Текст книги "IT-безопасность: стоит ли рисковать корпорацией?"
Автор книги: Линда Маккарти
сообщить о нарушении
Текущая страница: 17 (всего у книги 22 страниц)
Заключительные слова
Ежедневно миллионы предпринимателей вкладывают свои надежды и мечты в почтовые послания, которые затем отправляют в плавание по Интернету. Если они делают это, не применяя шифрования, то, следовательно, забывают о всякой осторожности.
Применение технологий шифрования для ваших деловых сообщений по электронной почте является одной из самых легких и самых важных мер предосторожности для сохранения в тайне ваших секретных планов.
Наконец, не дайте себя застать врасплох, не обеспечив несколько уровней защиты от угроз. Электронная почта предоставляет противнику легкий способ засылки вирусов, «червей», «троянских коней» в вашу компанию. Для вредоносных программ существует много различных способов входа в вашу корпоративную сеть, и вам нужно оценивать вашу способность по предотвращению и защите как от известных угроз, так и от неизвестных.
Глава 11
Оглядываясь назад: что будет дальше?
Хотя в их стране главное внимание сосредоточено на безопасности, в действительности американские предприниматели не вкладывают средства в устранение «дыр» в системах своей защиты. Похоже, они ждут «событий большого эмоционального значения» – например, утраты информации кредитных карточек клиентов для получения повода к вложению таких средств. Проблема состоит в том, что они могут получить этот повод слишком поздно.
Джон Кирби, директор по стратегиям защиты предприятий, безопасности и обеспечению тайны, информационным технологиям предприятий, Electronic Data Systems (EDS)
Некоторые изменения происходят так быстро, что трудно определить, как обеспечивать безопасность в таких условиях. Именно такая проблема возникает перед организациями, когда они начинают осваивать современные технологии и выяснять, какие уязвимые места в них имеются.
Руководство компании Costa Corp, в которой я проводила свой первый аудит по контракту, было вынуждено проводить его из-за произошедшего у них взлома, в результате которого была украдена и опубликована важная финансовая информация. Аудит безопасности, проведенный несколькими годами раньше, показал, что в системах не заделывались «дыры», они были уязвимы для атак и нуждались в защите и контроле. Тем не менее руководство никогда не выполняло рекомендаций аудита по устранению этих нарушений.
Хотя в Costa Corp проводилась оценка рисков, у них просто не было сотрудников, знающих, как обеспечивать безопасность систем. Поэтому системы оставались незащищенными и уязвимыми для атак. Мой аудит, проведенный через несколько лет после этого, показал, что эти системы по-прежнему подвергались риску: патчи, повышающие безопасность, не были установлены, пароли можно было легко угадать, не были отключены лишние службы, и нарушений безопасности стало больше, чем было выявлено при предыдущей оценке.
Взлом и потеря финансовой информации открыли глаза высшему руководству на эту проблему. Как правило, неавторизованный доступ и раскрытие конфиденциальной информации заставляют генерального директора или финансового директора лучше понимать вопросы безопасности. Проведенная мной оценка показала, что риски будут оставаться и даже увеличиваться, если не будет профинансировано принятие мер по укреплению защиты. Руководство вскоре выделило средства на мероприятия по улучшению безопасности (такие, как программные инструменты, расширение штата, обучение, политики[56]56
То есть правила, которые необходимо выполнять для обеспечения безопасности. – Примеч. пер.
[Закрыть] и средства контроля). Оно не ограничилось простым выделением средств, но проявило решимость в осуществлении этих мероприятий и повседневной поддержке безопасности.
Руководство ввело жесткую политику обеспечения настройки и поддержки безопасности систем. В качестве эффективного стимула для владельца каждой системы эта политика устанавливала, что если при тестировании системы в ней будут обнаружены уязвимые места, то либо они будут устранены в течение 48 часов, либо система будет отключена от сети. Эту политику поддерживал директор по информационным технологиям, и за ее выполнением следили по всей компании. Политики нуждаются в поддержке руководства, иначе они становятся бесполезными.
