Инфотехнология сделала работу с информацией более эффективной, как в публичном, так и в частном секторах. Безопасность информации стала очень важна во всём мире. В сравнении с тем, что было несколько лет назад, информационная собственность ещё более увеличилась в размерах, опасности и атаки стали более массовыми, меры по их предотвращению стоят всё больше, а риски велики. Информационную безопасность более не может обеспечивать один отдел, фирма, рабочая группа или государство - необходима кооперативная работа всех сторон в каждой организации, государства и народности.

Общая политика европейского союза предполагает рост безопасности услуг, предоставляемых публичным сектором фирмам и гражданам, а также рост знаний граждан в вопросах безопасности. Необходимость активно заниматься информационной безопасностью на уровне государств установлена на международном уровне. Особенно важно при этому сотрудничество между публичным и частным сектором при защите жизненно важных областей.

В широком значении безопасность информационных систем публичного сектора должно обеспечивать Рамочное соглашение об информационной безопасности при взаимодействии систем (http://www.riso.ee/wiki/Versioon_2011), который определяет основные принципы работы Эстонской информационной безопасности и является основой для обеспечения безопасности в государственных организациях и частном секторе. В этом документе даётся организационная структура и основные принципы действий по обеспечению безопасности информационных систем и связи.

Как и любая техническая система, инфотехнологические (ИТ) системы характеризуются параметрами надёжности. Кроме этого, на их работу могут влиять различные внешние факторы. При проектировании, разработке и обслуживании инфосистем важно учитывать опасности, которые могут влиять на целостность, конфиденциальность и доступность данных.

Источниками опасности могут быть:

• природные катастрофы, которыми могут быть потопы, грозы, пожары и происходящие не в Эстонии, но всё-таки - действия вулканов, землетрясения, оползни, которые могут повредить оборудование компьютерных систем;
• отклонения от обычных рабочих условий в связи с внешними воздействиями, которыми могут быть сбои в системе электроснабжения и пропажа сетевого соединения;
• логические ошибки в программном обеспечении и построении инфосистемы, которые проявляются лишь в очень специфических ситуациях, но в то же время не проявляются даже при использовании самых строгих тестов;
• человеческие ошибки при использовании и обслуживании инфосистем, например непреднамеренные ошибки обслуживающего персонала.
• Злонамеренные атаки, которыми могут быть атаки, направленные на безопасность системы и посредством этого создание несвоевременной реакции системы на действия пользователя. За злонамеренными действиями могут стоять как люди из внутреннего круга организации, так и извне. Ими могут быть конкуренты по бизнесу, производственные шпионы, воры, вандалы и террористы. Их действия в любом случае наказуемы в криминальном порядке.

Источник: The All-Round IT Professional. Plan Knowledge Area. Irish Computer Society, 2006)

Выработка и реализация общих политик касается многих сторон. Информацию о проблемах и решениях в области информационной безопасности необходимо донести до большинства вовлечённых лиц и для этого существует пять основных областей: сотрудничество и координация, обучение и осведомлённость, выработка регулирующих правил, защита информационной инфраструктуры.

Сотрудничество и координация

Сюда входят:

• Координация осуществления анализа рисков ИТ среды
• Развитие в Эстонии способности разбора инцидентов, связанных с безопасностью
• Обслуживание сети контактов в области информационной безопасности для проведения совместных внутренних и внешних работ вместе с агентством ENISA (European Network and Information Security Agency).
• Координация решений безопасности в области разработки трансграничных э-услуг;

Необходимость сотрудничества показывает число различных законов и постановлений, которые прямо или косвенно касаются области безопасности информации в Эстонии:

• Закон о защите личных данных
• Закон о базах данных
• Постановление правительства республики номер 273 от 12. августа 2004 года «Учреждение системы мер безопасности информационных систем»
• Постановление правительства республики номер 331 от 12. августа 2004 года «Применение слоя для обмена данными между инфосистемами»
• Кодекс криминального производства
• Закон об услугах информационного общества
• Закон о цифровых подписях
• Закон о публичной информации
• Закон об авторском праве
• Закон об электронной связи

Осведомлённость и обучение

Для обеспечения безопасности все стороны должны быть осведомлены об опасностях, рисках, атаках, мерах и других обстоятельствах, связанных с информационной безопасностью. Все организации должны защищать свои системы и осведомлять об информационной безопасности, как о стратегическом факторе успеха, а не простой статье расходов. Люди должны понять, что своевременная защита их домашних компьютеров имеет критическое значение в общей цепочке информационной безопасности. Для этого необходимо постоянно проводить осведомление и обучение в области безопасности.

Выработка регулирующих правил

Основой для деятельности в области информационной безопасности являются соответствующие регулирующие решения. Необходимо определить, выработать, проверить и обновить инфраструктуру инфотехнологической и электронной коммуникации, а также необходимые процедуры и инструменты для обеспечения информационной безопасности электронной связи. Эта деятельность включает в себя безопасность информации и электронную связь, защиту критической информационной инфраструктуры, хранение баз данных, безопасные э-услуги, стандарты безопасности, выработку метрик для анализа риска.

Защита информационной инфраструктуры

Информационная инфраструктура является одной из основ современного государства и экономики, опасностей же для неё стало ещё больше. Нужно защищать информационную инфраструктуру, учитывать аспекты информационной безопасности в других областях защиты инфраструктуры, организовать операции по предотвращению киберпреступлений, координировать упомянутые действия на международном уровне. Эта деятельность включает в себя учёт аспектов информационной безопасности в других областях защиты инфраструктуры, операции по предотвращению киберпреступлений, правовые, организационные и технические меры для противостояния спаму и кибератакам, в том числе соответствующие действия против атак из-за рубежа, а также сотрудничество между государствами в этой области.

Защита людей и собственности

Защита человека соответственно основным правам и применение защитных мер в организациях и фирмах являются очень важными. Для этого необходимо применять самые строгие меры для защиты личных данных, безопасные инструменты э-идентификации (например ИД-карта и мобильный-ИД и возможность их использования за границей). Людей необходимо защищать от беспокойства содержанием нелегального и нежелательного характера (домогательство, детская порнография, подстрекательство к насилию и т.д.)