• 23.06.2010 : Опубликована статья Работа с файлами сетевых дампов
• 1.06.2010 : Опубликован перевод CPE Specification 2.2
• 13.05.2010 : Опубликована статья Сбор информации об активах с помощью опросников
• 10.04.2010 : Опубликован указ президента об утверждении перечня сведений конфиденциального характера
• 1.04.2010 : Опубликовано Постановление Правительства РФ об обеспечении безопасности персональных данных.

• ГОСТ Р ИСО/МЭК 17799 - 2005
  21 Мая 2012 00:51:41
  
• Политика аудита защищенности
  21 Мая 2012 00:49:35
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  21 Мая 2012 00:38:44
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  21 Мая 2012 00:38:13
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  21 Мая 2012 00:30:43
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  21 Мая 2012 00:15:29
  
• Фильтрация трафика BPF фильтром.
  21 Мая 2012 00:13:23
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  21 Мая 2012 00:04:49
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  20 Мая 2012 23:43:16
  
• ГОСТ Р ИСО/МЭК 17799 - 2005
  20 Мая 2012 23:40:23
  

Поскольку внутренние и особенно внешние угрозы технологическим (бизнес) процессам постоянно меняются, то для успешного противодействия им, политика информационной безопасности также должна изменяться. Настоящий документ является руководством и описывает процесс разработки, реализации и поддержания в актуальном состоянии политики информационной безопасности.

Перед разработкой политик информационной безопасности должны быть определены один или несколько критически важных технологических (бизнес) процессов используемых в компании, которые должны быть защищены с их помощью.

Реализация политики информационной безопасности является непрерывным циклическим процессом в который входят следующие этапы:

1. Сбор информации
2. Разработка или исправление политик
3. Внедрение политик
4. Контроль выполнения политик

Этап сбора информации выполняется непосредственно перед разработкой или исправлением политик информационной безопасности.

На этапе сбора информации осуществляется анализ выбранного технологического (бизнес) процесса и выделение в нем основных операций. Для каждой определенной операции определяются информационные потоки, используемые СВТ, участвующие субъекты (работники компании, потребители и т.п.) и уязвимости.

Таким образом, на этапе сбора информации определяются:

1. Технологический (бизнес) процесс и его основные операции
2. Информационные потоки
3. Используемые СВТ
4. Вовлеченные субъекты
5. Уязвимости
6. Совпадения с существующими политиками

Собранная информация может представляться в форме спецификаций.

На основании информации собранной на подготовительном этапе осуществляется разработка политик информационной безопасности. Целью разработанных политик является устранение или нейтрализация обнаруженных уязвимостей при сохранении работоспособности самого технологического (бизнес) процесса.

Перечень необходимых политик определяется индивидуально в каждом конкретном случае.

Если на этапе сбора информации обнаружено совпадение с существующими политиками безопасности, то они либо применяются без изменений либо исправляются в зависимости от ситуации.

Внедрение политик в зависимости от содержания может осуществляться организационными или техническими методами. Для внедрения политик могут разрабатываться стандарты и руководства.

На данном этапе выполняется мониторинг выполнения политик и пресекаются попытки их нарушения.

Новый цикл процесса реализации политики информационной безопасности может быть вызван следующими причинами:

1. Истечение времени действия политики
2. Изменения существующего технологического (бизнес) процесса
3. Появление нового технологического (бизнес) процесса
4. Изменении структуры или состава СВТ Компании
5. Изменение информационных потоков
6. Обнаружение новых уязвимостей
7. Нарушения политик информационной безопасности

В следствии этого могут изменяться или создаваться новые политики, стандарты и руководства.