Правовое регулирование защиты информации в страховой сфере

Вид работы:

Магистерская работа
Предмет:

Основы права
Язык:

Русский
,
Формат файла:
MS Word

40,86 Кб
Опубликовано:

2012-05-28

Все магистерские диссертации по основам права

Скачать магистерскую работу Читать текст online Заказать магистерскую
*Помощь в написании! Посмотреть все магистерские диссертации

Вы можете узнать стоимость помощи в написании студенческой работы.

Правовое регулирование защиты информации в страховой сфере

ВВЕДЕНИЕ

Любая предпринимательская деятельность тесно взаимосвязана с получением, накоплением, обработкой и использованием разнообразной информации. Неопределенности и риски, сопутствующие предпринимательству являются одной из его характеризующих черт. Сегодня уровень конкурентоспособности в немалой степени зависит от умения защитить конфиденциальную информацию от хищений, несанкционированного использования, изменения или уничтожения. Опыт эксплуатации информационных систем и ресурсов в различных сферах деятельности неопровержимо показывает, что существуют различные и весьма реальные угрозы (риски) потери информации, приводящие к конкретному, материально выразимому, ущербу.

Новым в законодательстве является введение обязанности организаций, обрабатывающих персональные данные принимать меры к их защите.

На сегодняшний день не выработана достаточная судебная или правоприменительная практика, введение в действие этого института будет происходить путем проб и ошибок.

Там где есть риск - всегда есть место для его страхования.

Если страхование как деятельность по защите от рисков достаточно широко развита в России, имеет большую правоприменительную и судебную практику, то страхование информационных рисков для России является совершенно новым направлением.

Анализ практики страхования информационных рисков показывает, что пока страховые компании с опаской относятся к нему, так как нет единого мнения по поводу определения информационных рисков и единой достоверной методики по их определению. Вместе с тем, представляется, что данное направление будет очень востребовано в ближайшем будущем, а значит тот, кто первый возьмется за разработку данного направления страхования получит ощутимую экономическую выгоду и преимущество на рынке подобных услуг.

На текущем этапе страховые кампании, оказывающие услуги по страхованию информационных рисков пользуются зарубежными наработками и опытом.

Его внедрение и подведение под него российской правовой базы представляется исключительно актуальным.

Целью настоящей итоговой квалификационной работы является анализ института защиты информации в страховой сфере.

Для достижения поставленной цели будут решены следующие задачи:

исследовать понятие и проблемы правового регулирования таких институтов как страховая деятельность и информационные отношения (информационные риски, связи, потоки информации);

раскрыть содержание права на информацию и его реализацию в страховой сфере;

изучить институты информации ограниченного доступа в сфере страхования;

определить понятие страховой тайны и персональных данных в сфере страхования;

выявить проблемы информационной безопасности в сфере страхования;

проанализировать действие и деятельность института контроля и надзора за обеспечением информационной безопасности в сфере страхования.

Предметом исследования выступают общественные отношения, возникающие при функционировании института защиты информации в страховой сфере.

Объектом исследования являются нормативные правовые акты России, монографии, научные статьи, статистические данные, регулирующие или исследующие институт защиты информации в страховой сфере, а также зарубежный опыт в данной сфере.

Институт защиты информации в страховой сфере является новым в законодательстве и малоизученным. Отдельным вопросам его исследования посвящены работы таких исследователей как А.А. Анисимов, Д. Дьяконов, А. Исаев, О. Седов, В. Ференец и других.

Теоретической базой исследования послужили труды, раскрывающие содержание права на информацию, понятия страховой тайны и персональных данных, информационной безопасности другие.

Нормативной базой послужили Конституция Российской Федерации, законодательство в сфере страхования, защиты информации в целом и законодательство, регулирующее понятие и защиту персональных данных, а также подзаконные нормативные акты в данной сфере.

Эмпирической базой послужили результаты проверок Роскомнадзора деятельности страховых компаний на предмет соблюдения законодательства о защите персональных данных.

Методологической базой исследования являются методы анализа и синтеза, логический, системный, статистический, формально-юридический.

Настоящая магистерская диссертация состоит из введения двух глав, объединяющих семь параграфов, заключения и списка источников и литературы.

ГЛАВА 1. ОСНОВНЫЕ ПОНЯТИЯ И ПРОБЛЕМЫ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В СТРАХОВОЙ СФЕРЕ

§ 1. Страховая деятельность и информационные отношения (информационные риски, связи, потоки информации)

Роль информационных технологий возрастает с каждым днем практически во всех областях хозяйствования, что обусловлено многими факторами и прежде всего формированием информационного сектора экономики. То, насколько развит именно этот относительно новый сектор, очерчивает границы возможностей хозяйствующих субъектов, позволяет получать, искать и распространять информацию, а также оказывает огромное влияние на систему производственных отношений. Благодаря этому закладывается основа системы информационных отношений в обществе, намечаются ориентиры государственной политики в информационной сфере, а информационные процессы общества становятся предметом сознательной, целенаправленной и научно обоснованной деятельности.

Немаловажную роль в создании и регулировании информационных процессов играет право. Право непосредственным образом воздействует на ход информационных процессов, определяя и поддерживая направления, формирующие внешний вид информационного общества. Информационное общество развивается огромными шагами, что не может не оказывать влияния на характер общественных отношений как между членами общества, так и между обществом и государством. Специфика таких отношений не позволяет регулировать их только при помощи норм классических отраслей права, поскольку информация как объект права имеет свои юридические особенности.

Информация является объектом права, поэтому ей, как и другим объектам права, присущи определенные риски, которые необходимо страховать. Ввиду всевозрастающего значения информации для жизни общества необходимо создание надежной и эффективной системы страхового обеспечения информационного поля.

Правовой основой для проведения работ по созданию системы страхования информационных рисков является Доктрина информационной безопасности Российской Федерации (далее - Доктрина), утвержденная Президентом РФ 9 сентября 2000 г.

Информационные технологии слишком сложны и многогранны. С одной стороны, они позволяют предприятиям на порядок улучшить свои показатели за счет увеличения скорости и удобства обработки информации, ее хранения, передачи и получения. Но, с другой стороны, использование IT-технологий создает огромные потенциальные риски хищения, утечки, искажения, утраты, копирования, уничтожения и подделки информации, что влечет за собой экономические и другие потери.

Сейчас нередки случаи проникновения в информационные системы и сети органов государственной власти, факты кражи и уничтожения банковской информации и программного обеспечения систем электронных платежей и т.п.

По оценкам Британской федерации предпринимателей, средний размер ущерба от проникновения в банковские компьютерные сети составляет порядка 500 тыс. долл., что значительно превышает среднюю величину ущерба от ограбления одного банка. Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в 100 млрд долл. Основная опасность базам данных исходит от внутренних пользователей - ими совершается 94% преступлений, в то время как внешними - только 6%. К сожалению, подобной статистики для России пока не существует, однако различными институтами ведутся работы по сбору и анализу подобной информации.

Угрозу в информационной сфере можно определить как предполагаемое событие, в случае наступления которого будет нанесен ущерб. Предотвращение данной угрозы для общества в целом и для отдельной личности, а также для государства в сфере информационной безопасности основывается на разработке и реализации комплекса мер и механизмов защиты. К экономическим методам предотвращения угроз информационной безопасности можно отнести страхование, которое обеспечивает компенсацию ущерба в случае реализации угрозы.

Основной законодательной базой для осуществления страхового обеспечения информационного поля являются ГК РФ, Закон РФ от 27 ноября 1992 г. N 4015-1 «Об организации страхового дела в Российской Федерации» и упомянутая выше Доктрина информационной безопасности РФ.

Законодательство не рассматривает любую информацию как самостоятельный объект регулирования. Информация выступает в качестве такового только в том случае, когда является документом. Говоря о страховании информационных рисков, имеют в виду страхование документированной информации, то есть зафиксированной на материальном носителе информации с реквизитами, позволяющими ее идентифицировать.

Доктрина определила создание системы страхования информационных рисков юридических и физических лиц как один из экономических методов обеспечения информационной безопасности Российской Федерации.

Сегодня создана правовая основа, определяющая субъекты, объекты страхования и страховые риски для проведения добровольного страхования информационных ресурсов и систем.

Одной из структур, активно занимающихся разработкой различных нормативных документов по страхованию информационных рисков, является Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации (ВНИИПВТИ). Данный НИИ с 1996 г. проводит комплекс научно-исследовательских работ по анализу проблемы страхования в отрасли связи и информатизации, исследованию отечественного и зарубежного рынков страхования информационных систем, ресурсов и технологий, разработке правовой, нормативно-методической и организационной базы системы страхования информационных рисков. Проблема создания системы страхования информационных рисков прорабатывается институтом совместно с рядом министерств и ведомств и одобрена Администрацией Президента РФ, МВД России, ФАПСИ, ГТК, ТПП РФ, АРБ и другими заинтересованными государственными органами и организациями. Институт активно участвует в разработке, подготовке и обсуждении различных сторон проблемы страхования информационных рисков. Ниже приведена небольшая хронология мероприятий, в которых активно принимал участие ВНИИПВТИ.

В соответствии с Распоряжением Администрации Президента РФ от 12 июля 1996 г. N А4-6069 ВНИИПВТИ был подготовлен проект указа Президента РФ «О порядке развертывания в Российской Федерации системы страхования информационных рисков», а в 1997 г. на основе полученных замечаний и предложений была подготовлена его вторая редакция.

В ноябре 1997 г. была проведена коллегия Минсвязи России по вопросу «О состоянии разработки и перспективах развития системы страхования информационных рисков». В феврале 1998 г. проведено заседание Государственной комиссии по информатизации при Минсвязи России «О порядке развертывания в Российской Федерации системы страхования информационных рисков». Коллегия и Госкомиссия одобрили работы по созданию и развитию в Российской Федерации системы страхования информационных рисков.

