Рекомендация RFC 2196 определяет политику сетевой безопасности как «формальное изложение правил, которых должны придерживаться все, кому разрешен доступ к технологиям и информационным активам организации». Лаконичное, хотя и строгое определение. Оно подразумевает, что все, кому разрешен доступ к ресурсам организации, должны знать, как Правильно с ними работать. Однако это не всегда так. Вместо того, чтобы считать политику безопасности лишь строгим списком запрещающих правил, нужно относиться к ней, как к деловому инструменту, защищающему вашу деятельность, организацию в целом и ее прибыль в частности.
Политика помогает в выборе правильного решения, не противоречащего деловым интересам организации. Введение слишком жесткой политики — это верный способ свести на нет все ваши усилия. Эффективная политика должна сопоставлять Цену риска с Затратами на внедрение средств безопасности. Работа многих менеджеров оказывается неэффективной именно из — за того, что они переоценивают необходимость внедрения жесткой политики информационной безопасности.
Безопасность в сфере электронной коммерции — это защита информации, но Информационная безопасность — это не Компьютерная безопасность. Чтобы обеспечить безопасность такой системы, как Web-сайт, потребуется достижение компромиссов в вопросах корпоративной культуры, придется следовать требованиям бизнеса и принимать во внимание факторы риска, себестоимость и производительность труда. Найти золотую середину, без сомнения, трудно. Тем более, что политика безопасности постоянно развивается и модифицируется вслед за изменениями в структуре деловых процессов организации. Оптимальный уровень безопасности для любой коммерческой организации определяется стоимостью ее активов (требующих защиты!) и терпимостью организации к их потере. Рентабельная безопасность не должна обходиться дороже стоимости активов предприятия, хотя в некоторых случаях их стоимость может отличаться от реальной рыночной. Некоторые менеджеры традиционной коммерции не в состоянии в полной мере оценить стоимость нематериальных активов, таких как исходные тексты или информация о клиентах. Однако именно четкое понимание того, что должно быть защищено и сколько это будет стоить предприятию, всегда предшествует принятию решений в области безопасности.
