Wyobraźmy sobie zaadaptowanie dokumentu Strategii Bezpieczeństwa Systemów Informatycznych NASA czy Departamentu Obrony Stanów Zjednoczonych na potrzeby instytucji typu elektrownia, bank czy firma telekomunikacyjna. Poza skrajnie różnymi wartościami systemu informatycznego i zagrożeniami, różnice występują w kulturze informatycznej, uwarunkowaniach ekonomicznych i w prawie.

Strategia Bezpieczeństwa powinna mieć przemyślany i spójny układ. Celowe jest wprowadzenie systematycznego podziału wszystkich mechanizmów, zasad i standardów bezpieczeństwa na grupy i klasy. Podział ten będzie w sposób naturalny adaptowany w polityce bezpieczeństwa oraz wszelkich wymaganiach i opracowaniach. Z tego powodu należy poświęcić mu w opracowaniu stosowną ilość miejsca. Sprawdzonym przez wiele środowisk podziałem jest klasyfikacja funkcjonalna zabezpieczeń na grupy zabezpieczeń fizycznych, technicznych, programowych i organizacyjnych oraz podział grup na klasy adekwatne i maksymalnie zunifikowane, takie jak identyfikacja, uwierzytelnienie, upoważnienie itp. Celowe jest również dokonanie podziału użytkowników systemów informatycznych.

Drugim elementem - obok uporządkowanego podziału zabezpieczeń - jest klasyfikacja zasobów. Powinna ona umożliwiać przypisanie danemu zasobowi środowiska informatycznego określonego poziomu zabezpieczeń. Sklasyfikujmy wszystkie systemy wg stopnia ich dostępności. Jako "A" określimy zasoby informatyczne, których gwarantowana dostępność musi wynosić 99,9% lub zakładamy, że może wystąpić przestój systemu na 12 godzin, nie częściej jednak niż raz na 6 miesięcy. Kolejno zaklasyfikujmy zasoby jako "B" zakładające 24-godz. przestój, jako "C" - 48-godz. Jeżeli w następnym etapie dokonamy klasyfikacji poufności wg stałego klucza numerowego od 1 do 3, gdzie 1 będzie określać brak poufności danych - dane publiczne, natomiast pod kodem 3 zostaną ukryte dane poufne, uzyskamy w ten sposób pewne "kody bezpieczeństwa" np. "B3" będzie określać system z minimalną granicą braku dostępności 24 godz., przetwarzający dane poufne.

Główną częścią strategii bezpieczeństwa jest opisanie potrzeb zabezpieczeń obszarów biznesowych i określenie celu ich ochrony. W sposób szczegółowy należy określić również grupy zabezpieczeń, jakie będą wykorzystywane do ochrony danych i zasobów systemów informatycznych oraz w jakiej kolejności będą implementowane.

Strategia powinna, w sposób jak najbardziej obiektywny, wskazywać potrzeby zabezpieczeń. W tym celu należy dokonać wstępnej analizy wartości zasobów oraz analizy zagrożeń i ryzyka. Jeżeli uda się określić realne potrzeby zabezpieczeń poszczególnych systemów informatycznych, to do dopełnienia strategii pozostaje jedynie określenie, w jakiej kolejności zasoby będą zabezpieczane i w jakim czasie zostanie osiągnięty wymierny - określony poziom bezpieczeństwa. Ta część Strategii Bezpieczeństwa często staje się częścią Polityki Bezpieczeństwa systemów informatycznych.

Etap 2. Polityka Bezpieczeństwa Systemów Informatycznych

Polityka Bezpieczeństwa Systemów Informatycznych nierzadko stanowi fundament "bezpiecznego systemu informatycznego". Dlaczego jest ona tak istotna i dlaczego tak niezwykle trudno ją kreować? Kiedy rozpocząć opracowywanie dokumentu polityki i jaki nadać mu kształt? Te i inne dylematy oraz brak odpowiedzi na nie są często przyczyną braku sformalizowanej Polityki Bezpieczeństwa w środowiskach informatycznych instytucji, które jej potrzebują.

Instytucja, która ma ustaloną Strategię Bezpieczeństwa, czyli dysponuje wiedzą o tym "dlaczego" pragnie chronić zasoby, w większości przypadków zdaje sobie sprawę z tego "co" chce chronić oraz jakie środki prawdopodobnie zastosuje do tego.

Czym jest Polityka Bezpieczeństwa? Najprościej można przyrównać ją do polityki państwa. Państwo posiadające gospodarkę, kontakty międzynarodowe ma również ustalone, zmienne w zależności od specyficznych wydarzeń, zasady. I je właśnie najogólniej można nazwać polityką. Wyłania się pierwszy naturalny podział - polityka państwa jest składową wielu szczegółowych polityk m.in. polityki gospodarczej, polityki międzynarodowej bądź też bardziej szczegółowych np. polityki ekonomicznej wobec państwa XYZ .

Założywszy, iż infrastruktura informatyczna przedsiębiorstwa w naszym przykładzie będzie państwem, to poszczególne systemy informatyczne kierowane są wg określonych zasad. Naturalne jest przeznaczenie funkcjonalne systemów informatycznych. Z systemu finansowego korzystają użytkownicy związani z szeroko pojmowanymi finansami instytucji, dedykowany system techniczny natomiast nie znajdzie odbiorców wśród grup finansowych. Jeszcze węższą specjalizację będą wykazywały dedykowane systemy ekspertowe. Polityka Bezpieczeństwa jest bardziej złożona, co często wiąże się z błędną jej interpretacją. Istotne jest zatem, aby reguły Polityki Bezpieczeństwa Systemów Informatycznych były konsultowane z przedstawicielami każdej grupy użytkowników systemu, przy czym konsultacje te muszą odbywać się w taki sposób, by użytkownicy odczuli, iż uczestniczą w procesie kreowania dokumentu i jednocześnie nie zmieniali zakresu ochrony zasobów poniżej lub powyżej określonych uprzednio wartości. Zasada konsultacji powinna być podobna do procesu negocjacji kontraktów (cen). Osoba, występująca w roli proponującego (autor polityki), wprowadzane zasady powinna nieco wyolbrzymić lub przejaskrawić, zwłaszcza te, które są najistotniejsze, w celu dokonania dalszego ustępstwa i wylicytowania wartości zakładanych. Należy pamiętać, aby każde, nawet najbardziej wymyślne zasady, miały logiczne wytłumaczenie ich wdrożenia.