В октябре 2000 г. было проведено заседание Госкомиссии по электросвязи Минсвязи России «О мерах обеспечения информационной безопасности на сетях ВСС России». Решением комиссии предусматривается провести анализ действующих нормативных правовых документов и разработать предложения по созданию механизма компенсации ущерба в отрасли связи.

В 1999 - 2001 гг. между Минсвязи России и страховыми компаниями «Ингосстрах» и «Инфистрах» подписано Соглашение о сотрудничестве в области страхования информационных рисков.

В 2000 г. заключены договоры страхования гражданской ответственности разработчика средств защиты информации «Аккорд» - Особого конструкторского бюро систем автоматизированного проектирования и разработчика программного комплекса «Банк - клиент» - компании «Российские финансовые коммуникации».

В настоящее время в соответствии с решением Госкомиссии по электросвязи проводится научно-исследовательская работа по созданию механизма компенсации ущерба операторам связи в результате реализации угроз информационной безопасности. Также подобные работы разворачиваются в кредитно-финансовой сфере деятельности в рамках Ассоциации российских банков, где создана рабочая группа из представителей коммерческих банков, разработчиков автоматизированных банковских систем, ВНИИПВТИ, страховых компаний.

Правовой основой для проведения указанных работ является Доктрина. В соответствии с Доктриной экономические методы противодействия угрозам информационной безопасности предусматривают создание системы страхования информационных рисков физических и юридических лиц, которая должна обеспечивать компенсацию ущерба в случае реализации угрозы.

В результате были разработаны:

) предложения по правовому обеспечению механизма компенсации ущерба при реализации угроз информационной безопасности на сетях ВСС России;

) технико-экономическое и социальное обоснования эффективности механизма страхования информационных рисков;

) проект концепции страхования информационных рисков в отрасли связи;

) проект положения о порядке страхования информационных рисков на сетях ВСС России;

) проект методики проведения финансового аудита (оценки стоимости) систем и сетей связи;

) проект положения о порядке проведения экспертизы объектов и сетей связи при заключении договора страхования и при наступлении страхового случая;

) проект руководства по анализу, минимизации и страхованию информационных рисков в отрасли связи;

) проект перечня мероприятий по минимизации информационных рисков в информационно-телекоммуникационных сетях и системах, проект отраслевого стандарта ОСТ «Классификация информационных рисков на сетях ВСС России»;

) проект положения о Фонде страховой превенции, комплект организационных документов по аккредитации, Положение по аккредитации страховых компаний;

) Положение по аккредитации экспертных и аудиторских компаний;

) Положение о комиссии по аккредитации страховых и экспертных компаний;

) проект положения о страховании рисков для участников электронного ведения бизнеса;

) схемы взаимодействия участников электронного ведения бизнеса;

) рекомендации операторам связи о порядке и условиях минимизации и страхования информационных рисков;

) технико-экономическое обоснование эффективности страхования информационных рисков;

) проект методики оценки ущерба и суммы страхового возмещения;

) проекты типовых договорных и финансовых документов по взаимодействию участников процесса страхования информационных рисков (операторы связи, эксперты, аудиторы, страховые организации, потребители услуг связи).

Правовая охраноспособность объектов интеллектуальной, промышленной собственности и информационных ресурсов в значительной степени определена. Однако эти объекты являются достаточно многочисленными, характеризуются сложностью, а главное, имеют различия в правовом режиме. Данные обстоятельства существенно затрудняют выработку единого подхода к регулированию отношений с объектами информационного содержания, в том числе на рынке страхования.

Но если правовой режим информационных объектов в той или иной степени определен, то вопрос определения стоимости (по крайней мере, в России) для большинства объектов отработан значительно хуже. Если для объектов промышленного и авторского права в целом хотя бы понятно, как его решать, то для конфиденциальной информации такая методология фактически отсутствует.

Полис страхования информационных активов будет полезен компаниям, желающим защититься от убытков, которые возникают вследствие утраты, уничтожения или повреждения в электронной форме информационных и финансовых активов. Например, случиться это может в результате незаконного списания финансовых средств с электронных счетов предприятия.

Кроме того, финансовое благополучие компании может пострадать от целенаправленных компьютерных атак и всевозможных вирусов. Также опасны поломка оборудования и непреднамеренные ошибки в проектировании, создании, инсталляции, конфигурировании, обслуживании или эксплуатации информационных систем.

Застраховать информацию может, к примеру, ритейловая сеть, занимающаяся продажей продуктов. Ее деятельность, вплоть до малейших нюансов, накапливается и отражается в базе данных, которая может годами аккумулировать информацию. Но если предположить, что из-за злоумышленных действий конкурентов или вирусных атак база «рухнет», то деятельность магазинов сети просто-напросто остановится, поскольку перестанут правильно функционировать считывающие устройства в кассовых аппаратах, будет невозможно оприходовать товар, который находится в стадии доставки от контрагентов поставщикам. В результате компания понесет реальные немалые убытки.

Между тем страховой договор не может покрывать убытки, которые возникли в результате разглашения какой-либо конфиденциальной информации. Например, в частных медицинских учреждениях нередко обслуживаются публичные люди, а обнародование истории болезни такого человека может нанести вред его репутации. Как показывает практика, если впоследствии инициируются судебные разбирательства, то нередко суд обязывает выплатить пострадавшей стороне штраф или пени. А они, как известно, не подлежат страхованию.

Как известно, если компания в большой степени зависит от функционирования компьютерных систем, то в случае сбоя ее основная деятельность прекращается и организация несет убытки. Например, для интернет-магазина остановка чревата потерями, связанными с недополученной прибылью. Страхование же перерывов в коммерческой деятельности возместит владельцу ресурса ту сумму, которую он мог бы получить, если бы его бизнес работал в штатном режиме.

Любой объект в сети, будь то корпоративный сайт, информационный портал или интернет-магазин, может стать жертвой развлекающегося хакера, некомпетентного специалиста, обиженного сотрудника или непорядочного конкурента. Статистика говорит о том, что системы безопасности ведущих российских интернет-магазинов подвергаются хакерским атакам ежедневно. Злоумышленники пытаются разместить якобы оплаченный заказ, полностью или частично остановить работу ресурса, модифицировать информацию на сайте. Как правило, такие угрозы методично отражаются программными и аппаратными средствами безопасности, но и киберпреступникам не откажешь в настойчивости и сообразительности, а значит, есть риск, что рано или поздно их попытки нарушить работу сайта могут увенчаться успехом. В результате компании придется спешно восстанавливать свой ресурс, а финансистам - подсчитывать непредвиденные убытки.

Страхование информационных рисков позволяет обезопасить интернет-ресурс от сбоев, хакерских атак и т.п. На практике это выглядит примерно так: страхователь обнаруживает некую проблему, например недоступность своего интернет-ресурса. Затем заказчик заполняет онлайн-форму, в которой описывает возникшую проблему. После получения заявки IT-специалисты выяснят причину неполадки и начнут восстановление информации, а страховая компания - урегулирование страхового случая. Опыт показывает, что на возвращение ресурса в рабочее состояние уходит не более пары часов, максимум - день.

Объектами страхования могут выступать:

. Информационные ресурсы:

информация в любом ее виде: базы данных, библиотеки, архивы в электронной форме на технических носителях любого рода;

программные средства и комплексы, находящиеся в разработке или эксплуатации.

. Финансовые активы:

денежные средства в электронной форме в виде записей на счетах (системы «клиент - банк»);

ценные бумаги в электронном (бездокументарном) виде.

А вот каковы риски, которые могут быть застрахованы:

умышленные противоправные действия сотрудников;

компьютерные атаки;

действие компьютерных вирусов;

хищение денежных средств и ценных бумаг в электронном виде;

сбои (выход из строя) информационных систем.

По мнению А.А. Анисимова объектами страхования могут быть:

информационные ресурсы (в любом их виде: базы данных, библиотеки электронных документов и т.п.);

программное обеспечение (как уже используемые программные собственные и покупные продукты, так и находящиеся в разработке);

аппаратное обеспечение информационных систем (сетевое оборудование, серверы, рабочие станции, телекоммуникационное оборудование, периферия, источники бесперебойного питания и т.п.);

финансовые активы (денежные средства, бездокументарные ценные бумаги) в электронной форме (в том числе средства на счетах, управляемых при помощи систем «клиент-банк»).

Договор страхования (страховой полис) может предусматривать возмещение прямых убытков в случае наступления различных страховых случаев, таких как:

·выход из строя (сбои в работе) информационных систем, обусловленные недостаточным качеством используемых программных и аппаратных средств, ошибками при их проектировании, разработке, производстве, установке, настройке, обслуживании или эксплуатации;

·умышленные противоправные действия сотрудников предприятия, совершенные с целью нанести ущерб предприятию либо получить определенную выгоду;

·нападения (атаки) на информационные системы предприятия, которые совершены третьими лицами с целью нанести ущерб информационным ресурсам предприятия и его информационным системам (повредить или уничтожить информацию, хранящуюся в электронном виде, получить конфиденциальные сведения, вывести из строя программные и аппаратные средства с целью прекратить или приостановить функционирование определенных сервисов и т.п.);

·воздействия вредоносных программ и макросов (вирусов, червей и т.п.), повлекшие нарушения работы информационных систем, потерю информации или разглашение конфиденциальной информации;

·хищение финансовых активов (денежных средств, бездокументарных ценных бумаг), совершенное путем осуществления различных неправомерных действий: кражи паролей и ключей, присвоения личности, внесения изменений в программное обеспечение и т.п.

