Самооценка соответствия организации требованиям 152-ФЗ о персональных данных - Форум по вопросам информационной безопасности

*в сторону*
Чувствую себя как в анекдоте про европейский, еврейский и русский форумы. Традиции, вестимо...

to Павел Симонов
<разве кто-то утверждал, что аудиторский отчет формируется исключительно путем заполнение опросника> - да, вы утверждали. Только сейчас по какой-то причине выбросили слово "серьезный" (цитирую: <Без грамотно составленных опросников, вы никакого серьезного аудита провести не сможете>) и его апогей - слово "качественный". А в нем - в качестве - основная соль, которая и побудила к двум страницам этого несуразного диалога. Потому что, если результат интересует "для галочки" (в отчете, ага), то юзайте, что хотите...
Чем, кстати, и занимаются ребятки, приведенные вами по ссылке в первом сообщении темы - это касательно <про левые опросники и левые сайты никто не говорит>. Вменяемый специалист от таких ресурсов шарахнется как черт от ладана. И это вторая соль диалога - если вы привели означенную ссылку в качестве прикола, то он порядком затянулся. А если реально не можете отличить лохотрон от экспертизы, то...
imho, вам не нужны средства автоматизации того, в чем вы не разбираетесь. И это первичная соль, о чем тоже было сказано многократно. Поскольку <средства автоматизации оценки соответствия 152-ФЗ> - это именно что семантический кадавр и профанация. Вот средства выявления/анализа уязвимостей, средства моделирования угроз, средства отслеживания/управления инцидентами, средства контроля состояния компонент систем, средства ведения документации, средства отслеживания изменений нормативки, средства обучения персонала и т.д. - это уже операционные инструменты, без даже примитивной реализации которых в наше беспокойное время не обойтись. И выбор таких инструментов как раз и является "малой частной задачей", а не упоминаемая вами "оценка соответствия" (которая является объемной и комплексной задачей). Что важнее, методы, средства, возможности, правила и порядок выполнения всех требований 152-ФЗ с учетом подзаконных актов может радикально отличаться от организации к организаци. Следовательно, оценка такого выполнения потребует глубокого понимания специфики организации, что принципиально невозможно впихнуть ни в один заготовленный заранее опросник или иной аналитический инструмент...
Именно поэтому, пожалуйста, изучите вопрос более глубоко (с привлечением или без привлечения лицензиатов, консультантов, спецкурсов и т.д.) и не отмахивайтесь от этой глубины, раз уж сформулировали задачу как комплексную, а не частную...
Либо можно не тратить время на "дайвинг" и форумные игры, а смело выбрать любой доступный сервис/инструмент генерации (псевдо)полезных опросов и отчетов. Если поднапрячься и успеть, то шансы на премию в конце года за complience management plan success повысятся многократно, ага...

ЗЫ Современные менеджеры - уникальные существа. И трусы надевать не хотят, ибо <Услуги лицензиатов слишком дороги и длительны по времени>, и крестик не снимают, поскольку <...за 50-100 тыр я представляю себе уровень услуг. Здесь и сайта может не быть>. И это все при учете, что нужен-то им не сайт, а вменяемая аналитика/экспертиза/оценка/etc...

Вы подсветили ряд моих проблем, в частности, что я не гуру ИБ, а трусливый и жадный менеджер, который не может сформулировать чего он хочет.

В благодарность за столь ценное открытие, я тоже вам укажу на ряд мест, над которыми было бы полезно поработать, исходя из вашего последнего поста. Ничего личного, только факты.

1. У вас высветилась проблема с логическими предикатами. Если А невозможно получить без Б, то это не означает, что при наличии Б мы получаем А. Если А включает Б, то это не означает, что Б включает А. Это касательно отчета и опросников.

2. Странно, что вы, занимаясь ИБ, не понимаете (или делаете вид), что там, увы, больше половины всех мероприятий проводится "для галочки", с целью формального обеспечения соответствия нормативным документам и стандартам. Все эти аудиты, контрольные проверки, сертификации, лицензирования и т.п. Возможно вы в какой-то иной реальности живете.

3. Ресурс, на который я давал ссылку (для примера), явно ориентирован не на специалистов по ИБ и не обещает решение всех проблем, а предназначен для первичного ознакомления представителей операторов ПДн с требованиями законодательства и первичной высокоуровневой оценки положения дел в организации. Если вы не понимаете кому и для чего это нужно, то это скорее всего потому, что сидите на своей колокольне и с нее смотрите на мир. А вы попробуйте на землю спуститься.

