систем «клиент-банк»).

Договор страхования (страховой полис) может предусматривать возмещение прямых убытков в случае наступления различных страховых случаев, таких как:

· выход из строя (сбои в работе) информационных систем, обусловленные недостаточным качеством используемых программных и аппаратных средств, ошибками при их проектировании, разработке, производстве, установке, настройке, обслуживании или эксплуатации;

· умышленные противоправные действия сотрудников предприятия, совершенные с целью нанести ущерб предприятию либо получить определенную выгоду;

· нападения (атаки) на информационные системы предприятия, которые совершены третьими лицами с целью нанести ущерб информационным ресурсам предприятия и его информационным системам (повредить или уничтожить информацию, хранящуюся в электронном виде, получить конфиденциальные сведения, вывести из строя программные и аппаратные средства с целью прекратить или приостановить функционирование определенных сервисов и т.п.);

· воздействия вредоносных программ и макросов (вирусов, червей и т.п.), повлекшие нарушения работы информационных систем, потерю информации или разглашение конфиденциальной информации;

· хищение финансовых активов (денежных средств, бездокументарных ценных бумаг), совершенное путем осуществления различных неправомерных действий: кражи паролей и ключей, присвоения личности, внесения изменений в программное обеспечение и т.п.

В дополнение к основным рискам, непосредственно связанным с информационными активами, также могут быть застрахованы:

· убытки от приостановки основной хозяйственной деятельности предприятия в результате нарушения работы информационных систем;

· дополнительные расходы, связанные с поддержанием текущей хозяйственной деятельности в период восстановления работы поврежденных информационных систем;

· дополнительные расходы, связанные со срочным восстановлением работы информационных систем, а также срочным восстановлением основной хозяйственной деятельности предприятия;

· дополнительные расходы на восстановление деловой репутации после того, как ей был нанесен ущерб в результате атаки на информационные ресурсы и информационные системы (Public Relations Coverage) Анисимов, А.А. Менеджмент в сфере информационной безопасности : учебное пособие / Анисимов, А.А. - М.: Интернет-Университет Информационных Технологий : БИНОМ. Лаборатория знаний, 2010. - С. 33..

Сегодня существуют достаточно надежные способы технической защиты. Однако 100-процентную гарантию безрисковой деятельности в сфере IT они дают не всегда. Страхование информационных рисков может послужить дополнительной гарантией бесперебойной работы компании и минимизировать потери в IT-секторе.

Законодательство не содержит понятия информационные потоки, однако само по себе оно является универсальным понятием для многих отраслей науки.

Потоки информации в организациях можно классифицировать как вертикальные и горизонтальные. Вертикальные потоки информации обычно связаны с отчетностью. Горизонтальные потоки существуют в равной мере внутри отдела или между отделами и не связаны с передачей информации вверх или вниз по служебной лестнице Веснин В.Р. Информационное обеспечение управления. - М.: Гном-пресс, 1999. - С. 218..

Между данными потоками существует значительное различие и это нечто большее, чем просто их направление.

Для горизонтальных потоков характерно совместное использование информации. В этих потоках может отсутствовать какое-либо преднамеренное изменение информации, хотя передача информации может быть и неполной. Может оказаться так, что лишь часть данных потоков используется в работе по установленным правилам. Остальная часть этих потоков может циркулировать свободно и использоваться при неформальных отношениях между сотрудниками, но в интересах дела (некоторые утверждают, что эта часть потоков информации способствует улучшению результатов деятельности организации).

Информация, содержащаяся в вертикальных потоках, изменяется при ее движении вверх или вниз по формальным организационным структурам. При прохождении вверх информация суммируется, обобщается. При движении вниз передается лишь ограниченная часть информации, которая считается необходимой.

Последнее замечание характеризует синдром, определяемый как «информация есть власть». Отдельная личность рассматривает обладание информацией как источник для получения персональных преимуществ. Сокрытие информации от конкурентов или ее специальное распространение, когда вам это выгодно, является распространенным явлением организационной жизни.

Разрушение существовавшей в СССР системы информационного обеспечения привело к существенному снижению качества и объемов общедоступных информационных ресурсов.

Большинство пользователей связывают этот процесс, в основном, с резким повышением стоимости информации, что существенно ограничило для большинства специалистов доступ к информационным ресурсам.

Остальные факторы, как правило, выпадают из анализа. Это обусловлено широко распространенным и «общепринятым» мнением, что на основании анализа открытых источников можно получить 80-90 процентов информации, необходимой для принятия решений.

Данное мнение обычно преподносится в качестве безапелляционных утверждений типа: как и в области военного шпионажа, 95% промышленной информации может быть получено путем простого чтения прессы.

По самым грубым расчетам 80 процентов разведывательной информации добывается в результате изучении обычных, всем доступных источников-книг, газет, журналов.

Попытка выявить «первооткрывателя» этой «общеизвестной» истины привела к источникам, относящимся к началу нашего века. Следовательно, те, кто придерживается этого тезиса при обосновании приемов вскрытия и анализа реальной информационной ситуации в большинстве областей науки, техники, производства и управления, должны сначала доказать, что в распространении информации за последние почти сто лет не произошло никаких изменений. Но такой ответственности никто на себя не берет.

Более того, большинство исследований реальных информационных потоков свидетельствует об иных тенденциях.

Более 80% сведений, заключенных в патентных документах, впоследствии не публикуются в каких-либо информационных источниках. Это при условии, что ряд патентных ведомств владеет огромными массивами патентной информации, размеры которых достигают 20-30 млн. документов с ретроспективой до 50 лет, а по некоторым странам - до 100 лет.

Ознакомление с исследованиями о доступности информационных ресурсов, позволяет утверждать, что реальные возможности доступа к информации более правильно оценивать следующим образом:

Анализ открытых источников позволяет выявить порядка 60-70 процентов информации, относящейся к общетеоретическим и общетехническим вопросам и составляющей исходную базу при решении научных, технических и производственных проблем. Условно назовем этот уровень «базовым». Базовый уровень позволяет иметь представление лишь о том, какие задачи и на какой общетехнической базе могут решаться, но не позволяет ответить на вопрос: как будет решена та или иная конкретная проблема. Эта информация относится к знаниям, обеспечивающим необходимый «средний» уровень подготовки кадров любой квалификации, но не раскрывает наиболее важных и перспективных разработок, методов и приемов работы, особенностей технологий и т.п. Базовый уровень нашего знания наиболее полно обеспечен открытым потоком публикаций.

Процессы, происходящие в стране после августа 1991 г., еще сильнее обострили ситуацию информационного обеспечения. Ибо в результате развала всей инфраструктуры информационных ресурсов произошло катастрофическое снижение возможности доступа ко всем видам информации и засорение информационных потоков информацией малой надежности и достоверности.

В 1991-1992 гг. фактически прекратилось комплектование зарубежной научно-технической литературой, вызванное прекращением валютного финансирования крупнейших (бывших союзных) центров научно-технической информации.

Кроме этого, принципиально изменился состав организационных единиц, создающих все виды информационных ресурсов в стране.

С высокой степенью вероятности можно предполагать, что в ближайшее время количество и качество информации в открытых потоках будет только снижаться. Тем более что на государственном уровне не осуществляется действенных мер по защите и сохранению информационных ресурсов страны.

Утверждение о существенной неполноте открытых потоков информации свидетельствует лишь о том, что наиболее важная информация недоступна большинству потенциальных пользователей. Более важным является то, что в открытом потоке велик процент информации, не позволяющей принимать эффективные информационные решения.

Засорение информационных потоков недостоверными, непроверенными данными значительно усложняет работу по использованию опубликованных документов.

Выявление недостоверной и устаревшей информации, циркулирующей в документах, становится одной из важнейших задач, так как публикуемые в документах данные, в ряде случаев, позволяют подтвердить и обосновать «даже противоречивые решения и научные гипотезы, построить теоретические модели, дающие противоположные результаты».

Из приведенного выше перечня объектов страхования информационных рисков, мы видим, что информационный поток в них не включается.

А. Макаренцев Макаренцев А. Указ.соч. - С. 33., представляя схему процесса выявления уязвимостей системы указывает информационные потоки клиента как предмет анализа. Информационные потоки могут содержать в себе интеллектуальную собственность, финансовую информацию и стратегию компании.

То есть, анализ информационных потоков организации необходим для того, чтобы оценить уровни и объемы рисков, которым информация клиента может подвергаться. Для этого проводят информационный аудит, который может проводиться как до момента заключения договора страхования, так и в последующем, если изменяются потоки информации и соответственно меняются риски.

Информационный аудит позволяет оценить эффективность информационной системы, риски ее использования и выбрать направления для ее совершенствования. Развитие информационных систем приносит организации выгоды. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. Риски, на снижение которых направлен информационный аудит, включают риски информационной безопасности и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности Чернова М.В. Виды аудита: современная классификация // Аудиторские ведомости. - 2011. N 6. - С. 10 - 17..

К настоящему времени крупнейшими мировыми компаниями, оказывающими услуги по страхованию информационных рисков, являются:

· Британская страховая компания «Lloyds of London»;

· американская компания «AIG»;

· Zurich North America («The E-Risk Edge solution»);

· страховая группа «Chubb»;

· страховая компания «Marsh».

В России одной из первых компаний, начавших предоставлять услуги такого рода, стал «Ингосстрах». В 1999 году было подписано «Соглашение о сотрудничестве в области страхования информационных ресурсов» между Министерством РФ по связи и информатизации, с одной стороны, и страховыми компаниями «Ингосстрах» и «Инфистрах» - с другой. Начиная с 2000 года некоторые российские страховые компании получили лицензии на осуществление такой деятельности, однако в целом этот рынок в России остается неразвитым. Деятельность страховых компаний, как правило, ориентирована на страхование банковских рисков и крупных объектов (таких как «Российская торговая система», РТС или система межбанковского процессингового центра электронного документооборота Faktura.Ru), при этом некоторые сегменты этого рынка практически не развиваются.

§ 2 Право на информацию и его реализация в страховой сфере

Провозглашение права на информацию в качестве одного из основных прав человека стало итогом соответствующей тенденции в международном праве, которая наметилась после второй мировой войны См.: Хижняк B.C. Право человека на информацию: Механизм реализации / Под ред. В.Т. Кабышева. - Саратов, 1998. - С. 112.. В 1945 году на межамериканской конференции в Мехико делегацией США был выдвинут лозунг «свободы информации», который понимался как неприкосновенность со стороны государства международного обмена информацией См.: Колосов Ю.М. Массовая информация и международное право. - М., 1974. - С. 117 - 118.. На первой сессии Генеральной Ассамблеи ООН в 1946 году была принята Резолюция 59 (I) под названием «Созыв международной конференции по вопросу о свободе информации», в которой свобода информации стала определенно рассматриваться как основное право человека, состоящее в возможности беспрепятственно собирать, передавать и опубликовывать информацию См.: Международное публичное право: Сб. документов. Т. 1. - М.: БЕК, 1996. - С. 125 - 128.. Позднее, при подготовке Декларации прав человека был учтен предшествующий опыт работы над нормативным обобщением информационных прав, в результате чего положение о праве на свободу убеждений и их выражения включило в себя информационные правомочия, причем реализуемые «независимо от государственных границ».

В России конституционное право человека и гражданина на информацию впервые было закреплено в Декларации прав и свобод человека и гражданина 1991 года (далее - Декларация). Согласно ч. 2 ст. 13 Декларации каждый имеет право искать, получать и свободно распространять информацию. Ограничения этого права могут устанавливаться законом только в целях охраны личной, семейной, профессиональной, коммерческой и государственной тайны, а также нравственности. Перечень сведений, составляющих государственную тайну, устанавливается законом.

В ч. 4 ст. 29 Конституции РФ список правомочий, составляющих право на информацию, дополнен правом передавать и производить информацию. Общие основания законодательных ограничений права на информацию, в отличие от Декларации, в ныне действующей Конституции РФ не приводятся, поскольку они следуют из общих принципов ч. 3 ст. 55 Конституции РФ. Но положение о том, что перечень сведений, составляющих государственную тайну, определяется федеральным законом, сохранено в качестве важного предела вводимым ограничениям права на информацию.

Для более глубокого раскрытия содержания права на информацию необходимо выяснить, что представляет собой информация с правовой точки зрения, каковы определяющие свойства данного объекта прав. Для этого следует обратиться не только к нормам конституционного права, но и к действующему законодательству в целом.

Понятие информации содержится в п. 1 ч. 1 статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011), согласно которому информация - сведения (сообщения, данные) независимо от формы их представления Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 06.04.2011) // Российская газета. - 2006. - 29 июля..

Изменения российского законодательства 2006 г., касающиеся исключения информации из объектов гражданских прав, привели к тому, что за пределами гражданско-правового регулирования оказался целый пласт общественных отношений, связанных с передачей, охраной и защитой информации, которая не представляет собой материального воплощения. В частности, это касается сведений, переданных гражданами в процессе обращения за помощью в различные учреждения, конторы и пр. Исходя из положений Гражданского кодекса, можно сделать вывод, что сведения, не содержащиеся на неком материальном носителе, не могут быть объектом гражданского права, а следовательно, их участие и распространение в гражданском обороте затруднены. Однако Закон «Об информации, информационных технологиях и о защите информации» под информацией понимает «сведения (сообщения, данные) независимо от формы их предоставления».

В сфере страхования право на информацию имеет важное значение при заключении и реализации договора страхования, как со стороны страховщика, так и со стороны страхователя.

Так, одним из основных принципов страхования является принцип добросовестности.

В самом общем виде принцип высшей добросовестности означает, что страхователь должен относиться к объекту страхования так, как если бы он не был застрахован. Что же касается информации, которую страхователь должен сообщить страховщику в процессе заключения договора, то данный принцип обязывает его сообщить все, что ему известно или должно быть известно, но неизвестно и не должно быть известно страховщику, обо всех существенных обстоятельствах, влияющих на степень страхового риска.

Прежде всего выясним правовые истоки данной обязанности.

Поскольку договор страхования еще не заключен и, естественно, не вступил в силу, эта обязанность не носит характер договорной обязанности. Эта обязанность вытекает непосредственно из закона (конкретнее ст. 944 ГК). Однако если лицо, желающее заключить договор страхования, не исполнит данной обязанности, то страховщик вправе либо отказаться от заключения договора (даже если договор носит публичный характер), либо, если договор будет заключен и этот факт выяснится позже, использовать данное обстоятельство для защиты своих интересов. В результате обязанность страхователя при заключении договора (преддоговорная обязанность) оказывает влияние на договорное обязательство страховщика.

В литературе высказано мнение, что данная статья конкретизирует норму п. 1 ст. 942 ГК о существенных условиях договора страхования См.: Комментарий к Гражданскому кодексу Российской Федерации, части второй (постатейный) / Рук. авт. колл. и отв. ред. проф. О.Н. Садиков. 3-е изд., испр. и доп. - С. 533..

Вряд ли с этим можно согласиться. Статья 942 ГК имеет в виду существенные условия договора страхования, по которым стороны должны достичь соглашения. Что же касается ст. 944 ГК, то она говорит об обстоятельствах, имеющих существенное значение для оценки страхового риска. Следовательно, понятие «существенное» в данном случае относится к разным вещам. Статья 944 ГК устанавливает обязанность страхователя по предоставлению страховщику информации, необходимой последнему для решения вопроса о степени риска, который ему предлагается застраховать. Такая информация необходима страховщику для оценки этого риска и решения вопроса, заключать или не заключать данный договор, а если заключать, то на каких условиях. Представление такой информации не является ни офертой, ни акцептом. В равной мере представление этой информации не есть акт достижения соглашения сторон по поводу тех условий, которые являются существенными для договора страхования, а есть акт исполнения страхователем требования закона. Представление данной информации необходимо для того, чтобы страховщик смог сформировать свои собственные представления о страховом риске и условиях его страхования. На основе этих представлений страховщик будет вырабатывать совместно со страхователем условия будущего договора страхования. Следовательно, ст. 944 ГК посвящена не самим существенным условиям договора страхования, а лишь получению той информации, на основе которой страховщик вырабатывает свои представления о страховом риске и условиях его страхования.

Характеризуя данную обязанность страхователя, можно отметить следующее.

