"Чудесная" новость от 02 ноября сего года: "В РФ предложили штрафовать за нарушение IT-безопасности на объектах критической инфраструктуры... Предлагается ввести штрафы за нарушение правил создания и функционирования систем безопасности российских значимых объектов КИИ, даже если несоблюдение инструкций не повлекло ущерба для самой критической инфраструктуры..." (https://www.interfax.ru/russia/735343)
С одной стороны - дело хорошее, ибо в сфере ИБ пословица "Гром не грянет - мужик админ не перекрестится", в сочетании с "Never change a running system", является едва ли не описанием ситуации и руководством к действию в одном флаконе. Увы.
С другой стороны, мы видим просто "кнут", призванный стимулировать к исполнению положений нормативной базы, мягко говоря, несовершенной и даже противоречивой (см. статью Алексея Лукацкого на Securitylab.ru).
Правильно ли это? Приведет ли это к конкретным и конструктивным результатам?
Я думаю, что "спрашивать" с кого-то за неисполнение "чего-то" можно лишь в том случае (применительно к сфере ИБ, как минимум), если "спрашивающий" продемонстрировал не только требования к исполнению, но и то, как эти требования надлежит исполнять, не только "в общих чертах", но и на конкретных примерах.
Да, у нас в стране имеется недостаток квалифицированных специалистов (не только в данной области, разумеется). Да, они нужны еще позавчера, а будут, в лучшем случае, только завтра, если не позже.
Но, граждане "регуляторы" и "законодатели"! Может, имеет смысл перестать щелкать кнутом - а заняться более результативной деятельностью:
Может быть, имеет смысл "посадить в кружок" представителей ИБ компаний, от "софт" и "хард" - и до интеграторов и продавцов, да разработать некоторое количество аппаратно-программных комплектов и конфигураций, применительно к типовым конфигурациям КИИ (их же не миллион, и вряд ли более нескольких сотен, типовых-то ситуаций?)
И, разработав эти конфигурации - стимулировать к их внедрению на объектах КИИ (стимулируя, параллельно, разработку, модификацию,..)?
Т.е., грубо говоря, показать - в каких ситуациях и что нужно делать, как делать, и где "найти удочку для ловли рыб".
А уж потом, если после этого "мастер-класса" будет зафиксировано нарушение - вот тогда-то и карать.
А то ведь как сейчас выходит: "Сделать хорошо!" - "Не сделали?!" - "Нне потерплю!! Разззорю!!!"
Это, как правило, имитация бурной деятельности, но никак не конструктивная работа.