Правовое регулирование защиты информации в страховой сфере

Таким образом, необходимо учитывать, что персональные данные должны храниться не только в течение действия договора, но и в течение срока исковой давности на случай предъявления претензий по договору.

Вопрос об условиях прекращения обработки персональных данных сотрудников страховой компании решается в соответствии с Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения (утв. Федеральной архивной службой РФ 6.10.2000 г.). Так, статья 339 указанного перечня устанавливает срок хранения личных карточек работников в течение 75 лет.

Важной особенностью обработки персональных данных в отрасли страхования жизни и здоровья граждан является тот факт, что в этом случае в информационной системе страховой компании может обрабатываться информация, попадающая в специальную категорию персональных данных. Данное обстоятельство в значительной мере влияет на процедуру классификации такой ИС персональных данных и организацию ее системы защиты.

Техническая составляющая системы защиты персональных данных в страховых компаниях создается в соответствии с требованиями руководящих и методических документов регуляторов. В большинстве случаев состав угроз информационной безопасности требуют создания более широкого поля сервисов безопасности, нежели это предусмотрено руководящими и методическими документами. В таких случаях осуществляется разработка системы защиты персональных данных в составе более масштабной комплексной системы обеспечения информационной безопасности, реализующей дополнительные требования по обеспечению защиты информации. Объединение в одном проекте системы защиты персональных данных и комплексной системы обеспечения информационной безопасности позволяет более рационально осуществлять инвестиции в защиту информации.

Таким образом, в силу особенностей своей деятельности страховые компании обрабатывают огромные массивы персональных данных. На компании возлагается ответственность их защиты, что встречает на своем пути немало проблем. Среди них можно выделить проблемы технического и программного обеспечения вычислительной техники, хранящей информацию на электронных носителях, проблемы защиты персональных данных, содержащихся на бумажных носителях, а также сроков хранения такой информации.

Персональные данные классифицируют на четыре класса, что позволяет определить перечень организационных и технических мероприятий, необходимых для обеспечения безопасности персональных данных. Проведение классификации позволяет реализовать дифференцированный подход к обеспечению безопасности персональные данные в зависимости от объема обрабатываемых персональные данные и угроз безопасности и минимизировать затраты на защиту ИС персональные данные.

Думается, что эффективная реализация закона будет идти путем надзора за стразовой компанией как со стороны специальной внутренней службы, так и со стороны компетентных органов государственной власти.

§3. Проблемы информационной безопасности в сфере страхования (положения, развитие законодательства)

Необходимость обеспечения информационной безопасности стала причиной принятия в России Доктрины информационной безопасности Российской Федерации, которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации Доктрина информационной безопасности Российской Федерации: утв. Президентом РФ 09.09.2000 N Пр-1895 // Российская газета. - 2000. - 28 сентября..

Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Понятие информационной безопасности сегодня - одно из базовых в информационном праве. Информационное общество, т.е. общество, в котором информационные процессы осуществляются главным образом на основе использования информационно-коммуникационных технологий, а информационные ресурсы доступны всем слоям населения, переживает один из самых активных этапов своего развития. А значит, актуально все, что связано с понятием безопасности в информационном обществе и в условиях формирования электронного правительства Чеботарева А.А. Научные подходы к определению понятия "информационная безопасность" // Информационное право. - 2011. - N 1. - С. 3 - 5..

В современной отечественной науке определение актуальных проблем информационной безопасности стало предметом комплексных исследований, проведенных И.А Лазаревым, В.Н. Лопатиным, Ю.С. Уфимцевым, Е.А. Ерофеевым См.: Лазарев И.А. Информация и безопасность. Композиционная технология. - М.: Изд-во Московского городского центра научно-технической информации, 2002; Лопатин В.Н. Информационная безопасность России: Человек. Общество. Государство. - СПб.: Фонд Университет. 2000; Уфимцев Ю.С., Ерофеев Е.А. и др. Информационная безопасность России. - М.: Экзамен, 2003..

В последующем проблемы обеспечения информационной безопасности нашли отражение в трудах Б.В. Вербенко, А.А. Николаева, Э.М. Брандмана, Т.А. Поляковой и многих других См.: Брандман Э.М. Глобализация и информационная безопасность общества. - М.: Изд-во "ГПиБ России", 2007; Вербенко Б.В. Информационная безопасность России в контексте современного политического процесса: сущность, проблемы обеспечения: Автореф. дис. ... канд. полит. наук. - М., 2005; Нанадзе И. Информационная безопасность в период политической модернизации // Обозреватель. - 2007. - N 7; Николаев А.А. Информационная безопасность России в условиях социальной трансформации: Автореф. дис. ... канд. полит. наук. - М., 2007; Полякова Т.А. Информационная безопасность в условиях построения информационного общества в России. - М.: РПА Министерства юстиции России, 2007; Халипов В.Ф. Энциклопедия власти. - М.: Академический проект, 2005..

Появление и научное закрепление дефиниции «информационная безопасность» непосредственно связано с осмыслением феномена информатизации и изучением содержания процесса формирования информационного общества. Данной проблеме посвящены работы зарубежных теоретиков Д. Белла, Э. Тоффлера, Т. Стоуньера, А. Турена, У. Дайзарда, М. Кастельса, К. Кояма, Е. Масуда Уэбстер Ф. Теории информационного общества. - М.: Аспект-пресс, 2004. - С. 33..

