Страхование в системе управления рисками инфраструктуры открытых ключей тема диссертации по экономике, полный текст автореферата
Автореферат
| Ученая степень | кандидат экономических наук |
| Автор | Кудрявцев, Олег Анатольевич |
| Место защиты | Москва |
| Год | 2003 |
| Шифр ВАК РФ | 08.00.10 |
Диссертация
Автореферат диссертации по теме "Страхование в системе управления рисками инфраструктуры открытых ключей"
На правах рукописи
Кудрявцев Олег Анатольевич
Страхование в системе управления рисками инфраструктуры открытых ключей
Специальность 08.00 10 - "Финансы, денежное обращение и кредит"
Автореферат
диссертации на соискание учёной степени кандидата экономических наук
Москва - 2003
Работа выпонена в Московском международном институте эконометрики, информатики, финансов и
Научный руководитель
Гомеля Владимир Борисович, кандидат экономических наук, профессор
Официальные оппоненты
Коломин Евгений Васильевич, доктор экономических наук, профессор
Ечкалова Наталья Владимировна, кандидат экономических наук
Ведущая организация-
Кафедра "Страхование" Российской экономической академии им. Г.В. Плеханова
Защита состоится ЛЧ О- 2003 г. в ^ ^часов на
заседании диссертационного совета К 212 151 03 в Московском государственном университете экономики, статистики и информатики по адресу" 119501, Москва, ул. Нежинская, д. 7.
С диссертацией можно ознакомиться в библиотеке университета.
Автореферат разослан
2003 г.
Ученый секретарь диссертационного совета:
Грачева Е.А.
ТТвТч 1
ОБЩАЯ ХАРАКТЕРИСТИКА РАБОТЫ
Актуальность исследования
Двадцать первый век по праву можно считать веком информационных технологий Они уже стали частью нашей повседневной жизни, однако сферы их применения в социальной и экономической жизни общества продожают расширяться темпами, во много раз превосходящими темпы развития всех других технологий, которые до этот придумало человечество. За 10 лет своего существования Интернет смог объединить мир в единую информационную инфраструктуру, которая дает человеку неограниченные возможности в плане бизнеса, образования, обмена информацией и опытом Без преувеличения можно говорить о том, что информационные технологии за последние несколько лет определили основные направления развития общества
Одновременно с неоспоримыми преимуществами, которые дают компьютерные технологии в области информационного обмена и электронной коммерции, они несут с собой и много подводных камней. Пожалуй, основной среди них - вопрос безопасности. Это многогранная проблема, которая имеет множество проявлений, а потому так или иначе затрагивает всех участников информационного обмена Среди возможных решений этой проблемы следует особо выделить системы, основанные на асимметричной криптографии или криптографии с открытыми ключами Сейчас уже можно утверждать, что эти технологии положены в основу инфраструктуры информационной безопасности во многих странах мира, в том числе и в России Вместе с тем, как показывает опыт, любая новая технология связана с возникновением новых рисков, которые на первый взгляд неочевидны, однако в перспективе могут приводить к значительным убыткам для всех участников экономической деятельности Важность роли инфраструктуры открытых ключей (ИОК), одной из целей которой является обеспечение гарантий интересов всех сторон, вовлеченных в электронную коммерцию, диктует необходимость тщательного анализа потенциальных рисков, которые связаны с применением данной технологии Не случаен огромный интерес к этой проблеме со стороны представителей бизнеса и органов государственной власти, в чьи обязанности вменяется разработка необходимой законодательной и нормативной базы
Ключевую роль в обеспечении надежной работы ИОК дожно играть
страхование Федеральны
Закон_!10б__ададйонной цифровой подписи"
предусматривает, что" уд )стов^рщии1^]р,д2п кен обладать необходимыми
материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей"1 Одним из основных финансово-экономических механизмов обеспечения таких гарантий является страхование, требования в отношении которого станут, как предполагается, частью нормативной базы, регулирующей деятельность удостоверяющих центров В сложившихся условиях страховая защита ИОК становится особо актуальной.
Степень разработанности темы
Российская наука уделяет значительное внимание фундаментальным проблемам страхования, что отражено в трудах Балабанова И Т, Гомели В.Б , Коломина Е В , Орланюк-Малицкой Л А, Турбиной К Е., Хохлова В H, Шахова В В и др.
Вместе с тем, страховая защита от рисков, связанных с информационными технологиями, относится к слабо исследованной тематике в силу своей новизны А учитывая отставание России в области создания механизмов ИОК от ряда западных стран, следствием чего стало практически поное отсутствие анализа проблемы снижения рисков ИОК в отечественной литературе, приходится ориентироваться преимущественно на зарубежные источники В наибольшей степени проблемы анализа рисков ИОК отражены в работах таких зарубежных исследователей, как С Ellison, В Schneier, J Curait, M Branchaud, M Baum, M Froomkin и др
Следует отметить, что ни в отечественных, ни в зарубежных источниках пока нет комплексного, системного исследования вопросов страхования рисков ИОК Проблема анализа и страхования рисков ИОК носит комплексный характер, поскольку находится на стыке технических, юридических и экономических наук Однако рассмотрение вопросов создания и функционирования ИОК в литературе шло раздельно по этим составляющим, что не позволило сформировать целостный и системный подход к проблеме Экономическая часть проблемы, связанная с оценкой эффективности функционирования механизмов ИОК, а также возникающих в связи с этим потерь, практически не нашла отражения в открытой литературе. Недостаточна ее проработанность и в практическом плане у
1 ФЗ №1 от 10 01 02 "Об электронной цифровой подписи", ст 8
руководителей создаваемых сейчас в России удостоверяющих центров зачастую отсутствует представление о потенциальных угрозах, связанных с функционированием инфраструктуры открытых ключей, методах их оценки и минимизации.
Цель и задачи исследования
Целью настоящей работы является теоретическое обоснование и практическое решение проблемы использования страхования в системе управления рисками инфраструктуры открытых ключей
Для достижения данной цели предполагается решить следующие задачи исследования-
1 Провести анализ теоретических основ управления рисками
2 Обобщить организационные особенности функционирования инфраструктуры открытых ключей
3 Проанализировать риски инфраструктуры открытых ключей, определить механизмы управления ими, в том числе обосновать основные положения новых видов страхования в этой области
Объект и предмет исследования
Объектом исследования является современный страховой рынок
Предметом исследования являются вопросы управления рисками инфраструктуры открытых ключей, прежде всего посредством их страхования
Теоретическая и методологическая основы дисссертаиии
Теоретической основой диссертации явились труды отечественных и зарубежных авторов по теории риска, страхованию и управлению рисками, а также проблемам, касающимся функционирования систем безопасности, построенных на технологиях криптографии с открытыми ключами, исследованные в настоящей работе.
Методологической основой диссертации является система общенаучных методов - логического и системного анализа и синтеза, в тч. экономического сравнения и обобщения, применяемых при работе с теоретическими источниками, научно-практическими и методологическими материалами, а также при исследовании практического опыта Ингосстраха и зарубежных страховых компаний.
Научные результаты и новизна, полученные в диссертационном исследовании:
1 Обосновано и сформулировано содержание операционных рисков как
рисков, связанных с функционированием предприятия в виде целостной системы, объединяющей человеческие и технологические ресурсы с определенной организацией бизнес-процессов, подверженной воздействию факторов внешней среды Выявлены особенности операционных рисков: их эндогенный характер, динамика и сложность количественной оценки. Уточнено соотношение операционных рисков с кредитными и юридическими рисками
2 Выявлен комплекс специфических рисков основных участников (субъектов) инфраструктуры открытых ключей, проанализированы сценарии рисков владельцев цифровых сертификатов (получение сертификатов, содержащих ошибочные сведения; сбои, задержки и дефекты в предоставлении услуг удостоверяющим центром, ошибочный отзыв сертификата пользователя, компрометация и утрата секретного ключа пользователя; поддека электронных сообщений и подмена сертификатов третьих лиц на компьютере пользователя, компрометация секретного ключа удостоверяющего центра; признание сдеки недействительной вследствие ненадлежащего выпонения своих функций удостоверяющим центром), а также сценарии рисков лиц, полагающихся на сертификаты (получение аннулированных/приостановленнык сертификатов и сертификатов, выданных с нарушением требований законодательства, отказ от сообщения отправителем; неверная интерпретация сведений, содержащихся в сертификате; признание сдеки недействительной вследствие ненадлежащего выпонения своих функций удостоверяющим центром)
3 Выявлены операционные риски удостоверяющих центров электронной цифровой подписи, основные среди которых риски, связанные с бизнес-процессами, ошибками и преступлениями персонала, сбоями и ошибками технологических систем, компьютерными преступлениями, форс-мажорными обстоятельствами, непоставкой критичных ресурсов и другими действиями контрагентов При этом выявлены восемь оснований возникновения гражданской ответственности удостоверяющего центра внесение в сертификат неверных сведений/неверная идентификация владельца электронной цифровой подписи при подаче и обработке заявки на получение цифрового сертификата, несвоевременная публикация списков аннулированных сертификатов и сертификатов, действие которых приостановлено, ошибочный отзыв или приостановка действия сертификатов, компрометация секретного ключа электронной цифровой подписи удостоверяющего центра, несвоевременное внесение сертификата ключа подписи в реестр сертификатов ключей подписей,
отказы и сбои технических и программных средств; несанкционированные действия персонала удостоверяющего центра, действия или бездействие контрагентов удостоверяющего центра В работе предложены механизмы управления этими рисками
4. Предложена система страховой защиты удостоверяющего центра, включающая, в частности, страхование профессиональной ответственности, информационных систем, имущества удостоверяющего центра, а также страхование владельцев цифровых сертификатов.