Во-первых, на страхователя возлагается обязанность сообщать страховщику обстоятельства, имеющие существенное значение, применительно к двум факторам: 1) вероятности наступления страхового случая; 2) размеру возможных убытков от наступления страхового случая. Обязанности представления сведений, относящихся к каким-либо другим элементам и условиям страхования, ст. 944 ГК не устанавливает.

Здесь следует иметь в виду следующее. В принципе в вопросах среднестатистической вероятности наступления страхового случая страховщик, будучи профессионалом, должен ориентироваться лучше, чем страхователь, всегда являющийся дилетантом в области страхового дела. Кроме того, страховой случай при рисковых видах страхования - это в общем-то непредсказуемое явление. Речь, следовательно, идет об индивидуальных особенностях объекта страхования, которые могут влиять на степень страхового риска. Скажем, дом, расположенный в пойме реки, всегда имеет больше шансов быть затопленным, нежели дом, стоящий на бугре. И если страховщик знает, где расположен дом, ему легче ориентироваться в том, какой опасности в случае наводнения этот дом будет подвергнут.

Поскольку в ст. 944 ГК речь идет об убытках, причиненных страховым случаем, создается впечатление, что предусмотренные ею обязанности относятся лишь к имущественному страхованию. Но следует полагать, что это не так, и ст. 944 ГК охватывает собой и личное страхование.

Во-вторых, страхователь обязан представлять страхователю лишь те сведения, которые ему известны. Причем эти сведения могут касаться не только периода, относящегося к прошлому или существующего в момент заключения договора, но и периода, относящегося к будущему. Например, страховщик может запросить у страхователя, как часто он намерен пользоваться автомобилем, который он собирается страховать. Если обстоятельства, имеющие существенное значение для оценки страхового риска, стали известны страхователю после заключения договора, то применяются правила ст. 959 ГК, посвященной последствиям увеличения страхового риска в период действия договора страхования.

В то же время страхователю не может быть вменено в вину несообщение тех сведений, о которых он должен был знать, но не знал в силу тех или иных причин. То есть информированность страхователя имеет в данном случае субъективный, но не объективный характер. Кстати, этим ГК РФ отличается от зарубежного понимания принципа наивысшей добросовестности, в соответствии с которым страхователь обязан сообщать не только те сведения, которые ему известны, но и сведения, которые ему должны быть известны.

В-третьих, страхователь не обязан информировать о тех обстоятельствах, которые известны или должны быть известны самому страховщику.

В-четвертых, п. 2 данной статьи предусматривает, что если договор страхования заключен при отсутствии ответа страхователя на какие-либо вопросы страховщика, последний не может впоследствии требовать расторжения договора либо признания его недействительным на том основании, что соответствующие обстоятельства не были сообщены ему страхователем.

В связи с этим следует сказать, что среди практических работников существует мнение (и оно порой реализуется в правилах страхования, применяемых некоторыми страховыми организациями), согласно которому страховщик вправе включить в договор возможность отказа в страховой выплате в случае, если страхователь не ответил на запрос страховщика (даже несмотря на то, что договор был заключен без этих ответов).

С данным мнением согласиться нельзя, поскольку это означало бы обход предписания, установленного п. 2 ст. 944 ГК. Предусмотренное этим пунктом правило вытекает из общего принципа гражданского законодательства, согласно которому заключенный договор подлежит исполнению. Если страховщик заключил договор при отсутствии ответов страхователя на запросы этого страховщика, то все неблагоприятные последствия этого обстоятельства должен нести сам страховщик. При этом закон исходит из презумпции, что волеизъявление страховщика, выразившееся при заключении договора страхования, соответствует действительной воле этого страховщика. И п. 2 указанной статьи, говоря о том, что страховщик в этой ситуации лишается права требовать расторжения договора или признания его недействительным, имеет в виду не сохранение договора как некой юридической абстракции, а наличие обязанности страховщика исполнить этот договор, т.е. произвести страховую выплату при наступлении страхового случая. Если же договорная конструкция будет построена таким образом, что в силу требования п. 2 ст. 944 ГК страховщик не вправе расторгнуть договор или признать его недействительным, но в то же время в силу самого договора освобождается от производства страховой выплаты, то данный договор превращается в фикцию, а п. 2 ст. 944 ГК - в пустой звук.

Статья 944 ГК говорит о двух видах обстоятельств, имеющих существенное значение, о которых страхователь обязан сообщить страховщику:

1) обстоятельства, которые существенны сами по себе;

2) обстоятельства, которые существенны потому, что представления сведений о них требует страховщик (или, как сказано в ГК, «обстоятельства, определенно оговоренные страховщиком в стандартной форме договора страхования (страховом полисе) или в его письменном запросе»).

Представление сведений по запросу страховщика не освобождает страхователя от представления сведений об обстоятельствах, которые существенны сами по себе и которые не содержатся в запросе страховщика.

Пункт 3 ст. 944 ГК предусматривает, что если после заключения договора страхования будет установлено, что страхователь сообщил страховщику заведомо ложные сведения об указанных обстоятельствах, то страховщик вправе потребовать признания договора недействительным и применения последствий, предусмотренных п. 2 ст. 179 ГК.

Понятие «сообщение заведомо ложных сведений» означает умышленное введение страховщика в заблуждение путем представления ему информации, не соответствующей действительной как в части отсутствия или наличия определенных обстоятельств, имеющих существенное значение для определения вероятности наступления страхового случая и размера возможных убытков, так и в части их реального состояния.

Например, при страховании автотранспортного средства страхователь на вопрос страховщика, имеет ли он удостоверение водителя (водительские права), ответил утвердительно, хотя на самом деле этого удостоверения у него нет; на вопрос, привлекался ли он к ответственности за нарушение правил дорожного движения за последние пять лет, ответил отрицательно, хотя на самом деле привлекался и неоднократно. Здесь страхователь вводит страховщика в заблуждение относительно наличия или отсутствия определенных фактов. Но если на вопрос о своем водительском стаже страхователь ответил, что он равен 10 годам, хотя на самом деле этот стаж равен всего лишь одному году, то имеет место умышленное искажение действительного состояния дел.

В соответствии со ст. 179 ГК такой договор страхования признается «сделкой, совершенной под влиянием обмана». Данная сделка относится к разряду оспоримых, т.е. она признается недействительной в силу ее признания таковой судом (ст. 166 ГК). Доказывание умысла страхователя в виде сообщения им заведомо ложных сведений лежит на страховщике. Последствием признания такого договора недействительным в силу того, что он является «сделкой, совершенной под влиянием обмана со стороны страхователя», выступает односторонняя реституция, т.е. страховая выплата подлежат возврату страховщику. Отметим, что обычно вопрос о признании такого договора недействительным страховщик возбуждает до производства страховой выплаты и удовлетворение иска страховщика практически означает освобождение его от обязательства по этой выплате. Кроме того, страховщик вправе требовать возмещения реального ущерба, причиненного в результате признания данного договора недействительным. Этот ущерб обычно выражается в тех затратах, которые понес страховщик в процессе обслуживания данного договора. Страховая же премия обращается в доход Российской Федерации (п. 2 ст. 179 ГК).

Требовать признания договора недействительным страховщик может как до, так и после наступления страхового случая.

Пункт 3 ст. 944 ГК предусматривает, что страховщик не вправе требовать признания договора страхования недействительным, если обстоятельства, о которых умолчал страхователь, уже отпали. Например, страхуя воздушное судно (самолет), страхователь не сообщил страховщику, что двигатели самолета уже отработали свой ресурс. Однако к моменту, когда это стало известно страховщику, двигатели были заменены на новые. В этих условиях страховщик не вправе требовать признания договора недействительным.

Однако обращает на себя внимание, что в данном случае закон говорит лишь о той форме умышленного введения страховщика в заблуждение, которая выразилась в умолчании страхователя, т.е. в его бездействии. Поэтому если обман страхователя выразился в сообщении заведомо ложных сведений, т.е. имел форму действия страхователя, то норма, предусмотренная п. 3 ст. 944 ГК, отказывающая страховщику в праве требовать признания договора недействительным, не применяется. Так, если страхователь, страхуя воздушное судно, в ответ на запрос страховщика об отработанном ресурсе двигателей указал заниженные сведения, то страховщик имеет право требовать признания договора страхования недействительным, несмотря на то что к моменту, когда этот страховщик узнал, что его неправильно информировали, двигатели были заменены на новые.