4. Вы слово compliance уже несколько раз пытались правильно написать, но у вас это не вышло. У меня сложилось впечатление, что это не спроста. Вы этим вопросом всерьез не занимались. Человек, который в данном вопросе разбирается, знает о существующих инструментах, средствах, методиках, подходах применяемых на разных уровнях организации. Для вас же это не формализованный процесс в системе менеджмента организации, а только "сложная и комплексная задача", которая чего только в себя не включает. Вы как будто (если не прикидываетесь) опросник по 152-ФЗ первый раз в жизни увидели (если увидели) только по ссылке которую я вам давал: "Блин, что это за лохотрон, какой-то опросник, чего меня не позвали?". Как то так.

to Павел Симонов
Увы, опять все мимо кассы..
Трусость отпадает - вы же прямо сейчас во всеуслышание заявляете крамольное: большинство вопросов/процессов ИБ == туфта и формализм => оценка соответствия ИБ-направлению в том же законодательстве по ПДн тоже нужна чисто формально...
Жадность отпадает - обозначенная ранее нижняя планка ценового диапазона за приемлимое решение беспокоящей задачи скривила вам нос как не стоящая внимания. К слову, встречал такое не раз - обычно подобный народ со временем начинает чесать затылок и кусать локти (потому что вменяемую аналитику за Х денег счел "низкокачественной", решил все сделать сам, что-то там по-диагонали услышал, обмазался вендорскими решениями за ХХХХХ денег, а когда дело дошло до результата, оказался по уши в дерьме)...
С экстрасенсорикой тоже плохо - негативную сторону современной действительности, названную вами "землей", не замечает только слепой. Но это не означает, что следует жить в мире, где "высокоуровневые формализованные процессы в системе менеджмента организации" ценятся выше глубины и широты понимания сути проблемы. Или люди не пытаются думать хотя бы на шаг вперед в угоду сиюминутного лечения болезни, а не ее причины...
Именно поэтому мне глубоко наср*ь на A или E в слове comli_nce, если под "соответствие" приравнивается к профанации. Кстати, к той фразе с "success" и другие претензии найдутся с точки зрения английского языка, но это никакого отношения к теме разговора не имеет...
А что до логики А -> Б, Б -> А и т.д., то выводы исключительно по вашим же словам: без грамотного опросника нет серьезного аудита (отчета). И ваши же слова о <первичной высокоуровневой оценке положения дел в организации> с использованием приведенного вами же ресурса говорят об исключительности опросника в означенном и иных процессах. Ах, вы эту исключительность употребили в контексте "не ИБ-специалистов" и "сотни тысяч бизнесов, у которых нет ни денег, ни сил, ни времени, ни желания разбираться"?
Резюмируя все вышесказанное: любезнейший, какого ж рожона вы поперлись в чужую избу со своими самоваром и со своей колокольней? Вернее, какой реакции вы ожидали? В Сети наверняка найдутся ресурсы, где можно "среди своих" обсудить management plan по эффективному выполнению любых требований по цене пачки бумаги, прямо не выходя из бассейна, ага...

ЗЫ И да, "блин" не в том, что меня или какого-то лицензиата "не позвали". Печалит другое - количество подобных любителей эффективного управления год от года только растет, а вменяемых и злых профессионалов - неуклонно снижается. Именно поэтому куча народа занята бесконечным планированием и обменом планами и отчетами (о, вот и в огород регуляторов прилетело, ага), а общая и частная обстановки в сферах ИБ, ИТ и т.д, и т.п. неуклонно катятся под откос. Сегодня утечки данных изо всех щелей, завтра диагностирование рака по телефону, а рядом людей учат по методу "некогда разбираться, запоминай вот эти пункты". Черт побери, шутка про ЕГЭ трансформировалась в горькую правду про ИТ- и прочие курсы...

По крайней мере, вы меня реабилитировали в плане моей жадности и трусости, а экстрасенсорика вообще не парит.

Раз уж я залез со своим самоваром в чей-то огород (чей он кстати?), то разливайте чай, я вам расскажу короткую притчу про лохотроны.

Лохотрон - это не когда кто-то бесплатно делиться с тобой своими материалами через свои ресурсы, а нечто иное.

Увы, зачастую можно наблюдать примерно следующую картину:
1. пользуясь твоей неосведомленностью, тебе объясняют, что твоя проблема (например, приход РКН с проверкой через две недели) является супер сложной и комплексной задачей, для решения которой требуется сначала лет 20 проработать в сфере ИБ
2. затем тебе предлагают за пару дней и 50-100 кусков все вопросы порешать и, хотя запрашиваемый размер вознагражения по-идее должен тебя настораживать, т.к. он не вполне соотносится с тезисом о сложности и комплексности задачи, ты радуешься размеру скидки и возможности самому не заморачиваться этой скучной и безпонтовой темой
3. затем выясняется, что проблема не решена, т.к. это был лишь первый этап, ведь сложное здание ИБ за пару дней не построить, а без этого нельзя защитить ПДн, а не защитив ПДн, нельзя обеспечить соответствие 152-ФЗ, а не обеспечив соответствие, ты не пройдешь проверку РКН. Простых и эффективных решений твоей проблемы не существует. Надо в комплексе решать, иначе это профанация. Далее тебе расскажут о последствиях этой профанации: штрафах, утечках, взломах и вся эта маркетинговая байда, никак не связанная с оценкой реальных рисков, а рассчитанная на запугивание бизнеса и формирование рынка ИБ продуктов и услуг
4. далее стоимость второго этапа работ для вас увеличивается кратно, ведь проектирование системы защиты ПДн, моделирование угроз, оценка вреда - непростая задача, а как иначе учесть все особенности организации, сложные зависимости между между угрозами и уязвимостями, ИТ-платформами и процессами и бла-бла-бла.
5. о предстоящей проверке РКН вы уже забыли, т.к. эта проблема кажется вам ничтожной в сравнении с монолитным зданием ИБ, которое вы строите вместе с лицензиатом, и с теми грандиозными задачами, о которых вы раньше не помышляли и которые перед вами открылись на предыдущем этапе как совершенно необходимые для вашего выживания в этой агрессивной среде, заполненной хакерами, регуляторами, спецслужбами и конкурентами, которые все дружно хотят вас поиметь. На этой стадии вы уже не сомневаетесь, что только лицензиат, как уже проверенный партнер, раскрывший вам глаза на этот жестокий мир, может вас спасти от неотвратимых угроз. Ведь он уже спроектировал вашу систему защиты и очень близко подошел к решению вашей проблемы
6. здесь на авансцену выходят сертифицированные СЗИ, без которых решение проблемы соответствия никак невозможно, ни с формальной, ни с реальной точки зрения. Вы начинаете интересоваться ценами и опять понимаете, что вы чего-то не понимаете в этой жизни.
6. если вы не опомнились на предыдущих этапах и стали вполне ИБ-лояльным клиентом, потянув даже внедрение сертифицированных СЗИ, без которых проверку РКН не пройти (не всех конечно, а тех на которые хватило остатков средств на вашем банковском счете с учетом овердрафта, который тоже пришлось израсходовать). Скорее всего этот набор эффективных СЗИ ограничился для вас сертифицированным антивирусом (как же вам раньше жилось с несертифицированным и даже бесплатным уже вообще сложно представить). Короче в этом случае вам будут и дальше помогать выживать в этом мире: консалтинговое сопровождение, тех. поддержка, ежегодные аудиты, продление подписок на СЗИ, обновления сертификатов, обновление нормативной базы и т.п.
7. ля-финале - у вас закончились деньги. Ничего страшного. Зато вы внесли свой вклад в развитие ИБ-индустрии. Когда умный встречается с дураком, один получает деньги, а другой - жизненный опыт.

Как-то так.