Понятие информационной безопасности анализируется с точки зрения философии (информационная безопасность - такое состояние объекта, при котором состояние информационной среды, в которой он находится, позволяет ему сохранять способность и возможность принимать и реализовывать решения сообразно своим целям, направленным на прогрессивное развитие См.: Атаманов Г.А. Информационная безопасность: сущность и содержание // Бизнес и безопасность в России. - 2007. - N 47. - С. 108.), с точки зрения политического подхода (задача государственной политики в области безопасности РФ состоит не только в том, чтобы защитить граждан и общество от этих угроз, но и реализовать эту политику в таких формах и методах, которые, в свою очередь, не поставили бы под угрозу выбранный демократический вектор развития См.: Ковалева Е.В. Обеспечение транспарентности органов местного самоуправления современной России в процессе информатизации политического управления: Автореф. дис. ... канд. полит. наук. - Саратов, 2010. - С. 12.), технического подхода (основывается на проблеме разработки требований безопасности сайтов, включающих защиту серверов, лицензирование, сертификацию и аттестацию объектов информатизации, применение криптографических механизмов при передаче данных по каналам связи, использование методов идентификации и аутентификации пользователей на сайте См.: Проценко Е.А. Модель и метод анализа эффективности систем защиты информации сайтов органов власти Российской Федерации: Автореф. дис. ... канд. технич. наук. СПб., 2008. Крылов Г.О. Международный опыт правового регулирования информационной безопасности и его применение в Российской Федерации: Автореф. дис. ... канд. юрид. наук. - М., 2007. - С. 22.), социологического (увязывается социологический подход и информационный к пониманию См.: Шемякин В.П. Информационная безопасность в современных российских условиях: Социолого-управленческие аспекты: Автореф. дис. ... канд. социол. наук. - М., 2004. -С 22.) и юридический.

Среди юристов также пока не выработано единого подхода к определению понятия информационной безопасности.

«Информационная безопасность является важнейшей составляющей национальной безопасности в целом... В структуре информационного права проблема обеспечения информационной безопасности является одним из институтов. Суть этого института информационного права состоит в осуществлении правовых, организационных, технических мер, обеспечивающих безопасное состояние всех составляющих информационно-коммуникационного комплекса государства, отдельных организаций и каждого человека» См.: Бачило И.Л. Информационное право: Учебник для вузов. - М.: Высшее образование; Юрайт-Издат, 2009. - С. 398..

По мнению В.Н. Лопатина См.: Лопатин В.Н. Информационная безопасность России: человек, общество, государство. Серия: Безопасность человека и общества. - СПб.: Фонд Университет, 2000. - С. 428., объективно категория «информационная безопасность» возникла с появлением средств информационных коммуникаций между людьми, а также с осознанием человеком наличия у людей и их сообществ интересов, которым может быть нанесен ущерб путем воздействия на средства информационных коммуникаций, наличие и развитие которых обеспечивает информационный обмен между всеми элементами социума. Выделяя отдельно информационно-психологическую безопасность, В.Н. Лопатин трактует ее как «состояние защищенности жизненно важных интересов личности, общества и государства от воздействия вредной информации» См.: Лопатин В.Н. Информационное право: Учебник. - СПб.: Юридический центр Пресс, 2005. - С. 474..

А.А. Стрельцов понятие «обеспечение информационной безопасности» раскрывает как «сложное явление, включающее объект безопасности, образуемый совокупностью информационных потребностей государства и его деятельности по удовлетворению этих потребностей, угроз объекту безопасности, деятельности государства по противодействию угрозам, а также субъектов этого противодействия» См.: Стрельцов А.А. Содержание понятия "обеспечение информационной безопасности" // Информационное общество. - 2001. - Вып. 4. - С. 16..

Т.А. Полякова информационную безопасность рассматривает как состояние защищенности национальных интересов Российской Федерации в информационной сфере, состоящих из совокупности сбалансированных интересов личности, общества и государства, от внутренних и внешних угроз, что соответствует принципу обеспечения национальной безопасности в информационной сфере, определенному в Стратегии развития информационного общества в Российской Федерации См.: Полякова Т.А. Правовое обеспечение информационной безопасности при построении информационного общества в России: Автореф. дис. ... докт. юрид. наук. - М., 2008. - С. 33..

В целом государственная политика в области обеспечения безопасности, согласно ст. 4 Федерального закона Российской Федерации от 28 декабря 2010 г. N 390-ФЗ «О безопасности» О безопасности: Федеральный закон от 28 декабря 2010 г. N 390-ФЗ // Российская газета. - 2010. - N 5374., является частью внутренней и внешней политики Российской Федерации и представляет собой совокупность скоординированных и объединенных единым замыслом политических, организационных, социально-экономических, военных, правовых, информационных, специальных и иных мер.

