"Сертифицируй меня, если догонишь"

Сертифицировать надо на соответствие требованиям текущего момента, а не требованиям прошедшей эпохи. А в ком персонифицированы современные требования? Разве в чиновниках Минсвязи и ФСБ, многие из которых компьютер впервые увидели в руках у внука? Нет. Правильнее сказать, что текущие требования к защите выражают злохакеры и кибермошенники, которые посягают на наши компьютеры вот прям сейчас.

Таким образом, требования должны задавать не чиновники и даже не информзащитники. Их должны задавать злоумышленники. Кто из них больше денег украл – тот и главный сертификатор.

Как эта схема может реализоваться? Например, через страхование инцидентов. Какая система реже ломается, через какую меньше утекает – для той ниже взносы. Каждый инцидент должен пересматривать риски и корректировать цену страховки. Сертификаторам останется только посмотреть прайс-лист. В нём будет ответственная оценка, за которую люди ручаются своими деньгами. А чем ручаются чиновники ФСТЭК за свой сертификат?

Для корректной оценки страхуемых рисков необходим учёт инцидентовс указанием технических подробностей и украденных сумм для каждого случая. Сейчас такие инциденты скрывают по понятным причинам. От страховых компаний скрывать не станут. Но чтобы начать страхование, нужно уже иметь учёт.