Безопасность

НСИС вводит единые стандарты оценки киберготовности: новый этап в страховании киберрисков

Руководитель направления информационной безопасности «Национальной страховой информационной системы» (НСИС) Алексей Янов на мероприятии «CNews FORUM Кейсы: Опыт ИТ-лидеров 2026» выступил с инициативой по созданию в рамках совершенствования системы киберстрахования в России единой методологической базы для оценки уровня киберустойчивости организаций, основанной на действующих государственных стандартах.

«Судя по дискуссиям среди участников рынка, главным препятствием для роста киберстрахования является нечеткость критериев оценки рисков. Каждая страховая компания применяет собственные анкеты и методы, что вносит субъективность в расчет премий и, что особенно важно, усложняет процессы перестрахования и урегулирования убытков», – подчеркнул Алексей Янов.

Он предложил внедрить в работу страховщиков обязательный либо добровольный (в зависимости от величины риска) стандарт оценки, опирающийся на ГОСТ Р 57580.x (серия «Безопасность финансовых (банковских) операций»). ГОСТ Р 57580.1 уже доказал свою эффективность как надежный инструмент для оценки технического состояния информационной безопасности, и на него ссылается Банк России в своих нормативных актах. Предлагается адаптировать стандарт (или разработать на его основе отраслевой чек-лист), исключив узкую банковскую направленность (например, эквайринг), чтобы он подходил для всех отраслей экономики (промышленность, малый и средний бизнес, розничная торговля), уточнил директор по ИБ НСИС.

При этом решается также проблема неразглашения конфиденциальных данных по принципу «черного ящика»: автоматизированная система не должна передавать страховщику такие сведения (инциденты информационной безопасности, конфигурации средств защиты и прочее), а лишь предоставлять интегральную динамическую оценку уровня защиты на основе ГОСТ 57580.2.

Подобный подход гарантирует прозрачное ценообразование: страховая премия будет привязана к объективному показателю, рассчитанному по единой формуле, что особенно важно для перестрахования (снижение разногласий между страховщиками).

Таргетирование рисков может быть организовано следующим образом: крупные компании с высокими страховыми суммами будут проходить непрерывную (on-line) оценку через SIEM-системы и телеметрию, а для малого и среднего бизнеса будет достаточно периодического заполнения чек-листа (самооценки).

Кроме того, будет обеспечено оперативное урегулирование убытков – при наступлении страхового случая у экспертов появится четкая «база нормального состояния» (снимок соответствия ГОСТу до атаки), что позволит значительно быстрее фиксировать факт взлома, оценивать ущерб и предотвращать мошенничество.

Одновременно будет стимулироваться повышение безопасности – внедрение такого подхода вынудит страхователей реально улучшать уровень киберзащиты, так как «низкая оценка» приведет к высокому тарифу или отказу в покрытии, резюмировал Алексей Янов.

Поделиться:

0 Комментариев

Оставить комментарий

Обязательные поля помечены *
Ваш комментарий *
Категории
Популярные новости