Сегодня только Доктрина информационной безопасности определяет исследуемую дефиницию: информационная безопасность - это состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Однако необходимо согласиться с высказываемыми мнениями о необходимости уточнения и пояснения данного понятия. Так, действительно, требуют разграничения понятия «информационная безопасность» и «информационная безопасность Российской Федерации». Состояние достижения информационной безопасности может рассматриваться как потребность не только государства, но и других субъектов информационных отношений: граждан, юридических лиц, а также технологических механизмов, систем, информационно-коммуникационных технологий - объектов информационной безопасности См.: Куняев Н.Н. Правовое обеспечение национальных интересов Российской Федерации в информационной сфере. - М.: Логос, 2010. - С. 258..

Так, сегодня, наряду с такими понятиями, как «безопасность», «национальная безопасность», «информационная безопасность», как никогда актуализируется понятие информационной безопасности личности. В современных условиях эта проблема выдвигается на уровень общенациональной. Решение проблем обеспечения информационной безопасности личности сегодня - это и актуально, и своевременно, поскольку Стратегией развития информационного общества в Российской Федерации, утвержденной Президентом РФ 7 февраля 2008 г. Стратегия развития информационного общества в Российской Федерации (утв. Президентом РФ 07.02.2008 N Пр-212) // Российская газета. - 2009. - N 34., подчеркивается, что в настоящее время в Российской Федерации сформировались необходимые условия для перехода к информационному обществу, одним из важнейших проявлений которого является обеспечение национальной безопасности в сфере информатизации, а также обеспечение реализации прав граждан, организаций в условиях информатизации.

На реализацию информационной безопасности важное влияние оказывает и технические возможности реализации требований закона.

Термин « безопасность информационных технологий» понимается специалистами по-разному, причем чаще всего имеется в виду какой-то один аспект этой проблемы. Например, с точки зрения производителя источников бесперебойного питания серьезную угрозу для вычислительной системы представляет нестабильность энергосети, а с позиции разработчика антивирусных программ - риск уничтожения бесценных данных. Каждый из этих аспектов, безусловно, заслуживает отдельного изучения, но для потребителя важно обеспечить безопасность вообще, а не только по отдельным рискам Исаев А. Безопасность информационных технологий и страхование // Финансовая газета. - 2000. - № 47..

Перед потребителем стоят конкретные задачи - наладить производственный процесс, бухгалтерский или складской учет, управление финансами и кадрами, т.е. обеспечить бизнес-процесс. И если какая-либо реализация информационных технологий (некая совокупность вычислительных систем, средств связи, специализированного оборудования, программ и т.п.) позволяет решить эту задачу оптимальным способом, потребитель тратит время и деньги на ее внедрение. Но доверив бизнес-процесс информационной системе, он попадает в прямую зависимость от ее работоспособности. Эта зависимость критична ровно настолько, насколько критичен для фирмы соответствующий бизнес-процесс. Другими словами, если по любой причине оказалась неработоспособной система, отвечающая за ключевой бизнес-процесс, то это ставит под угрозу существование всего предприятия. И для потребителя безопасность внедряемых информационных технологий - это проблема, связанная с обеспечением их правильного и бесперебойного функционирования.

Представления потребителя о безопасности информационных технологий в конечном счете сводятся в основном к допустимому (с позиции бизнеса) времени простоя информационной системы, а точнее к времени ее восстановления. При этом ему приходится учитывать все возможные причины сбоев. В результате, явно или неявно, расходы предприятий на информационные технологии всегда включают и расходы на обеспечение их безопасности.

Рассмотрим (в самых общих чертах) средства, которые можно применять по отдельности или в сочетаниях:

« горячее» дублирование системы (полное либо ключевых компонентов). Например, два идентичных вычислительных комплекса (основной и « дубль») соединены высокоскоростной линией связи и работают синхронно. Если внезапно останавливается основной, то выполнение задачи мгновенно переключается на дубль;

« холодное» резервирование и поддержание склада запасных частей и устройств. Время восстановления исчисляется минутами - на замену неработоспособных компонентов и перезапуск системы;

аварийные сервисы различных масштабов (гарантийный и послегарантийный, обычный и расширенный, например с предоставлением замены на время ремонта). Могут приобретаться как « в комплекте» с оборудованием и другими услугами у одного поставщика, так и отдельно у третьей стороны;

применение оборудования с повышенной отказоустойчивостью, источников бесперебойного питания, специализированных систем диагностики и контроля;

применение специализированных программных и/или аппаратных средств для защиты от хакерских атак;

подписка на антивирусное обслуживание, в том числе и с аварийным выездом специалистов;

« горячие линии» поддержки (телефонные и через Интернет) для оборудования и программного обеспечения.

Следует отметить, что применяемые в каждом конкретном случае средства (и соответствующие расходы) адекватны риску: чем больше предполагаемые потери предприятия от простоя той или иной информационной системы, тем дороже обходятся превентивные меры безопасности.

Многие сервисы представляют собой, по сути, реализацию страховых технологий, хотя и специфическую (прикладную). В качестве примера рассмотрим самый распространенный сервис - гарантию на оборудование. Страховой взнос (заранее и на определенный срок) платят все покупатели, так как он включен в цену. Страховой риск - отказ оборудования (утрата работоспособности) в результате проявления дефектов материалов и ошибок при изготовлении, сборке или монтаже. Существует и исключение - несоблюдение покупателем регламентированных условий эксплуатации. Страховое возмещение производится в натуральной форме, в размере стоимости ремонта либо замены. Его получают не все покупатели, а только те, у которых произошел страховой случай. Аккумулируемые резервы направляются на поддержание сети сервис-центров и складов запасных частей и т.д.

