ПОНЯТИЕ ПОЛИТИКИ БЕЗОПАСНОСТИ
Интегральной характеристикой защищаемой системы является политика
безопасно-
сти – качественное (или количественно-качественное) выражение
свойств защищенности
в терминах, представляющих систему.
Наиболее часто рассматриваются политики безопасности, связанные с
понятием
«доступ». Доступ – категория субъективно-объективной
политики, описывающая про-
цесс выполнения операций субъектов над объектами.
Политика безопасности включает:
• множество операций субъектов над объектами;
• для каждой пары «субъект – объект» (Si,Oi)
множество разрешенных операций, из
множества возможных операций.
Политика безопасности строится на основе анализа рисков, которые
признаются ре-
альными для информационной системы организации. Когда риски
проанализированы и
стратегия защиты определена, составляется программа обеспечения
информационной
безопасности. Под эту программу выделяются ресурсы, назначаются
ответственные, оп-
ределяется порядок контроля выполнения программы и т.п.