В конце августа сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27102:2019 «Менеджмент информационной безопасности – Руководство по киберстрахованию» (Information security management - Guidelines for cyber-insurance) объёмом 24 страницы, см. https://www.iso.org/standard/72436.html и https://www.iso.org/obp/ui/#!iso:std:72436:en . Стандарт разработан техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).
Во вводной части документа, в частности, сказано:
«В настоящем документе содержатся рекомендации относительно того, когда имеет смысл рассмотреть вопрос о приобретении киберстраховки в качестве варианта обработки риска при менеджменте воздействия кибер-инцидента в рамках используемой организацией системы менеджмента рисков информационной безопасности.Определения ключевых терминов звучат следующим образом:
В стандарте даны рекомендации по следующим вопросам:
a) Рассмотрение возможности приобретения киберстраховки как варианта обработки риска посредством распределения киберрисков;
b) Использование киберстрахования в качестве инструмента, помогающего осуществлять менеджмент воздействия кибер-инцидента;
c) Обмен данными и информацией между застрахованным и страховщиком для поддержки деятельности по выдаче полисов, мониторингу и выплате компенсаций на основе полиса киберстрахования;
d) Использование возможностей системы менеджмента информационной безопасностью при обмене соответствующими данными и информацией со страховщиком.
Настоящий документ применим в организациях любого типа, размера и характера, для помощи в планировании и приобретении киберстраховки организацией.»
3.1 Кибер-инцидент (cyber-incident) – кибер-событие (cyber-event), связанное с нарушением информационной безопасности или с воздействием на деловые операции;Содержание документа следующее:
3.2 Киберстархование (cyber-insurance) – страхование, покрывающее или уменьшающее финансовые потери застрахованного лица, вызванные кибер-инцидентом.
ПредисловиеМой комментарий: Информация играет всё большее значение для деловой деятельности, и инциденты информационной безопасности способны сейчас привести к крупным потерям и даже к прекращению деловой деятельности. Именно поэтому страхование соответствующих рисков из экзотики быстро превращается в настоятельную потребность, и можно ожидать, что не пройдёт много времени, как такое страхование станет по закону столь же обязательным, как и страхование от пожара.
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Структура стандарта
5. Общее представление о киберстраховании и полисах киберстраховки
6. Кибер-риск и страховое покрытие
7. Оценка риска, поддерживающая процесс выдачи полисов
8. Роль системы менеджмента информационной безопасности (СМИБ) в поддержке деятельности по киберстрахованию
Приложение A: Примеры документов СМИБ, которые могут быть предоставлены страховщику
Библиография
Современным специалистам по управлению документами и информацией следует взять на вооружение кибер-страхование там, где такого рода услуги уже предоставляются страховщиками по разумным ценам – точно так же, как они в ряде случаев страхуют риски, связанные с бумажными документами.
Источник: сайт ИСО
https://www.iso.org/standard/72436.html
https://www.iso.org/obp/ui/#!iso:std:72436:en
Комментариев нет:
Отправить комментарий