Есть и такой сервис: по заявке заказчика специалисты исполнителя оценивают риск возникновения любых аварийных ситуаций (пожар, удар молнии, наводнение, взрыв, различного рода аварии инженерных систем, отказ оборудования, повреждение линий связи и др.) и возможные их последствия для бизнеса заказчика, выдают перечень рекомендуемых превентивных мероприятий для снижения риска и заключают договор на определенный срок, согласно которому при наступлении оговоренных событий не выплачивается страховое возмещение. При возникновении аварийной ситуации исполнитель в течение оговоренного срока (нескольких часов) предоставляет заказчику на определенный срок (до нескольких недель) информационную систему заранее согласованной и протестированной заказчиком конфигурации с необходимыми программными средствами, линиями связи и т.п. на своей резервной площадке или на площадке заказчика. На российском рынке эту услугу предоставляют пока лишь несколько фирм, и называется она у них по-разному:Business Recovery Services (BRS) - услуги по восстановлению бизнеса;Disaster Recovery System (DRS) - система восстановления бизнеса после аварии и т.п. Исаев А. Указ. соч. - С. 48.

Следует отметить, что фирмы, предоставляющие подобные услуги, должны уметь рассчитывать страховой тариф, т.е. правильно соотносить свои будущие затраты на помощь пострадавшим с ценой услуги (страховым взносом), которую должен заплатить каждый клиент.

Страховую природу имеет любой сервис, предлагаемый в форме абонентской подписки на определенный срок и предусматривающий реальную помощь в экстренных аварийных случаях. А с точки зрения потребителя « холодное» резервирование и поддержание склада запасных частей тоже является страхованием (самострахованием), поскольку воплощает его главный принцип - возможность ценой небольших затрат избежать более серьезных проблем.

Напрашивается вывод, что рынок информационных технологий, порождая зависимость потребителей от работоспособности их информационных систем, в состоянии предложить и полный спектр мер по обеспечению безопасности, из которого каждый потребитель может выбрать для себя оптимальные по соотношению стоимости, объема, качества услуг и потребности в них. Однако этот вывод представляется неверным, по крайней мере в настоящий момент. Клиент не может рассчитывать на гарантийный сервис, если его оборудование, например, залило водой из-за аварии водопровода этажом выше. А клиенту по договору BRS, получившему резервную информационную систему, необходимо восстанавливать свою, поврежденную или уничтоженную, причем делать это нужно в достаточно сжатые сроки, поскольку срок предоставления услуг BRS ограничен. Именно такие задачи призвано решать « классическое» страхование. Действительно, даже при имущественном страховании, лицензии на проведение которого есть у большинства страховых компаний, в качестве страховых рисков может рассматриваться практически любая аварийная ситуация:пожар, взрыв, стихийные бедствия, аварии инженерных систем, противоправные действия третьих лиц и т.п., вплоть до падения летательных аппаратов, а страховое возмещение может быть предусмотрено в размере восстановительной стоимости имущества. Кроме того, многие страховые компании имеют лицензии на специализированные виды страхования, например страхование электронных устройств, страхование вычислительной техники и т.п., как правило, достаточно адекватно отражающие специфику предмета, т.е. те аспекты, которые в обычном имущественном страховании могут быть оговорены, здесь оговариваются заранее:

в качестве объектов страхования названы вычислительные устройства, оборудование и линии связи, автоматизированные комплексы и т.п.;

набор страховых рисков помимо традиционных включает и специфические, такие, как отказ (утрата работоспособности) в результате проявления дефектов материалов и ошибок при изготовлении, сборке или монтаже, из-за аварий и/или нестабильности энергосети, в результате ошибок персонала и т.п.;

подробно расписаны варианты определения (согласования с клиентом) восстановительной стоимости и размера страхового возмещения - от стоимости заменяемых частей до восстановления « под ключ» .

Кроме того, многие страховые компании располагают лицензиями, позволяющими страховать (хотя и с оговорками) убытки от перерыва в производственной или коммерческой деятельности, наступившего, в частности, вследствие повреждения или уничтожения застрахованного оборудования, а потери в бизнесе могут значительно превышать стоимость восстановления информационной системы.

Все эти страховые услуги доступны, страховые компании заинтересованы в клиентах, и клиент, обладающий знаниями специалиста-практика в страховом деле, может их получить.

Потребитель привык к тому, что рынок информационных технологий предлагает ему « комплексные решения» его проблем. Правда, термин « решение» имеет несколько рекламный характер.

