следующая тема »

[Dust]

Интересно, но всё же:
Один:

пользователей третьего СКЗИ она вообще страховать не будет

Два:

компании, выпускающие "некачественное" ПО или начнут бороться за повышения качества или вымрут

ИМХО: многим будет отказано в страховке и всё останется как прежде

[Yeoman]

2Dust: Не берусь говорить за весь рынок ПО, но по рынку СКЗИ, введение такой схемы точно даст изменения в лучшую сторону. только не надо делать из этого вторую ОСАГУ.
Для остального ПО, мне кажется это тоже приведет к улучшению, правда пройдет достаточно много времени, прежде чем появятся результаты.

[Dust]

Yeoman!
Я не спорю, однако давайте трезво посмотрим на ситуацию (почему-то ОСАГО в голову пришло тоже).
Проблема раз: наличие экспертов. Вот вы живёте в Москве, они там возможно есть. А в Южно-Сахалинске?
Проблема два: готовность страховых компаний (учитывая бум с ОСАГО)
Проблема три: положительный ответ страховых компаний
P.S. Вы не пробовали обращаться в какие-нибудь компании?

[Urix]

Не берусь говорить за весь рынок ПО, но по рынку СКЗИ, введение такой схемы точно даст изменения в лучшую сторону.

Мечты, мечты... Приятна ваша сладость.
Прошли мечты - осталась гадость.

Только сам владелец информации имеет право выбора методов, способов и средств защиты своей информации, ибо только он один несет всю ответственность за ущерб, нанесенный распространением его информации.
И никакая страховая компания не будет нести консолидированную ответственность в случаях, например, защиты информации, являющейся предметом государственной тайны. Немного найдется желающих "париться" на нарах "за того парня".

[Yeoman]

Dust!
Честно говоря перечисленные вами проблемы не кажутся мне критичными.
По пункту 1: какие страховые компании присутствуют в у вас в регионе?
Ингосстарх наверняка есть? Ведь необязательно филиалу компании иметь своих экспертов, достаточно получать список "доверенного" ПО и расценки  из головного офиса компании. Или можно просто заказать такие работы фирме, даже если вы живете на Сахалине, а фирма в Москве. Дороговато будет, но проблем тут нет.
По пункту 2: тут сложно сказать что то определенно (я лично этот вопрос изучал мало в силу опеределнных причин о чем в P.S.).
По пункту 3: положительный ответ на какой вопрос? Если будет спрос, то появится и предложение или этот сегмент рынка скушают западники у которых это уже давно есть и работает. Как это сейчас происходит в банковской сфере - самые высокотехнологичные услуги предоставляют западные банки или их "дочки".

P.S. Честно говоря не пробовал (если мы говорим о страховых компаниях), потому что меня в первую очередь интересует СКЗИ, а согласно действующему законодательству РФ выбора у меня нет - только продукты сертифицированные ФАПСИ/ФСБ, которое за них отвественности не несет. Вот и приходится выбирать меньшее зло. И пока государство в области СКЗИ  официально не отпустит нас заниматься  тем что мы считаем нужным, в этой области ничего не изменится.

P.S.S. Как я уже писал при введении такой схемы ситуация с ПО не изменится в одночасье, должны созреть в первую очередь сами клиенты. Бывает очень сложно объяснить руководству что такое ЭЦП и зачем оно надо, а не то что говорить о страховании информационных рисков.

P.S.S.S. Прошу простить меня за явный уклон в сторону ЭЦП и СКЗИ - у кого что болит как говорится  

[Urix]

Честно говоря не пробовал (если мы говорим о страховых компаниях), потому что меня в первую очередь интересует СКЗИ, а согласно действующему законодательству РФ выбора у меня нет - только продукты сертифицированные ФАПСИ/ФСБ, которое за них отвественности не несет. Вот и приходится выбирать меньшее зло. И пока государство в области СКЗИ  официально не отпустит нас заниматься  тем что мы считаем нужным, в этой области ничего не изменится.

Тогда, чтобы Вы задумались, я процитирую самого себя:

И сразу все становится понятно, надо только выстроить правильную аналогию в привычной нам сфере. Вот, в качестве примера, фраза из одного закона: "перед использованием средство защиты информации должно быть сертифицировано ФАПСИ". Давайте заменим слова и обороты их синонимами: "средство защиты информации" на "сейф" (от английского safe - сохранять, защищать), "сертифицировано" на "исследовано" (сертификация - исследование образца на соответствие предъявляемым требованиям) и "ФАПСИ" на "постороннее лицо" (вряд ли ФАПСИ является подразделением Вашего предприятия). Получается "перед использованием сейф должен быть исследован посторонним лицом". Не знаю как Вы, а лично я такому "сейфу" не доверю даже использованные презервативы.

[Николай Николаевич Федотов]

На мой взгляд единственный способ, способный улучшить сложившуюся ситуацию это страхование информационных рисков.
...
Тоже самое можно распространить и на другое ПО, а не только СКЗИ.

Другого способа влиять на деятельность компаний выпускающих ПО я лично не вижу.

Одна из причин, почему до сих пор не введена ответственность производителей ПО за последствия работы их программ такова. В случае сбоев чрезвычайно трудно выяснить, что именно явилось причиной - прикладная программа, операционная система, драйвер, неграмотные действия пользователя, вирус, драматическое сочетание всех вышеупомянутых и т.д.

В принципе, производители ПО готовы были бы принять на себя какую-то ответственность, если бы был чёткий механизм для определения причины сбоя. Пока его нет.

На пути внедрения страхования информационных рисков стоит то же самое обстоятельство. Невозможно страховать информацию независимо от причин её потери. А установить причину весьма затруднительно.

[Dust]

Честно говоря перечисленные вами проблемы не кажутся мне критичными

Да это и не критика
Попробуйте, позвоните в стаховую компанию.

[Yeoman]

2Dust:

Да это и не критика

я и слова не сказал про критику  
Критичными - всмысле непреодолимыми, непозволящими осуществить желаемое.

Попробуйте, позвоните в стаховую компанию.

Dust, а я и не говорил что наши страховые компании готовы страховать информационные риски.

[Yeoman]

2Urix:

Только сам владелец информации имеет право выбора методов, способов и средств защиты своей информации, ибо только он один несет всю ответственность за ущерб, нанесенный распространением его информации.

Кто бы спорил. Но пока ситуация в сфере СКЗИ такова, что дядя в погонах (законы, указы президента и т.д.) заставляет меня использовать конкретные СКЗИ и выбор у меня минимален, а отвечать все равно мне, а не ему. Как бы красиво ни звучала ваша цитата.

И никакая страховая компания не будет нести консолидированную ответственность в случаях, например, защиты информации, являющейся предметом государственной тайны. Немного найдется желающих "париться" на нарах "за того парня".

Urix, а что средства защиты гос. тайны поступили в свободную продажу? Что то я такого не слышал! Или там разрешили свободный выбор средств защиты? Насколько я знаю в этой области все строго регламентировано и шаг влево, шаг в право приводит именно к нарам, одиночным или коллективным, кому как повезет. Предлагаю гос. тайну не обсуждать так как интереса это не имеет в принципе.

И сразу все становится понятно, надо только выстроить правильную аналогию в привычной нам сфере. Вот, в качестве примера, фраза из одного закона: "перед использованием средство защиты информации должно быть сертифицировано ФАПСИ". Давайте заменим слова и обороты их синонимами: "средство защиты информации" на "сейф" (от английского safe - сохранять, защищать), "сертифицировано" на "исследовано" (сертификация - исследование образца на соответствие предъявляемым требованиям) и "ФАПСИ" на "постороннее лицо" (вряд ли ФАПСИ является подразделением Вашего предприятия). Получается "перед использованием сейф должен быть исследован посторонним лицом". Не знаю как Вы, а лично я такому "сейфу" не доверю даже использованные презервативы.

Urix средство защиты, а СКЗИ уж точно, не должно строится на сокрытии принципов их работы. Такие системы вскрываются в первую очередь. Поэтому факт обследования/исследования не нанесет средству защиты никакого вреда. Многие СКЗИ поддвергаются попыткам криптоанализа уже многие годы, при том что алгоритмы которые в них реализованы опубликованы в свободном доступе. И пока все идет хорошо. Например алгоритм RSA не стал хуже от того что его описание можно найти на каждом сайте посвещенном криптографии.
А вот если в результате обследования вскроются недостатки, которые приведут к компроментации системы, так это нам же всем лучше - будем искать дальше.

Насчет сейфов спорить не буду я не медвежатник