В дополнение к основным рискам, непосредственно связанным с информационными активами, также могут быть застрахованы:

·убытки от приостановки основной хозяйственной деятельности предприятия в результате нарушения работы информационных систем;

·дополнительные расходы, связанные с поддержанием текущей хозяйственной деятельности в период восстановления работы поврежденных информационных систем;

·дополнительные расходы, связанные со срочным восстановлением работы информационных систем, а также срочным восстановлением основной хозяйственной деятельности предприятия;

·дополнительные расходы на восстановление деловой репутации после того, как ей был нанесен ущерб в результате атаки на информационные ресурсы и информационные системы (Public Relations Coverage).

Сегодня существуют достаточно надежные способы технической защиты. Однако 100-процентную гарантию безрисковой деятельности в сфере IT они дают не всегда. Страхование информационных рисков может послужить дополнительной гарантией бесперебойной работы компании и минимизировать потери в IT-секторе.

Законодательство не содержит понятия информационные потоки, однако само по себе оно является универсальным понятием для многих отраслей науки.

Потоки информации в организациях можно классифицировать как вертикальные и горизонтальные. Вертикальные потоки информации обычно связаны с отчетностью. Горизонтальные потоки существуют в равной мере внутри отдела или между отделами и не связаны с передачей информации вверх или вниз по служебной лестнице.

Между данными потоками существует значительное различие и это нечто большее, чем просто их направление.

Для горизонтальных потоков характерно совместное использование информации. В этих потоках может отсутствовать какое-либо преднамеренное изменение информации, хотя передача информации может быть и неполной. Может оказаться так, что лишь часть данных потоков используется в работе по установленным правилам. Остальная часть этих потоков может циркулировать свободно и использоваться при неформальных отношениях между сотрудниками, но в интересах дела (некоторые утверждают, что эта часть потоков информации способствует улучшению результатов деятельности организации).

Информация, содержащаяся в вертикальных потоках, изменяется при ее движении вверх или вниз по формальным организационным структурам. При прохождении вверх информация суммируется, обобщается. При движении вниз передается лишь ограниченная часть информации, которая считается необходимой.

Последнее замечание характеризует синдром, определяемый как «информация есть власть». Отдельная личность рассматривает обладание информацией как источник для получения персональных преимуществ. Сокрытие информации от конкурентов или ее специальное распространение, когда вам это выгодно, является распространенным явлением организационной жизни.

Разрушение существовавшей в СССР системы информационного обеспечения привело к существенному снижению качества и объемов общедоступных информационных ресурсов.

Большинство пользователей связывают этот процесс, в основном, с резким повышением стоимости информации, что существенно ограничило для большинства специалистов доступ к информационным ресурсам.

Остальные факторы, как правило, выпадают из анализа. Это обусловлено широко распространенным и «общепринятым» мнением, что на основании анализа открытых источников можно получить 80-90 процентов информации, необходимой для принятия решений.

Данное мнение обычно преподносится в качестве безапелляционных утверждений типа: как и в области военного шпионажа, 95% промышленной информации может быть получено путем простого чтения прессы.

По самым грубым расчетам 80 процентов разведывательной информации добывается в результате изучении обычных, всем доступных источников-книг, газет, журналов.

Попытка выявить «первооткрывателя» этой «общеизвестной» истины привела к источникам, относящимся к началу нашего века. Следовательно, те, кто придерживается этого тезиса при обосновании приемов вскрытия и анализа реальной информационной ситуации в большинстве областей науки, техники, производства и управления, должны сначала доказать, что в распространении информации за последние почти сто лет не произошло никаких изменений. Но такой ответственности никто на себя не берет.

Более того, большинство исследований реальных информационных потоков свидетельствует об иных тенденциях.

Более 80% сведений, заключенных в патентных документах, впоследствии не публикуются в каких-либо информационных источниках. Это при условии, что ряд патентных ведомств владеет огромными массивами патентной информации, размеры которых достигают 20-30 млн. документов с ретроспективой до 50 лет, а по некоторым странам - до 100 лет.

Ознакомление с исследованиями о доступности информационных ресурсов, позволяет утверждать, что реальные возможности доступа к информации более правильно оценивать следующим образом:

Анализ открытых источников позволяет выявить порядка 60-70 процентов информации, относящейся к общетеоретическим и общетехническим вопросам и составляющей исходную базу при решении научных, технических и производственных проблем. Условно назовем этот уровень «базовым». Базовый уровень позволяет иметь представление лишь о том, какие задачи и на какой общетехнической базе могут решаться, но не позволяет ответить на вопрос: как будет решена та или иная конкретная проблема. Эта информация относится к знаниям, обеспечивающим необходимый «средний» уровень подготовки кадров любой квалификации, но не раскрывает наиболее важных и перспективных разработок, методов и приемов работы, особенностей технологий и т.п. Базовый уровень нашего знания наиболее полно обеспечен открытым потоком публикаций.

Процессы, происходящие в стране после августа 1991 г., еще сильнее обострили ситуацию информационного обеспечения. Ибо в результате развала всей инфраструктуры информационных ресурсов произошло катастрофическое снижение возможности доступа ко всем видам информации и засорение информационных потоков информацией малой надежности и достоверности.

В 1991-1992 гг. фактически прекратилось комплектование зарубежной научно-технической литературой, вызванное прекращением валютного финансирования крупнейших (бывших союзных) центров научно-технической информации.

Кроме этого, принципиально изменился состав организационных единиц, создающих все виды информационных ресурсов в стране.

С высокой степенью вероятности можно предполагать, что в ближайшее время количество и качество информации в открытых потоках будет только снижаться. Тем более что на государственном уровне не осуществляется действенных мер по защите и сохранению информационных ресурсов страны.

Утверждение о существенной неполноте открытых потоков информации свидетельствует лишь о том, что наиболее важная информация недоступна большинству потенциальных пользователей. Более важным является то, что в открытом потоке велик процент информации, не позволяющей принимать эффективные информационные решения.

Засорение информационных потоков недостоверными, непроверенными данными значительно усложняет работу по использованию опубликованных документов.

Выявление недостоверной и устаревшей информации, циркулирующей в документах, становится одной из важнейших задач, так как публикуемые в документах данные, в ряде случаев, позволяют подтвердить и обосновать «даже противоречивые решения и научные гипотезы, построить теоретические модели, дающие противоположные результаты».

Из приведенного выше перечня объектов страхования информационных рисков, мы видим, что информационный поток в них не включается.

А. Макаренцев, представляя схему процесса выявления уязвимостей системы указывает информационные потоки клиента как предмет анализа. Информационные потоки могут содержать в себе интеллектуальную собственность, финансовую информацию и стратегию компании.

То есть, анализ информационных потоков организации необходим для того, чтобы оценить уровни и объемы рисков, которым информация клиента может подвергаться. Для этого проводят информационный аудит, который может проводиться как до момента заключения договора страхования, так и в последующем, если изменяются потоки информации и соответственно меняются риски.

Информационный аудит позволяет оценить эффективность информационной системы, риски ее использования и выбрать направления для ее совершенствования. Развитие информационных систем приносит организации выгоды. Однако при некорректном использовании они становятся источником специфических рисков, реализация которых может не только свести к минимуму эффект от внедрения технологий, но и повлечь значительные убытки. Риски, на снижение которых направлен информационный аудит, включают риски информационной безопасности и риски недостижения целей применения информационных технологий для повышения эффективности основной деятельности.

К настоящему времени крупнейшими мировыми компаниями, оказывающими услуги по страхованию информационных рисков, являются:

·Британская страховая компания «Lloyds of London»;

·американская компания «AIG»;

·Zurich North America («The E-Risk Edge solution»);

·страховая группа «Chubb»;

·страховая компания «Marsh».

В России одной из первых компаний, начавших предоставлять услуги такого рода, стал «Ингосстрах». В 1999 году было подписано «Соглашение о сотрудничестве в области страхования информационных ресурсов» между Министерством РФ по связи и информатизации, с одной стороны, и страховыми компаниями «Ингосстрах» и «Инфистрах» - с другой. Начиная с 2000 года некоторые российские страховые компании получили лицензии на осуществление такой деятельности, однако в целом этот рынок в России остается неразвитым. Деятельность страховых компаний, как правило, ориентирована на страхование банковских рисков и крупных объектов (таких как «Российская торговая система», РТС или система межбанковского процессингового центра электронного документооборота Faktura.Ru), при этом некоторые сегменты этого рынка практически не развиваются.

§ 2 Право на информацию и его реализация в страховой сфере

Провозглашение права на информацию в качестве одного из основных прав человека стало итогом соответствующей тенденции в международном праве, которая наметилась после второй мировой войны. В 1945 году на межамериканской конференции в Мехико делегацией США был выдвинут лозунг «свободы информации», который понимался как неприкосновенность со стороны государства международного обмена информацией. На первой сессии Генеральной Ассамблеи ООН в 1946 году была принята Резолюция 59 (I) под названием «Созыв международной конференции по вопросу о свободе информации», в которой свобода информации стала определенно рассматриваться как основное право человека, состоящее в возможности беспрепятственно собирать, передавать и опубликовывать информацию. Позднее, при подготовке Декларации прав человека был учтен предшествующий опыт работы над нормативным обобщением информационных прав, в результате чего положение о праве на свободу убеждений и их выражения включило в себя информационные правомочия, причем реализуемые «независимо от государственных границ».

