जब लोग "सुरक्षा नीति" के बारे में बात करते हैं, तो वे दो अलग-अलग प्रकार की सुरक्षा नीति का जिक्र कर रहे हैं।
उनमें से एक उच्च स्तर वाले हैं, आमतौर पर प्रबंधन द्वारा परिभाषित किया जाता है। यह सुरक्षा नीति के प्राथमिक पाठक मानव हैं। यह प्रबंधन का दिमाग में लक्ष्य, संदर्भ, अपेक्षाओं और सुरक्षा की आवश्यकताओं को परिभाषित करने वाला एक दस्तावेज़ है।इस नीति के अंदर उपयोग की जाने वाली भाषाएं अस्पष्ट हो सकती हैं, लेकिन यह लागू संदर्भ में सुरक्षा का प्राथमिक "कानून" है। शामिल सभी को ऐसी नीति का पालन करना चाहिए।
1) ऐसी नीति का नतीजा प्रबंधन से स्पष्ट रूप से परिभाषित सुरक्षा आवश्यकताओं है। इस नीतियों के साथ, शामिल सभी लोग प्रबंधन की अपेक्षा को समझ सकते हैं और आवश्यक होने पर सुरक्षा-संबंधित निर्णय ले सकते हैं।
2) चूंकि ऐसी सुरक्षा नीतियों के प्राथमिक पाठक मानव हैं, और बयान आम तौर पर बहुत सामान्य होते हैं, यह मशीन पठनीय रूप में नहीं हो सकता है। हालांकि, पॉलिसी पर आधारभूत परिभाषा, अर्थात् सुरक्षा दिशानिर्देश, प्रक्रियाओं और मैनुअल के आधार पर परिभाषित कुछ दस्तावेज हो सकते हैं। वे वास्तव में सुरक्षा को कैसे लागू किया जाना चाहिए इस बारे में विवरण के स्तर को बढ़ाने के क्रम में हैं। उदाहरण के लिए, सुरक्षा नीति में परिभाषित आवश्यकताओं को विभिन्न ओएस के लिए सख्त मैनुअल में महसूस किया जा सकता है, ताकि प्रशासक और इंजीनियरों प्रबंधन के विचारों को समझने में बहुत अधिक समय व्यतीत किए बिना कड़ी मेहनत कर सकें। सख्त मैनुअल को मशीन पठनीय कॉन्फ़िगरेशन के सेट में बदल दिया जा सकता है (उदाहरण के लिए खाता पासवर्ड लॉक करने से पहले न्यूनतम पासवर्ड लंबाई, अधिकतम विफलता लॉगिन गिनती) आदि सख्त कार्यों को स्वचालित करना।
3) दस्तावेज़ शामिल सभी के लिए सुलभ किया जाना चाहिए, और प्रबंधन द्वारा नियमित रूप से समीक्षा की जानी चाहिए।
4) व्यावहारिक रूप से ऐसे संदर्भ बनाना मुश्किल हो सकता है। सुरक्षा नीतियों को समय-समय पर अपडेट किया जा सकता है, और यदि संभवतः नीति कुछ बदलावों को प्रभावित करती है तो आप शायद अपने प्रोग्राम को पुन: संकलित नहीं करना चाहेंगे। हालांकि, डिजाइन सीपीसी जैसे विकास दस्तावेजों में नीति का संदर्भ देना अच्छा है।
एक और प्रकार की "सुरक्षा नीतियां" केवल पैरामीटर के उन सेटों को संदर्भित कर सकती हैं जो सुरक्षा कार्यक्रम हैं। मैंने पाया कि कुछ सुरक्षा कार्यक्रम वास्तव में अपनी नीतियों को अधिक संगठित और संरचनाओं को बनाने के लिए "नीति" शब्द का उपयोग करना पसंद करते हैं। लेकिन वैसे भी, ये "सुरक्षा नीतियां" वास्तव में केवल मूल्यों और/या सुरक्षा कार्यक्रमों के पालन के लिए निर्देश हैं। उदाहरण के लिए, विंडोज के पास ऑडिट लॉगिंग, उपयोगकर्ता अधिकार आदि को कॉन्फ़िगर करने के लिए उपयोगकर्ता के लिए "सुरक्षा नीतियां" का अपना सेट है। इस प्रकार की "सुरक्षा नीतियां" (प्रोग्राम के लिए पैरामीटर) वास्तव में पहली प्रकार की "सुरक्षा नीतियों" के आधार पर परिभाषित की जाती है। (प्रबंधन से आवश्यकताओं) ऊपर वर्णित अनुसार।
मैं इस पर बहुत अधिक लिख रहा हूं। आशा करता हूँ की ये काम करेगा।
यह प्रोग्रामिंग के बारे में प्रतीत नहीं होता है। चूंकि यह स्पष्ट रूप से एंटरप्राइज़-स्तरीय सुरक्षा के बारे में है, जो सर्वर फॉल्ट पर माइग्रेट करने के लिए मतदान कर रहा है। –
@ डेविड: मैं दृढ़ता से असहमत हूं। सुरक्षा प्रभावों के साथ एक प्रणाली को डिजाइन करते समय, इसे लागू करने वाली तंत्र संभावित नीतियों की सीमा का समर्थन करना चाहिए। – Novelocrat
@ नोवेलोक्रेट: निश्चित रूप से, और प्रोग्रामिंग ने कहा कि तंत्र यहां विषय पर पूरी तरह से है। हालांकि, यह कुछ प्रकार के नियम स्थापित करने के बारे में है जो विभिन्न तरीकों से लागू किए जाएंगे, कुछ प्रोग्रामिंग शामिल हैं, और यह एसओ पर विषय नहीं है। –