Точный
Статус документа
Статус документа

ГОСТ Р 59516-2021 Информационные технологии (ИТ). Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности

     7 Оценка рисков информационной безопасности, поддерживающая андеррайтинг

7.1 Обзор

Процесс андеррайтинга обычно включает в себя ряд подготовительных мероприятий, которые помогают определить, следует ли принимать риски ИБ страхователя и определить адекватную цену для покрытия рисков ИБ. Эти мероприятия включают в себя:

- правовые и организационные меры по обеспечению защиты конфиденциальности сведений о хозяйственной деятельности, в том числе и о системе защиты информации потенциального страхователя;

- сбор информации о методах защиты информации страхователя;

- оценку рисков ИБ страхователя;

- оценку операционных рисков;

- определение целесообразности страхования рисков ИБ страхователя;

- создание полиса страхования рисков ИБ и определение ее цены.

7.2 Сбор информации

Для проведения процесса андеррайтинга страховщик определяет необходимые данные и информацию о страхователе. Перечень необходимых данных может включать в себя, но не ограничиваться нижеуказанным:

- понимание миссии бизнеса страхователя;

- выявление ключевых заинтересованных сторон, включая клиентов и деловых партнеров;

- перечень сохраняемой и обрабатываемой информации;

- перечень информационных систем;

- сведения об аутсорсинговых договоренностях;

- сведения о СМИБ;

- перечень и описание применяемых мер обеспечения ИБ;

- записи о случившихся ранее инцидентах, в том числе и инцидентов ИБ;

- дополнительные гарантии состояния СМИБ, такие как аудиторские отчеты, акты проверок и результаты последующих действий.

Собираемая информация должна быть полной, актуальной, достоверной и защищена должным образом.

Страховщик может запрашивать регулярное обновление информации с определенной периодичностью. Страховщик на законных основаниях может запрашивать дополнительную информацию о рисках ИБ страхователя у третьих лиц, провайдеров, поставщиков услуг по оценке рисков.

Глубина такого сбора информации зависит от суммы и объема желаемого страхового покрытия, которое обычно относится к масштабам бизнеса страхователя. Страховщик решает самостоятельно, следует ли предоставлять такую дополнительную информацию страхователю.

7.3 Оценка рисков информационной безопасности

7.3.1 Обзор

Страховщик оценивает риски ИБ страхователя с целью определить, следует ли страховать его риски ИБ и определения адекватной цены за желаемое покрытие. При оценке риска рассматривается как подверженность страхователя риску ИБ, так и состояние действующих мер обеспечения ИБ.

7.3.2 Оценка неотъемлемых рисков информационной безопасности

Страховщик определяет типовой уровень риска страхователя на основе знания отраслевых секторов, иногда такой риск называется неотъемлемым риском с учетом следующих факторов:

- отрасли промышленности;