5 Предложена концептуальная схема основных и существенных условий страхования гражданской (профессиональной) ответственности удостоверяющего центра электронной цифровой подписи, а также условия страхования владельцев цифровых сертификатов В ходе анализа указанных условий страхования предложена классификация исключений из объема страхового покрытия по следующим группам: исключения форс-мажорных и системных рисков, которые по своей природе не могут быть застрахованы, исключения рисков, покрывающихся по другим видам страхования; исключения, вводимые с целью создания стимулов для предотвращения наступления страховых случаев; исключения, носящие характер специфического ограничения ответственности,
Апробация работы
Основные положения и результаты исследования отражены в 11 публикациях общим объемом 4 п.л Результаты исследования были представлены в докладах автора на различных научно-практических конференциях и семинарах, в том числе Годовой конференции Ассоциации документальной электросвязи "Стратегия конвергенции в инфотелекоммуникациях", Москва, 27-29 июня 2000 года; Международной конференции "Состояние и перспективы развития Интернета в России", Москва, 13-15 сентября 2000 года; Научно-практичском семинаре "Управление рисками и третейский суд для решения правовых проблем Интернета от теории к практике", Москва, Февраль 2001 года; конференции Ассоциации документальной электросвязи "Инфокоммуникации - неотъемлемая часть современного бизнеса", Москва, 11-13 апреля 2001 года; Отраслевом семинаре "Управление информационными рисками для профессиональных участников фондового рынка", Москва, 20 сентября 2001 года; Всероссийской конференции "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти", Москва, 27-
29 марта 2002 года; 5-й Международной выставке-конференции "Ведомственные и корпоративные сети связи", Москва, 5 декабря 2002 года; IV Всероссийского форуме "Банк- бухгатерия и налоги", Москва, 17-19 декабря 2002 года и др.
Результаты исследования использованы автором в практической деятельности ОСАО "Ингосстрах" при разработке программ страхования, заключении договоров страхования, а также проведении сюрвеев - предстраховой экспертизы рискозащищенности объектов при осуществлении страхования информационных рисков Часть из положений настоящей работы положена в основу "Правил страхования информационных систем", на которые ОСАО "Ингосстрах" получило лицензию в апреле 2002 года Структура диссертации
Работа состоит из введения, трех глав, заключения и списка использованной литературы, включающего 91 источник Диссертация изложена на 129 страницах, включая 7 схем и 8 таблиц
Диссертация имеет следующую структуру
Введение ,
Глава I. Теоретические основы управления рисками 1 1 Сущность и классификации рисков
1 2 Риск-менеджмент как управленческий процесс
Глава II. Основные элементы и принципы построения инфраструктуры открытых ключей
21 Инфраструктура открытых ключей понятие, составные элементы, принципы функционирования
2 2. Организационный аспект функционирования удостоверяющего центра
Глава III. Управление рисками инфраструктуры открытых ключей
3 1 Распределение рисков участников инфраструктуры открытых ключей
3 2 Отдельные риски, связанные с особенностями построения
инфраструктуры открытых ключей и ее правового регулирования в РФ 3 3 Управление рисками удостоверяющего центра
3 31 Виды рисков удостоверяющего центра, средства и методы управления ими
3 3 2 Обоснование возможной схемы страховой защиты удостоверяющего центра 3 4 Основные условия новых видов страхования субъектов инфраструктуры открытых ключей
3 41 Страхование профессиональной ответственности удостоверяющего центра
3 4 2 Страхование владельцев сертификатов Заключение Список литературы
ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ
Во введении обосновывается актуальность темы диссертации, выделяются и формулируются цели и задачи исследования, описывается структурно-логическая схема диссертационного исследования.
В первой Главе проводится анализ сущности и содержания понятия "риск", исследуются различные подходы к его определению и построению классификации рисков Обобщение литературных источников российских и зарубежных авторов позволило выделить три основных подхода к определению риска и сформулировать соответствующие три характеристики риска- источник риска, вероятность наступления, предполагаемый характер и уровень потерь
Предложена схема формирования количественных и качественных оценок трех перечисленных составляющих риска, а также на основе обобщения положений различных правил страхования анализируется соотношение понятий "косвенные убытки" и "упущенная выгода" Исследованы существующие классификации рисков, которые служат отправной точкой для выявления сущности операционных рисков. В свою очередь, операционные риски стали основой для анализа рисков удостоверяющих центров.
В качестве базы для' анализа операционных рисков автором предложено использование подхода, принятого в финансовом сообществе Операционные риски определяются как предполагаемая возможность возникновения потерь, вызванных недостатками (сбоями, ошибками, действием) процессов, персонала, технологических систем, либо внешними причинами
Анализ каждой группы источников операционных рисков позволил сформировать перечень событий (см табл 1), который может стать основой
Таблица 1
Элементы операционного риска
1)процессы несовершенство организационной структуры и бизнес-процессов компании
2)персонал ошибки умышленные действия утрата ключевых сотрудников
3) технологические системы ] сбои и ошибки систем выход из строя оборудования (поломки) компьютерные преступления
4) внешние причины | форс-мажорные обстоятельства и аварии действия третьих лиц действия контрагентов
практической деятельности по анализу операционных рисков в конкретной организации.
С целью конкретизации понятия операционных рисков, исследованы его составные элементы. В частности, с точки зрения страховой практики проанализированы возможные внешние источники операционных рисков и, в частности, риски, связанные с действиями контрагента предприятия Также автором исследованы соотношение понятий операционных и юридических рисков.
Обобщение практического опыта страхования различных операционных рисков, проведенное автором, позволяет утверждать, что операционные риски обладают тремя очень важными особенностями:
1. Они носят для компании эндогенный характер, т е. они в значительной мере зависят от бизнес-процессов, персонала, технологической базы и даже корпоративной культуры конкретной компании.
2. Операционные риски обладают ярко выраженной динамикой, т е меняются по мере развития компании, изменения профиля ее деятельности, бизнес-процессов, что, во-первых, затрудняет использование ретроспективных данных при анализе рисков, а во-вторых, вызывает необходимость проведения сложного анализа принимаемых управленческих решений на предмет их влияния на операционные риски.
3. Операционные риски не всегда могут иметь выраженную количественную стоимостную оценку.
Далее в главе исследуются основы организации системы управления рисками Автором предлагается рассматривать риск-менеджмент прежде всего как управленческий процесс. На основе исследования теоретических источников и обобщения практического опыта обосновывается авторский подход к рассмотрению риск-менеджмента в качестве управленческого процесса. В частности, выделяются и анализируются следующие этапы процесса управления рисками:
1. Выявление и оценка рисков
2. Выбор возможных методов и средств управления рисками
3. Реализация механизмов управления рисками
4. Контроль результатов
Особое внимание уделяется анализу методов и средств управления рисками, как основы практической деятельности по управлению рисками на предприятии. Исследование зарубежной специализированной литературы и практики, позволило обосновать следующие основные методы управления рисками:
- уклонение от риска;
- снижение риска, в том числе снижение вероятности риска, снижение нагрузки риска, а также разделение риска
- финансирование риска, в том числе создание резервов под возможные убытки, включение убытков в бюджет (затраты) компании, заемные средства;
- перенос риска, в том числе страхование (коммерческое, при помощи кэгттивных компаний, взаимное) и нестраховые контрактные способы переноса риска.
Акцентируется важность нестраховых контрактных способов переноса риска, в том числе специальных контрактных оговорок "hold harmless agreements" и использования схем аутсорсинга, которые пока еще слабо освоены в российской практике управления рисками.
Средства управления рисками в исследовании дифференцированы на организационные, технические и финансовые При этом организационные средства подразделяются на общие (направленные в целом на повышение рискозащищенности бизнеса) и специальные. Технические средства включают в себя целый спектр технологических/компьютерных, инженерных и других систем, обеспечивающих предотвращение, оповещение, оперативное реагирование на чрезвычайные ситуации различного рода, а также ликвидацию их последствий Финансовые средства представлены различного рода соглашениями и схемами финансового характера, обеспечивающими перенос, снижение или компенсацию убытков в денежной форме.
Исследование первой группы проблем послужило теоретической основой для анализа рисков различных участников инфраструктуры открытых ключей
Вторая группа проблем посвящена анализу основных особенностей функционирования ИОК, необходимого для последующего детального рассмотрения рисков ее участников и разработки системы страховой защиты Автор делает акцент на организационных аспектах функционирования системы, намеренно оставляя за рамками работы технические особенности ее работы
Первоначально анализируются механизмы деятельности ИОК, особенности взаимодействия ее участников, определяются основные понятия ИОК Выявлены недостатки традиционного подхода к рассмотрению ИОК как чисто технологической системы, без учета экономических отношений ее субъектов На
основе изложенного материала предлагается перечень функций инфраструктуры открытых ключей:
1 Обеспечение аутентификации сторон, обменивающихся электронной информацией, а также неотрекаемости и контроля целостности в отношении передаваемых сообщений.
2. Поддержка жизненного цикла сертификатов;
3. Обеспечение унификации стандартов в области выпуска и применения сертификатов.
4 Обеспечение уровня надежности и экономических гарантий участникам информационного обмена, соответствующего требованиям осуществляемых в рамках системы операций и объемам потенциальной гражданско-правовой ответственности, которая возлагается при этом на удостоверяющие центры.
Последняя предложенная функция призвана акцентировать внимание на необходимости рассмотрения системы финансовых гарантий как составной части ИОК, которая представляет собой систему взаимного доверия участников. Обосновывается, что в системе экономических взаимоотношений участников инфраструктуры открытых ключей доверие дожно основываться на экономических механизмах, обеспечивающих финансовые гарантии надежности и бесперебойности деятельности системы, а также возмещение ущерба, который может быть нанесен участникам системы в процессе ее работы.
По мнению автора, такие механизмы могут включать три элемента:
1. Единые требования к надежности функционирования удостоверяющих центров, в состав которых дожны входить экономические нормативы.
2. Прозрачную и четкую схему распределения ответственности между различными участниками ИОК и, прежде всего, меяоду удостоверяющими центрами различных уровней. Такая схема может быть выстроена на договорных отношениях между участниками либо основываться на законодательных и нормативных актах.
3. Механизмы возмещения убытков, которые могут быть нанесены клиентам в результате деятельности удостоверяющих центров. Такие механизмы дожны создаваться как на микроэкономическом уровне, т.е на уровне отдельных удостоверяющих центров, так и, возможно, на макроэкономическом уровне через формирование компенсационных фондов при участии государства, саморегулируемых организаций и
объединений.
Особое внимание во второй главе уделено исследованию основных функций центрального звена ИОК - удостоверяющего центра. Это позволило предложить группировку функций удостоверяющего центра, отражающую их организационно-экономическое содержание. Выделенные группы функций не только позволяют проследить последовательность осуществления операций удостоверяющим центром, но и отражают скрытый внутренний характер различных функций в плане требующихся для их осуществления экономических ресурсов, что важно с точки зрения анализа рисков. Так, для осуществления регистраторских функций и функций по поддержке пользователей характерно интенсивное использование человеческого ресурса, что связано с повышенными рисками ошибок и мошенничества. Функции по ведению баз сертификатов сопряжены с активным использованием автоматизированных систем, а потому в особой степени подвержены технологическим рискам. Предлагаемая группировка функций представлена в таблице 2.
Таблица 2
Функции удостоверяющего центра
v ........................ Хдармсгёи фщахт
Прием запросов на выдачу сертификата от пользователей Проверка информации о пользователях Регистрация пользователей Формирование шаблонов сертификатов Выдача сертификатов Регистраторские функции
Ведение базы выданных сертификатов Подтверждение сертификатов по запросам пользователей Публикация справочников сертификатов Формирование и публикация списков отозванных сертификатов <СОС) Ведение баз сертификатов
Организация и поддержание схем оповещения пользователей о событиях, происходящих в системе Прием и обработка сообщений о компрометации ключей пользователей Разбор конфликтных ситуаций Поддержка пользователей
Хранение ключей Хранение электронных документов Независимое удостоверение документов Проставление отметки времени Кросс-сертификация с другими системами Предоставление допонительных услуг
С целью углубленного исследования функций удостоверяющего центра,
который имеет важное значение для последующего анализа рисков, проводится анализ функционирования удостоверяющего центра в пошаговом режиме. При этом показывается возможность разделения функций, требующих большой доли участия человека (регистрация), и функций, предполагающих преимущественно автоматическую компьютерную обработку информации (все остальные). Эти функции существенно различаются по своей экономической и организационной
природе и требуют разных подходов к их построению и управлению ими. Применение такого же подхода в других областях, например, платежных системах или при регистрации доменных имен, поностью себя оправдывает - ярким примером может служить опыт компании VeriSign - крупнейшего регистратора доменных имен.
Обосновано, что помимо регистраторских функций, удостоверяющий центр может передать третьим лицам часть других своих функций, например, функции по технической поддержке пользователей, разбору конфликтных ситуаций и т п.
Исследование второй группы проблем позволило определить основы организации взаимодействия различных участников ИОК и функционирования удостоверяющих центров для их использования при анализе рисков
Глава третья является ключевой в структуре и содержании работы Прежде всего, автор выявляет и анализирует риски трех основных участников ИОК - удостоверяющего центра, владельца сертификата и пользователя сертификата, т.е лица, полагающегося на сертификат
Как и было определено в начале исследования, его предметом в отношении удостоверяющих центров явились операционные риски. В этой связи содержание понятия операционные риски уточняется применительно к рассматриваемой проблеме. Так, перечень источников операционных рисков представлен автором следующим образом.
1. Процессы.
2. Персонал (ошибки; преступления).
3 Технологии ( сбои и ошибки технологических (информационных) систем; выход из строя оборудования, компьютерные преступления).
4. Внешние причины (форс-мажорные обстоятельства; стихийные бедствия,пожары,аварии и т.п., мошенничество со стороны третьих лиц, включая контрагентов, кража и другие умышленные противоправные действия третьих лиц; непоставка критичных ресурсов; компрометация секретного ключа вышестоящего удостоверяющего центра; нанесение контрагентами ущерба третьим лицам - предъявление претензий к УЦ со стороны третьих лиц в качестве соответчика)
Автором анализируются риски двух других субъектов ИОК - владельца сертификата и лица, полагающегося на сертификат Анализ проводится в разрезе общих сценариев рисков и характера возможных потерь, т к для целей
исследования не представляется осуществимым учет всех возможных сфер деятельности этих субъектов, их внутренней специфики, а, следовательно, источникв рисков, их вероятностных характеристик и уровней потерь. Отсюда, реализация сценариев рисков и возникающие вследствие этого виды потерь владельца сертификата и его контрагента, т.е лица, полагающегося на сертификат, можно представить следующим образом' Риски (сценарии рисков) владельца сертификата
1) Получение от удостоверяющего центра (УЦ)/центра регистрации (ЦР) сертификата, содержащего ошибочные сведения.
2) Сбои/задержки в предоставлении услуг со стороны УЦ/ЦР
3) Получение от удостоверяющего центра/центра регистрации программных или аппаратных средств, содержащих ошибки или умышленные недокументированные изменения, приводящие к некорректной работе.
4) Ошибочный отзыв сертификата ЭЦП.
5) Компрометация (хищение) секретного ключа ЭЦП пользователя
6) Утрата секретного ключа ЭЦП пользователя.
7) Поддека электронных сообщений в процессе обработки или подписания на компьютере пользователя.
8) Компрометация секретного ключа удостоверяющего центра.
9) Подмена сертификата третьего лица (в том числе корневого сертификата) на компьютере пользователя.
10) Признание сдеки недействительной вследствие невыпонения/ненадлежащего выпонения своих функций удостоверяющим центром/центром регистрации.
Риски лица, полагающегося на сертификат
1) Получение сообщения, подписанного ЭЦП, срок действия сертификата которой истек или приостановлен, в результате наличия ошибок в списках отозванных сертификатов.
2) Принятие сообщения, подписанного ЭЦП, сертификат которой выдан с нарушением требований законодательства и нормативных актов
3) Невозможность доступа к спискам отозванных сертификатов
4) Отказ от сообщения владельцем сертификата ЭЦП, которой подписано сообщение.
5) Неверная интерпретация сведений, содержащихся в сертификате вследствие невозможности их формализации (информация о пономочиях физического лица - владельца и сферах использования сертификата).
6) Признание сдеки недействительной вследствие невыпонения/ненадлежащего выпонения своих функций удостоверяющим центром/центром регистрации.
По каждому сценарию проанализированы возможные последствия и характер убытков На основе изучения авторам практики зарубежного и отечественного страховых рынков сделан вывод об отсутствии специальных страховых продуктов, позволяющих обеспечить защиту от исследуемых рисков, а также крайне ограниченных возможностях применения для этих целей имеющихся видов страхования, таких как страхование от преступлений и профессиональной ответственности.
Автор проводит анализ ряда факторов, находящихся на стыке организационно-экономических, финансовых, юридических и технологических аспектов построения ИОК, которые имеют существенное влияние на отдельные риски системы и, по мнению автора, дожны быть учтены на практике при выборе моделей организации бизнеса и планировании механизмов защиты. К этим фактором относятся следующие' разделение понятий корпоративных и открытых систем; ограничение ответственности удостоверяющих центров; ограничение принадлежности сертификата только физическими лицами, отсутствие механизма распределения убытков между субъектами ИОК; иерархическая схема построения ИОК; необходимость иметь защищенные компьютерные системы, специфика оборота документов с длительными сроками действия, единый агоритм шифрования, проблема единого времени
На основе обобщения зарубежного опыта, а также собственного опыта в области анализа рисков автор проводит исследование данных проблем с финансово-экономической точки зрения, в том числе в части возможности возникновения убытков у основных субъектов ИОК На основе данного анализа предлагаются механизмы снижения соответствующих рисков
Специально и детально исследованы риски центрального звена ИОК -удостоверяющих центров В работе предложен вариант программы сюрвея -
исследования рисков, опирающийся на существующий практический опыт ОСАО "Ингосстрах" и зарубежных сюрвейерских компаний.
Анализ операционных рисков удостоверяющего центра проведен в разрезе осуществляемых им функций, а также в разрезе источников риска В первом случае исследование позволило сделать вывод о том, что основными факторами, влияющими на подверженность удостоверяющего центра рискам на разных этапах работы, является преобладающий состав и степень интенсивности использования разных экономических ресурсов, а также интенсивность и характер взаимодействия с клиентами и третьими лицами. Важно также, что предоставление допонительных услуг, таких как хранение документов, ключей, удостоверение документов итп, является для удостоверяющего центра важным источником потенциальной гражданской ответственности
Анализ операционных рисков удостоверяющего центра в разрезе их источников строится по предложенной в начале работы схеме - в разрезе рисков, связанных с процессами, персоналом, технологиями и внешними причинами.
При анализе рисков, связанных с особенностью организации процессов, исследуются возможные проявления таких рисков, а также механизмы их снижения. Автором предлагается возможный вариант организационной структуры удостоверяющего центра и схемы взаимодействия подразделений, отвечающий следующим основным требованиям' разделение разных по своей специфике технологических звеньев; разделение функций оперативной деятельности и контроля, легкое взаимодействие подразделений; легкую управляемость компании; возможности дальнейшего роста компании.
Имеющиеся способы решения проблемы рассматриваются также на примере контрактных способов переноса риска В частности, отмечается целесообразность возможных схем аутсорсинга, в частности регистраторских функций, и необходимость анализа отдельных звеньев бизнес-процессов, что илюстрируется на примере порядка формирования ключей владельцев сертификатов.
