Страхование как таковое, конечно, не влияет ни на вероятность наступления ИБ-инцидента, ни на ущерб от него, однако оно, как и риск-менеджмент, направлено на уменьшение ущерба от этого инцидента для организации.
Нужно сказать, что страхование именно ИБ-рисков, несмотря на развитую в России страховую систему, является пока еще не совсем общепринятой практикой, поэтому и предложение страховых услуг является достаточно ограниченным. Несмотря на это, практика страхования информационных рисков может сыграть важную роль в работе компании, особенно в тех случаях, когда ИБ-инцидент всё-таки будет, несмотря на все усилия ИБ-подразделения, иметь место. Сейчас такие услуги востребованы, в основном, финансово-кредитными организациями, но в последнее время к ним прибегают многие компании, работающие с интеллектуальной собственностью (в частности, разработчики программного обеспечения).
Сложно сказать, насколько страхование информационных рисков будет оправдано для вашей компании. Зачастую страховщики требуют комплексного аудита информационной системы и экспертизы страхуемой информации – мероприятий весьма дорогостоящих и не всегда своевременных. Если ваша компания уже работает с какой-нибудь страховой компанией, можно узнать, какие есть предложения по страхованию информационных рисков в её портфеле. Может быть, вы посчитаете нужным воспользоваться этими предложениями.
Заниматься взаимодействием со страховой компанией на первых порах может и кто-то из отдела информационной безопасности, но вообще, конечно, это задача директора по безопасности.