В ч. 4 ст. 29 Конституции РФ список правомочий, составляющих право на информацию, дополнен правом передавать и производить информацию. Общие основания законодательных ограничений права на информацию, в отличие от Декларации, в ныне действующей Конституции РФ не приводятся, поскольку они следуют из общих принципов ч. 3 ст. 55 Конституции РФ. Но положение о том, что перечень сведений, составляющих государственную тайну, определяется федеральным законом, сохранено в качестве важного предела вводимым ограничениям права на информацию.

Для более глубокого раскрытия содержания права на информацию необходимо выяснить, что представляет собой информация с правовой точки зрения, каковы определяющие свойства данного объекта прав. Для этого следует обратиться не только к нормам конституционного права, но и к действующему законодательству в целом.

Понятие информации содержится в п. 1 ч. 1 статьи 2 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011), согласно которому информация - сведения (сообщения, данные) независимо от формы их представления.

Изменения российского законодательства 2006 г., касающиеся исключения информации из объектов гражданских прав, привели к тому, что за пределами гражданско-правового регулирования оказался целый пласт общественных отношений, связанных с передачей, охраной и защитой информации, которая не представляет собой материального воплощения. В частности, это касается сведений, переданных гражданами в процессе обращения за помощью в различные учреждения, конторы и пр. Исходя из положений Гражданского кодекса, можно сделать вывод, что сведения, не содержащиеся на неком материальном носителе, не могут быть объектом гражданского права, а следовательно, их участие и распространение в гражданском обороте затруднены. Однако Закон «Об информации, информационных технологиях и о защите информации» под информацией понимает «сведения (сообщения, данные) независимо от формы их предоставления».

В сфере страхования право на информацию имеет важное значение при заключении и реализации договора страхования, как со стороны страховщика, так и со стороны страхователя.

Так, одним из основных принципов страхования является принцип добросовестности.

В самом общем виде принцип высшей добросовестности означает, что страхователь должен относиться к объекту страхования так, как если бы он не был застрахован. Что же касается информации, которую страхователь должен сообщить страховщику в процессе заключения договора, то данный принцип обязывает его сообщить все, что ему известно или должно быть известно, но неизвестно и не должно быть известно страховщику, обо всех существенных обстоятельствах, влияющих на степень страхового риска.

Прежде всего выясним правовые истоки данной обязанности.

Поскольку договор страхования еще не заключен и, естественно, не вступил в силу, эта обязанность не носит характер договорной обязанности. Эта обязанность вытекает непосредственно из закона (конкретнее ст. 944 ГК). Однако если лицо, желающее заключить договор страхования, не исполнит данной обязанности, то страховщик вправе либо отказаться от заключения договора (даже если договор носит публичный характер), либо, если договор будет заключен и этот факт выяснится позже, использовать данное обстоятельство для защиты своих интересов. В результате обязанность страхователя при заключении договора (преддоговорная обязанность) оказывает влияние на договорное обязательство страховщика.

В литературе высказано мнение, что данная статья конкретизирует норму п. 1 ст. 942 ГК о существенных условиях договора страхования.

Вряд ли с этим можно согласиться. Статья 942 ГК имеет в виду существенные условия договора страхования, по которым стороны должны достичь соглашения. Что же касается ст. 944 ГК, то она говорит об обстоятельствах, имеющих существенное значение для оценки страхового риска. Следовательно, понятие «существенное» в данном случае относится к разным вещам. Статья 944 ГК устанавливает обязанность страхователя по предоставлению страховщику информации, необходимой последнему для решения вопроса о степени риска, который ему предлагается застраховать. Такая информация необходима страховщику для оценки этого риска и решения вопроса, заключать или не заключать данный договор, а если заключать, то на каких условиях. Представление такой информации не является ни офертой, ни акцептом. В равной мере представление этой информации не есть акт достижения соглашения сторон по поводу тех условий, которые являются существенными для договора страхования, а есть акт исполнения страхователем требования закона. Представление данной информации необходимо для того, чтобы страховщик смог сформировать свои собственные представления о страховом риске и условиях его страхования. На основе этих представлений страховщик будет вырабатывать совместно со страхователем условия будущего договора страхования. Следовательно, ст. 944 ГК посвящена не самим существенным условиям договора страхования, а лишь получению той информации, на основе которой страховщик вырабатывает свои представления о страховом риске и условиях его страхования.

Характеризуя данную обязанность страхователя, можно отметить следующее.

Во-первых, на страхователя возлагается обязанность сообщать страховщику обстоятельства, имеющие существенное значение, применительно к двум факторам: 1) вероятности наступления страхового случая; 2) размеру возможных убытков от наступления страхового случая. Обязанности представления сведений, относящихся к каким-либо другим элементам и условиям страхования, ст. 944 ГК не устанавливает.

Здесь следует иметь в виду следующее. В принципе в вопросах среднестатистической вероятности наступления страхового случая страховщик, будучи профессионалом, должен ориентироваться лучше, чем страхователь, всегда являющийся дилетантом в области страхового дела. Кроме того, страховой случай при рисковых видах страхования - это в общем-то непредсказуемое явление. Речь, следовательно, идет об индивидуальных особенностях объекта страхования, которые могут влиять на степень страхового риска. Скажем, дом, расположенный в пойме реки, всегда имеет больше шансов быть затопленным, нежели дом, стоящий на бугре. И если страховщик знает, где расположен дом, ему легче ориентироваться в том, какой опасности в случае наводнения этот дом будет подвергнут.

Поскольку в ст. 944 ГК речь идет об убытках, причиненных страховым случаем, создается впечатление, что предусмотренные ею обязанности относятся лишь к имущественному страхованию. Но следует полагать, что это не так, и ст. 944 ГК охватывает собой и личное страхование.

Во-вторых, страхователь обязан представлять страхователю лишь те сведения, которые ему известны. Причем эти сведения могут касаться не только периода, относящегося к прошлому или существующего в момент заключения договора, но и периода, относящегося к будущему. Например, страховщик может запросить у страхователя, как часто он намерен пользоваться автомобилем, который он собирается страховать. Если обстоятельства, имеющие существенное значение для оценки страхового риска, стали известны страхователю после заключения договора, то применяются правила ст. 959 ГК, посвященной последствиям увеличения страхового риска в период действия договора страхования.

В то же время страхователю не может быть вменено в вину несообщение тех сведений, о которых он должен был знать, но не знал в силу тех или иных причин. То есть информированность страхователя имеет в данном случае субъективный, но не объективный характер. Кстати, этим ГК РФ отличается от зарубежного понимания принципа наивысшей добросовестности, в соответствии с которым страхователь обязан сообщать не только те сведения, которые ему известны, но и сведения, которые ему должны быть известны.

В-третьих, страхователь не обязан информировать о тех обстоятельствах, которые известны или должны быть известны самому страховщику.

В-четвертых, п. 2 данной статьи предусматривает, что если договор страхования заключен при отсутствии ответа страхователя на какие-либо вопросы страховщика, последний не может впоследствии требовать расторжения договора либо признания его недействительным на том основании, что соответствующие обстоятельства не были сообщены ему страхователем.

В связи с этим следует сказать, что среди практических работников существует мнение (и оно порой реализуется в правилах страхования, применяемых некоторыми страховыми организациями), согласно которому страховщик вправе включить в договор возможность отказа в страховой выплате в случае, если страхователь не ответил на запрос страховщика (даже несмотря на то, что договор был заключен без этих ответов).

С данным мнением согласиться нельзя, поскольку это означало бы обход предписания, установленного п. 2 ст. 944 ГК. Предусмотренное этим пунктом правило вытекает из общего принципа гражданского законодательства, согласно которому заключенный договор подлежит исполнению. Если страховщик заключил договор при отсутствии ответов страхователя на запросы этого страховщика, то все неблагоприятные последствия этого обстоятельства должен нести сам страховщик. При этом закон исходит из презумпции, что волеизъявление страховщика, выразившееся при заключении договора страхования, соответствует действительной воле этого страховщика. И п. 2 указанной статьи, говоря о том, что страховщик в этой ситуации лишается права требовать расторжения договора или признания его недействительным, имеет в виду не сохранение договора как некой юридической абстракции, а наличие обязанности страховщика исполнить этот договор, т.е. произвести страховую выплату при наступлении страхового случая. Если же договорная конструкция будет построена таким образом, что в силу требования п. 2 ст. 944 ГК страховщик не вправе расторгнуть договор или признать его недействительным, но в то же время в силу самого договора освобождается от производства страховой выплаты, то данный договор превращается в фикцию, а п. 2 ст. 944 ГК - в пустой звук.

Статья 944 ГК говорит о двух видах обстоятельств, имеющих существенное значение, о которых страхователь обязан сообщить страховщику:

) обстоятельства, которые существенны сами по себе;

) обстоятельства, которые существенны потому, что представления сведений о них требует страховщик (или, как сказано в ГК, «обстоятельства, определенно оговоренные страховщиком в стандартной форме договора страхования (страховом полисе) или в его письменном запросе»).

Представление сведений по запросу страховщика не освобождает страхователя от представления сведений об обстоятельствах, которые существенны сами по себе и которые не содержатся в запросе страховщика.

Пункт 3 ст. 944 ГК предусматривает, что если после заключения договора страхования будет установлено, что страхователь сообщил страховщику заведомо ложные сведения об указанных обстоятельствах, то страховщик вправе потребовать признания договора недействительным и применения последствий, предусмотренных п. 2 ст. 179 ГК.

Понятие «сообщение заведомо ложных сведений» означает умышленное введение страховщика в заблуждение путем представления ему информации, не соответствующей действительной как в части отсутствия или наличия определенных обстоятельств, имеющих существенное значение для определения вероятности наступления страхового случая и размера возможных убытков, так и в части их реального состояния.