to Павел Симонов
Значит, вас или ваших знакомых все-таки *вырезано* поимели */вырезано* обидели недобросовестные исполнители. Увы, такое случается. Но... надеюсь, алыверды притчу про мальчика и волков не надо напоминать?
С другой стороны, поздравляю, мы наконец (сквозь 3 страницы флуда) подошли к сути: оценка соответствия 152-ФЗ == успешному прохождению проверки РКН? Помилуйте, но к чему тогда лезть в обсуждение вроде бы ИБ-вопросов на профильном ИБ-форуме (чей, собственно, и огород)? РКН при своих проверках по направлению ПДн в фактическую ИБ, собственно, не лезет и ограничивается... А... так вот откуда столько формализма, опросничества, высокоуровневости и прочей воды...
И да, приведенный вами ресурс, с которого все и началось, - именно что лохотрон. Потому что бесплатно или нет, но создает у лохов ложное ощущение комфорта, что в ключе безопасности (любой) недопустимо и куда критичнее отъема денежных или иных средств так сказать "лицом к лицу". Ложное ощущение, которое потом резко обламывается реалиями упомянутого жестокого мира. Когда автолюбитель выполнит ТО только по показаниям ЭБУ и советам соседей по двору и не узнает о скором отказе тормозной системы, потому что для него ТО == формальность и он свято уверен в безотказности своего "японца"/"немца"/"корейца"/etc. Или когда больной, считая [вставить_название_болезни] мистификацией и заговором, начнет заниматься самолечением, начитавшись в Сети умных советов, но не проверит последующую аллергическую реакцию на препараты. Или когда эффективные управленцы решат оптимизировать расходы на привлекаемых и собственных специалистов, что обернется спешными попытками купить эквивалент bitcoin раз в квартал. Или...
Упреждая: приведенные примеры так себе, ибо мне уже поднадоела игра в "бузину, огород, Киев и дядьку". Зато под стать вашей притче, ага...

Хорошо, что мы с вами, хоть и продираясь через тернии, за счет притч и анекдотов (кто на что горазд) постепенно приходим к консенсусу.

Может мне показалось, но вы по факту согласились с тем, что из Москвы в Тулу необязательно ехать через Питер, а бывают и более короткие маршруты.

Что касается ресурса с опросниками, то для меня это просто полезный ресурс, никакого чувства ложной защищенности и завышенных ожиданий лично у меня не вызывающий. И с какой стати? Если вы беспокоитесь за некоего лоха, у которого может возникнуть данное непродуктивное чувство, то почему вас не беспокоит, что этот лох, будучи лохом, и начитавшись, скажем, ваших советов в данном форуме или заплатив вам за аттестацию своей ИС, не обретет это комфортное чувство? А ваши лицензии и сертификаты не могут вызвать ни у кого завышенных ожиданий? Надеюсь это не лохотрон в вашей терминологии?

И да, примеры вялые вы привели, ..., сами понимаете.

to Павел Симонов
Нет, любезнейший, даже курс на сближение не взяли, поскольку:
- советы тов. oko в большинстве своем маркированы характерным "imho", а в некоторых случаях сводятся к очевидному: обращайтесь к компетентным людям, обсуждайте детали, и не спешите форумное языкочесание применять на практике как под копирку (ибо модуль экстрасенсорики тов. oko несовершенен, к счастью или к сожалению);
- тов. oko никому не раздает сертификаты и подтверждения за проставление галочек, как обещают авторы упомянутого ресурса;
- тов. oko ни разу не публиковал лицензии/сертификаты/etc контор(ы) в которых(ой) работает, и вряд ли тем самым может вызвать чувство какого-либо комфорта у причастных (в конце концов, тов. oko не диван);
- потребители лохотронов форумы уже давно не читают - им подавай красивый сайт и видео от популярного блогера;
- упомянутый вами короткий или простой путь похож всего лишь на игру в гляделки с законом/компетенцией/здравым смыслом/собственной совестью/etc;
- ваша же слепая уверенность в повсеместных обмане и накрутках в сфере ИБ мешает выправить диалог на нужные рельсы (к слову, меня современные ИБ-маркетологи тоже не радуют, но это не повод выкалывать глаза).

ЗЫ третье лицо выбрано не из лишнего пафоса. Скажем так, с результатами моей проф.деятельности вы не знакомы, поэтому обсуждать можем только разговоры в этом конкретном месте...

Я бы порадовался за вас, если бы вы наконец поняли, что те сотни тысяч операторов ПДн, которых вы высокомерно называете лохами, жадными лохами или эффективными в кавычках менеджерами, это, в конечном итоге, те люди, которые вас кормят, поят, одевают и развлекают, удовлетворяя все ваши многочисленные потребности. Большинство же из вас (я не говорю, что все), заключив негласный союз с регуляторами, обложившись стопками лицензий, сертификатов, приказов и различных предписаний, морочат этим людям голову, запугивают их и стрегут капусту. С человеческой точки зрения, ваша святая обязанность, если хотите, помогать бизнесу решать его проблемы, а не создавать ему новые. Эти люди без вас проживут, а вы без них нет.

