7.1 Обзор
Процесс андеррайтинга обычно включает в себя ряд подготовительных мероприятий, которые помогают определить, следует ли принимать риски ИБ страхователя и определить адекватную цену для покрытия рисков ИБ. Эти мероприятия включают в себя:
- правовые и организационные меры по обеспечению защиты конфиденциальности сведений о хозяйственной деятельности, в том числе и о системе защиты информации потенциального страхователя;
- сбор информации о методах защиты информации страхователя;
- оценку рисков ИБ страхователя;
- оценку операционных рисков;
- определение целесообразности страхования рисков ИБ страхователя;
- создание полиса страхования рисков ИБ и определение ее цены.
7.2 Сбор информации
Для проведения процесса андеррайтинга страховщик определяет необходимые данные и информацию о страхователе. Перечень необходимых данных может включать в себя, но не ограничиваться нижеуказанным:
- понимание миссии бизнеса страхователя;
- выявление ключевых заинтересованных сторон, включая клиентов и деловых партнеров;
- перечень сохраняемой и обрабатываемой информации;
- перечень информационных систем;
- сведения об аутсорсинговых договоренностях;
- сведения о СМИБ;
- перечень и описание применяемых мер обеспечения ИБ;
- записи о случившихся ранее инцидентах, в том числе и инцидентов ИБ;
- дополнительные гарантии состояния СМИБ, такие как аудиторские отчеты, акты проверок и результаты последующих действий.
Собираемая информация должна быть полной, актуальной, достоверной и защищена должным образом.
Страховщик может запрашивать регулярное обновление информации с определенной периодичностью. Страховщик на законных основаниях может запрашивать дополнительную информацию о рисках ИБ страхователя у третьих лиц, провайдеров, поставщиков услуг по оценке рисков.
Глубина такого сбора информации зависит от суммы и объема желаемого страхового покрытия, которое обычно относится к масштабам бизнеса страхователя. Страховщик решает самостоятельно, следует ли предоставлять такую дополнительную информацию страхователю.
7.3 Оценка рисков информационной безопасности
7.3.1 Обзор
Страховщик оценивает риски ИБ страхователя с целью определить, следует ли страховать его риски ИБ и определения адекватной цены за желаемое покрытие. При оценке риска рассматривается как подверженность страхователя риску ИБ, так и состояние действующих мер обеспечения ИБ.
7.3.2 Оценка неотъемлемых рисков информационной безопасности
Страховщик определяет типовой уровень риска страхователя на основе знания отраслевых секторов, иногда такой риск называется неотъемлемым риском с учетом следующих факторов:
- отрасли промышленности;