На сьогоднішній день захист інформації - достатньо розвинена галузь науки і техніки, що пропонує широкий спектр різноманітних засобів захисту даних. Проте жодний окремо взятий засіб не забезпечує потрібного рівня захисту ІС. Захист на потрібному рівні можливий лише за умови комплексного вжиття взаємодоповнюючих заходів, а саме:
- нормативно-правових;
- адміністративних;
- спеціального обладнання та програмного забезпечення.
Нормативно-правові засоби захисту визначаються законодавчими актами, які регламентують правила користування, опрацювання та передачі інформації обмеженого доступу та встановлюють міру відповідальності за порушення цих правил.
У ст.34 Конституції України визначається право громадян України на інформацію та забезпечення інформаційних процесів.
З липня 2003 року в Україні введена кримінальна відповідальність за незаконне втручання в роботу комп’ютерів чи поширення комп’ютерних вірусів, яке призводить до спотворення, зникнення або блокування доступу до інформації чи носіїв.
Слід брати до уваги також морально-етичні проблеми захисту, які реалізуються у вигляді різних норм, що традиційно сформувались в державі і суспільстві.
Використання систем захисту інформації не приносить прибутку, але її відсутність може стати причиною значних збитків за рахунок:
- втрати конфіденційності;
- втрати даних;
- відмови системи в обслуговуванні користувачів;
- втрати репутації.
Сукупність адміністративних заходів та вибір обладнання і програмного забезпечення повинен здійснюватись окремо для кожної конкретної ІС. Безпеку інформаційної системи не можна один раз придбати і встановити, її потрібно постійно підтримувати. Займатись цим повинні передусім керівники підприємств, відділи інформаційної безпеки, ІТ- менеджери або системні адміністратори.
Незважаючи на те, що політика безпеки повинна розроблятись індивідуально для кожної системи, є низка рекомендацій щодо організації захисту в довільній системі. Ці рекомендації наведені в документі RFC 2196 "Site Security Book" (інструкція з безпеки систем), що є частиною документів RFC (Request for Comment), в яких визначаються стандарти і процедури для Інтернет. Тут дається наступне визначення політики безпеки: