Сертифицировать надо на соответствие требованиям текущего момента, а не требованиям прошедшей эпохи. А в ком персонифицированы современные требования? Разве в чиновниках Минсвязи и ФСБ, многие из которых компьютер впервые увидели в руках у внука? Нет. Правильнее сказать, что текущие требования к защите выражают злохакеры и кибермошенники, которые посягают на наши компьютеры вот прям сейчас.
Таким образом, требования должны задавать не чиновники и даже не информзащитники. Их должны задавать злоумышленники. Кто из них больше денег украл – тот и главный сертификатор.
Как эта схема может реализоваться? Например, через страхование инцидентов. Какая система реже ломается, через какую меньше утекает – для той ниже взносы. Каждый инцидент должен пересматривать риски и корректировать цену страховки. Сертификаторам останется только посмотреть прайс-лист. В нём будет ответственная оценка, за которую люди ручаются своими деньгами. А чем ручаются чиновники ФСТЭК за свой сертификат?
Для корректной оценки страхуемых рисков необходим учёт инцидентовс указанием технических подробностей и украденных сумм для каждого случая. Сейчас такие инциденты скрывают по понятным причинам. От страховых компаний скрывать не станут. Но чтобы начать страхование, нужно уже иметь учёт.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Умеешь в ИБ?
Делись! Ближайший CIRF* уже 20 мая. Мероприятие бесплатное, но надо зарегистрироваться*