Например, при страховании автотранспортного средства страхователь на вопрос страховщика, имеет ли он удостоверение водителя (водительские права), ответил утвердительно, хотя на самом деле этого удостоверения у него нет; на вопрос, привлекался ли он к ответственности за нарушение правил дорожного движения за последние пять лет, ответил отрицательно, хотя на самом деле привлекался и неоднократно. Здесь страхователь вводит страховщика в заблуждение относительно наличия или отсутствия определенных фактов. Но если на вопрос о своем водительском стаже страхователь ответил, что он равен 10 годам, хотя на самом деле этот стаж равен всего лишь одному году, то имеет место умышленное искажение действительного состояния дел.

В соответствии со ст. 179 ГК такой договор страхования признается «сделкой, совершенной под влиянием обмана». Данная сделка относится к разряду оспоримых, т.е. она признается недействительной в силу ее признания таковой судом (ст. 166 ГК). Доказывание умысла страхователя в виде сообщения им заведомо ложных сведений лежит на страховщике. Последствием признания такого договора недействительным в силу того, что он является «сделкой, совершенной под влиянием обмана со стороны страхователя», выступает односторонняя реституция, т.е. страховая выплата подлежат возврату страховщику. Отметим, что обычно вопрос о признании такого договора недействительным страховщик возбуждает до производства страховой выплаты и удовлетворение иска страховщика практически означает освобождение его от обязательства по этой выплате. Кроме того, страховщик вправе требовать возмещения реального ущерба, причиненного в результате признания данного договора недействительным. Этот ущерб обычно выражается в тех затратах, которые понес страховщик в процессе обслуживания данного договора. Страховая же премия обращается в доход Российской Федерации (п. 2 ст. 179 ГК).

Требовать признания договора недействительным страховщик может как до, так и после наступления страхового случая.

Пункт 3 ст. 944 ГК предусматривает, что страховщик не вправе требовать признания договора страхования недействительным, если обстоятельства, о которых умолчал страхователь, уже отпали. Например, страхуя воздушное судно (самолет), страхователь не сообщил страховщику, что двигатели самолета уже отработали свой ресурс. Однако к моменту, когда это стало известно страховщику, двигатели были заменены на новые. В этих условиях страховщик не вправе требовать признания договора недействительным.

Однако обращает на себя внимание, что в данном случае закон говорит лишь о той форме умышленного введения страховщика в заблуждение, которая выразилась в умолчании страхователя, т.е. в его бездействии. Поэтому если обман страхователя выразился в сообщении заведомо ложных сведений, т.е. имел форму действия страхователя, то норма, предусмотренная п. 3 ст. 944 ГК, отказывающая страховщику в праве требовать признания договора недействительным, не применяется. Так, если страхователь, страхуя воздушное судно, в ответ на запрос страховщика об отработанном ресурсе двигателей указал заниженные сведения, то страховщик имеет право требовать признания договора страхования недействительным, несмотря на то что к моменту, когда этот страховщик узнал, что его неправильно информировали, двигатели были заменены на новые.

Следует также иметь в виду, что признание договора недействительным по основаниям, предусмотренным п. 3 ст. 944 ГК, является правом страховщика, но не его обязанностью.

Завершая рассмотрение данного вопроса, отметим, что может возникнуть ситуация, когда страхователь сообщил страховщику неправильные сведения относительно обстоятельств, имеющих существенное значение для страхования не по умыслу, а в силу собственного заблуждения. В результате, заблуждаясь сам, он ввел в заблуждение и страховщика. В этом случае страховщик может воспользоваться ст. 178 ГК, предусматривающей возможность признания договора недействительным в силу того, что он заключен страховщиком под влиянием заблуждения, имеющего существенное значение. Признание договора недействительным производится судом по иску страховщика. В этом случае каждая из сторон обязана возвратить другой все полученное по договору: страховщик возвращает страхователю страховую премию, а страхователь - полученную от страховщика страховую выплату (п. 2 ст. 167 ГК). Кроме того, страховщик вправе требовать от страхователя возмещения причиненного ущерба, если докажет, что заблуждение возникло по вине страхователя. Если это не будет доказано, страховщик обязан возместить страхователю по его требованию причиненный ему реальный ущерб, даже если заблуждение возникло по обстоятельствам, не зависящим от страховщика (п. 2 ст. 178 ГК).

Пункт 1 ст. 944 ГК устанавливает обязанность страхователя сообщить страховщику обстоятельства, имеющие существенное значение; п. 3 этой статьи говорит о последствиях сообщения страховщику заведомо ложных сведений об этих обстоятельствах. В связи с этим возникает вопрос: какие же будут последствия непредставления (несообщения) сведений об указанных обстоятельствах, в том числе о тех из них, которые существенны сами по себе и о которых страхователь обязан сообщать страховщику без его запроса?

Статья 944 ГК, установив данную обязанность страхователя, последствий ее неисполнения не предусматривает. Во всяком случае, прямого ответа на этот вопрос она не содержит. Однако п. 2 данной статьи не предоставляет страховщику права требовать расторжения договора либо признания его недействительным лишь в том случае, если страхователь не представил сведений, определенно оговоренных страховщиком в стандартной форме договора или в его письменном запросе. Из этого можно сделать вывод, что при непредставлении страхователем сведений, хотя и не запрошенных страховщиком, но являющихся существенными самими по себе, страховщик таким правом, напротив, обладать будет.

Подводя итог рассмотрению института, установленного ст. 944 ГК, можно, по нашему мнению, прийти к выводу, что данная статья является одной из самых неудачных в гл. 48 Гражданского кодекса.

Во-первых, она плохо выстроена с редакционной точки зрения. Так, п. 1, установив обязанность страхователя сообщить страховщику об обстоятельствах, имеющих существенное значение для страхования, четко и ясно не оговорил последствия этого непредставления. Пункт 3, оговорив последствия сообщения страхователем страховщику заведомо ложных сведений в виде признания договора недействительным, ни с того ни с сего абзацем вторым этого пункта устанавливает, что этот договор нельзя признать недействительным, если обстоятельства, о которых умолчал страхователь, уже отпали. Совершенно очевидно, что «сообщил» и «умолчал» - это совершенно разные вещи.

Во-вторых, статья возлагает на страхователя крайне неопределенные и труднореализуемые обязанности. Так, ему вменяется в обязанность сообщить обстоятельства, если они не известны и не должны быть известны страховщику. Спрашивается, откуда страхователь может знать, что фактически известно или что должно быть известно страховщику? Получается, для того, чтобы выполнить эту обязанность, страхователь должен предварительно изучить и оценить уровень компетентности и информированности страховщика, без чего этот страхователь не сможет определить объем своих информационных обязанностей перед ним. Совершенно очевидно, что для страхователя эта задача явно непосильная.

Далее. На страхователя возлагается обязанность сообщить страховщику об обстоятельствах, имеющих существенное значение для определения вероятности наступления страхового случая и размера возможных убытков. Причем эта обязанность должна быть выполнена помимо запроса со стороны самого страховщика. В результате на страхователя возлагается задача определить, какие обстоятельства имеют значение для страхования, и выбрать из них те, которые имеют существенное значение. Но как может лицо, не являющееся, заметим, специалистом в области страхования, определить, какие обстоятельства имеют значение и притом какие из них являются существенными, а какие несущественными?! И что вообще значит «существенное»? Никаких разъяснений по данному поводу закон не дает.

И последнее. Вряд ли найдется много страхователей, которым известно, что на них ст. 944 ГК возлагается данная обязанность (и что такая статья вообще есть на свете). Подавляющее большинство нормальных людей не изучают, прежде чем застраховаться, страховое законодательство. Но если кто-то и пожелает сделать это, то наверняка, так ничего и не поняв в этой статье, сделает для себя вывод, что лучше с таким страхованием вообще не связываться. А те, кто будет страховаться, не заглянув в Кодекс, в лучшем случае будут добросовестно отвечать лишь на вопросы страховщика, не подозревая даже о том, что обязаны еще о чем-то его информировать самостоятельно.

В результате, чтобы выполнить данную обязанность, страхователь должен: 1) путем изучения Гражданского кодекса узнать, что он является носителем данной обязанности; 2) разобраться в том, какие известные ему обстоятельства имеют значение для страхования, а какие нет; 3) определить, какие из этих обстоятельств являются существенными, а какие нет. И это при условии, что в законе на этот счет отсутствуют какие-либо указания или разъяснения; 4) выяснить, знает или не знает об этих обстоятельствах страховщик; 5) если страховщик не знает, то установить, должен он об этом знать или не должен. После этого направить соответствующую информацию страховщику, дабы избежать в последующем обвинения в невыполнении данной обязанности, что грозит ему расторжением или признанием договора недействительным в самый ответственный момент - когда произойдет страховой случай и возникнет вопрос о страховой выплате. В итоге вся эта, с позволения сказать, обязанность представляет для страхователя неразрешимый ребус, очень напоминающий известную формулу русских народных сказок, когда надо «пойти туда, не знаю куда, и принести то, не знаю что», причем, опять-таки в мотиве этих сказок, куда бы ты ни пошел - добром дело не кончится.

А не кончится добром потому, что в силу неконкретности, запутанности и практической невыполнимости данной обязанности страховщик всегда найдет повод, чтобы обвинить страхователя в несообщении ему неких сведений, являющихся «самыми существенными» для данного договора страхования. Причем при личном страховании эти обвинения могут быть адресованы гражданину, которого нет в живых и который, следовательно, не сможет от них защититься.

В результате страхователь, наивно полагая, что застраховал какой-то свой риск и тем самым обеспечил свое будущее, сам того не ведая, приобретет еще больший риск в виде неисполнения договора страхования, который при данных обстоятельствах очень легко превращается в фикцию.