Анализ рисков, связанных с персоналом, технологиями и внешними причинами, строится на основе специальных таблиц, в которых дается изложение сценариев развития рисков, приводится оценка вероятности их наступления и размера возможного ущерба По каждой из групп риска, на основе анализа практического опыта в страховании предприятий со схожей спецификой бизнеса, предлагается комплекс мер по управлению рисками
Проведенное таким образом исследование позволяет утверждать, что одним из основных механизмов управления рисками является их страхование. Более того, исследование позволяет предложить и обосновать возможный вариант организации комплексной страховой защиты удостоверяющего центра
1 Страхование профессиональной (грахеданской) ответственности
2. Страхование информационных систем (рисков)
3. Страхование держателей сертификатов
4. Страхование ключевых сотрудников
5 Страхование имущества и перерыва в коммерческой деятельности
6 Страхование оборудования
7. Страхование других видов ответственности' общегражданской ответственности, ответственности работодателя, ответственности руководителей.
Данная схема организации страховой защиты состоит как из видов страхования, уже имеющихся на рынке (2,4 5,в,7), так и включает принципиально новые (1,3), разработка основных условий страхования которых является одной из задач работы
На основе обобщения зарубежного и отечественного практического опыта, предложены конкретные объемы покрытия по данным видам страхования и возможная ориентировочная стоимость полисов с учетом ситуации на страховом рынке, а также даны рекомендации по отдельным вопросам организации страховой защиты.
В соответствии с поставленными в работе задачами два вида страхования - страхование профессиональной ответственности удостоверяющего центра и страхование держателей сертификатов рассматриваются подробно
Представляется, что страхование профессиональной ответственности является ключевым звеном в системе страховой защиты удостоверяющего центра. Показано соотношение данного вида страхования со страхованием общегражданской ответственности и другими видами страхования ответственности, существующими в зарубежной практике, анализируются возможные сферы и особенности применения рассматриваемого страхового продукта.
Объектом страхования по полису страхования профессиональной ответственности удостоверяющего центра являются имущественные интересы страхователя, связанные с его обязанностью в порядке, установленном
гражданским законодательством, возместить ущерб, нанесенный им третьим лицам - владельцам цифровых сертификатов и лицам, полагающимся на цифровые сертификаты, выданные удостоверяющим центром в ходе осуществления застрахованной деятельности.
Исходя из анализа функций и специфики деятельности удостоверяющего центра, проведенного в работе, выделяется ряд оснований возникновения его ответственности, как-то:
1) внесение в сертификат неверных сведений/неверная идентификация владельца электронной цифровой подписи вследствие:
- технических ошибок;
- несоблюдения процедур проверки документов;
- представления подложных документов;
при подаче и обработке заявки на получение цифрового сертификата;
2) несвоевременная публикация списков аннулированных сертификатов и сертификатов, действие которых приостановлено;
3) ошибочный отзыв или приостановка действия сертификатов;
4) компрометация секретного ключа электронной цифровой подписи удостоверяющего центра;
5) несвоевременное внесение сертификата ключа подписи в реестр сертификатов ключей подписей;
6) отказы и сбои технических и программных средств,
7) несанкционированные действия персонала удостоверяющего центра;
8) действия или бездействие контрагентов удостоверяющего центра
Важным рассматриваемым вопросом является проблема взаимосвязи
объемов покрытия, предоставляемых страхованием ответственности (professional liability insurance) и страхованием от преступлений (fidelity insurance) при защите от рисков, связанных с несанкционированными действиями сотрудников. На основе анализа проблемы делается вывод о необходимости разграничения этих видов страхования путем исключения преступных действий из объема покрытия по профессиональной ответственности
По предлагаемому в работе полису страхования профессиональной ответственности удостоверяющего центра страховщик возмещает'
- убьггки (реальный ущерб плюс упущенная выгода), нанесенные третьим лицам (потерпевшим) в результате наступления страхового случая при осуществлении страхователем застрахованной деятельности,
- необходимые и целесообразные расходы страхователя по предварительному выяснению обстоятельств наступления страхового случая и установлению наличия и формы вины страхователя в наступлении страхового случая;
- расходы, связанные с участием в судебных разбирательствах по спорам, связанным с установлением факта страхового случая, а также спорам, возникшим в связи со страховым случаем;
- расходы, произведенные страхователем в целях уменьшения размера ущерба, подлежащего возмещению страховщиком.
В отношении вопроса о построении полиса на базе "все риски" или перечисления конфетных оснований возникновения ответственности, предлагается использование последнего варианта, несмотря на то, что он связан с некоторым сужением страхового покрытия
С учетом специфики рисков возникновения гражданской ответственности, автором предлагается правила страхования и полис делать на условиях "заявленных убытков" - "claims made". При этом правилами страхования и полисом может быть предусмотрен льготный период обнаружения убытков в случае, когда полис не продлен, при условии оплаты допонительной страховой премии в размере 75 или 100% от первоначальной, что соответствует мировой практике.
В ходе обоснования основных положений страхования профессиональной ответственности удостоверяющих центров предложена авторская группировка исключений из страхового покрытия Анализ зарубежных и отечественных правил страхования различных видов имущества и ответственности позволяет, по мнению автора, разбить применяемые исключения из страхового покрытия на следующие 4 группы
1) исключение форс-мажорных и системных рисков, которые по своей природе не могут быть застрахованы;
2) исключение страховых случаев, покрывающихся по другим видам страхования;
3) исключения, вводимые для создания стимулов с целью предотвращения наступления страховых случаев;
4) исключения, носящие характер специфического ограничения ответственности страховой компании - исключение областей/видов деятельности, которые страховая компания по тем или иным причинам
не готова принимать на страхование или исключения, которые позволяют более точно очертить спектр страхуемых рисков На этой основе формулируется перечень необходимых исключений из страхового покрытия по рассматриваемому виду страхования
В разделе, посвященном обоснованию основных условий страхования владельцев (держателей) сертификатов. проводится исследование принципиальных вопросов сущности и организационных основ данного вида страхования Обосновывается, что эффект от применения данного продукта в ИОК реализуется через повышение привлекательности ИОК для владельцев сертификатов, перераспределение ответственности и снижение стоимости страховой защиты удостоверяющих центров, а также повышение привлекательности данного рынка для страховых компаний
На основе исследованных ранее 10-ти рисков проанализированы риски владельцев сертификатов с точки зрения перспектив включения в страховое покрытие Анализ показал, что 7 рисков могут быть застрахованы по полису страхования профессиональной ответственности удостоверяющего центра, 3 отвечают необходимым критериям и могут быть включены в новый вид страхования.
Проведенный анализ дал возможность более конкретно сформулировать страхуемые риски, переведя их на язык правил страхования Представляется, что полис страхования держателя сертификата ЭЦП может покрывать 1 Убытки, причиненные Страхователю хищением денежных средств и ценных бумаг, находящихся на счетах Страхователя, совершенным третьими лицами путем направления мошеннического поручения в банк или депозитарий Страхователя с использованием украденного секретного ключа ЭЦП Страхователя
2. Суммы требований о возмещении убытков, нанесенных третьим лицам вследствие того, что они положились на сертификат, который содержал ошибочную информацию.
3 Суммы, необходимые для испонения обязательств, которые вытекают из сделок или других юридически значимых действий, совершенных третьими лицами от имени владельца с использованием украденного секретного ключа ЭЦП.
4 Расходы, связанные с заменой ЭЦП и сертификата Страхователя в случае
утраты или компрометации его секретного ключа. Допонительно полис может покрывать следующие расходы'
5 Разумные и целесообразные расходы, произведенные Страхователем, с предварительного письменного одобрения Страховщика, с целью выяснения обстоятельств страхового случая.
6 Юридические расходы: гонорары, судебные издержки и пошлины, понесенные в ходе защиты дел, связанных с наступлением страховых случаев, предусмотренных полисом.
Особое внимание уделяется анализу возможных механизмов минимизации и контроля страхового мошенничества, что представляется крайне важным, вели учесть предлагаемый автором достаточно либеральный подход к рассмотрению страховых случаев. Данный анализ проводится на примере обобщения практики исследования рискозащищенности различных форм электронной коммерции.
Как представляется, принципиально важным является рассмотренный автором вопрос о механизмах организации защиты имущественных интересов владельцев сертификатов. В работе детально исследуются положительные и отрицательные качества двух принципиальных схем: через принятие удостоверяющим центром на себя договорной ответственности перед владельцами сертификатов, с последующей передачей агрегированного риска страховой компании или без нее, а также через индивидуальное страхование каждого владельца сертификата.
Результирующим итогом диссертационного исследования в третьей главе явилось обоснование общей схемы построения системы страховой защиты удостоверяющего центра, сочетающей как традиционные страховые продукты, так и новые разработки, и формулировка основных положений двух новых видов страхования, входящих в эту систему - страхования профессиональной ответственности удостоверяющего центра и страхования владельцев цифровых сертификатов
В Заключении приведены основные выводы по результатам исследования, намечены пути дальнейшей работы по созданию механизмов снижения рисков, связанных с эксплуатацией инфраструктуры открытых ключей, на микро- и макроэкономическом уровне.
ПУБЛИКАЦИИ ПО ТЕМЕ ДИССЕРТАЦИИ
I. Кудрявцев O.A. Что нам готовит 2000Й год // Бухгатерия и банки -1999 - №12.
2 Кудрявцев О.А Страхование информационных рисков Материалы годовой конференции Ассоциации документальной электросвязи "Стратегия конвергенции в инфотелекоммуникациях", Москва, 27-29 июня 2000 года.
3 Кудрявцев О А Риски электронного бизнеса анализ проблемы и возможные сценарии. Материалы международной конференции "Состояние и перспективы развития Интернета в России*, Москва, 13-15 сентября 2000 года.
4 Кудрявцев О А Если риска нельзя избежать, его страхуют // Вестник НАУФОР - 2000 -№10-с. 34-35.
5 Кудрявцев O.A. Страхование пластиковых рисков // Мир карточек - 2001 - №2 - с. 20-22.
в Кудрявцев О А. Программы саморегулирования электронного бизнеса как один из ключевых элементов построения цивилизованного рынка. - Материалы научно-практического семинара "Управление рисками и третейский суд для решения правовых проблем Интернета- от теории к практике", Москва, февраль 2001 года.
7. Кудрявцев О.А Система управления рисками предприятия: основные элементы Материалы Конференции Ассоциации документальной электросвязи "Инфокоммуникации - неотъемлемая часть современного бизнеса", Москва, 11-13 апреля 2001 года.
8 Кудрявцев О.А Электронный бизнес: может ли рынок сам устанавливать правила игры // Документальная электросвязь - 2001 - №5
9 Кудрявцев О А. Новые направления страхования инфокоммуникаций. Материалы Всероссийской конференции "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти", Москва, 27-29 марта 2002 года.
10. Тишкин OB. Кудрявцев О А. Страхование в системе добровольной сертификации услуг связи // Документальная электросвязь - 2002 - №8.
II. Кудрявцев O.A. Страхование банковских информационных рисков Материалы IV Всероссийского форума Банк: бухгатерия и налоги, Москва, 17-19 декабря 2002 года
РНБ Русский фонд
2005-4 19914
Лицензия Р № 020563 от 07.07.97 Подписано к печати 5.03.2003
Формат издания 60x84/16 Бум. офсетная № 1 Печать офсетная Печл. 1,5 Уч.-изд. л. 1,0 Тираж 100 экз.
Заказ № 1210
Типография издательства МЭСИ. 119501, Москва, Нежинская ул., 7
Диссертация: содержание автор диссертационного исследования: кандидат экономических наук , Кудрявцев, Олег Анатольевич
введение.
глава i. теоретические основы управления рисками.
1.1. Сущность и классификации рисков.
1.2. Риск-менеджмент как управленческий процесс.
глава ii. основные элементы и принципы построения инфраструктуры открытых ключей.
2.1. Инфраструктура открытых ключей: понятие, составные элементы, принципы функционирования.
2.2. Организационный аспект механизма функционирования удостоверяющего центра.
глава iii. управление рисками инфраструктуры открытых ключей.
3.1. Распределение рисков участников инфраструктуры открытых ключей.
3.2. Отдельные риски, связанные с особенностями построения инфраструктуры открытых ключей и ее правового регулирования в России.
3.3. Управление рисками удостоверяющего центра.
3.3.1. Виды рисков удостоверяющего центра, средства и методы управления ими.
3.3.2. Обоснование возможной схемы страховой защиты удостоверяющего центра
3.4. Основные условия новых видов страхования рисков субъектов инфраструктуры открытых ключей.
3.4.1. Страхование профессиональной ответственности удостоверяющего центра
3.4.2. Страхование владельцев сертификатов.
Диссертация: введение по экономике, на тему "Страхование в системе управления рисками инфраструктуры открытых ключей"
Актуальность исследования. Двадцать первый век по праву можно считать веком информационных технологий. Они уже стали частью нашей повседневной жизни, однако сферы их применения в социальной и экономической жизни общества продожают расширяться темпами, во много раз превосходящими темпы развития всех других технологий, которые до этого придумало человечество. За 10 лет своего существования Интернет смог объединить мир в единую информационную инфраструктуру, которая дает человеку неограниченные возможности в плане бизнеса, образования, обмена информацией и опытом. Без преувеличения можно говорить о том, что информационные технологии за последние несколько лет определили основные направления развития общества в целом и человека в частности.
Влияние информационных технологий на экономические процессы также очень велико. Пока еще предстоит подвести итоги экономического бума конца 90-х, связанного с всплеском интереса к Интернет-бизнесу, а также последовавшего за ним спада. Еще пока нет методик, которые позволили бы исследователям дать количественную оценку связи темпов экономического роста и роста продуктивности с внедрением в корпоративную среду информационных технологий. Однако даже те цифры, которые есть, свидетельствуют о том, что тенденция дальнейшего позитивного развития информационных и Интернет-технологий сохранится. Только за предыдущий год, ставший не самым лучшим годом Интернет-бизнеса, обороты электронной коммерции выросли более чем на 70%, с 354 до 615 милиардов долларов, а число пользователей Интернет достигло 497,7 милионов человек по всему миру.1
Одновременно с неоспоримыми преимуществами, которые дают компьютерные технологии в области информационного обмена и электронной коммерции, они несут с собой и много подводных камней. Пожалуй, основной среди них - вопрос безопасности. Это многогранная проблема, которая имеет множество проявлений, а потому так или иначе затрагивает всех участников информационного обмена. К примеру, для простого пользователя Интернет проблема безопасности связана с возможностью несанкционированного доступа к данным, хранящимся на его компьютере, или заражение компьютерным вирусом; для покупателя Интернет
1 Western Europe Pulls Ahead of United States, ШС Newsletter, 03 января 2002, Ссыка на домен более не работаетgetdoc.jhtml?containerld=ebt20020103 магазина - опасность хищения сведений о его кредитной карточке; для предприятия, заключающего контракт в электронном виде - отсутствие уверенности в том, что контрагент, с которым он не знаком лично и который находится на другом конце света, окажется действительно надежной компанией, а не мошенником. До сих пор проблема безопасности остается краеугольным камнем развития Интернет, существенно сдерживающим прогресс в областях, требующих обеспечения надежного и конфиденциального обмена информацией, а более всего - в электронной коммерции. Так, в ходе опроса, проведенного компанией Jupiter, 58% респондентов заявили, что отказывались от покупки, заходя на тот или иной Интернет-сайт, по соображениям безопасности1.
Универсального средства, позволяющего снять если не все, то большинство проблем с безопасностью, до сих пор, наверное, не существует. Однако за последние несколько лет решения, претендующие на универсальность, все-таки начали появляться. Среди них особо следует отметить системы, основанные на асимметричной криптографии или криптографии с открытыми ключами. Сейчас уже можно утверждать, что эти технологии положены в основу инфраструктуры информационной безопасности во многих странах мира, в том числе и в России. Предполагается, что многоуровневая инфраструктура открытых ключей (ИОК), которая будет создана на национальном уровне, позволит решить многие проблемы электронной коммерции и расширит сферы использования электронного обмена данными. Вместе с тем, как показывает опыт, любая новая технология связана с возникновением новых рисков, которые на первый взгляд неочевидны, однако в перспективе могут приводить к значительным убыткам для всех участников экономической деятельности. Важность роли ИОК, одной из целей которой является обеспечение гарантий интересов всех сторон, вовлеченных в электронную коммерцию, диктует необходимость тщательного анализа потенциальных рисков, которые связаны с применением данной технологии. Не случаен огромный интерес к этой проблеме со стороны представителей бизнеса и органов государственной власти, в чьи обязанности вменяется разработка необходимой законодательной и нормативной базы.
Ключевую роль в обеспечении надежной работы ИОК может играть страхование. Федеральный Закон "Об электронной цифровой подписи" предусматривает, что ". удостоверяющий центр дожен обладать необходимыми
1 Overhyped and Misunderstood: The Fraud of Online Fraud, Jupiter Research, 2002. материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей"1. Одним из основных финансово-экономических механизмов обеспечения таких гарантий является страхование, требования в отношении которого станут, как предполагается, частью нормативной базы, регулирующей деятельность удостоверяющих центров.
Несмотря на чрезвычайную актуальность темы, необходимо отметить ее недостаточную проработанность в научной литературе: какие-либо специальные исследования по ней отсутствуют, причем как в России, так и за рубежом. Проблема анализа рисков ИОК носит комплексный характер, поскольку находится на стыке технических, юридических и экономических наук. Однако рассмотрение вопросов создания и функционирования ИОК в литературе шло раздельно по этим составляющим, что не позволило сформировать целостный и системный подход к проблеме. Так, достаточно подробно в зарубежной литературе рассматриваются юридические последствия введения и применения национальных законодательных актов об электронных цифровых подписях2. Хорошо проработана теоретическая база криптографии с открытыми ключами и ее применение в построении комплексных систем безопасности электронной коммерции3, описаны технические и технологические особенности, проанализированы плюсы и минусы различных систем4
Весьма полезными в понимании принципов функционирования инфраструктуры открытых ключей представляются работы, описывающие опыт США
1 ФЗ №1 от 10.01.02 "Об электронной цифровой подписи", ст. 8.
2 См. Bill Zoelick. Commentary on the Electronic Signatures in Global and National Commerce Act, 2001. Ссыка на домен более не работаетLibrary/B2BEconomy/DigitalSigs/DigSig-Commentary.php3.
Bradford Biddle. Misplaced Priorities: The Utah Digital Signature Act and Liability Allocation in a Public Key Infrastructure, San Diego Law Review, n.33, October 1996.
Lawrence Lambert. The New Electronic Signatures in Global and National Commerce Act: How effective is it?, Ссыка на домен более не работаетarticles-n-r/elecsigs.htm.
3 Cm. R.L. Rivest, A. Shamir, L. Adleman. A Method for Obtaining Digital Signatures and Public-Key Cryptosystems, Communications of the ACM, Vol.21, Nr.2, 1978.
Michael Froomkin, The Essential Role of Trusted Third Parties in Electronic Commerce, 1996, Ссыка на домен более не работает~froomlcin/articles/trusted.htm
Marc Branchaud. A Survey of Public Key Infrastructures, March 1997, Ссыка на домен более не работает~marcnarc/PKI/thesis/
4 См., напр. Michael S. Baum. Technology Neutrality and Secure Electronic Commerce: Rule Making in the Age of "Equivalence", VeriSign, 1999.
Roger Clarke. Conventional Public Key Infrastructure: An Artefact Ill-Fitted to the Needs of the Information Society, 13/11/00, Ссыка на домен более не работаетpeople/Roger.Clarke/II/PKIMisFit.html в построении американской федеральной инфраструктуры1. Тем не менее, экономическая часть проблемы, связанная с оценкой эффективности функционирования механизмов ИОК, а также возникающих в связи с этим потерь, практически не нашла отражения в открытой литературе. Недостаточна ее проработанность и в практическом плане: у руководителей создаваемых сейчас в России удостоверяющих центров зачастую отсутствует представление о потенциальных угрозах, связанных с функционированием инфраструктуры открытых ключей, методах их оценки и минимизации. За исключением нескольких работ2, так или иначе затрагивающих вопросы рисков, подавляющее большинство материалов носит недостаточно проработанный и узкий характер3.
Как видно, все перечисленные материалы написаны зарубежными авторами. Это не случайно. В России обсуждение данных вопросов проходило с отставанием в 2-3 года от ведущих западных стран и, в первую очередь, от США. Поэтому, в частности, степень охвата и глубина проработанности проблем создания инфраструктуры открытых ключей в нашей литературе на порядок ниже.
В России обсуждение проблем создания отечественных механизмов инфраструктуры открытых ключей в основном началось в период разработки федерального законодательства об электронной цифровой подписи и электронной коммерции. Среди наиболее значимых мероприятий, где рассматривались данные проблемы, можно назвать 1-ю и 2-ю Всероссийские конференции "Информационная безопасность в условиях глобального информационного общества" (Москва, 9 февраля 2001 года и 18 июня 2001 года), Всероссийскую конференцию "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти" (Москва, 27-29 марта 2002 года), Международный Интернет-форум "Состояние и перспективы развития Интернета в России" (Москва, 12-14 сентября 2001 года) и др.
Несколько слов о другом аспекте проблемы - точке зрения страховщиков на управление рисками, связанными с информационными технологиями. Здесь
1 См. Kathy Lyons-Burke. Federal Agency Use of Public Key Technology for Digital Signatures and Authentication, National Institute of Standards and Technology, Special Publication 800-25, October 2000.
Richard Kuhn et al. Introduction to Public Key Technology and the Federal PKI Infrastructure, National Institute of Standards and Technology, 26 February 2001, Ссыка на домен более не работаетpublications/drafts/pki-draft.pdf
2 Cm. Carl Ellison, Bruce Schneier. Ten Risks of PKI: What You're not Being Told about Public Key Infrastructure, Computer Security Journal, n. 1, 2000, pp. 1-7, Ссыка на домен более не работаетpki-risks.html
Carl Ellison and Bruce Schneier. Risks of PKI: Electronic Commerce, Inside Risks 116, Communications of the ACM, vol 43, n 2, Feb 2000, Ссыка на домен более не работаетinsiderisks5.html
Michael S. Baum. Federal Certification Authority Liability and Policy. US Department of Commerce, NIST, 1999.
3 См., напр. Public Key Infrastructure: The Risks for Financial Institutions Involved with PKI, Ernst&Young, 2001. ситуация следующая: в то время как теоретические вопросы, касающиеся, прежде всего, общих направлений страхования, и, в несколько меньшей степени, управления рисками, проработаны очень поно - достаточно перечислить известные работы отечественных1 и зарубежных2 авторов, часть проблемы, связанная со страхованием специфических компьютерных рисков, вообще никак не отражена в литературе. Вызвано это тем, что страхование рисков, связанных с информационными технологиями, или, другими словами информационных рисков, является новым и перспективным направлением для отечественных и зарубежных страховщиков. На Западе его история не насчитывает и 5-ти лет, а активная выдача подобных полисов началась лишь в 2000-м году. В изучении данного вопроса сейчас можно ориентироваться лишь на практический опыт и доступные методические материалы страховых компаний, таких как AIG, AXA, Chubb, Hiscox - за рубежом и Ингосстраха - в России. Хотя информация о страховых продуктах в этой области до сих пор рассматривается страховщиками как ноу-хау и коммерческая тайна,* а потому не выходит за пределы офисов компаний. В процессе реализации проекта по страхованию информационных рисков Ингосстрахом была собрана определенная база таких материалов, часть из которых была крайне полезна при написании данной работы.
Целью настоящей работы является теоретическое обоснование и практическое решение проблемы использования страхования в системе управления рисками инфраструктуры открытых ключей. Для достижения данной цели предполагается решить следующие задачи:
1. Провести анализ теоретических основ управления рисками
2. Обобщить организационные особенности функционирования инфраструктуры открытых ключей
3. Проанализировать риски инфраструктуры открытых ключей, определить механизмы управления ими, в том числе обосновать основные положения новых видов страхования в этой области.
Помимо указанных цели и задач, в диссертации имеется еще ряд частных моментов, которые вытекают из существа рассматриваемых вопросов и оказывают
1 См., напр. Балабанов И Т. Риск-менеджмент - М., 1996, Гомеля В.Б. Основы страхового дела - М., 1998, Уткин Э.А. Риск-меиедежмент - М., 1998, Хохлов Н.В. Управление риском - M., 1999, Шахов В.В. Страхование. - М., 1997, Шахов В.В. Введение в страхование - М., 1999 и др.
2 Бланд Д. Страхование: принципы и практика - M., 1998, Mark S. Dorfman. Introduction to Risk Management and Insurance, 7th Edition, Prentice Hall, 2001, George Rejda. Principles of Risk Management and Insurance, в41 Edition, Addison-Wesley Publishing, 2002 и др. влияние на структуру и стиль изложения материала. Так, в работе предполагается:
1. Рассмотреть риски, специфичные для ИОК, т.е. риски, определяемые особенностями применяемых при ее построении бизнес-моделей и технологий в широком смысле этого слова. Отсюда риски, носящие общий характер для всех субъектов хозяйствования, не будут предметом исследования. По этой же причине в отношении удостоверяющих центров будут проанализированы только операционные риски, а кредитные, политические и другие риски останутся за рамками рассмотрения.
2. Провести анализ, который носил бы достаточно общий характер и не зависел от специфики конкретного удостоверяющего центра и особенностей тех или иных технологических решений, но в то же время был бы полезен с точки зрения применения на практике на уровне компании. В этом плане предполагается детально, на микроэкономическом уровне, рассмотреть риски центрального звена ИОК - удостоверяющих центров/центров регистрации.
В отношении других участников ИОК анализ рисков будет носить общий, схематичный характер, поскольку в рамках одной работы невозможно учесть и разобрать внутреннюю специфику столь широкого круга лиц, участвующих в процессе электронной коммерции - ими могут быть электронные магазины, банки, профессиональные участники фондового рынка, производственные предприятия и предприятия сферы услуг, граждане, государственные институты.
В допонение к этому будет дан анализ ряда факторов, которые оказывают существенное влияние на уровень рисков всех или отдельных групп участников ИОК либо сами по себе являются источником риска. Эти факторы связаны с самими технологиями, лежащими в основе ИОК, а также особенностями ее правового регулирования в России на сегодняшний день. Как будет показано далее, создаваемой в России ИОК изначально присущи определенные недостатки, которые существенно повышают вероятность возникновения потерь в процессе ее функционирования. Некоторые из этих недостатков могут быть сняты на микроуровне, т.е. самими участниками ИОК, некоторые - нет. Но и те, и другие следует учитывать при планировании и ведении бизнеса.
3. Дать практические рекомендации по альтернативному снижению и перераспределению рисков. Не случайно в названии работы есть словосочетание "управление рисками". Сегодня уже сотрудничество страховой компании и ее клиента не ограничивается выдачей полиса и последующей оплатой убытка.
Процесс взаимодействия носит более сложный характер: страховая компания дожна совместно с клиентом попытаться проанализировать риски последнего и дать рекомендации в отношении мероприятий, которые требуются для повышения рискозащищенности страхуемых объектов и надежности бизнеса клиента. Очевидно, что любая страховая компания заинтересована в том, чтобы сформировать портфель качественных и прогнозируемых рисков. Но политика чистой селекции рисков, при которой объекты, связанные с повышенным риском, отсекаются, уже оказывается неэффективной. На смену ей приходит политика "управления рисками".
4. На основе анализа рисков дать рекомендации по построению страховой защиты удостоверяющих центров и в рамках этого сформулировать основные положения недостающих звеньев страховой защиты удостоверяющих центров. Страховые продукты, имеющиеся на момент написания работы на отечественном рынке, не покрывают всех потребностей страхования рисков в сфере информационных технологий. В этом плане потребуется разработка новых видов страхования, а также адаптация ряда существующих. Не лучше обстоит ситуация и за рубежом, где специализированные продукты, ориентированные на ИОК, также отсутствуют. Поэтому за исключением двух-трех полисов страхования ответственности удостоверяющих центров, которые еще пока слабо проработаны и практически не отличаются от типовых полисов страхования ответственности Интернет-компаний, опираться на зарубежный опыт не представляется возможным.
Объектом исследования является современный страховой рынок.
Предметом исследования являются вопросы управления рисками инфраструктуры открытых ключей, прежде всего посредством их страхования.
Теоретической основой диссертации явились труды отечественных и зарубежных авторов по теории риска, страхованию и управлению рисками, а также проблемам, касающимся функционирования систем безопасности, построенных на технологиях криптографии с открытыми ключами, исследованные в настоящей работе.
Методологической основой диссертации является система общенаучных методов - логического и системного анализа и синтеза, в т.ч. экономического сравнения и обобщения, применяемых при работе с теоретическими источниками, научно-практическими и методологическими материалами, а также при исследовании практического опыта Ингосстраха и зарубежных страховых компаний.
Научная новизна работы состоит в следующих положениях:
1. В работе проведен теоретический анализ содержания и особенностей * операционных рисков, уточнено их соотношение с другими видами рисков стр. 12-23).
2. Впервые проведено комплексное исследование рисков различных участников (субъектов) инфраструктуры открытых ключей, проанализированы сценарии рисков владельцев цифровых сертификатов и лиц, полагающихся на сертификаты (стр.51-58).
