Регулирование безопасности

Так всегда бывает, что человечество сначала придумывает какую-то гениальную идею, потом строит вокруг этой идеи технологию, индустрию, рынок, и только много позже, в ходе использования всего этого замечательного инновационного великолепия, обнаруживает жуткие побочные эффекты, с которыми в дальнейшем героически борется. Так было с ядерной энергией, электричеством, ТНТ и паровым двигателем. Так же пошли дела и с Интернетом.

В борьбе с побочными эффектами, или, как мы их здесь называем, рисками, тоже наблюдается одна закономерность. Вначале с рисками сражаются отдельные группы людей: предприятия, общины, селения, а потом в борьбу вступают правительства, то есть, политики. Политики не выдумывают ничего нового. Отчасти потому, что это не их задача. Отчасти от того, что от политиков требуется немедленное и эффектное действие, на подготовку и детальное продумывание которого обычно времени нет. Для формирования быстрого решения политики прибегают к помощи советников и лоббистов: людей, знающих жизнь, то есть, обладающих деньгами. Эти люди уже кое-как, худо-бедно справились с рисками на уровне своих предприятий и могут поделиться наработками. Наработки эти проходят несколько раундов мутаций, окончательно обезображивающих изначальную идею. Так рождается государственное регулирование.

Об эффективности регулирования в области информационной безопасности можно рыдать очень и очень долго. Недостатков множество: начиная от нередкой откровенной некомпетентности авторов, заканчивая статичностью и отсутствием гибкости их произведений. Как следствие, требования регуляторов зачастую оторваны от реальности, да и выходят в окончательной редакции заведомо морально устаревшими. Но знаете что? Оказывается, есть выход.

Основные недостатки кроются в корне подхода к регулированию. Пусть регуляторы называют свои опусы требованиями, на самом-то деле мы все прекрасно знаем, что это никакие не требования. Это руководства к действию. От нас требуют не то, что нам нужно сделать, а то, какнам это нужно сделать. На мой взгляд, в этом состоит причина сложившегося положения вещей.

Регулировать нужно не методы, а цели. Если совсем коротко, требовать нужно соблюдения безопасности данных и процессов, а наказывать -- за фактические нарушения этой безопасности. Допустил утечку данных? Изволь компенсировать нанесенный их владельцам  ущерб и отчислить в казну существенный штраф. Простой в предоставлении важной услуги? И тебя тем же концом по тому же месту. А как защищаться от подобных издержек пусть каждый решает самостоятельно. Может СУИБ внедрить или СЗИ построить. А может договориться со страховой компанией, кстати, давно пора развивать этот рынок страховых услуг.

В общем, по моему скромному мнению, пора прекратить рассказывать людям, как им делать их работу, и поставить перед ними четкие цели да наладить механизмы взысканий за провалы в их достижении.

P.S. Конечно же, я имею в виду государственное регулирование коммерческой и общественной деятельности. Обработка государственной тайны и прочей классифицированной информации должна оставаться в ведении державы и это уже совсем другая история.

Vlad Styran

информационно. безопасно.*