Кстати говоря, институт существенных обстоятельств подвергается критике и за рубежом. Так, Дэвид Бланд пишет: «Обычно страховщик спрашивает страхователя, существует ли какая-нибудь еще информация, относящаяся к делу, которая специально не запрашивалась. Это очень трудная область права, и она может быть вскоре пересмотрена, так как общества потребителей и Европейский союз заинтересованы в этой проблеме. Дело в том, что если страхователь скроет существенные факты, страховщики могут отказать в выплате».

К ст. 944 ГК примыкает ст. 945, именуемая «Право страховщика на оценку страхового риска».

В соответствии с этой статьей страховщик при заключении договора имущественного страхования вправе произвести осмотр страхуемого имущества, а при необходимости назначить экспертизу в целях установления его действительной стоимости. При заключении же договора личного страхования он вправе провести обследование страхуемого лица для оценки фактического состояния его здоровья.

Оценка страхового риска имеет для страховщика значение для решения вопроса, заключать или не заключать договор, а если заключать - то каков должен быть размер платы за страхование, поскольку чем выше степень страхового риска, тем дороже страховая защита.

Обращает на себя внимание некоторое несоответствие между названием и содержанием статьи: в содержании говорится об обследовании страховщиком предмета страхования, причем если речь идет об имуществе - лишь для определения его действительной стоимости, а если речь идет о застрахованном лице - лишь для оценки фактического состояния его здоровья. В названии же говорится об оценке страхового риска. Категории «страховой риск» и «предмет страхования» - достаточно различные категории страхового права.

Что же касается сути дела, то страховщик безусловно должен иметь право обследовать предмет страхования для выявления всех имеющих существенное значение обстоятельств, причем не только в части страхового риска, но и любых других. Так, не вызывает сомнения, что страховщик имеет право обследовать, скажем, страхуемый груз не только с точки зрения определения его действительной стоимости, как это предписывает ст. 945 ГК, но и на предмет других обстоятельств. Например, надежности его крепления (это связано с вероятностью наступления страхового случая), соответствия количества отправляемых мест данным, указанным в заявлении страхователя и в грузовой накладной (это связано с предметом страхования), определения принадлежности груза для выяснения наличия у страхователя интереса в сохранении застрахованного имущества (это относится к объекту страхования) и т.д.

Поэтому ст. 945 ГК следует, по нашему мнению, толковать расширительно в том смысле, что страховщик имеет право проводить обследование любых обстоятельств, не только оказывающих существенное влияние на степень страхового риска, но и вообще относящихся к существенным условиям договора страхования.

Анализируя данное правомочие страховщика, следует сказать, что оно, как и его право на получение от страхователя сведений относительно обстоятельств, имеющих существенное значение для определения страхового риска, о котором шла речь выше, не порождено договором, а вытекает непосредственно из закона.

Разумеется, страховщик может осуществить данное обследование лишь с согласия страхователя. Если он по каким-то причинам не разрешит страховщику осуществить это обследование (например, застрахованное лицо откажется пройти медицинское обследование для оценки фактического состояния его здоровья), то страховщик вправе отказаться от заключения договора.

Поэтому право страховщика на обследование предмета страхования, не сопровождаемое встречной обязанностью страхователя, с юридической точки зрения не выступает правомочием, исполнение которого обеспечивается принудительной силой. И правильнее было бы вести речь о том, что если страхователь желает осуществить страхование, то он должен предоставить возможность страховщику произвести оценку страхового риска.

В соответствии с п. 3 указанной статьи результаты оценки страхового риска страховщиком не обязательны для страхователя, который вправе доказывать иное. Следовательно, данный спор может быть предметом судебного разбирательства по инициативе страхователя.

Осуществление страховщиком самостоятельной оценки страхового риска не освобождает страхователя от предусмотренной ст. 944 ГК обязанности сообщить страховщику об обстоятельствах, имеющих существенное значение для определения страхового риска.

Как отдельное право на информацию выступает право застрахованного лица в рамках обязательного социального страхования на получение информации о деятельности страховщиков и страхователей.

Предусмотренные права застрахованного лица в значительной степени имеют общий характер и не могут быть реализованы непосредственно, поскольку требуют применения иных нормативных правовых актов. Это вызвано тем, что комментируемый Закон в большей степени регулирует вопросы, связанные с функционированием системы обязательного социального страхования в целом, включая вопросы правового положения страховщика и его взаимоотношений со страхователями, формирования и правового статуса средств обязательного социального страхования. Интересы же застрахованных лиц более детально затрагиваются актами законодательства, регулирующими выплату страхового обеспечения по каждому виду обязательного социального страхования, где соответственно и содержатся нормы, затрагивающие права, обязанности и охраняемые законом интересы граждан.

Так, право получить от работодателя информацию о начислении страховых взносов на обязательное пенсионное страхование хотя и закреплено дополнительно ст. 14 Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», но трудно реализуемо на практике, поскольку отсутствует нормативно установленный механизм принуждения работодателя давать такую информацию своим наемным работникам, включая отсутствие санкции за отказ в предоставлении такой информации.

Также информация может являться предметом надзора компетентными органами.

Согласно п. 2 статьи 28 Закона РФ от 27.11.1992 N 4015-1 «Об организации страхового дела в Российской Федерации» (ред. от 30.11.2011) в отчетности в порядке надзора раскрывается следующая информация:

) нормативное соотношение собственных средств (капитала) страховщика и принятых обязательств;

) состав и величина сформированных страховых резервов и результаты их изменений;

) состав и структура активов, в которые размещены собственные средства (капитал) страховщика;

) состав и структура активов, в которые размещены средства страховых резервов страховщика;

) операции по перестрахованию с указанием сведений о перестрахователях и перестраховщиках;

) структура финансового результата деятельности страховщика по отдельным видам страхования;

) состав акционеров (участников) и их доли в уставном капитале страховщика;

) иная информация, установленная нормативными правовыми актами органа страхового надзора.

Данные правила являются новыми для законодательства. Кроме этого, орган страхового надзора, то есть ФСФР, опубликовывает в определенном им печатном органе или размещает на своем официальном сайте в сети Интернет информацию, содержащуюся в отчетности субъектов страхового дела. Состав и объем информации для опубликования и размещения определяются органом страхового надзора (ФСФР) по согласованию с органом страхового регулирования - Минфином.

§ 3 Институты информации ограниченного доступа в сфере страхования

Понятие информации ограниченного доступа определено в п. 2 статьи 5 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (ред. от 06.04.2011).

Информация ограниченного доступа - это вид информации, доступ к которой ограничен федеральным законом.

Информацией ограниченного доступа в сфере страхования является страховая тайна.

Информация с ограниченным доступом определяется двумя признаками.

. Доступ ограничен в соответствии с законом.

. Цель ограничения - защита основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечение обороны страны и безопасности государства.

Признаки охраноспособности информации:

) охране подлежит только документированная информация;

) информация должна соответствовать ограничениям, установленным законом;

) защита информации устанавливается законом.

Виды информации с ограниченным доступом:

) государственная тайна;

) конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ:

коммерческая тайна;

тайна частной жизни;

служебная тайна;

профессиональная тайна.

Согласно статье 946 ГК РФ страховщик не вправе разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц. За нарушение тайны страхования страховщик в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными статьей 139 или статьей 150 настоящего Кодекса.

Также согласно статьей 7 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 25.07.2011) операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В качестве информации ограниченного доступа также может считаться коммерческая тайна и ее иногда смешивают со страховой тайной.

Тайна страхования представляет собой разновидность профессиональной тайны. Отличительными особенностями профессиональных тайн является то, что они защищают сведения принадлежащие другим лицам, а также то, что защита данной информации является обязанностью субъекта в силу выполняемых им профессиональных функций.

Многие авторы относят тайну страхования к коммерческой тайне.

Нельзя не согласиться с Р.Б. Курмаевым, М.М. Коростелевым, которые полагают, что нельзя смешивать понятия страховой тайны и коммерческой тайны.

В страховых компаниях существует и информация, составляющая тайну страхования, и информация, составляющая коммерческую тайну страховой компании. Разница между коммерческой тайной страховой компании и тайной страхования заключается в том, что первая принадлежит непосредственно страховой компании, а соответственно решение об отнесении информации к коммерческой тайне и о создании перечня сведений, составляющих коммерческую тайну, принимает непосредственно страховая компания. Коммерческой тайной страховой компании являются любые сведения о деятельности страховой компании, отвечающие требованиям ст. 139 ГК и Федерального закона «О коммерческой тайне», распространение которых может нанести вред её интересам.

Что же касается тайны страхования, то страховая компания обязывается сохранять вверенную ей информацию в силу закона. Объем сведений, который страховщик должен сохранять в тайне, четко не определен не только в ст. 946 ГК, но и в других нормативно-правовых актах. Сведения о страхователе, застрахованном лице и выгодоприобретателе - довольно широкое понятие, которое включает данные о состоянии здоровья или имущественном положении названных лиц. Между тем названные данные упомянуты отдельно. Вряд ли законодатель вкладывает в это какой-то особый смысл: просто состояние здоровья и имущественное положение указаны, чтобы лишний раз подчеркнуть значимость сохранения их в тайне. Поэтому под сведениями, которые составляют страховую тайну, надлежит понимать любые полученные страховщиком данные, если они могут быть отнесены к охраняемым законом тайнам. В режиме тайны страхования защищается информация, составляющая служебную или коммерческую тайну (если страхователь юридическое лицо), а также информация, составляющая личную или семейная тайну (если страхователь физическое лицо). Обязанность сохранять страховую тайну лежит на страховщике независимо от того, предусмотрена она договором или нет.