3. Проанализированы риски удостоверяющих центров электронной цифровой подписи. При этом выявлены основания возникновения гражданской ответственности удостоверяющего центра, а также предложены механизмы управления рисками удостоверяющего центра (стр. 75-89).
4. На основе проведенного исследования теоретических и практических основ управления рисками инфраструктуры открытых ключей дано обоснование системы страховой защиты удостоверяющего центра (стр. 90-97).
5. Сформулированы основные и существенные условия страхования гражданской (профессиональной) ответственности удостоверяющего центра электронной цифровой подписи, а также условия страхования владельцев цифровых сертификатов (стр.91, 98-120). В ходе анализа условий страхования предложена классификация исключений из страхового покрытия (стр. 104-105).
Настоящее исследование направлено на теоретическое обоснование и т практическое решение проблемы управления рисками, связанными с функционированием инфраструктуры открытых ключей в России.
Практическая значимость и апробация работы состоит во внедрении ее положений при организации систем управления рисками в рамках создаваемой в России инфраструктуры открытых ключей, а также при осуществлении страхования специфических информационных рисков в данной области. Результаты настоящего исследования были озвучены автором на многочисленных конференциях и научно-практических семинарах, в том числе Международной конференции "Состояние и перспективы развития Интернета в России" (Москва, 13-15 сентября 2000 года), доклад "Риски электронного бизнеса: анализ проблемы и возможные сценарии"; щ) Всероссийской конференции "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти" (Москва, 27-29 марта 2002 года), доклад "Новые направления страхования инфокоммуникаций", Научно-практических семинарах Научно-технического центра Ассоциации российских банков (Института банковского дела АРБ) и других конференциях и семинарах. Результаты исследования использованы в практической деятельности ОСАО "Ингосстрах" в ходе реализации проекта "Страхование информационных рисков", в том числе при проведении работ по анализу рисков и заключении договоров страхования. Часть из положений настоящей работы положена в основу "Правил страхования информационных систем", разработанных автором, на которые ОСАО "Ингосстрах" получило лицензию в апреле 2002 года. Правила по двум другим специальным видам страхования также предполагается провести через процедуру лицензирования и использовать в практической деятельности компании.
Основные положения и результаты исследования отражены также в 11 публикациях общим объемом 4 п.л.
Структура диссертации определяется целью и задачами, которые поставлены в работе. Диссертация состоит из введения, трех глав, заключения и списка использованной литературы.
Диссертация: заключение по теме "Финансы, денежное обращение и кредит", Кудрявцев, Олег Анатольевич
ЗАКЛЮЧЕНИЕ
Проведенное в диссертации исследование позволяет сделать ряд важных выводов. Очевидно, что внедрение инфраструктуры открытых ключей помимо огромных материальных затрат потребует и значительных интелектуальных усилий по "шлифовке" технологий, законодательства и организационных механизмов функционирования системы.
Проблема анализа рисков инфраструктуры открытых ключей носит сложный и комплексный характер, находясь на стыке экономических, технических и юридических наук. До настоящего времени этим рискам в нашей науке не уделялось серьезного внимания. Ситуация усугубляется и отсутствием достаточного практического опыта внедрения и эксплуатации институтов инфраструктуры открытых ключей, а также тем, что технологические решения и законодательство в этой сфере находятся в начале развития. Создаваемой в России инфраструктуре открытых ключей изначально, в силу технологических особенностей и особенностей правового регулирования, присущ ряд недостатков, которые оказывают существенное негативное влияние на общий уровень рисков системы и отдельных ее участников.
В соответствии с поставленными целью и задачами в диссертации были проанализированы общетеоретические и специализированные источники по теории управления рисками и страхованию, а также международная и российская практика страхования информационных рисков и рисков инфраструктуры открытых ключей (ИОК). Проведенное исследование позволило найти теоретические обоснования и практические решения по использованию страхования в системе управления рисками ИОК как наиболее эффективного способа. Для достижения этой цели был исследован широкий круг вопросов и проблем, относящихся к выяснению сущности и классификации рисков; обоснованию риск-менеджмента как управленческого процесса; к анализу основных элементов и принципов построения ИОК. Исследование этих вопросов и проблем в страховом, технологическом (информационном) и организационном аспектах позволило выявить основные виды рисков, связанных со спецификой ИОК; обосновать и сформулировать существенные условия страхования от этих рисков применительно к возможностям России с учетом зарубежного опыта и отечественных наработок ОСАО "Ингосстрах".
Иными словами, проведенное в диссертации исследование позволило обосновать научную новизну через анализ содержания и выявление особенностей операционных рисков, а также через уточнение их соотношения с другими рисками. Главные особенности операционных рисков заключаются в их эндогенном характере; ярко выраженной динамике; невозможности количественной (стоимостной) оценки многих из них. Элементы содержания и главные особенности операционных рисков показали, что они - единственная группа рисков, которая в наибольшей степени зависит от специфики ИОК, и поэтому обоснованно может быть включена в предмет диссертационного исследования. Этот научный вывод позволил в ходе дальнейшего исследования прийти к обоснованию остальных положений научной новизны и найти решения по их практическому применению на страховом рынке РФ и в международном аспекте. Сказанное относится к следующим основным результатам.
Во-первых. Удалось комплексно исследовать риски основных субъектов ИОК и проанализировать сценарии рисков этих субъектов - владельцев цифровых сертификатов и лиц, полагающихся на эти сертификаты. В результате этого оказалось возможным обосновать потенциальный объем страхового покрытия, в который могут войти основные риски владельцев сертификатов.
Во-вторых. Исследованы операционные риски удостоверяющих центров ЭЦП. Риски конкретизированы по источникам происхождения - критериям выявления операционных рисков. Анализ этих рисков показал, что в совокупности альтернативных способов защиты от них наиболее эффективным является страхование. Эти результаты исследования операционных рисков позволили концептуально обосновать схему страховой защиты удостоверяющего центра, включающую 4 вида страхования, а именно - страхование:
- информационных систем удостоверяющего центра;
- гражданской ответственности удостоверяющего центра, связанной с его профессиональной деятельностью;
- имущества и перерыва в коммерческой деятельности удостоверяющего центра;
- электронного оборудования удостоверяющего центра от поломок.
Наконец, исследование теоретических и практических основ управления операционными рисками и обоснование вариантов страховой защиты имущественных интересов основных субъектов ИОК позволили концептуально обосновать и сформулировать условия правил страхования по видам: (1) гражданской (профессиональной) ответственности удостоверяющего центра ЭЦП; (2) владельцев цифровых сертификатов.
Проведенное исследование показывает, что сложность проблемы управления рисками ИОК не означает невозможности ее решения. Управление рисками участников инфраструктуры открытых ключей дожно носить комплексный и системный характер. При таком подходе риски представляются достаточно прогнозируемыми и поддаются анализу и контролю. Напротив, при отсутствии дожного внимания к этим рискам, проблемы, изначально заложенные в технологию и особенности правового регулирования рассматриваемой сферы, могут "отозваться" значительными экономическими потерями и поставить под сомнение успешность развертывания инфраструктуры открытых ключей в целом.
Думается, что теоретические и практические результаты настоящего диссертационного исследования помогут становлению и широкому внедрению в России системы управления операционными рисками инфраструктуры открытых ключей с использованием механизмов страхования.
Диссертация: библиография по экономике, кандидат экономических наук , Кудрявцев, Олег Анатольевич, Москва
1. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 N 51-ФЗ (ред. от 15.05.2001);
2. Закон РФ от 27.11.1992 N 4015-1 (ред. от 25.04.2002) "Об организации страхового дела в Российской Федерации";
3. Закон РФ от 23.09.1992 N 3523-1 "О правовой охране программ для электронных вычислительных машин и баз данных";
4. Типовой закон "Об электронных подписях", ЮНСИТРАЛ, 2001.
5. Федеральный Закон от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации"
6. Федеральный Закон от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи".
7. Балабанов И.Т. Риск-менеджмент М.: "Финансы и статистика", 1996.
8. Беззубцев O.A. Реализация федерального закона об электронной цифровой подписи. Материалы 3-й международной конференции "Состояние и перспективы развития Интернета в России", Москва, 25-27 сентября 2002 года.
9. Бланд Дэвид. Страхование: принципы и практика- М.'.Финансы и статистика, 1998.
10. Велигура А Н. О сервисах инфраструктуры открытых ключей. Материалы конференции "Состояние и перспективы развития Интернета в России", Москва, 1214 сентября 2001 года.
11. Вихорев C.B. Методические рекомендации по проведению анализа и оценки возможности реализации угроз информационной безопасности на объекте. М., 2001.
12. Глущенко В.В. Управление рисками. Страхование г. Железнодорожный, М.О.: ТОО НПЦ "Крылья", 1999.
13. Гомеля В. Б. Методологические вопросы прогнозирования и планирования страховой деятельности Страховое ревю, №12, 2001.
14. Гомеля В.Б., Туленты Д.С. Страховой маркетинг (Актуальные вопросы методологии, теории и практики). Второе издание. М.: Анкил, 2000.
15. Грунтович М.М. О двуличии в агоритмах цифровой подписи -Ссыка на домен более не работаетdis. htm
16. Конявский В. А. Система страхования информационных рисков как экономический механизм компенсации ущерба при воздействии угроз информационной безопасности, М.: РКФ-Имидж Лаб, 2001 г.;
17. Кудрявцев O.A. Что нам готовит 2000Й год // Бухгатерия и банки -1999 №12.
18. Кудрявцев O.A. Страхование информационных рисков. Материалы годовой конференции Ассоциации документальной электросвязи "Стратегия конвергенции в инфотелекоммуникациях", Москва, 27-29 июня 2000 года.
19. Кудрявцев O.A. Риски электронного бизнеса: анализ проблемы и возможные сценарии. Материалы международной конференции "Состояние и перспективы развития Интернета в России", Москва, 13-15 сентября 2000 года.