В нашем примере оператору ПДн, хочешь не хочешь, надо соответствовать 152-ФЗ. Он прочитывает данный закон и в целом все понимает (закон ведь именно для него написан, а не для лицензиата). Он не идиот, у него собственный бизнес и разбирается он и в законах и в жизни в целом, получше любого эксперта по ИБ. Остаются определенные нюансы, которые можно уточнить у компетентных специалистов (например у вас). Он знает с кем и по какому вопросу можно проконсультировать и что почитать.

Далее, опять же не будучи идиотом, он не бежит к странным людям, обещающим ему решить все его проблемы под ключ, потому что понимает (или чувствует жопой), что это не выход. Ему сначала требуется оценить положение дел в организации. Сделать это можно единственным способом. Выписать все требования закона, проставить галочки напротив тех требований, которые выполняются и в комментариях написать каким образом они реализованы.

Далее у него остается некий список незакрытых требований. Напротив каждого такого требования он помечает способ решения, сроки и ресурсы (конечно, после консультаций с профильными специалистами). Получается план обеспечения соответствия.

Далее в соответствии с планом он назначает ответственных, распределяет задачи, выделяет деньги и другие ресурсы, заключает договора с подрядчиками и проводит прочие мероприятия, необходимы для приведения своей организации в соответствия с требованиями закона.

Далее, в рамках своего плана, он работает и с безопасниками и с лицензиатами, в том числе, по вопросам моделирования угроз, классификации своих систем, выбора средств защиты и т.п. При этом он понимает, что он от них хочет получить и какая конечная цель этих действий - не решение всех проблем, с которыми может столкнуться бизнес во всех их сложных взаимосвязях с учетом всех существующих рисков, а выполнение имеющегося плана обеспечения соответствия. Грамотный управленец никогда не выпускает из вида конечную цель своего плана, но может ее корректировать.

Это настолько простые и очевидные действия, что мне даже совестно об этом писать.

Обсуждаемый ресурс как раз и помогает нашему приятелю оценить положение дел и сформировать план обеспечения соответствия для самого себя, не более того. Он больше ни на что и не претендует. Это не противоречит никаким комплексным подходам, лицензиатам, консультациям, экспертизам и глубокой аналитике. Вы почему-то этот момент не можете понять и начинаете противопоставлять одно другому те вещи, которые не являются альтернативами, а должны дополнять друг друга.

Сертификат, который там можно распечатать по желанию, в дополнение к подробным результатам опроса, тоже ни на что особенное не претендует, а является просто красивой напоминалкой о том, когда я проходил опрос и с каким результатом. Аналогичные сертификаты выдаются после участия в различных вебинарах, учебных курсах, конференциях и т.п. Никого в заблуждение это ввести не может. А вот вы своими IMHO суждениями и неуместными противопоставлениями можете ввести людей в заблуждение. Поэтому я с вами в этой дискуссии.

to Павел Симонов
Успокойтесь, любезнейший... Вы в который раз лезете в чужой карман, но путаете штаны и их владельцев...
Упомянутые мною "лохи" == потребители приведенных вами лохотронов. И точка. Не высокомерие, пренебрежение, сговор с регуляторами, стрижка бабла и прочая высосанная из вашего пальца чушь - всего лишь констатация факта...
Факта, любезно подтвержденного тов. Владом: "от балды" получаем 57% процентов соответствия кого-то чему-то. Была б на том ресурсе удобная методичка со всеми зависимостями, нюансами и предостережениями, но без обещаний каких-либо подтверждений, - был бы другой коленкор...
Факта, в полной мере раскрывающегося, если посмотреть, кем предоставляется упомянутый сервис. Контора с 20-летней истории вводит в эксплуатацию сервисы какой-либо оценки, но не имеет лицензии ТЗКИ по пункту "г" (аттестация). Учитывая, что именно этот вид деятельности подразумевает аттестацию (читай, комплексную ИБ/ЗИ-оценку) различных объектов информатизации и право подтверждать или опровергать их соответствие установленным ИБ/ЗИ-требованиям. Соглашусь, не "требованиям 152-ФЗ в целом". Соглашусь, для ИСПДн проведение аттестации не является обязательным. Но...
Хохма-то в другом: вы на ИБ-форуме задаете вопрос - это подразумевает его рассмотрение в ключе именно ИБ/ЗИ. И приводите в пример ресурсы, не имеющие к ИБ никакого отношения. Кстати, за неделю флуда вы даже не удосужились это проверить самостоятельно и понять суть претензий. Да и переформулировать или уточнить вопрос в контексте именно ИБ/ЗИ вы тоже до сих пор не удосужились...
Конечно, мы уже выяснили, что аттестаты, лицензии и сертификаты в сфере ИБ/ЗИ для вас == формальность. Что вы во всем по умолчанию видите обман и сговор от недобросовестных лиц, обещающих "все и сразу". Однако, есть ряд ключевых моментов:
- все указанное выше по упомянутому ресурсу легко подтверждается самостоятельно (тем более лицами, знающими законы и жизнь по-круче многих экспертов);
- в этой теме никем, кроме вас, ни разу не упоминались работы "под ключ" - только первичное инфообследование (аналитика), которое никак не противоречит планам и подходам вменяемого управленца, если у него не хватает времени/сил на самостоятельное копание или выяснение возможных нюансов;
- с приведенным вами набором простых и очевидных действий никто не спорит - он в полной мере совпадает с первым (и частью последующих) моим комментарием, пусть и в ироничной форме;
- еще раз: результаты моей проф.деятельности и взаимодействия с теми или иными организациями вам неизвестны, т.е. судить о них и их подоплеке вы априори не можете.
Так вот, любезнейший, как же тогда назвать человека, считающего ресурсы, аналогичные упомянутому, полезными для определения соответствия в контексте ИБ (не забываем два абзаца выше), не желающего анализировать увиденное/прочитанное, выступающего адвокатом некрупного (и любого иного) бизнеса, предлагающего забить на законы (прикрываясь "землей") и приписывающего другим людям чужие фантазии? Согласен, обозначение "лох", "эффективный менеджер" и иное упомянутое здесь неуместено - тут проявилось нечто куда более мерзкое и неадекватное...

