Начато публичное обсуждение проектов национальных стандартов по информационной безопасности ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 17799. Подробности см. http://eos.ru/eos/208206

2 года назад я изучал 17799 и даже получил сертификат на его применение. Про содержание могу сказать, что написано вроде не глупо, даны требования, которые должны соблюдаться для обеспечения ИБ, но все очень поверхностно. Причем, по моему мнению, этот стандарт еще и пересматривать нужно с определенной периодичностью, т.к. в нем присутствуют определенные рекомендации временного характера (для примера - минимальная длина пароля для входа в систему). Если вменить применение этого стандарта на предприятиях, то уже был бы качественный скачок с сфере ИБ.

Кто-нибудь на практике сталкивался с созданием Инструкции "Реагирование на инциденты в области безопасности, а так же на сбои и неисправности информационных систем" - о ней есть упоминание в ISO 17799. Самому что-то придумать очень сложно - из-за отсутствия практики, а материала по этому вопросу в Нете очень мало. Может кто-нибудь сможет помочь - буду очень благодарен!!