Политика безопасности — это определение того, что значит быть безопасным для системы , организации или другого субъекта. Для организации она касается ограничений поведения ее членов, а также ограничений, налагаемых на противников такими механизмами, как двери, замки, ключи и стены. Для систем политика безопасности касается ограничений функций и потока между ними, ограничений доступа внешних систем и противников, включая программы , и доступа людей к данным .
Если важно быть в безопасности, то важно быть уверенным, что вся политика безопасности реализуется сильными механизмами . Существуют организованные методологии и стратегии оценки рисков , чтобы гарантировать полноту политик безопасности и гарантировать, что они полностью реализуются. В сложных системах, таких как информационные системы , политики можно разложить на подполитики, чтобы облегчить распределение механизмов безопасности для реализации подполитик. Однако эта практика имеет подводные камни. Слишком легко просто перейти непосредственно к подполитикам, которые по сути являются правилами работы, и обойтись без политики верхнего уровня. Это дает ложное ощущение, что правила работы затрагивают некое общее определение безопасности, когда это не так. Поскольку так трудно ясно мыслить с полнотой о безопасности, правила работы, заявленные как «подполитики» без «суперполитики», обычно оказываются бессвязными правилами, которые не обеспечивают полноты чего-либо. Следовательно, политика безопасности верхнего уровня имеет важное значение для любой серьезной схемы безопасности, а подполитики и правила работы без нее бессмысленны. [1]