Politica de securitate

Politica de securitate este o definiție a ceea ce înseamnă a fi sigur pentru un sistem, organizație sau o altă entitate. Pentru o organizație, aceasta abordează constrângerile privind comportamentul membrilor săi, precum și constrângerile impuse adversarilor prin mecanisme precum uși, broască și ziduri. Pentru sisteme, politica de securitate abordează constrângerile privind funcțiile și fluxul între acestea, constrângerile privind accesul sistemelor externe și al adversarilor, inclusiv programele și accesul persoanelor la date.

Dacă este important să fim în siguranță, atunci este important să ne asigurăm că toate politicile de securitate sunt puse în aplicare prin mecanisme puternice. Există metodologii organizate și strategii de evaluare a riscului pentru a asigura caracterul complet al politicilor de securitate și pentru a garanta că acestea sunt aplicate în totalitate. În sistemele complexe, cum ar fi sistemele informatice, politicile pot fi descompuse în subpolitici pentru a facilita alocarea de mecanisme de securitate pentru aplicarea subpoliticilor. Cu toate acestea, această practică prezintă capcane. Este prea ușor să se treacă direct la subpolitici, care sunt în esență regulile de funcționare și să se renunțe la politica de nivel superior. Acest lucru dă impresia falsă că regulile de funcționare se referă la o definiție generală a securității, când nu este așa. Deoarece este atât de dificil să se gândească în mod clar și complet la securitate, normele de funcționare formulate ca „subpolitici” fără „superpolitică” se dovedesc, de obicei, a fi norme incoerente care nu reușesc să aplice nimic în mod complet. În consecință, o politică de securitate de nivel superior este esențială pentru orice sistem de securitate serios, iar subpoliticile și regulile de funcționare sunt lipsite de sens fără aceasta.^[1]