27001ые риски - решение задачи

Обещал рассказать прикол с анализом рисков для ISO 27001 - рассказываю.

Был у меня такой учитель физики, который, зачитав условие задачи, вопрошал:
- Ну, и с чего начинаем решать? С какой стороны подступимся? Есть идеи?
Появлялись какие-то версии из зала:
- Вспомним формулу, связывающую температуру с давлением! Положим систему абсолютно упругой! Найдем центр масс первого тела!
Ответом чаще всего было:
- Неверно. Решение начинаем с того, что пристально всматриваемся в вопрос задачи.
Для солидности можно было бы нагуглить что-нибудь созвучное у более древнего мыслителя и процитировать на языке оригинала, но легендарно ленив, да и охота воздать хорошему дядьке, раз вспомнился.

Итак, хрестоматийный подход к анализу рисков таков: пишем активы, уязвимости, источники угроз и способы реализации, вычеркиваем абсурдные комбинации (пожар не может разгласить сетевой коммутатор), к остальным как-то прикручиваем ущербы с вероятностями, которые потом перемножаем, дальше критерии принятия и стратегии обработки.
Если Вы не консалтер, которому надо наваять повнушительнее, то имеет смысл как можно раньше задаться тем самым вопросом - а что от нас хотят в результате-то?
А хотят от нас, чтобы мы определили, какие из перечисленных в стандарте (сейчас в 27002, прежде в 17799, еще раньше в 7799-1) защитных мер aka "контролей" надо / не надо применять, и смогли убедить в этом внешнего аудитора, буде тот усомнится.
Читаем эти контроли: "политика ИБ организации", "классификация информации", "управление инцидентами"... и понимаем, что та наша многомерная матрица путем к ответу никак не является.
Вот от чего зависит, иметь ли политику ИБ организации - от наличия или отсутствия организации, разве что? А классификацию - от наличия защищаемой информации (иначе зачем вообще мы ИБ городим)? А управление инцидентами согласно бывшей второй части, которая теперь 27001, вообще must, а не на выбор по результатам анализа рисков. И т.п.

Грустно вздыхаем и идем подгонять под ответ. Мы не хотели этого. Мы, даже можно сказать, верили. Сами старались, чтоб все по честному.