Применительно к рассматриваемой проблеме безопасности информационных технологий « решение» должно быть найдено и предложено потребителю совместными усилиями поставщиков сервисных услуг и страховых компаний. Только вместе они в состоянии обеспечить комплексный подход, взаимно дополняя друг друга: первые - предоставляют сервис в аварийных ситуациях, вторые - его оплачивают. И тогда каждому потребителю будет предложено действительно оптимальное для него решение. В рамках рассмотренных выше примеров это может выглядеть следующим образом:

покупатель оборудования сможет получить « расширенную гарантию» , по которой продавец обязуется предоставлять сервис (бесплатный ремонт или замену), в том числе в случае повреждения или гибели оборудования в результате пожара, взрыва, залива, стихийного бедствия, противоправных действий третьих лиц, аварии или нестабильности энергосети, ошибок персонала и т.п.;

системный интегратор (поставщик информационной системы « под ключ») сможет предложить заказчику расширенное гарантийное сопровождение, в рамках которого он обязуется своими силами в оговоренные сроки восстановить эту информационную систему в случае ее повреждения или гибели в результате пожара, взрыва и т.п.;

заказчику услуг BRS будет предложен договор, согласно которому при возникновении аварийной ситуации (пожара, стихийного бедствия и т.д.) он сможет воспользоваться резервной информационной системой, а тем временем его собственная будет восстановлена силами заранее определенного сервис-центра (а может быть и нескольких сервис-центров) в оговоренные сроки;кроме того, будут покрыты и убытки от вынужденного простоя Исаев А. Указ. соч. - С. 48..

В России аналогичные схемы применяются при страховании автотранспорта. Автовладельцу предлагается ряд связанных услуг. Продавец противоугонной системы напоминает ему о скидках, которые предоставляют страховые компании при наличии этой системы. Страховые компании, описывая свои преимущества, не забывают упомянуть, что автомобиль можно будет отремонтировать в фирменном сервис-центре, с которым у них заключен договор (и будут оплачиваться предварительно выставленные счета за ремонт), а если понадобится оценить ущерб, это сделают независимые эксперты, с которыми тоже заключены договоры. Некоторые страховые компании в комплекте с полисом предлагают клиентам и аварийный сервис специализированных фирм (эвакуатор, выезд технических специалистов, юристов, группы физической защиты) по льготным ценам. Таким образом, потребителю предлагаются решения, за которыми стоит инфраструктура партнерских взаимоотношений и интеграция страховых и сервисных услуг.

От интеграции сервисных и страховых услуг на рынке информационных технологий больше всего выигрывает потребитель. Ему предлагается максимально возможный спектр мер по обеспечению безопасности в привычном и понятном виде - в виде сервиса. При этом условия договора страхования выверяет для него поставщик сервиса, так как он максимально заинтересован, чтобы клиент остался доволен. Значительно упрощается и ускоряется процедура заключения договора страхования, поскольку, например, системный интегратор, спроектировавший и внедривший информационную систему, лучше всех знает, как ее восстанавливать и сколько времени и денег для этого потребуется, а поставщик услуг BRS, проведший полную комплексную оценку безопасности информационной системы заказчика, по сути, проделал за страховую компанию основную часть работы. И наконец, самое главное - упрощается и ускоряется процедура восстановления информационной системы потребителя:вся процедура заранее просчитана и согласована, а может быть даже и « отрепетирована» (комплекс услуг BRS может включать помимо тестирования резервной системы еще и проведение « учебной тревоги» ).

Поставщики сервиса расширяют спектр своих услуг и возможности их применения, снижая заодно риск потерять постоянного клиента, не сумевшего справиться с аварийной ситуацией. Страховые компании получают возможность развивать целое направление в страховании, попутно снижая издержки как при заключении договоров страхования, так и при страховых случаях.

За рубежом интеграция сервисных и страховых услуг в области безопасности информационных технологий уже идет: поставщики BRS ищут партнеров среди страховых компаний, поставщик сервиса - подразделение международной корпорации - заключил партнерское соглашение с одним из крупнейших страховых брокеров в мире. В России данное направление, несмотря на активное распространение информационных технологий, к сожалению, пока не получило широкого развития, но в будущем оно имеет хорошие перспективы.

Долгое время рынок ИТ в российском страховом секторе оставался в тени. В 2004 -- 2006 гг. его доля в общих расходах на информационные технологии не превышала 2% при средних темпах роста около 25% в год. Однако ситуация меняется, в том числе и в сегменте информационной безопасности, локомотивом роста которого могут стать построение комплексных систем управления безопасностью и подготовка к сертификации на соответствие стандарту ISO 27001. Медленно, но верно страховой сектор России очищается от «специалистов» по «серым» схемам и переходит в разряд «солидного» бизнеса. Примеров тому масса (особенно с учетом перспектив вступления России в ВТО) -- это и отказ от принципа «кэптивности», появление серьезной конкуренции, альянсы с иностранными страховщиками, планы IPO, освоение регионов страны и СНГ, и главное -- бурное развитие массовых видов страхования. Если раньше ИТ-бюджеты страховщиков формировались по остаточному принципу, то сегодня ситуация резко изменилась. Совокупные расходы страхового сектора на информационные технологии, включая программное обеспечение, в 2004 г. составили, по разным оценкам, не менее 150 млн долларов. В 2005 г., по предварительным данным, эта цифра приблизилась к отметке в 200 млн долларов. В дальнейшем эти показатели будут только увеличиваться. Например, в ближайшие три года один только «Ингосстрах» планирует инвестировать в развитие информационных систем порядка 25 млн долларов. А в более отдаленной перспективе сумма инвестиций компании в этот сектор может превысить 75 млн долларов». По данным CNews Analytics в 2006 году страховщики потратили на ИТ уже более 260 млн. Ференец В. Локомотивом роста рынка ИБ в страховании станет построение комплексных систем управления безопасностью [Электронный ресурс]:

Таблица 2. Типичная структура информационной системы страховой компании

Большим сюрпризом для экспертов рынка ИБ стало анонсированное 16 мая 2007 года успешное завершение проекта по построению системы управления информационной безопасностью (СУИБ) в одной из крупнейших страховых компании страны -- «Росно» при поддержке интегратора «Инфосистемы Джет» и российского подразделения BSI Management Systems. СК «Росно» стала первой среди российских страховых компаний, обеспечившей соответствие информационной безопасности основных бизнес-процессов международным требованиям, что и было подтверждено сертификационным аудитом на соответствие требованиям стандарта ISO/IEC 27001:2005.

Наиболее близкой к лидеру в плане систем ИБ можно назвать универсальную страховую компанию «КапиталЪ Страхование». Она движется в схожем с «Росно» направлении. Так, в начале 2007 года «ДиалогНаука» -- системный интегратор в сфере ИБ -- объявил о завершении проекта по разработке корпоративной политики информационной безопасности этого страховщика. Интересен опыт компании «Альфастрахование», которая завершила проект по подключению своих региональных офисов к централизованным корпоративным информационным ресурсам. Специфика страхового бизнеса требует ведения единой базы данных. База подобного типа сложна в администрировании и эксплуатации, так как репликация данных из центрального офиса в региональные и наоборот осуществляется не всегда корректно и быстро. Процесс осложняется необходимостью обеспечивать информационную безопасность передаваемых по сети конфиденциальных данных. В результате компания «Альфастрахование» сделала выбор в пользу терминальных технологий и остановилась на специализированном программно-аппаратном решении компании Citrix под общим названием Citrix MetaFrame Access Suite, позволяющим практически полностью устранить проблемы объединения удаленных офисов. В качестве исполнителя проекта был привлечен российский системный интегратор -- компания BCC. В основе технического решения, предложенного BCC, лежат терминальные серверы Citrix MetaFrame XP Presentation Server, установленные в центральном офисе. На них стоят все приложения, работающие с базой данных. Это позволило провести полную централизацию как базы данных, так и приложений. Теперь вся обработка информации осуществляется на терминальных серверах в центральном офисе компании, а сотрудники удаленных представительств работают через интернет путем подключения к терминальным серверам и запуска на них необходимых приложений.

Таким образом, информационная безопасность рассматривается с точки зрения философии, политологии, социологии, техники и права.

Представленные взгляды ученых на понятие и проблему информационной безопасности обнаруживают как наличие общих взглядов, так и специфику каждого их подходов. Ясно одно: решение проблем информационной безопасности возможно только за счет скоординированных и объединенных единым замыслом политических, организационных, социально-экономических, военных, правовых, информационных, специальных и иных мер.

На реализацию информационной безопасности важное влияние оказывает и технические возможности реализации требований закона.

Перспективами развития обеспечения информационной безопасности в России следует считать заимствование зарубежного опыта, который выработал интеграцию сервисных и страховых услуг в области безопасности информационных технологий (поставщики BRS ищут партнеров среди страховых компаний, поставщик сервиса - подразделение международной корпорации - заключил партнерское соглашение с одним из крупнейших страховых брокеров в мире).

§4. Контроль и надзор за обеспечением информационной безопасности в сфере страхования (лицензирование провести параллель с банковской сферой)

Контролю и надзору за обработкой персональных данных посвящена глава 5 Федерального закона № 152-ФЗ.

В настоящее время уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона № 152-ФЗ является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Положение о Роскомнадзоре утверждено Постановлением Правительства РФ от 16.03.2009 N 228 «О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций» О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций: Постановление Правительства РФ от 16.03.2009 N 228 (ред. от 27.09.2011) // Российская газета. - 2009. - 24 марта..

Таким образом, Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, а также функции по организации деятельности радиочастотной службы Кухаренко Т.А. Комментарий к Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных" (постатейный) // СПС КонсультантПлюс. 2011.. Также Роскомнадзор является уполномоченным федеральным органом исполнительной власти по защите прав субъектов персональных данных. Роскомнадзор находится в ведении Министерства связи и массовых коммуникаций РФ.

Роскомнадзор осуществляет свою деятельность непосредственно и через свои территориальные органы во взаимодействии с другими федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления, общественными объединениями и иными организациями.

Официальный сайт Роскомнадзора находится в сети Интернет по адресу: http://www.rsoc.ru/.

Одним из полномочий Роскомнадзора является контроль и надзор за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, ведет реестр операторов, осуществляющих обработку персональных данных.

С реализацией на практике положений Федерального закона № 152-ФЗ об уведомлении уполномоченного органа об обработке персональных данных также возникли некоторые проблемы. К концу 2009 г. большая часть потенциальных операторов не уведомили Роскомнадзор о своих намерениях: часть операторов не сделали этого в силу незнания о наличии указанной обязанности, другая же часть не сделали этого сознательно, ввиду неспособности привести свои информационные системы персональных данных в соответствие с установленными требованиями Назарова Д.Н. Проблемы правовой охраны операторами персональных данных // Информационное право. - 2010. - N 1. - С. 14 - 19..

