Организация информационной безопасности начинается с политики информационной безопасности - внутреннего документа, содержащего в себе основные принципы информационной безопасности организации, используемые защитные механизмы и правила их эксплуатации.

Основой политики информационной безопасности в коммерческом банке является общая политика безопасности организации. Часто информационная безопасность рассматриваются как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.

Опыт создания систем защиты информации (СЗИ) в АС позволяет выделить следующие основные принципы построения СЗИ.

1. Простота механизма защиты. Этот принцип общеизвестен, но не АСегда глубоко осознается. Действительно, некоторые ошибки, не выявленные при проектировании и эксплуатации, позволяют обнаружить неучтенные пути доступа. Необходимо тщательное тестирование программного обеспечения или аппаратных средств защиты, однако на практике такая проверка возможна только для простых и компактных схем.

Системные вирусы работают на более глубоком уровне, внедряясь в дисковую структуры ОС, связанную с базовыми функциями запуска компьютера и ввода/вывода информации.

Активизация этого типа вируса, в отличие от других, происходит только при запуске (перезапуске) компьютера с зараженного диска, после чего вирус резидентно инсталлируется в оперативной памяти и начинает манипулировать пусковым сектором (загрузчиком) и другими элементами дисковой структуры. Распространение инфекции происходит при обращении ОС к другим дискам.