Беда, когда баран приходит проверять новые ворота

Безопасность в сфере ИТ, как много про неё сказано.

Выскажусь и я. Приходит проверка от известной организации из трёх букв.

Вот, у вас должен быть указан класс информационной сети. Дама, пришедшая в составе комиссии, спрашивает, сколько ПК находится в сети. Отвечаю. При этом она сама затрудняется ответить, какой класс должен быть. Спрашивается, если вы сами не знаете, то откуда должны знать мы? К тому же, те критерии, которые я нагуглил после, крайне расплывчатые.

Вот, нельзя подключать мобильные телефоны, мол, якобы, на них можно вынести конфиденциальные данные. Ей богу, что за бред? У каждого есть своя служебная флешка. Кто мешает вынести эти самые «конфиденциальные данные» на ней? Потом, каждый комп подключен к сети, потому что у многих стоит тот же СБИС, личные кабинеты банков, налоговой и т. д.и т. п., предполагающие наличие выхода в интернет, который опять-таки, изначально потенциальный канал утечки данных.

Вот, нельзя пользоваться средствами удалённого доступа. ОК, на каком основании тогда работает техподдержка площадок по выпуску ключей ЭЦП, различных личных кабинетов и т. п., ибо они все активно пользуются всякими там энидесками, тимвьюерами и аммиадминами?

На вопрос: где можно узнать конкретные требования, как должна выглядеть безопасность в конторе, все в один голос заявляют: изучайте законы. Спасибо, Кэпы Очевидности! А самим-то слабо расшифровать простым языком всё то, что там написано?

И спрашивается, почему нас вы проверяете из-за всяких мелочей, где из всех конфиденциальных данных только сведения о нескольких сотнях сотрудников, зато, когда многочисленные магазины, почта, операторы связи и многие другие организации чуть ли не открыто «сливают» данные о многих тысячах и даже миллионах людей, им за это ничего не бывает?