Une politique de sécurité informatique définit les objectifs et les éléments des systèmes informatiques d'une organisation. La définition peut être très formelle ou informelle. Les politiques de sécurité sont appliquées par des politiques organisationnelles ou des mécanismes de sécurité. Une mise en œuvre technique définit si un système informatique est sécurisé ou non . Ces modèles de politique formels peuvent être classés selon les principes de sécurité fondamentaux que sont la confidentialité, l'intégrité et la disponibilité. Par exemple, le modèle Bell-La Padula est un modèle de politique de confidentialité , tandis que le modèle Biba est un modèle de politique d'intégrité .
Description formelle
Si un système est considéré comme un automate à états finis avec un ensemble de transitions (opérations) qui modifient l’état du système, alors une politique de sécurité peut être considérée comme une déclaration qui partitionne ces états en états autorisés et non autorisés.
Compte tenu de cette définition simple, on peut définir un système sécurisé comme un système qui démarre dans un état autorisé et n’entrera jamais dans un état non autorisé.
Modèles de politiques formelles
Modèle de politique de confidentialité
Modèle de politiques d'intégrité
Modèle de politique hybride
- Muraille de Chine (également connu sous le nom de modèle Brewer et Nash )
Langues des politiques
Pour représenter une politique concrète, notamment pour son application automatisée, une représentation linguistique est nécessaire. Il existe de nombreux langages spécifiques à une application qui sont étroitement liés aux mécanismes de sécurité qui appliquent la politique dans cette application.
Comparé à ces langages de politique abstraits, par exemple le langage d'application de type de domaine , il est indépendant du mécanisme concret.