Читаем IT-безопасность: стоит ли рисковать корпорацией? полностью

Этот и другие подобные ему случаи, вероятно, будут возникать все чаще по мере того, как компании будут страдать от отключения их от пользователей и кражи информации, вызываемых «дырами» в безопасности.»[64] (курсив автора).

В том случае, если на компанию подан иск на основании одного или более таких прецедентов или если компания сама понесла внутренние убытки от бреши в безопасности (простои, кража интеллектуальной собственности и т. д.), то должностные лица компании или директоры могут быть привлечены к ответственности за невыполнение возложенных на них обязанностей. В соответствии с этими обязанностями перед компанией и акционерами директоры и должностные лица должны защищать имущество компании. Ученые-юристы предложили, чтобы должностные лица и директоры защищали информационные фонды компаний в той же степени, как и физическое имущество:

Обязанности по защите информационных фондов закрепляются законодательно в возрастающих по количеству федеральных актах. Раздел III.А «Правил» GLBA требует от совета директоров принятия политики безопасности для их организации, а затем и: «… надзора за разработкой, осуществлением и поддержкой программы обеспечения безопасности информации банка, при этом руководство должно определять конкретные обязанности по ее осуществлению и рассматривать предоставленные менеджерами отчеты».[65]

В соответствии с Разделом III.F «Правил» совет директоров после первоначального утверждения должен затем ежегодно пересматривать программу обеспечения безопасности.

Хотя некоторые из финансовых учреждений попросили федеральные органы убрать из «Правил» пункты, касающиеся ответственности совета директоров, им было в этом отказано. В официальном комментарии к «Правилам» разъясняется, почему федеральные органы потребовали ответственности совета директоров за обеспечение информационной безопасности: