Cover

Ю. Є. Яремчук, П. В. Павловський, В. С. Катаєв, В. В. Сінюгін

Комплексні системи захисту інформації

Навчальний посібник

Каталог посібників Видавництво ВНТУ
← Назад ↑ Зміст → Вперед

РОЗДІЛ 2 ЗАХОДИ ЗАХИСТУ ІНФОРМАЦІЇ

2.1 Методика визначення складу захищуваної інформації

Визначення складу захищуваної інформації – це перший крок на шляху побудови системи захисту. Від того, наскільки точно він буде виконаний, залежить результат функціонування розроблювальної системи. Загальний підхід полягає в тому, що захисту підлягає вся інформація з обмеженим доступом (ІзОД): інформація, яка становить державну таємницю (секретна інформація), інформація, що становить комерційну таємницю і визначається власником, частина відкритої інформації. При цьому ІзОД повинна захищатися від витоку і втрати, а відкрита – тільки від втрати.

Часто можна почути думку, що будь-яка відкрита інформація не може бути предметом захисту. Не всі згодні з внесенням інформації, віднесеної до державної таємниці, до складу ІзОД.

Тому розглянемо ці питання докладніше.

Захист відкритої (публічної) інформації існував завжди і проводився шляхом реєстрації її носіїв, обліку їх руху і місцезнаходження. Створювалися безпечні умови зберігання. Відкритість інформації не применшує її цінності, а цінна інформація потребує захисту від втрати. Цей захист не повинен бути спрямований на обмеження загальнодоступності інформації. Не може бути відмови в доступі до інформації, але доступ повинен здійснюватися з дотриманням вимог щодо її збереження відповідно до вимог обробки та використання (наприклад, бібліотека).

Інформація – це характеристика взаємодії повідомлення з користувачем.

Публічна інформація – це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, що була отримана, або створена в процесі виконання суб’єктами владних повноважень своїх обов’язків, передбачених чинним законодавством, або яка знаходиться у володінні суб’єктів владних повноважень, інших розпорядників публічної інформації, визначених законом України «Про доступ до публічної інформації».

Інформація з обмеженим доступом поділяється на:

– конфіденційну;

– таємну;

– службову.

Конфіденційна інформація – це та, доступ до якої обмежений фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватись у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.

Таємна інформація – це та інформація, доступ до якої обмежується, розголошення якої може завдати шкоду особі, суспільству, державі. Таємною визначається інформація, яка містить державну, професійну, банківську таємницю, таємницю розслідування та іншу передбачену законом таємницю.

До службової може належати нижчеперерахована інформація:

1.Інформація, що міститься в документах суб’єктів владних повноважень, які становлять внутрівідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов’язані з розробкою напряму діяльності установи або здійсненням контрольних наглядових функцій органами державної влади, процесом прийняття рішень, і передують публічному обговоренню та/або прийняттю рішень.

2.Інформація, зібрана в процесі оперативно-розшукової контррозвідувальної діяльності у сфері оборони України, яку не віднесено до державної таємниці.

Інформаційна безпека – це стан інформації, при якому забезпечується збереження визначеною політикою безпеки властивостей інформації. Складові інформаційної безпеки – це конфіденційність, цілісність, доступність.

Конфіденційність – це властивість інформації, що не підлягає розголошенню, секретність, суто приватність.

Цілісність – це властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем або процесом. Інформація зберігає цілісність, якщо документуються встановлені правила її модифікації та видалення.

Доступність – це властивість інформаційного ресурсу, що полягає в тому, що користувач або процес, який має відповідні повноваження, може використовувати цей ресурс відповідно до правил, встановлених політикою безпеки.

2.2 Організаційні заходи

Організаційні заходи містять в собі створення концепції інформаційної безпеки, а також:

– складання посадових інструкцій для користувачів та обслуговувального персоналу;

– створення правил адміністрування компонентів інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

– розробка планів дій у разі виявлення спроби несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

– навчання користувачів правилам інформаційної безпеки користувачів.

У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, режимно-пропускний відділ, проведена реорганізація системи діловодства та зберігання документів.

2.3. Інженерно-технічні заходи

Інженерно-технічні заходи – сукупність спеціальних технічних засобів та їх використання для захисту інформації. Вибір інженерно-технічних заходів залежить від рівня захищуваності інформації, який необхідно забезпечити.

