Для того чтобы определить, от каких именно угроз и каким образом защищает информацию автоматизированная вычислительная система (ABC), необходимо сформулировать ее политику безопасности, т.е. создать документ, описывающий все возможные взаимодействия. Политика безопасности подразумевает наличие множества условий, при которых пользователи системы могут получить доступ к информации и ресурсам. С одной стороны, политика безопасности предписывает пользователям, как правильно эксплуатировать систему, с другой - политика безопасности определяет множество механизмов безопасности, которые должны существовать в конкретной реализации ABC. Политика безопасности ABC может быть выражена формальным и неформальным образом.