Для уменьшения рисков в области безопасности нужно всегда смотреть, кто отвечает за их предупреждение. Распределение таких задач описывается как одна из частей политики организации или же отдельным документом. Этот документ рассматривает все аспекты, связанные с безопасностью в этой организации, таким образом устанавливая систему мер информационной безопасности. Вместе с внутренней ответственностью организации, всегда существует ответственность перед коллегой, клиентом и поставщиком, а также существует более широкая ответственность в обществе, которая включает в себя доверие при применении инфотехнологии в бизнесе, социальных отношениях и общественных услугах.

Поэтому даже в маленькой организации необходим человек, который занимается проблемами безопасности, кто при необходимости может привлечь сторонних экспертов. Это ответственное лицо обеспечивает вместе в руководством организации соответствующую политику безопасности, при применении которой используют необходимые технологии  и следуют предписанным процедурам. Политику безопасности необходимо периодически пересматривать и обновлять.

Целью установления системы мер безопасности для инфосистемы является определить однозначно понимаемый порядок описания требований безопасности для инфосистемы, а исходя из требований безопасности  ещё и порядок определения соответствующих целям классов безопасности и порядок выбора средств защиты согласно классам безопасности.

На основе анализа безопасности и состава обрабатываемых данных определяются классы безопасности, при этом учитывается уровень цели безопасности для данных, более всего требующих защиты. При обозначении класса безопасности используют номер уровня и знак, указывающий на название соответствующей цели, определённой для безопасности данных.

Уровни безопасности подразделяются на основе доступности (K - своевременный и лёгкий доступ к пригодным для использования данным уполномоченного на это потребителя в предварительно согласованное необходимое/требуемое рабочее время), целостности (Т - обеспечение правильности/целостности/своевременности данных, а так же подлинность происхождения и отсутствие возможности несанкционированного изменения) и конфиденциальности (S - доступ к данным только для уполномоченного потребителя, а так же недоступность для всех остальных) информации. Обозначение класса безопасности данных образуется из обозначений подклассов расставленных по порядку K-T-S, например K2T3S1. Соответственно классу безопасности необходимо использовать соответствующие инструменты для разработки инфосистемы, предвидеть и уменьшить все возможные риски, связанные с поломкой системы или парализацией её работы.

 Целостность

 В узком смысле (рассматривая только инфосистему) для защиты целостности инфосистемы возможно применять технические и организационные меры.

Организационные меры должны обеспечивать доступ к информации только личностям, у кого есть разрешение, и полную сохранность информации. Во многом это связано с физическими требованиями мер безопасности. В всех инфосистемах есть компоненты, которые могут быть украдены и испорчены злоумышленниками или их работа может быть парализована природными катастрофами. Разработаны некоторые стандарты, которые предъявляют конкретные минимальные требования к физической безопасности инфосистем. В них описаны меры для разрешения/запрета доступа, требования к системам пожарной тревоги, запасным источникам питания и т.д. Для предотвращения потери данных при нарушении работы системы создаются дублирующие хранилища данных или зеркальные серверные кластеры в местах отделённых друг от друга физически.

Важным компонентами безопасности инфосистем рассматриваются их целостность, доступность и конфиденциальность, что означает, что обрабатываемые данные должны быть всегда своевременными, доступными в полном необходимом объёме и обрабатываемы только для пользователей или их групп на основе определённой политики доступа. Элементарно, что логическая граница системы защищена брандмауэром (англ.  Firewall) и всевозможными инструментами защиты от вредоносных программ. Защищённость информации, обмениваемой через сеть, должны обеспечивать несколько шифровальных техник. Здесь необходимо сослаться обратно на необходимость использования ИД инструментов идентификации, которые являются одним из решений для использования безопасных шифровальных алгоритмов.

Инфосистемы можно поделить на основе объективных критериев по уровню их требований безопасности и определить для них подходящие классы безопасности в зависимости от  опасностей для доступности или других инцидентов.

Некоторые примеры систем с различными требованиями безопасности:

• контрольные системы, которые управляют работой объектов с повышенным риском (ядерные объекты, плотины, воздушный и железнодорожный транспорт и т.д.), т.е. системы, поломка которых представляет существенную угрозу человеческому и общественному имуществу.
• Инфраструктурные системы, которые обеспечивают работу экономики (банки, связь и т.д.)
• системы э-бизнеса и общественных услуг, которые граждане используют каждый день.