Когда пришел новый директор по информационным технологиям, то у него оказались другие взгляды на безопасность, Старый директор был приверженцем политики «соответствуй-или-умри», то есть либо ваша система соответствует политике, либо ее выбрасывают из сети. Такая политика стимулирует обеспечение безопасности, но требует, чтобы ее придерживались на всех уровнях компании. В каждой организации должны быть цели по обеспечению безопасности: должно проводиться обучение для того, чтобы люди поняли, как защитить свои системы; должны использоваться инструменты для тестирования, контроля и поддержки безопасности; люди должны тестировать и защищать свои системы и т. д. Так как новый директор по информационным технологиям не поддерживал эту политику, то многие системы сети со временем стали менее защищенными. Кроме того, он не сделал обеспечение безопасности корпоративной целью. Когда в бюджете не нашлось средств на осуществление важных инициатив в области электронной коммерции, то ради них было отложено приобретение инструментов обнаружения вторжения и тестирования безопасности. Таким образом, компания «перекачала» ресурсы из бюджета безопасности в бюджет поддержки деловых целей компании.
Риск для всей корпорации
Проведенная мной в 2002 году оценка состояния безопасности показала, что появилась новая угроза для организаций в целом, которая может представлять предмет серьезного беспокойства. Она заключается в том, что руководство не обращает внимания на некоторые основные меры по обеспечению безопасности. Так, например, две главные ошибки, допущенные компанией Costa Corp, состояли в следующем: 1) она не требовала выполнения своих политик; 2) она позволила руководству нарушать политики безопасности и не вникать в риск, создаваемый при этом для компании в целом.
В компании Costa Corp выработалась практика исключений, которая позволяла руководству игнорировать меры безопасности ради деловых целей. Однако нет уверенности в том, что руководитель, подписавшийся под подобным исключением, действительно понимал требования безопасности. Предоставление руководителям, не понимающим таких требований, права игнорировать меры безопасности уже само по себе представляет риск. При таких обстоятельствах некоторые руководители узаконят подобные исключения, не понимая, какой ущерб они могут причинить.
В Costa Corp была также разработана политика подключения к Интернету, определяющая, что подключение любой системы к Интернету должно разрешаться руководством и должно соответствовать правилам установки подключения, разработанным группой обеспечения безопасности. Эта политика была хорошо написана, такими же хорошими были и правила, определяющие обеспечение защиты системы и ее тестирование перед подключением к Интернету. Тот, кто разработал политику и правила, разбирался в вопросах безопасности. Но в погоне за деловыми целями тем не менее некоторые из подразделений компании полностью проигнорировали эту политику. Они установили веб-серверы в Интернете, не получив разрешения высшего руководства и не установив средств защиты.
Руководство компании обнаружило эту проблему тогда, когда один из ее международных веб-серверов был взломан. Хакер исказил внешний вид веб-сайта и подорвал общественную репутацию Costa Corp. Получилось так, что проблема оказалась гораздо большей, чем просто неправильное подключение веб-сервера к Интернету. Расследование, проведенное группой обеспечения безопасности Costa Corp, показало, что через серверы компании к Интернету было подключено более 400 систем. Группа безопасности не знала, кто подключил эти системы или кто ими владел. У многих систем не было настроек безопасности, поэтому их легко было взломать из Интернета.
