Концепция информационной безопасности, как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты, должна в общем виде отвечать на три простых вопроса:
• Что защищать?
• От чего защищать?
• Как защищать?
С вопросом «Что защищать?» связано понятие объекта защиты. Под объектом защиты будем понимать комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации.
Одно из главных свойств информации, вытекающее из самой ее природы - ее ценность и то, что она подразумевает свой носитель, то есть, выражение получить доступ к информации можно понимать и как получение доступа к вполне определенному носителю.
Кроме того, спецификой информации является то, что она не исчезает при потреблении, не передается полностью при обмене (в отличие от денег она остается и у старого пользователя). С одной стороны, она является «неделимой», то есть имеет смысл только при достаточно полном объеме сведений, с другой стороны, качество ее повышается при добавлении новых достоверных данных, то есть можно проводить постепенное накапливание сведений и небольшими частями. Поэтому, прежде чем ответить на первый вопрос, необходимо четко разобраться, какая информация может потребовать защиты. Это может быть, например, весь объем данных, накапливающийся и формирующийся в фирме, которые имеют коммерческую значимость. Это могут быть какие-нибудь деловые (или не очень деловые) встречи, детали (возможно пикантные) частной жизни и т.д. В каждом отдельном случае нужно тщательно проанализировать какая конкретная информация может оказаться совершенно нежелательной для огласки. Затем аккуратно привязать эту информацию к носителям. Следующим шагом должна стать ранжировка этих объектов защиты по степени ценности содержащейся в них информации (ведь часто разговор и итоговый документ - это «две большие разницы») и определение потенциально опасных систем, позволяющих получить к ним доступ.