Линда Маккарти - IT-безопасность - стоит ли рисковать корпорацией?

«Юристы C.I. Host убедили судью из Техаса выдать предписание на временное ограничение, предусматривающее отключение трех веб-серверов, участвовавших в атаке, до тех пор, пока обе компании не убедятся, что уязвимые места закрыты. В этом запутанном и темном деле были стравлены не соперник с соперником, а жертва с жертвой. Хотя атаки продолжались только пару дней, чтобы закрыть это дело потребовалось семь месяцев высокооплачиваемого труда юристов, не говоря уже о затраченных времени и энергии.

Этот и другие подобные ему случаи, вероятно, будут возникать все чаще по мере того, как компании будут страдать от отключения их от пользователей и кражи информации, вызываемых «дырами» в безопасности.» [64] См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix В to Part 30. (курсив автора).

В том случае, если на компанию подан иск на основании одного или более таких прецедентов или если компания сама понесла внутренние убытки от бреши в безопасности (простои, кража интеллектуальной собственности и т. д.), то должностные лица компании или директоры могут быть привлечены к ответственности за невыполнение возложенных на них обязанностей. В соответствии с этими обязанностями перед компанией и акционерами директоры и должностные лица должны защищать имущество компании. Ученые-юристы предложили, чтобы должностные лица и директоры защищали информационные фонды компаний в той же степени, как и физическое имущество:

«Главная обязанность [по обеспечению безопасности информации] лежит на руководстве, и неспособность добросовестно выполнять эту обязанность может приводить к персональной ответственности должностных лиц и директоров. Стандартом для юридического заключения может стать «должное старание» ("due diligence"): его нужно проявлять при обеспечении безопасности компании в такой же степени, как и при покупке самой компании.» (курсив автора). — Esther Roditti, Computer Contracts, Sec. 15:03[1], стр. 15–25 (Matthew Bender, 1999).

Обязанности по защите информационных фондов закрепляются законодательно в возрастающих по количеству федеральных актах. Раздел III.А «Правил» GLBA требует от совета директоров принятия политики безопасности для их организации, а затем и: «… надзора за разработкой, осуществлением и поддержкой программы обеспечения безопасности информации банка, при этом руководство должно определять конкретные обязанности по ее осуществлению и рассматривать предоставленные менеджерами отчеты». [65] См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix В to Part 30.

В соответствии с Разделом III.F «Правил» совет директоров после первоначального утверждения должен затем ежегодно пересматривать программу обеспечения безопасности.

Хотя некоторые из финансовых учреждений попросили федеральные органы убрать из «Правил» пункты, касающиеся ответственности совета директоров, им было в этом отказано. В официальном комментарии к «Правилам» разъясняется, почему федеральные органы потребовали ответственности совета директоров за обеспечение информационной безопасности:

«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь право решать самостоятельно, в каких случаях эта программа должна утверждаться советом директоров… Другие же предлагают изменить «Правила» так, чтобы от совета директоров требовалось принятие только первоначальной программы информационной безопасности с делегированием последующих пересмотра и принятия программы комитету или одному лицу. Федеральные органы полагают, что общая программа информационной безопасности финансового учреждения очень важна для безопасности и финансовой устойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продолжают возлагать ответственность за принятие и осуществление надзора за выполнением этой программы на советы директоров организаций)) (курсив автора).

Здесь уместно спросить, каким образом должностные лица и директора должны выполнять свои обязанности по защите информационных фондов. Основой этих обязанностей является принцип благоразумия (prudent man rule), который требует от должностных лиц и директоров, подобно обычному благоразумному человеку, обязанному блюсти интересы компании, действовать по обстоятельствам и таким способом, который бы наилучшим образом соответствовал интересам компании и акционеров.

Должностные лица и директоры не могут, в соответствии с принципом благоразумия, полностью делегировать обязанности по обеспечению информационной безопасности директору по информационным технологиям или отделу информационных систем. Ученые-юристы, анализировавшие обязанности должностных лиц и директоров в условиях последней большой угрозы информационным технологиям (Y2K), заявляли, что «должностные лица и директоры должны будут сделать больше, чем просто положиться на план, составленный их директорами по информационным технологиям» (Scott & Reid, The Year 2000 Computer Crisis, Sec. 6.05, на стр. 6-59). Вместо этого, как указывается в официальном комментарии к «Правилам» GLBA, руководители были обязаны утвердить программу и осуществить общий надзор за ее выполнением. Делегирование может создать ситуацию, в которой руководство будет считать, что отдел информационных систем самостоятельно примет решение по обеспечению информационной безопасности от имени компании, а отдел информационных систем будет ждать указаний от руководства. Это может вызвать «аналитический паралич» ("paralysis by analysis"), при котором политики информационной безопасности никогда не будут утверждены.