ГОСТ Р 59516-2021

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

МЕНЕДЖМЕНТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Правила страхования рисков информационной безопасности

Information technology. Information security management. Guidelines for cyber-insurance

ОКС 35.030

Дата введения 2021-11-30

Предисловие

1 РАЗРАБОТАН Федеральным государственным учреждением "Федеральный исследовательский центр "Информатика и управление" Российской академии наук" (ФИЦ ИУ РАН), Федеральным государственным автономным образовательным учреждением высшего образования "Национальный исследовательский университет "Московский институт электронной техники" и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ)

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 мая 2021 г. N 420-ст

4 Настоящий стандарт разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27102:2019* "Менеджмент информационной безопасности. Рекомендации по страхованию кибер-рисков" (ISO/IEC 27102:2019 "Information security management - Guidelines for cyberinsurance", NEQ)     

________________

* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

5 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Инциденты информационной безопасности (ИБ) могут случиться в любой момент времени и иметь различные последствия для организации или физического лица. Например, активы организации, в том числе информационные, могут подвергаться атакам, которые становятся все более объемлющими, целенаправленными и сложными.

В целях ослабления последствий, возникающих в результате инцидентов ИБ, в дополнение к принятым в соответствии с ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002 организационным и техническим мерам обеспечения ИБ, следует внедрять страхование рисков ИБ.

Страхование рисков ИБ не рассматривается как альтернатива эффективной системе менеджмента информационной безопасности информации (СМИБ) и не может исключить необходимость разработки планов реагирования на инциденты ИБ, создания системы обучения персонала и принятия других организационных и технических мер по защите информационных активов.

Страхование рисков ИБ следует рассматривать как важный компонент СМИБ по противодействию угрозам ИБ и повышению устойчивости бизнеса.

     1 Область применения

Настоящий стандарт содержит правила, применяемые при принятии решения о приобретении услуг страхования рисков информационной безопасности (ИБ).

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Настоящий документ содержит рекомендации по:

- совершению покупки услуг страхования рисков ИБ как способа распределения риска ИБ со страховщиком;

- управлению последствиями инцидентов ИБ с помощью средств страхового покрытия;

- организации коммуникации между страхователем и страховщиком с целью поддержки андеррайтинга, мониторинга и претензионной работы, связанной с поддержкой договорных отношений между сторонами страхования рисков ИБ;

- применению СМИБ при взаимодействии со страховщиком.

Настоящий стандарт применим при планировании покупки услуг страхования рисков ИБ организациями всех типов, размеров и характера деятельности, а также физическими лицами.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 27001 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27003 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27004 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения

ГОСТ Р ИСО/МЭК 27005 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р ИСО/МЭК 27000, а также следующие термины с соответствующими определениями:

3.1 договор страхования: Соглашение между страхователем и страховщиком, в соответствии с условиями которого одна сторона (страховщик) обязуется за обусловленную договором плату (страховую премию) при наступлении предусмотренного в договоре события (страхового случая) возместить другой стороне (страхователю) или иному лицу, в пользу которого заключен договор (выгодоприобретателю), причиненные вследствие этого события убытки в застрахованном имуществе либо убытки в связи с иными имущественными интересами страхователя (выплатить страховое возмещение) в пределах определенной договором суммы (страховой суммы).

3.2 страховой полис: Документ, подтверждающий заключение договора страхования, выдаваемый страховой компанией страхователю, содержащий указание на субъекты страховых отношений и существенные условия договора страхования, например, вид, объект, начало и конец действия страхования, размер страховой суммы, сведения о страхователе, страховщике и другие условия.

3.3

3.4

3.5

     4 Структура настоящего стандарта

Обзор и рекомендации по страхованию рисков ИБ приведены в разделах 5-8.

В разделе 5 содержится общая информация и описание отрасли страхования рисков ИБ. В разделе 6 приведено описание рисков ИБ, которые могут быть покрыты страхованием. Положения разделов 5 и 6 касаются как страхователей, так и страховщиков. В разделе 7 приведено описание типовой деятельности по оценке рисков ИБ, которую страховщик обычно проводит в рамках андеррайтинга, в разделе 8 описывается порядок использования СМИБ страхователя для подготовки исходных данных, информации и документов, передаваемых страховщику.

В приложении А представлен перечень документов, создаваемых в рамках СМИБ, которые может запросить страховщик при заключении договора, так и при исполнении договорных отношений.

     5 Обзор услуг страхования рисков информационной безопасности и договор страхования

5.1 Страхование рисков информационной безопасности

Страхование рисков ИБ является одним из способов управления ИБ, который может компенсировать застрахованному лицу финансовые потери, связанные с инцидентами ИБ.

Услуга страхования рисков ИБ предоставляется страховщиком, который страхует риски ИБ, и принимает на себя часть ответственности страхователя, тем самым гарантируя выплату в случае возникновения убытков или ущерба.

Страхование рисков ИБ призвано компенсировать потери, вызванные широким спектром инцидентов ИБ, связанных с утечкой информации, остановкой бизнес-процессов и деградацией сетевой инфраструктуры.

Внедрение страхования рисков ИБ позволит обеспечить страхователю:

- минимизацию последствий инцидента информационной безопасности;

- финансирование возмещения крупного ущерба;

- содействие восстановлению штатной деятельности;

- повышение устойчивости бизнес процессов страхователя к инцидентам информационной безопасности.

Страхователь обязан продемонстрировать страховщику соответствие СМИБ покрываемому риску ИБ, установленному договором страхования.

5.2 Договор страхования рисков информационной безопасности

Договорные условия страхования рисков ИБ приведены в полисе страхования рисков ИБ. Полис страхования рисков ИБ может быть, как самостоятельным полисом, так и включаться в качестве специальных индоссаментов в составе полисов общей ответственности, имущественного или иного страхования.

Страховое покрытие полиса страхования рисков ИБ охватывает широкий спектр угроз ИБ, способных нанести вред страхователю. Нанесение вреда возможно в результате потери конфиденциальности, целостности или доступности информации, или потери работоспособности информационных систем к обеспечению потребностей бизнеса независимо от точной причины инцидента ИБ и от того, был ли он случайным или преднамеренным. Покрытие полиса страхования рисков ИБ зависит от конкретного продукта страхования, не стандартизировано и варьируется в зависимости:

- от потребности страхователя;

- ограничений, установленных в нормативных правовых актах;

- общепринятых рыночных практик;

- бизнес-решений страховщика.

Полисы страхования рисков ИБ покрывают расходы, связанные с инцидентами ИБ, и могут обеспечивать доступ к услугам, которые поддерживают деятельность страхователя после инцидента ИБ. К таким услугам относятся: оценка ущерба, понесенного в результате инцидента ИБ; разработка планов реагирования на инциденты ИБ и восстановления работоспособности информационных систем; правовая экспертиза; судебная экспертиза; помощь при установлении связей с общественностью; помощь по уведомлению клиентов; а также помощь по восстановлению бизнес-процессов после инцидента ИБ.

Полис страхования рисков ИБ предполагает возможность частичного или полного покрытия внутренних и внешних затрат, связанных с реагированием на инцидент ИБ, которое варьируется в зависимости от конкретного.

     6 Риски информационной безопасности и страховое покрытие

6.1 Процесс управления рисками и страхование рисков информационной безопасности