Согласно ч. 1 ст. 19 Федерального закона № 152-ФЗ оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

Во исполнение данной нормы на уровне подзаконных актов были установлены достаточно жесткие требования к тому, как должна обеспечиваться техническая защита персональных данных, содержащихся в информационных системах.

Постановлением Правительства Российской Федерации от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Собрание законодательства Российской Федерации. - 2007. N 48 (ч. II). - Ст. 6001. Федеральной службе безопасности Российской Федерации (далее - ФСБ) и Федеральной службе по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК) было предписано утвердить нормативные правовые акты и методические документы, содержащие требования по обеспечению безопасности персональных данных.

В 2008 г. названные органы приняли соответствующие нормативные документы См.: Приказ ФСТЭК РФ, ФСБ РФ и Мининформсвязи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" // Российская газета. 2008. 12 апр. N 80; Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена Заместителем директора ФСТЭК РФ 14 февраля 2008 г. // URL: http://www.fstec.ru/_razd/_ ispo.htm; Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ 15 февраля 2008 г. // URL: http://www.fstec.ru/_razd/_ispo.htm; Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена заместителем директора ФСТЭК РФ 15 февраля 2008 г. // URL: http://www.fstec.ru/_razd/_ispo.htm; Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, утверждены заместителем директора ФСТЭК РФ от 15 февраля 2008 г. // URL: http://www.fstec.ru/_razd/_ispo.htm; Методические рекомендации по обеспечению с помощью криптографических средств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, утверждены руководством 8-го Центра ФСБ РФ 21 февраля 2008 г. N 149/5-144 // URL: http:// pd.rsoc.ru/low; Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при обработке в информационных системах персональных данных, утверждены руководством 8-го Центра ФСБ РФ 21 февраля 2008 г. N 149/6/6-622 // URL: http:// pd.rsoc.ru/low.. В этих документах получили свое закрепление, в частности, следующие требования: во-первых, требование о прохождении информационной системой, в которой содержатся персональные данные, процедуры оценки соответствия в виде обязательной сертификации по требованиям безопасности информации либо декларирования соответствия (в зависимости от класса информационной системы); во-вторых, требование о необходимости получения операторами при проведении мероприятий по обеспечению безопасности персональных данных лицензии на осуществление деятельности по технической защите конфиденциальной информации См.: Постановление Правительства РФ от 15 августа 2006 г. N 504 "О лицензировании деятельности по технической защите конфиденциальной информации" // Российская газета. 2006. 29 авг. N 190; Постановление Правительства РФ от 29 декабря 2007 г. N 957 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами" // Собрание законодательства Российской Федерации. 2008. N 2. Ст. 86.; в-третьих, требование о необходимости разработки и принятия организацией комплекса внутренних локальных актов, регламентирующих вопросы обработки и защиты персональных данных (акт об отнесении информационной системы персональных данных к одному из классов; список лиц, допущенных к работе с персональными данными в информационной системе; локальные акты, устанавливающие правила работы с персональными данными, и т.д.). Кроме того, для некоторых случаев нормативными актами ФСБ была установлена обязанность операторов использовать не любые технические средства защиты, а именно шифровальные (криптографические) средства защиты информационных систем персональных данных, что также влечет необходимость получения в органах ФСБ соответствующей лицензии и введения в организации особых условий работы с информационной системой, защищаемой такими техническими средствами.

Таблица 3. Анализ данных о проверках деятельности страховых компаний в сфере защиты персональных данных На основании данных с сайта Роскомнадзора www.rsoc.ru

Как видно из таблицы, Роскомнадзор постоянно проводит проверки страховых компаний, как субъектов персональных данных.

Анализ 17 разноплановых проверок в период с марта 2009 года по ноябрь 2011 года показал, что Роскомнадзором проведено плановых проверок70%; вне плановых 23,5%; по обращениям граждан 6%.

Виды нарушений выявленных при проверках: не выявлено 47%; нарушение ФЗ-152 «О персональных данных» 41%; нарушения ФЗ-152 «О персональных данных» и Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» 12%.

Принятые меры: штрафы согласно КоАП 55,5%; предписания по устранению 33,3%; результаты проверки переданы другим органам 11,1%.

Еще одним органом, осуществляющим надзор в сфере защиты персональных данных, является Прокуратура РФ.

Органы прокуратуры РФ в соответствии со ст. ст. 1, 21, 26 Закона о прокуратуре надзирают за соблюдением Конституции РФ, исполнением законов, действующих на ее территории, в том числе Федерального закона № 152-ФЗ, федеральными министерствами, государственными комитетами, службами и иными федеральными органами исполнительной власти, представительными (законодательными) и исполнительными органами государственной власти субъектов Федерации, органами местного самоуправления, органами военного управления, органами контроля, их должностными лицами, а также органами управления и руководителями коммерческих и некоммерческих организаций.

Также следует отметить, что эффективной защитой и своеобразным контролем является судебная защита нарушенных прав в сфере защиты персональных данных.

В числе полномочий Роскомнадзора Федеральным законом № 152-ФЗ предусмотрено право на обращение в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представление их интересов в суде, на принятие мер по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона.

