Про опыт регулирования «снизу». Почему не работают основополагающие принципы?

Про опыт регулирования «снизу». Почему не работают основополагающие принципы?

Вопросы, поднятые в статье А. П. Курило, назрели давно и, безусловно, нуждаются в обсуждении и поиске возможных решений на разных уровнях. Многие указанные Андреем Петровичем проблемы созвучны тем, у кого душа болит не только за свой карман и интересы организации (место работы), но и за страну в целом.

Централизация управления защитой информации в стране – мечта многих специалистов ИБ, но, к сожалению, мечта почти несбыточная. Если создавать такой орган, надо слишком многое менять. Всем уполномоченным органам, которые перечислены в статье А. П. Курило, законодательно переданы вполне определённые задачи по принципу «всем сёстрам по серьгам». Чтобы объединить эти заполненные «поляны», надо создавать орган, которому будут подчиняться все. Возможно ли это? Наверное, да, но для этого должна быть воля руководителя самого высокого ранга и достаточно много времени на подготовку такого преобразования.

Куда проще попробовать решить часть озвученных в статье проблем на гораздо более низком уровне. Коротко расскажу историю. В марте 2015 года было создано некоммерческое партнёрство СОИБ (содействие организациям, работающим в сфере ИБ), которое планировалось перевести в СРО (саморегулируемая организация). Я возглавлял НП СОИБ до недавнего времени. Идея регулирования рынка на низшем уровне была простая. В первую очередь это защита интересов служб информационной безопасности: помощь в подготовке независимых требований к конкурсам, сито для допуска к конкурсу только компаний, которые смогут выполнить работы на высоком профессиональном уровне и с необходимым уровнем качества, консалтинг, подбор аутсорсеров и т. д.

Во вторую очередь планировалось помогать регуляторам в подготовке проектов актуальных методических и нормативных актов, снабжать их свежей аналитикой по новым технологиям, состоянию зарубежной нормативной базы, тенденциям, анализу отечественного рынка и т. д.

В третью очередь были планы защищать рынок СИ, который за прошедшие семь лет претерпел серьёзные (если не сказать фатальные) изменения. Честные конкурсы – мечта сильных интеграторов…

Ну, а в последнюю очередь защита интересов отечественных вендоров, которым тоже весьма непросто. Даже имея хороший продукт, вендор может по пальцам пересчитать компании, имеющие качественно обученных специалистов по своим продуктам в интеграторских компаниях и у заказчиков. На конкурсы подчас выходят компании, готовые «упасть» ниже пола, чтобы укрепить свой имидж или заработать три копейки…

Но идея не была поддержана регуляторами и умерла.Некоторые ассоциации, родившиеся на волне идеи саморегулирования, продолжают существовать, но главная мысль о регулировании «снизу» так и не осуществилась.

Эту историю я рассказал намеренно, чтобы показать, что проблемы, перечисленные в статье, имеют весьма большой шанс остаться внутри прочитавших её людей и быть забытыми, если не поднимать их для обсуждения среди специалистов разного уровня.