O politica de securitate se ghideaza dupa doua laturi principale: subiectul si obiectul
politicii. Subiectul este reprezentat de problematica activa n sistem (utilizator, program, proces etc.), iar obiectul este cel asupra caruia actioneaza un subiect (fisiere, directoare, diferite dispozitive si echipamente etc.). Trebuie sa existe un set de reguli utilizate de sistem, pentru ca acesta sa poata determina n ce caz un anume subiect este autorizat sa aiba acces la un anume obiect. Rolul politicii de securitate este de a informa pe toti cei ce isi desfasoara activitatea ntr-o entitate asupra modului n care trebuie sa se comporte n ceea ce priveste o anumita problema (de exemplu informatiile sensibile); care ar trebui sa fie pozitia managementului referitor la acea problema si care sunt actiunile specifice pe care organizatia trebuie sa le ntreprinda n functie de situatiile aparute.
1. Introducere - descrierea societii; - societatea are responsabiliti semnificative cu privire la informaie, care ca i alte bunuri ale afacerii, trebuie evaluat i este necesar s i se asigure protecia; - informaiile, sistemele informaionale i serviciile informaionale sunt vulnerabile la intrri neautorizate n aceste sisteme, distrugere accidental sau deliberat i pierderea. - Potenialele consecine ale acestora se bazeaz pe informaii incorecte sau neadaptarea la regulile de acces sau ncrederea cerut n informaii poate fi serios mpiedicat i rezult distrugere ireparabil. Securitatea informaional cere minimalizarea riscurilor proceselor de afacere prin asigurarea confidenialitii, integritii, disponibilitii informaiilor. 2. Necesitatea elaborrii politicii de securitate Societatea i propune s elaboreze reguli legale obligatorii pentru administrarea informaiilor deinute respectnd legislaia n vigoare, etica i costul efectiv. 3. Obiective Pentru atingerea obiectivelor pe care i le propune, societatea trebuie s adere la toate cerinele le legale i legislative, s dezvolte, s se documenteze i s implementeze i testeze controale de securitatea informaiei cu valori semnificative pentru procesul de afacere, care sunt sensibile la: Asigurarea operrii n sistemul informaional pentru a asigura integritatea Protecia informaiilor de la utilizare neautorizat sau neadecvat, modificri accidentale sau frauduloase i pierderi. Pentru asigurarea acestor obiective, trebuie s se urmreasc: Cadrul de securitate al informaiei Clasificarea bunurilor informaionale i politici de control Politici de securitate a personalului Politici de securitate a mediului fizic i logic Politici de control al accesului Dezvoltarea sistemului i politici de mentenan Plan de management al continuitii afacerii. 4. Scopuri Aceast politic de securitate se aplic tuturor persoanelor din societate, chiar i clienilor, dac acetia iau contact cu informaiile considerate bunuri ale societii. Resursele incluse n politica de securitate sunt: Informaii sub orice form: pagini listate, prezentri video i audio, form digital; Sisteme informaionale cu procese informaionale; Sisteme de comunicaie cu transport de informaie. 5. Obligaii Sunt detaliate pentru fiecare angajat n parte. 6. Responsabiliti Rolul securitii i responsabilitile sunt detaliate n cadrul societii prin existena unui document cadru de securitate informaional. 7. Monitorizarea, implementarea i testare Trebuie desemnat un responsabil care va asigura monitorizarea, implementarea i testarea acestei politici. Acesta va asigura c: Politica este revizuit n permanen; Conformitatea cu aceast politic este monitorizat prin evaluarea periodic a riscurilor; Efectivitatea politicii este raportat conducerii, care este n msur s ia decizii.
Componentele unei politici de securitate sunt reprezentate de: Standarde: seturi de reguli sau conventii ncheiate cu scopul de a uniformiza si eficientiza activitatea tuturor componentelor unei retele, sau pentru a usura asigurarea redundantei si recuperarii datelor (ex: aplicatiile tip browser, software-urile pentru email etc.); Proceduri: set de planuri, procese sau operatii care specifica modul n care trebuie sa se desfasoare o anume activitate. Acestea reflecta cele mai bune solutii si reprezinta raspunsurile la ntrebari specifice.