Даже если сотрудники компании проигнорировали ее политики и подключили незащищенные веб-серверы к Интернету, компания все равно остается ответственной за эти системы, которые могут быть использованы для запуска атак против других компаний. Атаки из систем таких беспечных владельцев происходят каждый день. Хакеры используют сотни и тысячи скомпрометированных систем для запуска атак против других систем и сетей. Не так давно при помощи атак по типу «отказа от обслуживания» были обрушены несколько высокопрофессиональных сайтов, таких, как сайты Yahoo, Inc. и EBay, Inc. В этих атаках серверы или сети «наводняются» бесполезным трафиком, и законные пользователи больше не могут получать доступа к их ресурсам. Подобные атаки все еще представляют значительную угрозу безопасности. Такие атаки демонстрируют, как хакеры могут использовать ваши машины для нападения на другие системы и сети.
Два года назад тинейджером, проживающим в Модесто, штат Калифорния, была предпринята атака, которая не получила широкой огласки. Он получил доступ к системам регулирования слива воды одной из канадских плотин. Правоохранительные органы успели его поймать до того, как он успел что-либо наделать, но что было бы, если им не удалось его схватить?
Представьте себе, что этот тинейджер, взломавший незащищенный веб-сервер, принадлежавший компании Fortune 500, и получивший доступ к системе слива канадской плотины, открыл бы ее и затопил населенные пункты ниже плотины, вызвав ущерб в миллионы долларов и гибель 300 жителей. Позвольте теперь сказать, что хотя правоохранительные органы и не всегда могут определить след, ведущий к такому тинейджеру, они все же способны выйти на след компании Fortune 500, которой принадлежит этот веб-сервер, использовавшийся для запуска атаки. При этом можно было бы задать такие вопросы:
1. Почему системы компании Fortune 500 оставались незащищенными и бесконтрольными, вследствие чего их можно было бы использовать для атаки против канадской плотины?
2. Почему канадская плотина была подключена к Интернету так, что взломщик мог бы, в конце концов, получить неавторизованный доступ к ее системе управления сливом?
3. Кто должен был бы понести ответственность за возможные последствия?
4. Являетесь ли вы членом правления или руководителем высшего уровня компании Fortune 500?
5. Понимает ли ваша команда юристов, что такое безопасность?
Сегодня незащищенные системы повсюду используются для атак на любые цели. Вашей обязанностью как руководителя является не допустить, чтобы эти системы оказались вашими. Также нельзя допускать атак, исходящих из сети партнера, которые могут быть приписаны вам. Убедитесь, что у вас имеются все надлежащие средства безопасности для обнаружения атаки и защиты сети. Директоры и должностные лица по закону должны охранять информационные фонды корпораций. В случае, если нарушение безопасности сети причиняет вред, владеющая ей организация и ее руководители могут подвергнуться судебному преследованию. Сегодня уже имеются реальные судебные дела.
В следующем разделе главы Дэн Дж. Лэнджин, юрист из Канзаса, обсуждает реальные правовые действия, связанные с ответственностью руководителей и нарушениями в обеспечении безопасности сетей.
Юридические обязанности по защите информации и сетей
Хотя гипотетическая ситуация с канадской плотиной покажется вам довольно необычной, возможность поиска виновных может оказаться не столь притянутой за уши. Когда вред личности причинен неустановленными третьими лицами (или неподсудными, например, неплатежеспособными лицами), то суд распространяет ответственность на другого, более платежеспособного, ответчика, чьи действия или бездействие сделали возможным причинение вреда потерпевшему этими третьими лицами с использованием имущества, принадлежащего ответчику. Первыми подобными случаями в судебной практике являются дела в отношении владельцев помещений. В этих случаях жертвы ограблений, хулиганства и других преступлений, совершенных в мотелях, квартирах или универмагах, подали иски на владельцев и менеджеров этих помещений за то, что они не обеспечили должную безопасность или не предупредили потерпевших о рисках, которым они подвергались, входя в эти помещения. В этих судебных процессах истцы преследуют представителей делового мира, чьи карманы значительно глубже и которых легче найти, чем преступника, совершившего преступление в отношении истцов. Общим аргументом на таких процессах для подтверждения судебной ответственности предпринимателей являлось то, что они были обязаны предотвратить причинение истцу вреда, так как присутствие преступников (и возможного вреда для потерпевшего) было предсказуемым.
Приведенные ниже примеры (процессы Exigent и С. I. Host) показывают, что истцы уже возбуждали иски против третьих сторон, чьи сети, после того как были скомпрометированы, были использованы для запуска атак против потерпевших. К сожалению, в сложившейся после 11 сентября ситуации вопрос «предсказуемости» приобрел новый смысл. В статье в New York Law Journal приводится большой перечень юридических лиц, против которых потерпевшие могут возбуждать иски, связанные с атаками террористов 11 сентября, при условии, если они отказались от своих прав на возмещение ущерба из Фонда компенсации жертвам 11 сентября 2001 года (September 11th Victim Compensation Fund of 2001):[57]57
Kreindler, "Pros and Cons of Victims Funds", New York Law Journal, November 28,2001.
[Закрыть]
«Возможными ответчиками являются American Airlines и United Airlines и различные компании и организации, которые участвовали в обеспечении безопасности угнанных самолетов, компании Argenbright, Globe Aviation Services, Huntleigh USA Corp., Massport, администрация портов New York и New Jersey (которые приказали некоторым из сотрудников башен-близнецов вернуться за свои рабочие столы), администрация аэропортов New Jersey и Metropolitan Washington и правительство США за действия службы управления воздушным движением)».
Как замечает автор данной статьи, даже в создаваемых законом о фонде компенсации условиях неопределенности исхода процесса для истца при преследовании этих ответчиков, на время написания статьи был уже возбужден, по меньшей мере, один процесс против United Airlines.[58]58
Дело Mariani против United Airlines, Inc., зарегистрировано в окружном суде США по южному округу Нью-Йорка. – Прим. автора.
[Закрыть]
С позиции предсказуемости атаки хакеров (количество которых увеличивается с каждым годом) «дыры» в информационной безопасности могут вызывать для корпораций серьезные правовые проблемы, касающиеся претензий к третьей стороне, в результате действия или бездействия которой к ответственности могут быть привлечены директор или другое должностное лицо. Иски к третьей стороне могут подаваться на основании нарушений условий контрактов, нарушений законодательных актов, предписывающих принятие мер по защите информации, или на основании правовых понятий, таких, как халатность. Взыскание в полном объеме убытков по таким искам с третьей стороны (или прямых убытков имуществу компаний, если иски к третьей стороне не будут удовлетворены) может приводить к искам против должностных лиц и директоров компаний за невыполнение своих обязанностей, доверенных им корпорацией или акционерами.
Процессы, возбуждаемые из-за нарушений условий контракта, вероятнее всего, будут опираться на пункты контрактов, предусматривающие соблюдение конфиденциальности и обеспечение безопасности информации, которую компания получает от другой стороны, то есть клиента, поставщика или партнера по бизнесу. В действительности, все соглашения по оказанию услуг, поставок программного обеспечения, экономическому объединению, совместным предприятиям и по неразглашению информации содержат пункты, касающиеся соблюдения конфиденциальности. Эти пункты требуют от каждой стороны защищать совместно используемую информацию и оговаривают, что в случае несоблюдения этого условия одной из сторон другая сторона освобождается от ответственности за убытки, причиненные таким нарушением договора. Если неразборчивая в средствах третья сторона получит доступ к конфиденциальной информации другой стороны, переданной стороне-получателю, то сторона-получатель, хранящая информацию в электронном виде и не обеспечившая ее должную защиту, несет за это ответственность. Например, если компания А передает секретную формулу или проект компании В по соглашению о совместном предприятии, в котором содержится пункт о конфиденциальности, то компания В несет ответственность перед компанией А в случае, если третья сторона взломает сеть компании В и обнаружит (или украдет) секретную формулу или проект компании А.
