Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь право решать самостоятельно, в каких случаях эта программа должна утверждаться советом директоров… Другие же предлагают изменить «Правила» так, чтобы от совета директоров требовалось принятие только первоначальной программы информационной безопасности с делегированием последующих пересмотра и принятия программы комитету или одному лицу. Федеральные органы полагают, что общая программа информационной безопасности финансового учреждения очень важна для безопасности и финансовой устойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продолжают возлагать ответственность за принятие и осуществление надзора за выполнением этой программы на советы директоров организаций)) (курсив автора).

Здесь уместно спросить, каким образом должностные лица и директора должны выполнять свои обязанности по защите информационных фондов. Основой этих обязанностей является принцип благоразумия (prudent man rule), который требует от должностных лиц и директоров, подобно обычному благоразумному человеку, обязанному блюсти интересы компании, действовать по обстоятельствам и таким способом, который бы наилучшим образом соответствовал интересам компании и акционеров.

Должностные лица и директоры не могут, в соответствии с принципом благоразумия, полностью делегировать обязанности по обеспечению информационной безопасности директору по информационным технологиям или отделу информационных систем. Ученые-юристы, анализировавшие обязанности должностных лиц и директоров в условиях последней большой угрозы информационным технологиям (Y2K), заявляли, что «должностные лица и директоры должны будут сделать больше, чем просто положиться на план, составленный их директорами по информационным технологиям» (Scott & Reid, The Year 2000 Computer Crisis, Sec. 6.05, на стр. 6-59). Вместо этого, как указывается в официальном комментарии к «Правилам» GLBA, руководители были обязаны утвердить программу и осуществить общий надзор за ее выполнением. Делегирование может создать ситуацию, в которой руководство будет считать, что отдел информационных систем самостоятельно примет решение по обеспечению информационной безопасности от имени компании, а отдел информационных систем будет ждать указаний от руководства. Это может вызвать «аналитический паралич» ("paralysis by analysis"), при котором политики информационной безопасности никогда не будут утверждены.

В прошлых обзорах по вопросам безопасности было показано, что руководство может предпринимать действия по уменьшению риска от бреши в системе безопасности. В соответствии с обзором «2000 Security Industry Survey» журнала Information Security компании, имеющие политики информационной безопасности, с большей вероятностью могут обнаруживать атаки и реагировать на них: примерно 66 процентов компаний, имеющих политики, смогли обнаружить атаки и отреагировать на них, но без таких политик это смог сделать только 21 процент компаний. Обзор того же журнала «2001 Security Industry Survey» показал, что главным препятствием для улучшения информационной безопасности являются «бюджетные затруднения» (в первую очередь связанные с «недостаточным обучением/подготовленностью конечного пользователя»).[66] Обе эти проблемы традиционно относят к обязанностям руководства. Для акционеров, правительственных органов или частных сторон судебного процесса проблема, заключающаяся в наличии в компании утвержденных надлежащих мер безопасности, будет решена уравновешенным мнением суда.[67]

Из обзора Дэна Лэнджина в предыдущем разделе становится ясным, что против компании, неспособной обеспечить безопасность, могут быть предприняты меры правового воздействия. Но даже когда над головой нависает угроза судебного преследования, безопасность часто откладывается на более позднее время — после того, как сеть будет установлена, после того, как будет создана база данных, после того, как будет разработано программное обеспечение, после того, как серьезная атака нанесет ущерб. И после того, как защита не сработает, основные препятствия для создания защиты обычно связывают с ролью руководства, не обеспечившего, например, должного финансирования, обучения и разработки политик.