Общие условия осуществления страховой деятельности, перечень предлагаемых страховых услуг, страховые тарифы, сроки страхования, а также иные основные условия договора страхования (перестрахования) являются открытой информацией и не могут быть составлять тайну страхования и коммерческую тайну страховой компании.

Согласно Закону РФ «Об организации страхового дела в Российской Федерации» в качестве лица, обязанного хранить тайну страхования, могут выступать как юридические, так и физические лица - страховые агенты и страховые брокеры.

Доступ к сведениям, составляющим тайну страхования, на законных основаниях имеют: 1) представитель страхователя (выгодоприобретателя) - на основании нотариально удостоверенной доверенности; 2) орган дознания и предварительного следствия - по находящимся в его производстве уголовным делам; 3) суд - на основании определения суда по находящимся в его производстве делам; 4) прокурор - на основании постановления о производстве проверки в пределах его компетенции по находящимся у него на рассмотрении материалам.

За нарушение тайны страхования страховая компания в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными ст. 139 ГК (если речь идет о коммерческой или служебной тайне страхователя) и ст. 150 ГК (если разглашена информация, составляющая личную или семейную тайну страхователя). К лицу, непосредственно разгласившему тайну страхования, может быть применена дисциплинарная, материальная, административная и уголовная ответственность.

В информационных процессах по обращению информации с ограниченным доступом возникают следующие права и обязанности:

обязанность по установлению состава информации ограниченного доступа;

обязанность по установлению информации, которая не может относиться к категории ограниченного доступа;

ограничение имущественных прав при отнесении созданной автором информации к государственной тайне;

обязанность лицензирования деятельности по обработке информации ограниченного доступа;

обязанность по установлению ограничений по доступу к информации ограниченного доступа;

обязанность по обеспечению защиты информации и информационных ресурсов, содержащих такую информацию, от несанкционированного доступа;

ответственность за нарушение условий ограниченного доступа, за разглашение информации ограниченного доступа.

Данные обязанности полностью согласуются с обязанностями сторон в сфере страхования, в части охраны информации, ставшей известной в связи с заключением и исполнением договора страхования.

Таким образом, мы видим, что страхование информации и исследование роли информации в страховании является достаточно новым как для законодателя, так и для правоприменителей.

В настоящее время информация становится все более значимым объектом для участников гражданско-правового оборота ионии стремятся всеми способами защитить ее.

В системе мер защиты информации, страхование является дополнительным, либо альтернативным методом защиты.

При страховании информации важно вычленить объект, подлежащий страхованию, определить информационные риски.

После принятия решения об использовании страхования в качестве метода защиты информации, специалист по защите информации (информационной безопасности) должен составить справку по объектам, подлежащим страхованию, рискам и возможным потерям, по вероятности реализации рисков и по размерам возможных убытков и принять решение по поводу вида страхования, типа договора, условий страхования и т.п.

Кроме того, что информация может быть объектом страхования, она также может быть и объектом, подлежащим охране самой страховой компанией, а также определять круг обязанностей сторон договора страхования.

ГЛАВА 2. СОВРЕМЕННЫЕ ТЕНДЕНЦИИ ПРАВОВОГО РЕГУЛИРОВАНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В СТРАХОВОЙ СФЕРЕ

§1. Страховая тайна

Понятие страховой тайны содержится в статье 946 ГК РФ.

По мнению В.В. Грачева, по своей сути тайна страхования есть разновидность личной, семейной и коммерческой тайны со специальным субъектом обладателя соответствующей информации. Этим объясняется отсылка к общим способам защиты нематериальных благ (п. 2 ст. 150 ГК).

По мнению авторов Постатейного комментария к ГК РФ статья 946 ГК РФ устанавливает частное правило общих положений о служебной и коммерческой тайне. Неточность формулировки в диспозиции позволяет сделать неправильный вывод о том, что тайной является только состояние здоровья и имущественное положение указанных в статье лиц. Однако по логике статьи и исходя из содержания понятия «сведения о страхователе» любая информация о нем, выгодоприобретателе или застрахованном лице является служебной тайной. Это касается и сведений о том, является ли данное лицо клиентом страховщика. Эта и другая информация может быть разглашена страховщиком, например, в рекламных целях, только с согласия указанных лиц.

Р.Б. Курмаев и М.М. Коростелев считают страховую тайну разновидностью профессиональной тайны.

По их мнению, отличительными особенностями профессиональных тайн является то, что они защищают сведения принадлежащие другим лицам, а также то, что защита данной информации является обязанностью субъекта в силу выполняемых им профессиональных функций.

Действительно, нельзя не согласиться с мнением, что страховая тайна является разновидностью коммерческой тайны. В страховых компаниях существует и информация, составляющая тайну страхования, и информация, составляющая коммерческую тайну страховой компании. Разница между коммерческой тайной страховой компании и тайной страхования заключается в том, что первая принадлежит непосредственно страховой компании, а соответственно решение об отнесении информации к коммерческой тайне и о создании перечня сведений, составляющих коммерческую тайну, принимает непосредственно страховая компания. Коммерческой тайной страховой компании являются любые сведения о деятельности страховой компании, отвечающие требованиям Федерального закона «О коммерческой тайне», распространение которых может нанести вред её интересам.

Страховая тайна, как и банковская, является гарантией личной и семейной тайны. Практическое применение данного вывода можно проследить в Постановлении Конституционного Суда РФ от 14.05.2003 N 8-П «По делу о проверке конституционности пункта 2 статьи 14 Федерального закона «О судебных приставах» в связи с запросом Лангепасского городского суда Ханты-Мансийского автономного округа».

За нарушение тайны страхования страховая компания в зависимости от рода нарушенных прав и характера нарушения несет ответственность в соответствии с правилами, предусмотренными ст. 150 ГК (если разглашена информация, составляющая личную или семейную тайну страхователя). К лицу, непосредственно разгласившему тайну страхования, может быть применена дисциплинарная, материальная, административная и уголовная ответственность.

Так, в Постановлении ФАС Западно-Сибирского округа от 03.07.2008 N Ф04-3405/2008(6017-А27-21) указывается следующее.

Отказывая в удовлетворении иска организации к страховой организации о взыскании компенсации нематериального вреда, причиненного разглашением коммерческой тайны по договору добровольного медицинского страхования в размере страховой премии, мотивированного нарушением деловой репутации путем разглашения страховщиком сведений о наличии у работников истца наркотической зависимости во время медицинского осмотра, о чем стало известно из опубликованного на новостном сайте в Интернете сообщения, суд указал на отсутствие у страховщика в силу статьи 946 ГК РФ разглашать полученные им в результате своей профессиональной деятельности сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц, однако установил, что опубликованная органом исполнительной власти информация не содержит указания на проведение медицинского обследования в рамках заключенного между сторонами договора добровольного медицинского страхования и не содержит сведений о конкретных застрахованных и их состоянии здоровья, что и могло явиться нарушением тайны страхования.

Обязанность страховщика не разглашать сведения, составляющие тайну страхования, относится к числу его обязанностей, предусмотренных законом. Данная норма является императивной, и стороны не вправе договором корректировать, изменять объекты, относящиеся к тайне страхования, а также исключать ответственность за разглашение тайны страхования.

Данная обязанность страховщика является бессрочной и не прекращается после истечения срока действия договора страхования.

Разглашение сведений, составляющих тайну страхования, выражается в передаче страховщиком этих сведений любому другому лицу либо неопределенному кругу лиц в любой доступной для восприятия форме.

Нарушение тайны страхования выражается в разглашении сведений, составляющих тайну страхования.

Если разглашенные страховщиком сведения, составляющие тайну страхования, представляют собой для страхователя информацию, которая имеет для него потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, и к ней нет свободного доступа на законном основании, то страховщик несет ответственность в соответствии с законодательством. Данная ответственность заключается в возмещении причиненных страхователю убытков.

При этом следует иметь в виду, что сами по себе сведения, составляющие тайну страхования, не являются, вопреки распространенному мнению, служебной или коммерческой тайной. Для информации, составляющей служебную или коммерческую тайну, характерно то, что в отношении этой информации ее обладатель принимает меры к охране ее конфиденциальности. Сведения, относящиеся к тайне страхования, перечислены в законе, и страхователь не обязан принимать меры к охране их конфиденциальности. Тем не менее страховщик не вправе разглашать эти сведения.

Если разглашенные страховщиком сведения, составляющие тайну страхования, касаются нематериальных благ страхователя (например, сведения о состоянии здоровья), то страховщик несет ответственность по правилам, предусмотренным ст. 150 ГК, которая, в свою очередь, отсылает к ст. 12 ГК, предусматривающей способы защиты гражданских прав.

Не является разглашением сведений, составляющих тайну страхования, и нарушением этой тайны представление страховщиком соответствующих сведений уполномоченным на то органам по их требованию в случаях, предусмотренных законом.

В частности, эти сведения могут быть представлены:

нотариусам, а также консульским учреждениям по находящимся в их производстве наследственным делам об имуществе умерших страхователей (застрахованных лицах и выгодоприобретателей) и о причитающихся суммах страховых выплат;

органам налоговой службы по вопросам налогообложения страхователей (выгодоприобретателей);

органам страхового надзора по вопросам соблюдения законодательства о страховании.

Не являются объектом тайны страхования сведения, относящиеся к открытой налоговой, статистической и иной государственной отчетности.

Институт тайны страхования распространяется лишь на страховщика как на юридическое лицо. Поэтому за нарушение тайны страхования возможна лишь гражданско-правовая ответственность. Однако в случаях, когда действия служащих страховых организаций, связанные с распространением информации о страхователе, формируют собой составы административного проступка или уголовного преступления, то данные лица будут привлекаться к соответствующему виду юридической ответственности.