Хотя такие пункты контрактов были изобретены еще в дни, когда конфиденциальная информация передавалась в бумажном виде и хранилась в запертых шкафах, они важны и для наших дней, когда все больше конфиденциальной информации предается и хранится в электронном виде. В условиях, когда электронный «взлом» может быть сделан более скрытно и требовать меньше усилий, чем взлом физический, сегодня записи с конфиденциальной информацией подвергаются большему риску, чем в прошлом.
Другими обстоятельствами, при которых нарушение безопасности может быть причиной привлечения к ответственности за нарушение условий контракта, могут быть ситуации предоставления услуг хостинга, или совместного размещения информации. При этом контракт с компанией, предоставляющей хостинг, предусматривает обеспечение определенного уровня безопасности (даже если он назван «приемлемым уровнем безопасности»). Такие пункты контракта встречаются все чаще, так как хостинговые компании пытаются выделить себя на рынке, предлагая заключить соглашение об уровне услуг, то есть о предоставлении «безопасного хостинга».
Второе вероятное основание для привлечения к ответственности создают многочисленные новые федеральные акты, требующие от компаний обеспечивать приемлемые меры безопасности для существенной конфиденциальной информации, как, например, в области здравоохранения и финансовых услуг. Акт о пересылке и учете информации страхования здоровья HIPAA (Health Insurance Portability and Accountability Act), Акт Грэмма-Лича-Блайли GLBA (Gramm-Leach-Bliley Act) и другие федеральные акты требуют от компаний применять усиленные меры защиты существенной конфиденциальной информации. Правила безопасности (Security Regulations) в HIPAA требуют от всех участвующих сторон (провайдеров медицинских услуг – Health Care Providers, планировщиков страхования здоровья – Health Plans и посредников в области здравоохранения-Health Care Clearinghouses) обеспечивать безопасность закрытой информации о состоянии здоровья (названной Protected Health Information, или PHI) внедрением у себя «четырехугольной» модели безопасности ("four-corner" security model). Эта модель включает административные меры безопасности, физические меры безопасности, технические сервисы безопасности и технические механизмы безопасности.[59]59
42 CFR 142.306 (Свод федеральных актов США. – Примеч. пер.)
[Закрыть] Акт GLBA касается финансовой информации клиентов, получаемой финансовыми учреждениями и хранящейся ими (как, например, банками, сберегательными и кредитными организациями). Акт GLBA и вводимые им правила («Межведомственные правила, устанавливающие стандарты по охране информации о потребителях» – "Interagency Guidelines Establishing Standards for Safeguarding Customer Information, или просто «Правила» – "Guidelines") содержат стандарты по мерам безопасности, названные «мерами безопасности для финансовых учреждений» ("financial institution safeguards").[60]60
Опубликовано в Federal Register, Vol. 66, No. 22, February 1,2001, pp. 8616–8641.
[Закрыть] Раздел III.С.1 «Правил» устанавливает, что учреждения, на которые правила распространяются, должны предусматривать следующие меры безопасности для финансовой информации клиентов:
a) контроль доступа к системам с информацией клиентов;
b) ограничение доступа к местам физического размещения информации клиентов;
c) шифрование электронной информации клиентов;
d) процедуры, обеспечивающие отсутствие влияния модификации систем на безопасность;
e) процедуры двойного контроля, разделение обязанностей и личные проверки персонала;[61]61
Employee background checks – проверки «лояльности» сотрудников. – Примеч. пер.
[Закрыть]
f) системы обнаружения реальных атак на системы с информацией клиентов или их взлома;
g) программы реагирования, определяющие действия при неавторизованном доступе;
h) защиту от физического уничтожения или повреждения информации клиентов.
