Организация информационной безопасности начинается с политики информационной безопасности - внутреннего документа, содержащего в себе основные принципы информационной безопасности организации, используемые защитные механизмы и правила их эксплуатации.

Основой политики информационной безопасности в коммерческом банке является общая политика безопасности организации. Часто информационная безопасность рассматриваются как часть общей системы безопасности. Постоянное сравнение базовых принципов защиты организации и механизмов защиты информационной системы может привести к значительному росту ее надежности и эффективности.

Будем следовать общепринятому определению политики безопасности (ПБ), приведенному в стандарте "Оранжевая книга" (1985 г.).

Определение. Политика безопасности это набор норм, правил и практических приемов, которые регулируют управление, защиту и распределение ценной информации .

Полное описание ПБ достаточно объемно даже в простых случаях, поэтому далее будем пользоваться сокращенными описаниями.

Пример. G={S, Р}, А={с1, с2}.

PGA((S', с), (S, сз), (S, с2), (Р', с))= (S', с), (S, с3), (Р', с). Определим несколько вариантов понятия независимости .

Пусть G⊆S, G’⊆S.

Определение. G информационно не влияет на G' (обозначается G: | G'), если ∀W∈(S×С)* и ∀S∈G' [[W]]s = [[PA(W)]]s

Аналогично определяется невлияние для возможностей А (или группы G и возможностей А).

Определение. А информационно не влияет на G (обозначается А: | G) , если ∀W∈(S×С)* и ∀S∈G [[W]]s= [[PA(W)]]s

Определение. Пользователи G, используя возможности А, информационно не влияют на G' (обозначается A.G: | G'), если ∀W∈( S×С)* и ∀S×G' [[W]]s=[[PA(W)]]s.