Інженерно-технічні заходи, що проводяться для захисту інформаційної інфраструктури організації, можуть охоплювати використання захищених підключень, міжмережевих екранів, розмежування потоків інформації між сегментами мережі, використання засобів шифрування і захисту від несанкціонованого доступу.

У разі необхідності, в рамках проведення інженерно-технічних заходів, може здійснюватися встановлення в приміщеннях систем охоронно-пожежної сигналізації, систем контролю і управління доступом.

Окремі приміщення можуть бути обладнані засобами захисту від витоку акустичної (мовної) інформації.

2.4 Суб'єкти КСЗІ

До процесу створення КСЗІ залучаються такі сторони:

– організація, для якої здійснюється побудова КСЗІ (Замовник);

– організація, що здійснює заходи з побудови КСЗІ (Виконавець);

– Державна служба спеціального зв'язку та захисту інформації України (ДССЗЗІ) (орган контролю);

– організація, що здійснює державну експертизу КСЗІ (Організатор експертизи);

– організація, у разі необхідності, залучена Замовником або Виконавцем для виконання деяких робіт зі створення КСЗІ (Підрядник).

2.5 Об'єкти захисту КСЗІ

Захист інформації повинен бути системним, що містить в собі різні взаємопов'язані компоненти. Найважливішим із цих компонентів є об'єкти захисту, бо від їх складу належать і методи, і засоби захисту, і склад захисних заходів.

Інформація є предметом захисту, але захищати її як таку неможливо, оскільки вона не існує сама по собі, а фіксується (відображається) в певних матеріальних об'єктах або пам'яті людей, які виступають в ролі її носіїв і складають основний, базовий об'єкт захисту.

Для запису як секретної, так і несекретної інформації використовуються одні й ті ж носії.

Як правило, носії ІзОД охороняються власником цієї інформації.

Носії захищуваної інформації можна класифікувати як документи; вироби (предмети); речовини і матеріали; електромагнітні, теплові, радіаційні та інші випромінювання; акустичні та інші поля і т. п.

Особливим носієм інформації є людина, мозок якої являє виключно складну систему, що зберігає і переробляє інформацію, що надходить із зовнішнього світу. Властивість мозку відображати і пізнавати зовнішній світ, накопичувати в пам'яті колосальні обсяги інформації ставлять людину на особливе місце як носія інформації. Людина має можливість генерувати нову інформацію. І як носій інформації він володіє позитивні та негативні риси.

Позитивні – без згоди суб'єкта-носія захищувана інформація з його пам'яті, як правило, не може бути вилучена. Він може оцінювати важливість наявної у нього інформації і відповідно до цього ставитися до неї. Він може ранжувати і споживачів захищуваної інформації, знати, кому і яку інформацію він може довірити.

Негативні – він може помилятися щодо істинності споживача захищуваної інформації або навмисно не зберігати довірену йому інформацію: зрада чи просто поширення.

Серед найбільш поширених видів носіїв конфіденційної інформації можна виділити нижчевказані.

Паперові носії, в яких інформація фіксується рукописним, машинописним, електронним, типографським і іншими способами в формі тексту, креслення, схеми, формули.

Магнітні носії: аудіокасети (аудіоплівки) для магнітофонів і диктофонів; відеокасети (відеоплівки) для відеомагнітофонів та деяких відеокамер; жорсткі (тверді) диски, дискети, магнітні стрічки для ЕОМ. У цих носіях інформація фіксується (наноситься) за допомогою магнітного накопичення (запису сигналів), що здійснюється магнітним пристроєм, а відображається у вигляді символів. Відтворення (зчитування) інформації здійснюється також магнітним пристроєм за допомогою відновлення сигналів.

Магнітооптичні та оптичні носії (лазерні диски, компакт-диски). Запис даних на них виконується лазерним променем (у магнітооптичних і магнітним полем), інформація відображається у вигляді символів, а її зчитування (відтворення) здійснюється за допомогою лазерного променя.

Продукція, що випускається (вироби). Ці вироби виконують своє пряме призначення і одночасно є носіями захищуваної інформації. У цьому випадку інформація відображається у вигляді технічних рішень.

Технологічні процеси виготовлення продукцій які охоплюють як технологію виробництва продукції, так і застосовувані при її виготовленні компоненти (засоби виробництва): обладнання, прилади, матеріали, речовини, сировину, паливо та ін. Інформація відображається у вигляді технічних процесів (перша складова) і технічних рішень (друга складова).