Таким образом, в научной литературе нет единого мнения к какому виду тайны относится страховая тайна. Наиболее приемлемой следует считать точку зрения, согласно которой страховая тайна является разновидностью профессиональной тайны.

Тайна страхования является лишь гарантией соблюдения личной, семейной, коммерческой тайны.

Соблюдение тайны страхования является обязанностью страховщика, но не страхователя. Поэтому если страховщик не хочет распространения сведений о себе, о своей деятельности, об условиях заключенных им договоров, о применяемых формах договорной документации и др., то он может воспользоваться институтами коммерческой тайны и конфиденциальности информации.

§2 Персональные данные в сфере страхования

В соответствии с Федеральный законом от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. от 25.07.2011) (далее Федеральный закон № 152-ФЗ) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.

Под действие указанного закона попала деятельность различных предприятий и организаций в самых разнообразных областях экономики. Страховые компании, чьи услуги в большой степени являются персонализированными и оказываются индивидуально гражданам-физическим лицам, одними из первых должны обеспечивать безопасность обрабатываемых персональных данных своих клиентов. Тем более что существует реальный риск нанесения ущерба операционной деятельности компании вследствие санкций регулятора, применяемых за неисполнение законодательства по защите персональных данных. Причем риск этот проявляется как в случае возникновения инцидентов с нарушением безопасности персональных данных, так и в случае проведения проверки государственным регулятором выполнения требований ФЗ-152 и выявления нарушений законодательства в данной сфере.

Страховые компании, чьи услуги в большой степени являются персонализированными и оказываются индивидуально гражданам-физическим лицам, одними из первых должны обеспечивать безопасность обрабатываемых персональных данных своих клиентов. Тем более что существует реальный риск нанесения ущерба операционной деятельности компании вследствие санкций регулятора, применяемых за неисполнение законодательства по защите персональных данных. Причем риск этот проявляется как в случае возникновения инцидентов с нарушением безопасности персональных данных, так и в случае проведения проверки государственным регулятором выполнения требований Федерального закона № 152-ФЗ и выявления нарушений законодательства в данной сфере.

Организация защиты персональных данных в страховых компаниях имеет ряд особенностей, учет которых обеспечит не только выполнение требований указанного Федерального закона, но и поможет наиболее рационально использовать имеющиеся у компании ресурсы для создания системы защиты персональных данных.

В информационных системах страховых компаний обрабатываются как персональные данные клиентов (страхователей, застрахованных лиц и выгодоприобретателей), так и персональные данные собственных сотрудников (возможно также и акционеров-физических лиц).

Правовым обоснованием обработки персональных данных клиентов страховых компаний являются такие нормативно-правовые акты, как Гражданский кодекс РФ, в т. ч. раздел III («Общая часть обязательственного права»), раздел IV («Отдельные виды обязательств»), глава 48 («Страхование»), закон РФ от 27.11.1992 г. № 4015-1 «Об организации страхового дела в РФ», закон РФ от 28 июля 1991 г. № 1499-1 «О медицинском страховании граждан в Российской Федерации», закон РФ от 25.04.2002 г. № 40_ФЗ «Об обязательном страховании гражданской ответственности владельцев транспортных средств».

Правовым основанием обработки персональных данных собственных сотрудников является трудовое законодательство Российской Федерации, в том числе - Трудовой кодекс (глава 14) и Постановление Госкомстата РФ от 5 января 2004 г. № 1 Принятый в 2006 г ФЗ_152 «О персональных данных» в явном виде установил требования по обеспечению безопасности в информационных системах, обрабатывающих персональные данные (ИСПДн), а также срок, до которого существующие ИСПДн должны быть приведены в соответствие с указанными требованиями. Под действие указанного закона попала деятельность различных предприятий и организаций в самых разнообразных областях экономики.

Одной из самых острых проблем для участников страхового рынка остается подготовка к исполнению новых требований закона «О защите персональных данных».

На конференции «Script n Sure Summit. Информационные технологии для страхового рынка 2010» обсуждались текущие проблемы страховых компаний в области автоматизации бизнеса, модернизации управления и существующие подходы к решению этих проблем. Однако больше всего вопросов было связано с исполнением требований Федерального закона № 152-ФЗ.

Некоторые организации были вынуждены начать проекты на приведение своих информационных систем в соответствие федеральному закону в связи с требованиями обязательного медицинского страхования, так как с точки зрения закона о защите персональных данных вопросы к ним начали предъявлять раньше других.

Так в РОСНО было принято решение не приводить каждую информационную систему к общим требованиям, а использовали единое средство защиты для всех систем. Когда в компании используется не одна система, а множество, то среди них есть те, которые находятся на разных этапах жизненного цикла. Какие-то решения через год могут быть заменены на иные, поэтому доводить их путем доработок под требования регуляторов не имеет смысла. Кроме того, та модель, которую выбрала компания, позволяет быстро адаптироваться к различным изменениям.

Однако сейчас положение с законом о защите персональных данных постепенно приближается к стадии, на которой работу должны продолжить технические эксперты. Все чаще встает вопрос: как оценивать те меры, которые были приняты операторами персональных данных, чтобы соответствовать требованиям законодательства? А во-вторых, как государственный регулятор будет оценивать выполнение этих требований?

Многие полагают, что при наличии у компании некоего аттестата к ней не будет претензий со стороны надзорных органов. Однако практика инспекционной деятельности, например ФСТЭК, которая сейчас существует только для государственных информационных систем и для систем, связанных с защитой государственной тайны, показывает, что после проверки необходимого комплекта документов начинается реальный контроль. В тех случаях когда речь идет о информационных системах, связанных с защитой госудрственной тайны, работа инспектора понятна, так как на законодательном уровне закреплено использование только сертифицированных средств, а их не так уж много, и инспектор знает, что проверять. Но как только в сферу деятельности инспектора попадают коммерческие компании, от которых на данный момент не требуется использования только сертифицированных средств, то у инспектора возникает вопрос: а как проверять то или иное программное решение, которое он никогда не видел, не знает и не понимает всех тонкостей его настроек?

Одним из решений этой проблемы может стать применение инструментальных средств, которые позволяют инспектору, не являющемуся специалистом в данном программном обеспечении, проводить проверку функций информационной безопасности. В логику работы такого инструментального средства «зашивается» набор стандартов относительно того, как должна быть настроена данная информационная система или СУБД, для того чтобы предотвратить большинство потенциальных угроз. Обычно такие стандарты строятся на основании рекомендаций самого разработчика. Так, например, для решений Oracle такой список содержит 100-120 требований.

Кроме того, в автоматизированных средствах анализа защищенности должна появиться возможность подтверждения соответствия на основании собранных доказательств. В этом случае сам оператор персональных данных, просканировав сеть средствами анализа защищенности, сформирует отчет, а инспектор сможет ограничиться только проверкой этого отчета или выборочной проверкой каких-то функций. Но для этого должны быть сформулированы определенные технические условия со стороны регулятора, и эти инструментальные средства должны пройти контроль на соответствие этим требованиям. Сейчас ФСТЭК рассматривает порядка четырех-пяти подобных решений. Поэтому есть надежда, что уже к концу этого года появится набор подтвержденных внутри ведомства методических документов и нормативных актов, которые устанавливают понятную всем участникам процедуру приведения информационных систем в соответствие с требованиями закона о персональных данных и контроля над соответствием этим требованиям.

Организация защиты персональных данных в страховых компаниях имеет ряд особенностей, учет которых обеспечит не только выполнение требований Федерального закона № 152-ФЗ, но и поможет наиболее рационально использовать имеющиеся у компании ресурсы для создания системы защиты персональных данных.

Бывает четыре класса персональных данных. Для определения мер по защите необходимо провести классификацию. Классификация необходима для определения перечня организационных и технических мероприятий, необходимых для обеспечения безопасности персональные данные. Проведение классификации позволяет реализовать дифференцированный подход к обеспечению безопасности персональные данные в зависимости от объема обрабатываемых персональные данные и угроз безопасности и минимизировать затраты на защиту ИС персональные данные.

Основные критерии:

категория обрабатываемых в страховой компании персональных данных

объем обрабатываемых в страховой компании персональных данных

Дополнительные критерии

структура информационной системы страховой компании (локальные, распределенные)

наличие подключений к сетям общего пользования (Интернет, и др.)

режим обработки персональные данные (однопользовательские, многопользовательские)

наличие разграничения прав доступа к персональные данные

распределенность ИС (в пределах РФ, частично за пределами РФ)

Классы персональных данных:

категория 1 - ПД, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;

категория 2 - ПД, позволяющие идентифицировать субъекта ПД и получить о нем дополнительную информацию, за исключением ПД, относящихся к категории 1;

категория 3 - ПД, позволяющие идентифицировать субъекта ПД;

категория 4 - обезличенные и (или) общедоступные ПД.

Таблица 1. Классы персональных данных

Количество субъектов ПД Категории ПД< 1000От 1000 до 100 000> 100 000категория 4К4К4К4категория 3К3К3К2категория 2К3К2К1категория 1К1К1К1

В страховых компаниях чаще всего используется класс персональных данных К1. Особенности защиты класса К1:

Управление доступом по классу 1В (3А, 2А)

Применение межсетевых экранов по классу 3

Резервное копирование на отчуждаемые носители

Шифрование персональных данных на носителях

Применение антивирусных программ на АРМ

Необходимость исключения утечки персональных данных за счет побочного электромагнитного излучение и наводок

Применение специальных защищенных средств обработки

Правовое регулирование защиты информации в страховой сфере

Правовое регулирование защиты информации в страховой сфере

Похожие работы на - Правовое регулирование защиты информации в страховой сфере