Прежде всего, отмечают эксперты, на протяжении пятнадцати лет действия доктрины «сапожник» оставался «без сапог»: в нынешней редакции доктрины остались без внимания угрозы, присущие процессам разработки, производства, внедрения и эксплуатации самих средств защиты информации (СЗИ). О них там просто ничего не сказано.
Отмечается также, что разработанные и ныне используемые критерии и методы оценки эффективности систем и средств обеспечения ИБ относятся к сугубо техническим аспектам обеспечения ИБ. Однако наряду с ними требуются еще, как минимум, и экономические критерии и методы оценки эффективности.
По мнению некоторых экспертов причины упомянутых недостатков (действительно существенных) коренятся в том, что ИБ в нашей стране не сформировалась как отрасль, а представляет собой некоторую сферу деятельности, контролируемую только несколькими уполномоченными органами госрегулирования, но которая остается без соответствующего российским отраслям экономики государственного полномасштабного управления, (начиная, по-видимому, с пирамидальной структуры управления, на вершине которой должно угнездиться новое министерство).
Сторонники трансформации ИБ в отрасль считают, что этот процесс стимулировал бы появление многопараметрических показателей и индикаторов развития индустрии ИБ, отражающих ее состояние и позволяющих объективно оценивать результат многоплановых стратегических и регуляторных воздействий на нее. Сегодня же государственной статистики, достаточной для оценок положения дел в ИБ, по их мнению, нет.
В стремлении к такой «трансформации» усматривается разочарование в рыночных механизмах регулирования российской отрасли (направления, сферы деятельности – назовите, как хотите) ИБ, и наряду с этим реальное существенное доминирование над частным сектором государственного заказа (которому, разумеется, никак не обойтись без госрегулирования).
(это ответ на вопрос в заголовке поста).
Но совершенно верно поднят важный вопрос - каким образом управляется ИЮ-сфера? Кто тут рулит?