Фізичні поля, в яких інформація фіксується шляхом зміни їх інтенсивності, кількісних характеристик, відображається у вигляді сигналів, а в електромагнітних полях і у вигляді образів.

Носії ІзОД як об'єкти захисту повинні захищатися, залежно від їх видів, від несанкціонованого доступу до них, від втрати і від витоку вміщуваної інформації.

Але, щоб забезпечити захист, необхідно захищати і об'єкти, які є підступами до носіїв, і їх захист виступає в ролі певних рубежів захисту носіїв. І чим таких рубежів більше, чим складніше їх подолати, тим надійніше забезпечується захист носіїв.

Як перший рубіж розглянемо прилеглу до підприємства територію. Деякі підприємства на периметрі встановлюють і пропускний пункт. Прилегла територія захищається від несанкціонованого проникнення осіб до будівель підприємства і відходів виробництва (при наявності відходів). Іншим об'єктом захисту є будівлі підприємства. Їх захист здійснюється тими ж способами і має ту ж мету, що і охорона території. Захист будівель є другим рубежем захисту носіїв.

Наступний об'єкт захисту – приміщення, в яких розташовані сховища носіїв, проводиться обробка носіїв і здійснюється управлінсько-виробнича діяльність з використанням носіїв. До таких приміщень належать:

– приміщення підрозділів захисту інформації, в яких розташовані сховища носіїв і здійснюється їх обробка. Ці приміщення повинні бути захищені від несанкціонованого проникнення;

– приміщення, в яких проводиться робота з носіями інформації або протягом робочого дня, або цілодобово: кімнати, в яких з носіями працює персонал; кімнати, в яких проводяться закриті заходи (наради, засідання, семінари та ін.); виробничі ділянки з виготовлення продукції. Ці приміщення повинні захищатися під час перебування в них носіїв від несанкціонованого проникнення, від візуального спостереження за носіями, а також, в разі необхідності, від прослуховування ведуться в них конфіденційних розмов, які можуть вестися в них. Захист здійснюється в приміщеннях співробітниками, що там працюють, різними технічними засобами, в тому числі в неробочий час засобами охоронної сигналізації.

Ще одним об'єктом захисту є безпосередньо сховища носіїв. Сховища захищаються від несанкціонованого доступу до носіїв. Їх захист здійснюється відповідальними зберігачами за допомогою замків, а у позаробочий час вони можуть, крім замків, захищатися засобами охоронної сигналізації.

Крім того, об'єктами захисту повинні бути:

– засоби відображення, обробки, відтворення і передачі конфіденційної інформації, в тому числі ЕОМ, які повинні захищатися від несанкціонованого підключення, побічних електромагнітних випромінювань, зараження вірусом, електронних закладок, візуального спостереження, виведення з ладу, порушення режиму роботи; копіювально-розмножувальна техніка, що захищається від візуального спостереження і побічних електромагнітних випромінювань під час обробки інформації; засоби відео-, звукозаписувальної та відтворювальної техніки, які вимагають захисту від прослуховування, візуального спостереження і побічних електромагнітних випромінювань;

– засоби транспортування носіїв конфіденційної інформації, що підлягають захисту від проникнення сторонніх осіб до носіїв або їх знищення під час транспортування;

– засоби радіо- і кабельного зв'язку, радіомовлення і телебачення, які використовуються для передачі конфіденційної інформації, що повинні захищатися від прослуховування, виведення з ладу, порушення режиму роботи;

– системи забезпечення функціонування підприємства (електро-, водопостачання, кондиціонування та ін.), які повинні захищатися від використання їх для виведення з ладу засобів обробки і передачі інформації прослуховування конфіденційних розмов, візуального спостереження за носіями;

– технічні засоби захисту інформації та контролю за ними, що вимагають захисту від несанкціонованого доступу з метою виведення їх з ладу.

2.6. Основні вимоги до комплексної системи захисту інформації

•Система захисту інформації повинна забезпечувати виконання АС своїх основних функцій без істотного погіршення характеристик останньої.

•Вона повинна бути економічно доцільною, оскільки вартість системи захисту інформації входить у вартість АС.

•Захист інформації в АС повинен забезпечуватися на всіх етапах життєвого циклу, при всіх технологічних режимах обробки інформації, в тому числі при проведенні ремонтних і регламентних робіт.

•В систему захисту інформації повинні бути закладені можливості її вдосконалення і розвитку відповідно до умов експлуатації та конфігурації АС.

