Loreweil

Во-первых, ViPNet Client и SSEP прекрасно живут вместе. Ставили, гоняли, проверяли, конфликтов не было.
Во-вторых, требования ФСТЭК по защите ИСПДн скоро изменятся с выходом 21го приказа (сейчас проходит согласование в Минюсте), там предполагается уход от обязательных требований и большей привязки СЗПДн к Модели угроз. Советую дождаться выхода этого приказа, должен уже вот-вот появиться и уже строить свою защиту в соответствии с ним.

В большинстве случаев это паранойя. Что касается длины пароля, то важна не столько его длина, сколько его энтропия, многие брутфорсы в первую очередь пробегаются по словарям наиболее часто встречаемых паролей и, например пароль AlbertEinshteinIsTheBestScientistEver111 взломать гораздо легче, чем Qhj4bnN5fD.
Кстати, во многих крупных организациях давно решают эту проблему введением двухфакторной аутентификации, то есть сложный длинный пароль хранится на электронном USB-ключе или смарт-карте, доступ к которым, в свою очередь, осуществляется с помощью шестизначного цифрового пин-кода. Получается юзеру чтобы войти в систему нужно иметь USB-ключ и знать пин-код. Из плюсов: отпадает нужда в запоминании диких паролей, смена реального пароля проходит безболезненно для юзера (пин-код ведь можно оставить прежним), так как пароль не вводится с клавиатуры и нет необходимости записывать его на бумажку и прятать под клавиатуру, то снижается риск компрометации пароля. Из минусов: при утере ключа может понадобиться какое-то время на его восстановление, а в некоторых случаях и бумажная волокита (написать заявление на начальника отдела IT и тд).

Все правильно выше заметили, у нас как всегда в законодательстве что-то напишут, а как это делать — непонятно. С угрозами НДВ вышло так же как и с тем, что операторы ПДн должны определять величину ущерба субъектам ПДн при нарушении конфиденциальности этих самих ПДн, а как определять эту величину ущерба, никакой методики и в помине нет.

Про угрозы НДВ как уже сказали, разрабатывайте модель нарушителя и модель угроз, последовательно обосновывая неактуальность этих угроз. Например, если берем внутреннего нарушителя, пишем, что у вас разработана организационно-распорядительная документация, все сотрудники, допущенные к обработке ПДн подписали соглашение о неразглашении, проводятся периодически мероприятия по контролю соблюдения конфиденциальности ПДн, а если и найдется инсайдер, то у нас есть СЗИ от НСД, которые фиксируют все действия пользователей в своих журналах. Что касается внешнего нарушителя, обосновывать можно как раз оцененным вредом и ценностью ваших ПДн. Мол, ваша ИСПДн не интересна зарубежным спецслужбам или криминальным группировкам, поэтому никто не будет за большие деньги нанимать хакера, которые знает все уязвимости нулевого дня, да к тому же у вас есть фаерволлы, сетевые сканеры, вы вовремя устанавливаете самые последние патчи и тд.