Таким образом, требования должны задавать не чиновники и даже не информзащитники. Их должны задавать злоумышленники. Кто из них больше денег украл – тот и главный сертификатор.
Как эта схема может реализоваться? Например, через страхование инцидентов. Какая система реже ломается, через какую меньше утекает – для той ниже взносы. Каждый инцидент должен пересматривать риски и корректировать цену страховки. Сертификаторам останется только посмотреть прайс-лист. В нём будет ответственная оценка, за которую люди ручаются своими деньгами. А чем ручаются чиновники ФСТЭК за свой сертификат?
Для корректной оценки страхуемых рисков необходим учёт инцидентов с указанием технических подробностей и украденных сумм для каждого случая. Сейчас такие инциденты скрывают по понятным причинам. От страховых компаний скрывать не станут. Но чтобы начать страхование, нужно уже иметь учёт.