Роль специалиста при защите информации

Довольно часто меня спрашивают: почему вообще возникает вопрос о наличии какой-то лицензии при защите персональных данных внутри организации?
Опуская вопрос о том, что считать собственными нуждами и что делать когда у нас на руках десяток ЗАО-ООО выполняющих узкоспециальные задачи, попробуем понять зачем нужен профильный специалист по защите информации. 
Начну из далека - 94-ФЗ, а именно электронных аукционов. Совсем недавно ко мне обратилась фирма, которая выиграла аукцион, их полностью устраивали условия контракта и цена, но не смогла подписать контракт из-за технической ошибки и сейчас она (фирма) находится в списке недобросовестных поставщиков, потерянным обеспечением аукциона в электронной форме и непонятными перспективами самого контракта. Реализация рисков, как говорится, на лицо.
После недолгих переговоров по телефону я понял, что произошла тривиальная вещь - ушел в отпуск обученный специалист по аукционам в электронной форме. Девушка отработала все шаги включая саму процедуру торгов и поле этого передала процесс назначенному заместителю, который в 94-ФЗ разбирается, скажем так, не полностью. Инструкции звучали примерно так: через несколь дней нам пришлют контракт, который надо проверить, подписать электронной подписью и отправить на электронную площадку. Все было вроде бы понятно, только человек ждал письмо на ящик корпоративной электронной почты, а не проверял ящик на площадке. В результате пропустил срок подписания контракта (о котором не знал) и принес убытки фирме и не понятные перспективы специалисту по госзакупкам, т.к. фирме грозит мораторий на госзакупки на 3 года. 
К чему рассказ? Объем знаний связанных с процедурой аукциона в электронной форме укладывается в 4-7 часовой тренинг. Объем нормативной документации касающийся самой процедуры аукциона составляет 22 страницы формата А4, а сам закон – 115. При этом, в отличии от 152-го, нет подзаконных актов, регламентов контролеров, смежного законодательства, вносящего существенные коррективы и прочего, прочего, прочего. Структура рельсовая, сворачивать некуда, каждый этап прописан соответствующей статьей. И в этой, идеальной ситуации, ответственный специалист не справляется с возложенной на него задачей. И Вы хотите, что бы Ваш кадровик, за 5-7 часов осознал бы проблему защиты информации, отрасль ИТ в целом и смог принимать хоть сколько-то обоснованные решения?
Осведомленность в вопросах информационной безопасности подавляющего числа системных администраторов оставляет желать лучшего. До сих пор встречаются представители, которым необходимо доказывать необходимость наличия антивируса на серверах. Я уже не говорю о дискуссиях, о необходимости пускать трафик закрытых разделов корпоративных порталов по https. Есть не одно весьма печальное исследование о стойкости паролях административных аккаунтов.
Уверен, что требование наличия лицензии на ТЗКИ в современной редакции избыточно, но наличие, как минимум одного специалиста по защите информации необходимо. Или организации надо задуматься об Outsoursing информационной безопасности у лицензиата.