20. Кудрявцев O.A. Если риска нельзя избежать, его страхуют // Вестник НАУФОР -2000-№10-с. 34-35.
21. Кудрявцев O.A. Страхование пластиковых рисков // Мир карточек 2001 - №2 - с. 20-22.
22. Кудрявцев O.A. Система управления рисками предприятия: основные элементы. Материалы Конференции Ассоциации документальной электросвязи "Инфокоммуникации неотъемлемая часть современного бизнеса", Москва, 11-13 апреля 2001 года.
23. Кудрявцев O.A. Электронный бизнес: может ли рынок сам устанавливать правила игры // Документальная электросвязь 2001 - №5.
24. Кудрявцев O.A. Оператор и заказчик: соперничество или сотрудничество. -Материалы круглого стола "Качество услуг связи: проблемы и решения", 5-я Международная выставка "Ведомственные и корпоративные сети связи", Москва, 5 декабря 2002 года.
25. Кудрявцев O.A. Страхование банковских информационных рисков. Материалы IV Всероссийского форума Банк: бухгатерия и налоги, Москва, 17-19 декабря 2002 года.
26. Кузьмин A.C., Корольков A.B., Мурашов H.H. Система удостоверяющих центров -базис для защищенного электронного документооборота и электронного ведения бизнеса. Официальный сайт ФАПСИ - Ссыка на домен более не работаетbezinf/robsuc3.htm
27. Основы страхового дела / Архипов А.П., Гомеля В.Б. Учебное пособие. М.: "Маркет ДС", 2002.
28. Основы страхового дела / Гомеля В.Б.: Учебное пособие. М: "СОМИНТЭК", 1998.
29. Отставное М. "Сито Шнайера" против риторики о "безопасности" Компьютерра №21(446), 06.06.2002.
30. Пеленицын М.Б. Проблемы реализации закона об ЭЦП в банковском секторе. Материалы 3-й международной конференции "Состояние и перспективы развития Интернета в России", Москва, 25-27 сентября 2002 года.
31. Правила страхования информационных систем, ОСАО "Ингосстрах", Москва, 2001-2002.
32. Сахаров В.П. Особенности современных ИОК. Материалы конференции "Состояние и перспективы развития Интернета в России", Москва, 12-14 сентября 2001 года.
33. Скородумов Б.И.,"Проблемы электронной цифровой подписи в условиях глобализации информационного общества". Материалы семинара Научно-технического Центра Ассоциации Российских Банков, Москва, февраль 2002 года.
34. Словарь страховых терминов / Под ред. Е.В. Коломина, В.В. Шахова М.: Финансы и статистика, 1992.
35. Смирнов В.А., Копылов Д.В. Технологические вопросы применения закона об ЭЦП Документальная электросвязь, №9, 2002.
36. Соловяненко Н.И. Вопросы применения Федерального закона "Об электронной цифровой подписи" Документальная электросвязь, №9, 2002.
37. Уткин Э.А. Риск-менеджмент. -М.: "Экмос", 1998.
38. Федеральный закон "Об электронной цифровой подписи". Путеводитель по основным ошибкам. Компьютерра, №3 (428), 2002.
39. Хохлов Н.В. Управление риском М.:Юнити, 1999.
40. Шарков А.Е., Дмитриев И.Л., Цифровые сертификаты как инфраструктура электронного ведения бизнеса в Интернет Документальная электросвязь, №2, 2000.
41. Шахов В.В. Введение в страхование М.:Финансы и статистика, 1999.
42. Шахов В В. Страхование М.:Страховой полис, ЮНИТИ, 1997.
43. Шнайер Брюс. Почему криптография сложнее, чем кажется. Компьютерра, 01.09.98.
44. Directive 1999/93/ЕС of the European Parliament and of the Council on a Community Framework for Electronic Signatures.
45. Electronic Communications Act, United Kingdom, 26/01/2000.
46. Electronic Fund Transfer Act, 15 US Code зз1693g.
47. Electronic Signatures in Global and National Commerce Act (E-SIGN Act), US Public Law No: 106-229.
48. Bill Zoelick. Commentary on the Electronic Signatures in Global and National Commerce Act, 2001. Ссыка на домен более не работаетLibrary/B2BEconomy/DigitalSigs/DigSig-Commentary.php3
49. Bradford Biddle. Misplaced Priorities: The Utah Digital Signature Act and Liability Allocation in a Public Key Infrastructure, San Diego Law Review, n.33, October 1996, Ссыка на домен более не работаетresource/ecomm/digsig/issues.htm
50. Brian Brown. E-Business Insurance is a Virtual Reality: What Now? National Underwriter, 10/09/2001, pp. 10-12.
51. Certification Practices Statement v.2.0. VeriSign, Inc., 2001.
52. Carl Ellison and Bruce Schneier. Risks of PKI: Electronic Commerce, Inside Risks 116, Communications of the ACM, vol 43, n 2, Feb 2000, Ссыка на домен более не работаетinsiderisks5.html
53. Carl Ellison, Bruce Schneier. Ten Risks of PKI: What You're not Being Told about Public Key Infrastructure, Computer Security Journal, n.1, 2000, pp.1-7, Ссыка на домен более не работаетpki-risks.html
54. Computer Crime and Security Survey. Computer Security Institute/FBI, 2002.
55. Cyberlnsurance Wording, HPI Cyber 2000, Hiscox Insurance Compay Ltd., 2000.
56. DataNet wording. AXA Corporate Solutions/AXA Courtage, 2000.
57. DigitalTrust Insurance Policy, lnsureTrust.com, LLC, 2000.
58. Don Clark. Safety First: Unless Consumers Feel Secure Online, Sales Won't Boom. Wall Street Journal, 12/07/98, p. 13.
59. Electronic Information E&O Liability Policy, lnsureTrust.com, LLC, 2000.
60. Fernando L. Podio. Biometrics Technologies for Highly Secure Personal Authentication, National Institute of Standards and Technology, 2001, Ссыка на домен более не работаетlab/bulletns/bltnmay01.htm
61. Fred Cohen. Introductory Information Protection, 1995, Ссыка на домен более не работаетbooks/ip/.
62. Hacker Insurance Wording, HPI Hacker 2000, Hiscox Insurance Compay Ltd., 2000.
63. George E. Rejda. Principles of Risk Management and Insurance, 8th Edition, Addison-Wesley Publishing, 2002.
64. James Currall, Elaine Blair, Introduction to Encryption and Digital Signatures, Glasgow University, February 2001, Ссыка на домен более не работаетscotmid/gendocs/edsintro-smp.html
65. Kathy Lyons-Burke. Federal Agency Use of Public Key Technology for Digital Signatures and Authentication, National Institute of Standards and Technology, Special Publication 800-25, October 2000.
66. Ken Townsend. The Future of Electronic Commerce. Insurance Networking, 01/1999, pp.23-30.
67. Lawrence Lambert. The New Electronic Signatures in Global and National Commerce Act: How effective is it?, Ссыка на домен более не работаетarticles-n-r/elecsigs.htm
68. Michael Froomkin, The Essential Role of Trusted Third Parties in Electronic Commerce, 1996, Ссыка на домен более не работаетarticles/trusted.htm
69. Marc Branchaud. A Survey of Public Key Infrastructures, March 1997, Ссыка на домен более не работает~marcnarc/PKI/thesis/
70. Michael S. Baum. Technology Neutrality and Secure Electronic Commerce: Rule Making in the Age of "Equivalence", VeriSign, 1999.
71. Michael S. Baum. Federal Certification Authority Liability and Policy. US Department of Commerce, NIST, 1999.
72. NetSecure wording. Marsh, 2000.
73. NetSure Protection Plan 5.0. VeriSign, 01/09/2001.
74. Oliver Prior. Insuring Against Operational Risks Willis -1998.
75. Operational Risk Consultative Document - Basel Committee on Banking Supervision -31 May 2001.
76. Overhyped and Misunderstood: The Fraud of Online Fraud, Jupiter Research, 2002.
77. Professional Indemnity Insurance for Internet Providers Wording. AIG, 2000.
78. Public Key Infrastructure: The Risks for Financial Institutions Involved with PKI, Ernst&Young, 2001.
79. Richard Coello. Electronic Risk. Willis Limited, Global Financial & Executive Risks Practice, 2001.
80. Richard Kuhn et al. Introduction to Public Key Technology and the Federal PKI Infrastructure, National Institute of Standards and Technology, 26/02/01, Ссыка на домен более не работаетpublications/drafts/pki-draft.pdf
81. RiskMetrics. Technical Document. Third edition, JP Morgan, 1995.
82. Risk Management Principles for Electronic Banking BIS Basel Committee on Banking Supervision, May 2001.
83. Roger Clarke. Conventional Public Key Infrastructure: An Artefact Ill-Fitted to the Needs of the Information Society, 13/11/00, Ссыка на домен более не работаетpeople/Roger.Clarke/ll/PKIMisFit.html
84. Roger Clarke. Message Transmission Security (or 'Cryptography in Plain Text'), 1998, Ссыка на домен более не работаетpeople/Roger.Clarke/ll/CryptoSecy.html
85. Stefan Brands. Rethinking Public Key Infrastructures and Digital Certificates; Building in Privacy. The MIT Press, August 2000.
86. The New Basel Capital Accord: An Explanatory Note, Basel Committee on Banking Supervision, January 2001.
87. Western Europe Pulls Ahead of United States, IDC Newsletter, 03 января 2002, Ссыка на домен более не работаетgetdoc.jhtml?containerld=ebt20020103
Похожие диссертации
- Управление рисками при построении корпоративной информационной системы
- Методология обеспечения конкурентоспособности системы управления сетевой предпринимательской структуры на основе целевой рекламы
- Теоретические и методические предпосыки проектирования системы управления инновационным развитием бизнес-процессов организации
- Развитие страхования инвестиций в регионе
- Хеджирование рисков инвесторов фьючерсами и опционами