Una política de seguridad informática define los objetivos y elementos de los sistemas informáticos de una organización. La definición puede ser muy formal o informal. Las políticas de seguridad se aplican mediante políticas organizacionales o mecanismos de seguridad. Una implementación técnica define si un sistema informático es seguro o inseguro . Estos modelos de políticas formales se pueden clasificar en los principios básicos de seguridad de confidencialidad, integridad y disponibilidad. Por ejemplo, el modelo Bell-La Padula es un modelo de política de confidencialidad , mientras que el modelo Biba es un modelo de política de integridad . [1]
Si un sistema se considera como un autómata de estados finitos con un conjunto de transiciones (operaciones) que cambian el estado del sistema, entonces una política de seguridad puede verse como una declaración que divide estos estados en autorizados y no autorizados.
Dada esta simple definición, se puede definir un sistema seguro como uno que comienza en un estado autorizado y nunca entrará en un estado no autorizado.
Para representar una política concreta, especialmente para su aplicación automática, se necesita una representación en lenguaje. Existen muchos lenguajes específicos de la aplicación que están estrechamente relacionados con los mecanismos de seguridad que hacen cumplir la política en esa aplicación.
En comparación con esta política abstracta, los lenguajes, por ejemplo, el lenguaje de aplicación de tipos de dominio , son independientes del mecanismo concreto.