•Відповідно до встановлених правил КСЗІ повинна забезпечувати розмежування доступу до ІзОД з відволіканням порушника на помилкову інформацію, тобто мати властивості активного і пасивного захисту.

•При взаємодії захищеної АС з незахищеними АС система захисту повинна забезпечувати дотримання встановлених правил розмежування доступу.

•Система захисту повинна дозволяти проводити облік і розслідування випадків порушення безпеки інформації в АС.

•Застосування системи захисту не повинно погіршувати екологічну обстановку, не бути складною для користувача, не викликати психологічної протидії та бажання обійтися без неї.

2.7. Завдання комплексної системи захисту інформації

Перелік основних завдань, які повинні вирішуватися комплексною системою захисту інформації:

• управління доступом користувачів до ресурсів АС з метою її захисту від неправомірного випадкового або навмисного втручання в роботу системи та несанкціонованого (з перевищенням наданих повноважень) доступу до її інформаційних, програмних і апаратних ресурсів з боку сторонніх осіб, а також осіб з числа персоналу організації та користувачів;

• захист даних, передаваних по каналах зв'язку;

• реєстрація, збір, зберігання, обробка і видача відомостей про всі події, що відбуваються в системі і які стосуються її безпеки;

• контроль роботи користувачів системи з боку адміністрації та оперативне сповіщення адміністратора безпеки про спроби несанкціонованого доступу до ресурсів системи;

• контроль і підтримку цілісності критичних ресурсів системи захисту та середовища виконання прикладних програм;

• забезпечення замкнутого середовища перевіреного програмного забезпечення з метою захисту від безконтрольного впровадження в систему потенційно небезпечних програм (у яких можуть міститися шкідливі закладки або небезпечні помилки) і засобів подолання системи захисту, а також від впровадження і розповсюдження комп'ютерних вірусів;

• управління засобами системи захисту.

2.8. Основні принципи організації КСЗІ

Захист інформації в АС повинен ґрунтуватися на таких основних принципах:

• системності;

• комплексності;

• безперервності захисту;

• розумної достатності;

• гнучкості управління і застосування;

• відкритості алгоритмів і механізмів захисту;

• простоти застосування захисних заходів і засобів.

2.8.1 Принцип системності

Системний підхід до захисту комп'ютерних систем передбачає необхідність врахування всіх взаємозв'язаних, взаємодійних і змінних в часі елементів, умов та факторів, істотно значущих для розуміння і вирішення проблеми забезпечення безпеки АЕС.

При створенні системи захисту необхідно враховувати всі слабкі, найбільш вразливі місця системи обробки інформації, а також характер, можливі об'єкти і напрямки атак на систему з боку порушників (особливо висококваліфікованих зловмисників), шляхи проникнення в розподілені системи і НСД до інформації. Система захисту повинна будуватися з урахуванням не тільки всіх відомих каналів проникнення і НСД до інформації, але і з урахуванням можливості появи принципово нових шляхів реалізації загроз безпеці.

2.8.2 Принцип комплексності

У розпорядженні фахівців з комп'ютерної безпеки є широкий спектр заходів, методів і засобів захисту комп'ютерних систем. Комплексне їх використання передбачає узгоджене застосування різнорідних засобів при побудові цілісної системи захисту, що перекриває всі істотні канали реалізації загроз і не містить слабких місць на стиках окремих її компонентів. Захист повинен будуватися ешелоновано. Зовнішній захист повинен забезпечуватися фізичними засобами, організаційними та правовими заходами. Однією з найбільш укріплених ліній оборони покликані бути засоби захисту, реалізовані на рівні операційних систем (ОС) в силу того, що ОС – це якраз та частина комп'ютерної системи, яка керує використанням всіх її ресурсів. Прикладний рівень захисту, що враховує особливості предметної області, представляє внутрішнім рубежем оборони.

2.8.3 Принцип безперервності захисту

Захист інформації – це не разовий захід і навіть не певна сукупність проведених заходів та встановлених засобів захисту, а безперервний цілеспрямований процес, який передбачає прийняття відповідних заходів на всіх етапах життєвого циклу АС, починаючи з найперших стадій проектування, а не тільки на етапі її експлуатації.

Розробка системи захисту повинна вестися паралельно з розробкою самої захищуваної системи. Це дозволить врахувати вимоги безпеки при проектуванні архітектури і, в кінцевому рахунку, дозволить створити більш ефективні (як за витратами ресурсів, так і за стійкістю) захищені системи.

