Что греха таить? Стандартизация и нормативное регулирование в нашей стране — это область деятельности совершенно параллельная и практические не связанная с реальной практикой обеспечения информационной безопасности.
Именно так. С одной стороны лицензирование, сертификация, аттестация и стандартизация – это примерно половина рынка ИБ в России. Хотя эту часть рынка рынком в буквальном смысле и нельзя назвать, но по оборотам она сравнима, а возможно, с учетом существующей системы защиты государственной тайны и задействованных в ней ресурсов, и существенно превышает объем реального рынка ИБ в России. С другой стороны – реальный рынок продуктов и услуг в сфере ИБ, подчиняющийся законам экономической целесообразности и ориентированный в большей степени на коммерческий сектор, на котором представлены как отечественные, так и иностранные поставщики. Связь между этими «рынками» состоит лишь в том, что многие участники представлены одновременно на обоих рынках.
Разумеется, от такого положения вещей страдают и реальная практика и нормативное регулирование. Специалисты-практики не получая четких критериев и требований, вынуждены полагаться на собственный опыт, либо самостоятельно адаптировать международные и европейские стандарты. Специалисты, занимающие нормотворчеством, не имея связи с реальной практикой, оказываются не в состоянии предложить рынку документы, обобщающие передовой опыт и соответствующие текущему уровню развития сферы ИБ.
Проблемы несоответствия нормативной и, в особенности, законодательной базы реальному положению дел существуют не только в России. В США и в странах Европы эти вопросы также стоят достаточно остро, однако там не наблюдается такого абсолютного расхождения между теорией и практикой. На мой взгляд, это происходит по трем основным причинам.
Первая и наиболее глобальная причина состоит в том, что Россия не так давно перешла от одного политического строя к другому, в результате чего полностью изменилась сначала вся система государственного управления, законодательная база, а затем, с принятием закона о техническом регулировании, система стандартизации и нормативного регулирования.
Вторая причина — банальная, состоит в том, что мы очень сильно отстали от Запада и в сфере ИТ и, тем более, в сфере развития бизнеса и просто не доросли еще до «их» стандартов.
Третья причина – административная, состоит в том, что у нас стандартизация и нормативное регулирование в сфере ИБ полностью отдано на откуп чиновникам со всеми существующими проблемами организационного плана и материальной незаинтересованности, свойственной государственному аппарату.
В каком-то плане, образцом для подражания может служить Британский Институт Стандартов – основатель международной системы стандартизации, являющийся государственной организацией с королевским уставом и коммерческим уклоном. Для них разработка стандартов – это индустрия, в которой заняты тысячи сотрудников BSI, тысячи представителей государственных и коммерческих организаций различных сфер деятельности и участников рынка ИБ. Стандарт для них – это коммерческий продукт, продаваемый вместе с услугами по его внедрению, аудиту и сертификации. Построена эффективно работающая коммерческая система, которая материально себя окупает и приносит солидный доход и государству и ее участникам. Отдельно разговора заслуживает американская система стандартизации во главе с NIST, представляющая собой также очень мощную и эффективную систему для разработки и внедрения стандартов в сфере ИБ.