ЗЫ Что же до моих imho, то отвечу цитатой тов. Оззи Осборна: "Ничего не могу поделать с тем, что люди для самых невероятных своих поступков используют мое творчество словно тележку, подвозящую их к тому или иному безумству". И есть большая разница между публикацией анонимных imho на форуме и ведением якобы профильных ресурсов от лица какой-либо организации с проставлением каких-либо оценок...

К сожалению, от профильных ИБ-форумов мало чего осталось. Вот мы здесь с вами вдвоем. Да, правда был еще в начале некий Влад, который по моей ссылке там от балды заполнил какой-то опросник, получил закономерный от балды результат, потом сказал "что-то здесь не то". Наверное он ожидал, что из экрана монитора высунется кулак и голос за кадром скажет: "Э, Влад, я вижу, что ты нечестно отвечаешь на вопросы, счастья тебе не будет за это, сконцентрируйся, иди почитай методичку или обратись к лицензиату". А вместе этого, ему на те сертификат, в котором написано, что мол ты - некто не представившийся, от лица неизвестно какой организации, от балды ответил на столько то вопросов, из чего можно заключить, что твоя от балды организация на столько то процентов от балды соответствует закону". ChatGPT отдыхает.

Но вы копнули еще глубже. Путем глубоких аналитических изысканий по реестрам ФСТЭК удалось установить, что какая то там контора, опубликовавшая опросник, не имеет в лицензии буквочки "г". И не важно, что это не имеет никакого отношения к обсуждаемой теме. Факт остается фактом. Как говорил мой знакомый прапорщик: "Если захочу, то я и до столба до-бусь".

Вот это уровень обсуждения в профильном форуме по ИБ. А вы говорите .....

Да и чего я ожидал задавая свой вопрос? Что мне что-то вменяемое скажут об оценке соответствия требованиям ИБ, кроме как послать к лицензиатам? Дадут ссылки на правильные ресурсы, опросники, названия продуктов, методик?

ИБ форумы к сожалению умерли. Мы с вами вдвоем в этой теме. И вы данным вопросом не владеете настолько, чтобы обсуждать какую-либо конкретику. У вас там некая своя глубокая аналитика без опросников, без автоматизации. Наверное экстрасенсорику включаете или на очных ставках людей на полиграфе тестируете (хотя там тоже опросники нужны не для галочки). Но это, к сожалению, уже выпадает из области моих интересов.

PS
Помниться когда-то существовал интересный ресурс на эту тему, что-то типа humanfirewall.org, хотя там тоже за ним какая-то конторка сомнительная стояла - SANS Institute, у них тоже буквочки "г" не было в лицензии, да и самой лицензии не было. Я помниться там зарегился, что-то от балды напечатал, потом вылез отчет от балды на 100 страницах по ISO 27001. Америкосы дурят нашего брата.