Більшості фізичних і технічних засобів захисту для ефективного виконання своїх функцій необхідна постійна організаційна (адміністративна) підтримка (своєчасна зміна та забезпечення правильного зберігання і застосування імен, паролів, ключів шифрування, перевищення повноважень тощо). Перерви в роботі засобів захисту можуть бути використані зловмисниками для аналізу застосовуваних методів і засобів захисту, для впровадження спеціальних програмних і апаратних "закладок" й інших засобів подолання системи захисту після відновлення її функціонування.

2.8.4 Розумна достатність

Створити абсолютно непереборну систему захисту принципово неможливо. При достатній кількості часу і коштів можна подолати будь-який захист. Тому має сенс вести мову тільки про деякий прийнятний рівень безпеки. Високоефективна система захисту коштує дорого, використовує при роботі істотну частину потужності й ресурсів комп'ютерної системи і може створювати відчутні додаткові незручності користувачам. Важливо правильно вибрати той достатній рівень захисту, при якому витрати, ризик і розмір можливого збитку були б прийнятними (задача аналізу ризику).

2.8.5 Гнучкість системи захисту

Часто доводиться створювати систему захисту в умовах великої невизначеності. Тому вжиті заходи та встановлені засоби захисту, особливо в початковий період їх експлуатації, можуть забезпечувати як надмірний, так і недостатній рівень захисту. Природно, що для забезпечення можливості варіювання рівнем захищеності засоби захисту повинні мати певну гнучкість. Особливо важливою ця властивість є в тих випадках, коли встановлення засобів захисту необхідно здійснювати на систему, що працює, не порушуючи процесу її нормального функціонування. Крім того, зовнішні умови і вимоги з плином часу змінюються. У таких ситуаціях властивість гнучкості рятує власників АС від необхідності прийняття кардинальних заходів з повної заміни засобів захисту на нові.

2.8.6 Відкритість алгоритмів і механізмів захисту

Суть принципу відкритості алгоритмів і механізмів захисту полягає в тому, що захист не повинен забезпечуватися тільки за рахунок обмеження доступу до структурної організації та алгоритмів функціонування її підсистем. Знання алгоритмів роботи системи захисту не повинно давати можливості її подолання (навіть авторові). Однак, це зовсім не означає, що інформація про конкретну систему захисту повинна бути загальнодоступною.

2.8.7 Принцип простоти застосування засобів захисту

Механізми захисту повинні бути інтуїтивно зрозумілі і прості у використанні. Застосування засобів захисту не повинно бути пов'язане зі знанням спеціальних мов або з виконанням дій, що вимагають значних додаткових трудовитрат при звичайній роботі законних користувачів, а також не повинно вимагати від користувача виконання рутинних малозрозумілих йому операцій (введення декількох паролів та імен і т. д.).

2.9. Концептуальні підходи до проектування систем захисту

Зараз можна виділити три різних концептуальних підходи до проектування систем захисту.

Підхід перший: "від продукту". Цього підходу дотримуються, як правило, компанії-виробники систем захисту інформації, що мають у своєму складі проектну групу. Фактично, в таких компаніях інтеграція виросла з просто впроваджувального напрямку в той момент, коли замовник попросив не просто продукт, а проект. Таким чином, вся технологія проектування орієнтована на те, щоб продукт, вироблений компанією, був центральним незалежно від розв'язуваної задачі. Даний підхід не завжди реально обґрунтований, особливо в умовах агресивного маркетингу і позиціонування продукту, як "панацеї" від більшості загроз безпеки.

Однак у разі, коли замовник має достатню кваліфікацію, щоб широко дивитися на проблему захисту інформації в цілому і уникати однобоких рішень, реалізуються проекти високої якості, що зрозуміло, адже ніхто, крім виробника не знає продукту краще. Але в цьому випадку потрібна або наявність власних висококласних фахівців, системних архітекторів, або залучення зовнішніх консалтингових компаній.

Позиція друга – компанія виступає постачальником рішень у сфері захисту інформації. Розуміючи відсутність єдиного продукту, що захищає від усіх загроз, компанія пропонує комплексне вирішення проблеми. Воно складається з комбінації декількох технологій захисту, наприклад, міжмережевих екранів для захисту від атак з Інтернету, VPN – для закриття каналів зв'язку і т.п. Ось, здавалося б, оптимальна позиція: кожна технологія, кожен продукт займає свою нішу і усувають певні загрози. Але тут існує одна проблема.

