ПБ – это совокупность норм и правил, опр-х принятые в организации меры по обеспечению безопасности инфы, св. с деятельностью орг-ции. Цель её формулирования для инф-ой системы – изложение взглядов руководства орг-ции на сущность угроз инф. безопасности. ПБ должна быть оформлена документально на нескольких уровнях управления: высшее руководство (подготавливается и утв-ся док-т, в к-ом определены цели ПБ, структура и перечень решаемых задач и ответственные за реализ ПБ), администраторы (детализируется документ с учётом принципов деятельности орг-ции, важности целей и наличия ресурсов). ПБ сост. из общих принципов и конкретных правил работы с инф. с-мой для различных категорий пользователей. В руководство по компьютерной безопасности, разраб. Нац. институтом стандартов и технологий США, рекомендовано вкл. в описание ПБ сл. разделы: предмет ПБ (цели и причины разработки политики, область применения, задачи, термины и определения), описание позиции орг-ции (ресурсы инф. сис-мы, перечень допущенных к ресурсам лиц и процессов), применимость (порядок доступа к данным инф. сис-мы, ограничения или технол. цепочки), роли и обяз-сти (ответственные должностные лица и их обяз-сти в отн. разработки и внедрения эл-тов политики), соблюдение ПБ (права и обяз-сти пользователей ИС, недопустимые действия при осущ-нии доступа к инф. ресурсам и наказания за нарушения режимов требований, технология фиксации фактов нарушения ПБ и применения адм. мер воздействия).