Третьим возможным основанием для привлечения к ответственности являются правовые понятия, такие, как халатность. Исходя из правовых понятий, таких, как ответственность за качество продукции или ответственность владельцев помещений, сторона может быть привлечена к ответственности на основании того, что ее продукция или помещения были использованы другой стороной для причинения вреда третьей стороне. Многие из таких правовых понятий становятся правовыми нормами (прецедентами) после того, как суды установят устойчивый характер вреда – например, причинами распространенности ответственности за качество продукции являются промышленная революция и недоброкачественно спроектированная продукция. Если из этих исторических событий будет сделан вывод, то суды начнут использовать прецедент, заключающийся в том, что сторона может быть привлечена к ответственности за вред, причиненный системам другой стороны вследствие неспособности первой стороны поддерживать надлежащую безопасность информации.
Действительно, такие дела уже ведутся в судах. Exigent (компания по разработке программного обеспечения) подала иск в Европе против немецкого университета и шведской хостинговой компании после того, как хакер взломал сеть Exigent и украл конфиденциальный исходный код, используя для этого учетную запись в немецком университете и системы Интернет-провайдера.[62]62
Computer Security Institute, 2001 CSI/FBI Computer Crime and Security Survey at p. 7.
[Закрыть] В США, техасская компания C.I. Host подала иск на компанию Exodus, серверы которой были использованы для запуска нескольких атак по типу «отказ от обслуживания» против C.I. Host. Журналист, комментирующий этот процесс, удачно подметил, какое воздействие оказало дело против Exodus на эти компании:[63]63
"See You In Court," CIO Magazine at p. 62 (November 1,2001).
[Закрыть]
«Юристы C.I. Host убедили судью из Техаса выдать предписание на временное ограничение, предусматривающее отключение трех веб-серверов, участвовавших в атаке, до тех пор, пока обе компании не убедятся, что уязвимые места закрыты. В этом запутанном и темном деле были стравлены не соперник с соперником, а жертва с жертвой. Хотя атаки продолжались только пару дней, чтобы закрыть это дело потребовалось семь месяцев высокооплачиваемого труда юристов, не говоря уже о затраченных времени и энергии.
Этот и другие подобные ему случаи, вероятно, будут возникать все чаще по мере того, как компании будут страдать от отключения их от пользователей и кражи информации, вызываемых «дырами» в безопасности.»[64]64
См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix В to Part 30.
[Закрыть] (курсив автора).
В том случае, если на компанию подан иск на основании одного или более таких прецедентов или если компания сама понесла внутренние убытки от бреши в безопасности (простои, кража интеллектуальной собственности и т. д.), то должностные лица компании или директоры могут быть привлечены к ответственности за невыполнение возложенных на них обязанностей. В соответствии с этими обязанностями перед компанией и акционерами директоры и должностные лица должны защищать имущество компании. Ученые-юристы предложили, чтобы должностные лица и директоры защищали информационные фонды компаний в той же степени, как и физическое имущество:
«Главная обязанность [по обеспечению безопасности информации] лежит на руководстве, и неспособность добросовестно выполнять эту обязанность может приводить к персональной ответственности должностных лиц и директоров. Стандартом для юридического заключения может стать «должное старание» ("due diligence"): его нужно проявлять при обеспечении безопасности компании в такой же степени, как и при покупке самой компании.» (курсив автора). – Esther Roditti, Computer Contracts, Sec. 15:03[1], стр. 15–25 (Matthew Bender, 1999).
Обязанности по защите информационных фондов закрепляются законодательно в возрастающих по количеству федеральных актах. Раздел III.А «Правил» GLBA требует от совета директоров принятия политики безопасности для их организации, а затем и: «… надзора за разработкой, осуществлением и поддержкой программы обеспечения безопасности информации банка, при этом руководство должно определять конкретные обязанности по ее осуществлению и рассматривать предоставленные менеджерами отчеты».[65]65
См., например, «Правила» (Guidelines), утвержденные Office of Comptroller of the Currency, at 12 CFR I, Appendix В to Part 30.
[Закрыть]
В соответствии с Разделом III.F «Правил» совет директоров после первоначального утверждения должен затем ежегодно пересматривать программу обеспечения безопасности.
Хотя некоторые из финансовых учреждений попросили федеральные органы убрать из «Правил» пункты, касающиеся ответственности совета директоров, им было в этом отказано. В официальном комментарии к «Правилам» разъясняется, почему федеральные органы потребовали ответственности совета директоров за обеспечение информационной безопасности:
«Некоторые комментаторы заявляют, что каждое финансовое учреждение должно иметь право решать самостоятельно, в каких случаях эта программа должна утверждаться советом директоров… Другие же предлагают изменить «Правила» так, чтобы от совета директоров требовалось принятие только первоначальной программы информационной безопасности с делегированием последующих пересмотра и принятия программы комитету или одному лицу. Федеральные органы полагают, что общая программа информационной безопасности финансового учреждения очень важна для безопасности и финансовой устойчивости организаций. Исходя из этого, «Правила» в окончательном их виде продолжают возлагать ответственность за принятие и осуществление надзора за выполнением этой программы на советы директоров организаций)) (курсив автора).
Здесь уместно спросить, каким образом должностные лица и директора должны выполнять свои обязанности по защите информационных фондов. Основой этих обязанностей является принцип благоразумия (prudent man rule), который требует от должностных лиц и директоров, подобно обычному благоразумному человеку, обязанному блюсти интересы компании, действовать по обстоятельствам и таким способом, который бы наилучшим образом соответствовал интересам компании и акционеров.
Должностные лица и директоры не могут, в соответствии с принципом благоразумия, полностью делегировать обязанности по обеспечению информационной безопасности директору по информационным технологиям или отделу информационных систем. Ученые-юристы, анализировавшие обязанности должностных лиц и директоров в условиях последней большой угрозы информационным технологиям (Y2K), заявляли, что «должностные лица и директоры должны будут сделать больше, чем просто положиться на план, составленный их директорами по информационным технологиям» (Scott & Reid, The Year 2000 Computer Crisis, Sec. 6.05, на стр. 6-59). Вместо этого, как указывается в официальном комментарии к «Правилам» GLBA, руководители были обязаны утвердить программу и осуществить общий надзор за ее выполнением. Делегирование может создать ситуацию, в которой руководство будет считать, что отдел информационных систем самостоятельно примет решение по обеспечению информационной безопасности от имени компании, а отдел информационных систем будет ждать указаний от руководства. Это может вызвать «аналитический паралич» ("paralysis by analysis"), при котором политики информационной безопасности никогда не будут утверждены.
В прошлых обзорах по вопросам безопасности было показано, что руководство может предпринимать действия по уменьшению риска от бреши в системе безопасности. В соответствии с обзором «2000 Security Industry Survey» журнала Information Security компании, имеющие политики информационной безопасности, с большей вероятностью могут обнаруживать атаки и реагировать на них: примерно 66 процентов компаний, имеющих политики, смогли обнаружить атаки и отреагировать на них, но без таких политик это смог сделать только 21 процент компаний. Обзор того же журнала «2001 Security Industry Survey» показал, что главным препятствием для улучшения информационной безопасности являются «бюджетные затруднения» (в первую очередь связанные с «недостаточным обучением/подготовленностью конечного пользователя»).[66]66
"2001 Security Industry Survey" Information Security magazine, at p. 44 (October 2001).
[Закрыть] Обе эти проблемы традиционно относят к обязанностям руководства. Для акционеров, правительственных органов или частных сторон судебного процесса проблема, заключающаяся в наличии в компании утвержденных надлежащих мер безопасности, будет решена уравновешенным мнением суда.[67]67
См. "Interagency Guidelines Establishing Standards for Safeguarding Customer Information and Rescission of Year 2000 Standards for Safety and Soundness", Part III, опубликовано в Federal Register, Vol. 66, No. 22, February 1, 2001, at p. 8620.
[Закрыть]