ИСО: Опубликован стандарт ISO/IEC 27102:2019 «Руководство по киберстрахованию»

В конце августа сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27102:2019 «Менеджмент информационной безопасности – Руководство по киберстрахованию» (Information security management - Guidelines for cyber-insurance) объёмом 24 страницы, см. https://www.iso.org/standard/72436.html и https://www.iso.org/obp/ui/#!iso:std:72436:en . Стандарт разработан техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

Во вводной части документа, в частности, сказано:

«В настоящем документе содержатся рекомендации относительно того, когда имеет смысл рассмотреть вопрос о приобретении киберстраховки в качестве варианта обработки риска при менеджменте воздействия кибер-инцидента в рамках используемой организацией системы менеджмента рисков информационной безопасности.

В стандарте даны рекомендации по следующим вопросам:

a) Рассмотрение возможности приобретения киберстраховки как варианта обработки риска посредством распределения киберрисков;

b) Использование киберстрахования в качестве инструмента, помогающего осуществлять менеджмент воздействия кибер-инцидента;

c) Обмен данными и информацией между застрахованным и страховщиком для поддержки деятельности по выдаче полисов, мониторингу и выплате компенсаций на основе полиса киберстрахования;

d) Использование возможностей системы менеджмента информационной безопасностью при обмене соответствующими данными и информацией со страховщиком.

Настоящий документ применим в организациях любого типа, размера и характера, для помощи в планировании и приобретении киберстраховки организацией.»

Определения ключевых терминов звучат следующим образом:

3.1 Кибер-инцидент (cyber-incident) – кибер-событие (cyber-event), связанное с нарушением информационной безопасности или с воздействием на деловые операции;

3.2 Киберстархование (cyber-insurance) – страхование, покрывающее или уменьшающее финансовые потери застрахованного лица, вызванные кибер-инцидентом.

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура стандарта
5. Общее представление о киберстраховании и полисах киберстраховки
6. Кибер-риск и страховое покрытие
7. Оценка риска, поддерживающая процесс выдачи полисов
8. Роль системы менеджмента информационной безопасности (СМИБ) в поддержке деятельности по киберстрахованию
Приложение A: Примеры документов СМИБ, которые могут быть предоставлены страховщику
Библиография

Мой комментарий: Информация играет всё большее значение для деловой деятельности, и инциденты информационной безопасности способны сейчас привести к крупным потерям и даже к прекращению деловой деятельности. Именно поэтому страхование соответствующих рисков из экзотики быстро превращается в настоятельную потребность, и можно ожидать, что не пройдёт много времени, как такое страхование станет по закону столь же обязательным, как и страхование от пожара.

Современным специалистам по управлению документами и информацией следует взять на вооружение кибер-страхование там, где такого рода услуги уже предоставляются страховщиками по разумным ценам – точно так же, как они в ряде случаев страхуют риски, связанные с бумажными документами.

Источник: сайт ИСО
https://www.iso.org/standard/72436.html
https://www.iso.org/obp/ui/#!iso:std:72436:en