Формально схема виглядає таким чином: зараз існують чотири основні технології захисту – міжмережеве екранування, VPN, криптографічний захист, активний аудит. Кожна технологія має по 3–4 продукти, які дійсно працюють. Тобто, чотири технології по чотири продукти утворюють 16 кубиків, з яких може будуватися система безпеки. Тоді завдання архітектора системи захисту зводиться до того, щоб знайти, куди прилаштувати кожен кубик. Виникає спокуса починати будувати систему, відштовхуючись не від потреб замовника, а від наявних засобів захисту.

Можливо, така технологія роботи була б виправдана в умовах повністю електронного документообігу в організації, але наші реалії такі, що більшість комп'ютерних систем в наших організаціях – це 300–400 друкарських машинок, об'єднаних мережею. В умовах паперового документообігу всі документи готуються на комп'ютері, роздруковуються, а потім у паперовому вигляді рухаються по організації. У мережі існують лише осередки автоматизації, наприклад, у бухгалтерії, в конструкторському відділі і т. п. А всі інші співробітники спілкуються один з одним, в кращому випадку, на e-mail або через спільні папки. Тому буває важко пояснити, навіщо використовувати, наприклад, VPN, якщо вся інформація надсилається поштою або факсом. Або навіщо встановлювати на комп'ютери електронні замки, якщо всі документи зберігаються в shared папках, не закритих паролями, і їх може отримати практично будь-який співробітник.

Не можна говорити, що підхід від "кубиків" не прийнятний і не життєздатний. В даний час існує великий неосвоєний ринок середніх і дрібних компаній, для яких занадто дорого купувати серйозні консалтингові послуги компаній-інтеграторів. Таким компаніям як раз і потрібен деякий набір продуктів і рішень, які могли б просто об'єднуватися в систему, надаючи їй необхідну функціональність.

Існує ще третя позиція – найскладніша і така, що досить рідко зустрічається на нашому ринку. Яка стандартна схема продажу певного продукту або системи? Постачальник приходить до замовника, вивчає його проблему і пропонує те чи інше рішення, продукт або варіанти рішення, або замовник організує тендер, отримує кілька пропозицій. І в тому, і в іншому випадку замовник самостійно приймає рішення про те, яку систему, технологію впроваджувати. Тобто, відповідальність за прийняття рішень щодо захисту інформації покладається на замовника, який, взагалі кажучи, не є експертом в галузі захисту інформації. Найскладніше завдання, яке може і повинно стояти перед компанією-інтегратором, – це прийняти на себе відповідальність за вибір стратегії забезпечення безпеки організації, розвиток системи, її адекватність технологіям, що розвиваються. Системний інтегратор повинен реалізовувати єдину комплексну політику, як технічну, так і організаційну, проводячи її на всіх рівнях організації-замовника.

Перед виробленням рішення з інформаційної безпеки інтегратор повинен провести всебічне глибоке обстеження не просто інформаційної системи замовника, а всього "інформаційного життя" організації. Обстеження має вестися на трьох рівнях: на рівні бізнес-процесів, який виявляє документальні потоки, типи оброблюваної інформації, рівні її конфіденційності; на інфраструктурному рівні – для виявлення вразливих місць серверного парку, мережевого обладнання; на рівні додатків, на якому виявляються уразливості в програмному забезпеченні, помилки в налаштуваннях механізмів розмежування доступу та ін.

На основі отриманих даних необхідно сформувати спочатку концептуальне рішення щодо захисту інформації, що складається з комплексу організаційних, процедурних і програмно-апаратних засобів захисту, а потім, чітко обґрунтовуючи вибір, пропонувати впровадження тих чи інших технологій захисту. При цьому потрібно враховувати, що підсистема інформаційної безпеки є підтримувальною системою стосовно всієї інформаційної системи організації. Вона не повинна відігравати домінуючу роль у розвитку організації та її інформаційної системи. Тобто система інформаційної безпеки повинна захищати інформацію, що забезпечує бізнес-завдання організації.

Таким чином, будь-яка система інформаційної безпеки, що захищає велику організацію з розподіленою інформаційною системою, або система, що являє собою один міжмережевий екран, повинна бути розумно достатньою щодо організації, вона не повинна заважати роботі працівників. Завжди повинен бути адекватний вибір рівня захисту, правильний вибір технологій і засобів захисту.