Политика безопасности — это определение того, что значит быть безопасным для системы , организации или другого объекта. Для организации это касается ограничений на поведение ее членов, а также ограничений, налагаемых на противников такими механизмами, как двери, замки, ключи и стены. Для систем политика безопасности направлена на ограничения функций и потока между ними, ограничения на доступ внешних систем и злоумышленников, включая программы, а также доступ людей к данным.
Если важно обеспечить безопасность, важно убедиться, что вся политика безопасности обеспечивается надежными механизмами. Существуют организованные методологии и стратегии оценки рисков, позволяющие гарантировать полноту политик безопасности и их полное соблюдение. В сложных системах, таких как информационные системы , политики могут быть разложены на суб-политики, чтобы облегчить распределение механизмов безопасности для реализации суб-политик. Однако у этой практики есть подводные камни. Слишком легко просто перейти непосредственно к подполитикам, которые по сути являются правилами работы, и обойтись без политики верхнего уровня. Это создает ложное ощущение, что правила эксплуатации касаются какого-то общего определения безопасности, хотя на самом деле это не так. Поскольку очень трудно ясно и полно мыслить о безопасности, правила работы, обозначенные как «подполитики» без «суперполитики», обычно оказываются бессвязными правилами, которые не могут обеспечить что-либо с полнотой. Следовательно, политика безопасности верхнего уровня необходима для любой серьезной схемы безопасности, а дополнительные политики и правила работы без нее бессмысленны. [1]