В заключение. Критерии оценки применённых мер безопасности должны быть составлены так, чтобы показывать соответствие этих мер классу безопасности инфосистем. Оценка должна показывать, все ли риски учтены и должна быть возможность определить (естественно используя симуляции системы) результативность используемых техник обеспечения безопасности и эффективность различных мер в условии потенциального риска. Вероятности и опасность реализации рисков должны играть существенную роль при планировании тестов, а так же нельзя оставлять без внимания, что вся система безопасности прочна ровно настолько, насколько прочно её самое слабое звено. Хорошо организованная атака всегда найдёт в системе слабое звено и этого будет достаточно, чтобы парализовать доступность, целостность или конфиденциальность системы.

 Поскольку безопасность данных - это специфическая область, то своевременно привести здесь некоторые основные термины.

Аутентификация (Идентификация) - процедура, в ходе которой определяется человек или инфосистема, запрашивающие доступ к использованию услуги. Например инфосистемы аутентифицируется на основе сертификата сервера безопасности, выданного со стороны государственного слоя обмена данными между инфосистемами. За аутентификацию человека, использующего инфосистему, отвечает организация, обслуживающая инфосистему. Пользователи (чиновники) государственных инфосистем и инфосистем самоуправлений аутентифицируются при помощи ИД карты. Аутентифицируемая прикладная программа, использующая услуги системы, дополнительно аутентифицируется на основе сертификата человека, отвечающего за данную программу. Пользователи и предприниматели, которые используют услуги, предлагаемые порталом граждан, аутентифицируются при помощи ИД карты или посредством интернет-банка.

Авторизация - процедура, в ходе которой определяется право на пользование услугой аутентифицированного лица или инфосистемы, запрашивающей услугу. Инфосистема пользователя авторизируется соответственно её принадлежности к какой-либо известной группе пользователей (группа пользователей может состоять и из одной организации). Группы пользователей создаёт и обслуживает RIHA. Ответственность за авторизацию группы пользователей лежит на поставщике услуги. Лиц, которые используют услуги посредством инфосистемы пользователей, авторизирует организация, обслуживающая эту систему.

Э-услуги - всяческие услуги (операции, создающие пользователю дополнительные ценности) в электронной среде. Услуги могут быть очень разных типов: одноразовые информационные услуги, долгосрочные процедурные услуги на основе процессов, услуги э-демократии (голосование, выборы и т.п.) Поставщиками услуг могут быть различные учреждения, фирмы, организации, отдельные лица. Услуги могут быть направлены как на людей, так и действовать между инфосистемами.

Э-правительство - правительство,  электронные прикладные программы исполнительной власти, инфосистемы, а так же соответствующие инструменты и процедуры, предназначенные для выполнения функций исполнительной власти.

Информационная инфраструктура - информация и люди, процессы, процедуры, инструменты, объекты и технология для создания, использования, передачи, хранения и уничтожения информации.

Взаимодействие - способность инфосистем и поддерживаемых ими процессов обмениваться данными и вместе использовать информацию и знания.

Рамочное соглашение о взаимодействии - собрание основных принципов, стандартов и руководств, которым следуют организации при общении друг с другом.

Критическая инфраструктура - критические инфраструктуры состоят из тех физических и инфотехнологических объектов, сетей, услуг и ресурсов, повреждение или уничтожение которых существенно влияет на здоровье, безопасность или экономическое благосостояние граждан или работу правительства. Критические инфраструктуры включают в себя многие экономические секторы, включительно банковский и денежный, транспортный и маркетинговый, энергетический, продовольственный секторы, а так же секторы коммунального хозяйства, здравоохранения, связи и ключевые правительственные услуги. Некоторые критические элементы в этих секторах строго говоря являются не «инфраструктурой», а сетями и цепями поставок, которые поддерживают распространение жизненно важных продуктов и услуг. Например снабжение продовольствием или водоснабжение зависит в больших урбанизированных районах от определённых ключевых объектов, однако в то же время от комплексной сети производителей, обработчиков, маркетологов и розничных продавцов (http://www.siseministeerium.ee/elutahtsad-valdkonnad-ja-teenused-2/).

Критическая информационная инфраструктура (Critical Information Infrastructure, CII) - компоненты информационной инфраструктуры, которые либо сами являются критическими, либо необходимы для работы критической инфраструктуры.

Public Key Infrastructure, PKI - инфраструктура с открытым ключом.