На сегодняшний в день в данной сфере принято очень мало судебных актов. Вот некоторые из них.

Для примера рассмотрим некоторые дела из судебной практики по разным направлениям.

Пример №1. Решение от 11 февраля 2011 года Центральный районного суда г. Тольятти Самарской области. ООО «Тольяттикаучук» располагая персональными данными истца, неправомерно, без согласия истца, передал эти данные представителям потерпевшего по уголовному делу в отношении супруги истца. Решением суда было отказано в удовлетворении исковых требований.

Пример №2. Таганский райсуд Москвы в особом порядке приговорил к году колонии-поселения бывшего сотрудника компании «Росгосстрах-Столица» -- 22-летнего гражданина Молдавии Ивана Швагу, признанного виновным в разглашении коммерческой тайны с причинением крупного ущерба. По данным следствия, в феврале этого года он скопировал данные о 34 тыс. клиентах компании и попытался продать их за 50 тыс. руб.

Как рассказали в «Росгосстрахе», в начале февраля 2009 года сотрудники департамента экономической и информационной защиты бизнеса (ДЭиИЗБ) этой компании получили информацию о том, что в интернете неизвестный предлагает брокерам, работающим на страховом рынке, базу данных по каско и ОСАГО клиентов компании. Руководство «Росгосстраха» связалось с правоохранительными органами, которые решили взять продавца баз данных с поличным. Для этого сотрудники ДЭиИЗБ договорились через интернет с неизвестным о покупке у него данных о 34 тыс. клиентах компании за 50 тыс. руб. 6 февраля 2009 года после передачи денег продавцу в обмен на флеш-карту с данными о клиентах (они, помимо прочего, содержали номера их телефонов, моделей принадлежащих им машин, а также размер страховых премий и номера страховых полюсов) тот был задержан сотрудниками УВД Центрального округа Москвы.
Задержанный оказался ведущим специалистом отдела телефонных продаж «Росгосстрах-Столицы», гражданином Молдавии Иваном Швагой. Против него было возбуждено уголовное дело по ч. 3 ст. 183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую тайну, причинившие крупный ущерб). В ходе следствия выяснилось, что прямого доступа к клиентской базе Иван Швага не имел, а получил ее, «введя в заблуждение» других сотрудников «Росгосстрах-Столицы». Как рассказал адвокат Ивана Шваги Александр Юрин, тот полностью признал свою вину, и когда дело было передано в суд, ходатайствовал о его «особом порядке рассмотрения» (без проведения судебного следствия). «Суд удовлетворил это ходатайство, так что дело было рассмотрено буквально за час,-- сказал господин Юрин.-- Иван заявил, что признает полностью свою вину и раскаивается в содеянном. После чего прошли краткие прения и суд удалился для вынесения приговора». Как сообщила официальный представитель Мосгорсуда Анна Усачева, Таганский райсуд признал Ивана Швагу виновным по ч. 3 ст. 183 УК РФ и приговорил к одному году колонии-поселения. «Мой подзащитный заявил, что попытался заработать на базах данных «Росгосстраха», так как испытывал материальные трудности,-- пояснил Александр Юрин.-- Жил он в Москве один, ни родители, ни знакомые ему не помогали. Впрочем, он понимал, что это не оправдание». Как заявила Анна Усачева, обжаловать приговор стороны не стали, и он уже вступил в законную силу. По словам официального представителя «Росгосстраха» Светланы Карташовой, работники департамента безопасности компании «в постоянном режиме ведут специальный мониторинг для выявления несанкционированных копирований и пересылок информации, составляющей коммерческую тайну». При этом она сообщила, что попытки хищения и использования баз данных компании в корыстных целях предпринимались и раньше. В частности, на подобных операциях попадались сотрудники «Росгосстрах-Урала» и «Росгосстрах-Центра».

Пример №3. Уголовное дело № 1-269/2011 рассматриваемое Первомайским районным судом г. Кирова с обвинительным приговором в покушении на сбор сведений, составляющих коммерческую тайну, путем подкупа сотрудника «ВолгаТелеком».

Законодательство РФ предусматривает гражданскую, уголовную, административную и дисциплинарную ответственность за нарушение Федерального закона № 152-ФЗ.

Так, ст. 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных), допускаемое физическими, должностными и юридическими лицами. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей.

Возбуждение этой категории дел - прерогатива прокурора, в соответствии с ч. 1 ст. 28.4 КоАП. При выявлении в действиях регистратора доменного имени интернет-сайта признаков административного правонарушения, предусмотренного ст. 13.11 КоАП, органы Роскомнадзора обязаны направить материалы в прокуратуру для принятия мер прокурорского реагирования. Вместе с тем необходим системный мониторинг прокурорами сети Интернет для своевременного выявления фактов массового нарушения прав граждан в части несанкционированного распространения персональных данных, краж баз данных из различного рода государственных и социальных учреждений, у сотовых операторов, иных правообладателей. Необходимо оперативное реагирование прокуроров и на обращения граждан в связи с нарушением их прав Паламарчук А.В. Надзор за исполнением законодательства о персональных данных в сети Интернет // Законность. - 2010. - N 12. - С. 3 - 5..