Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты.

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

q централизованной;необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

q плановой; планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

q конкретной и целенаправленной;защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

q активной;защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

q надежной и универсальной,охватывать весь технологический комплекс информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

q нестандартной(по сравнению с другими организациями), разнообразной по используемым средствам;

q открытой для изменения и дополнения мер обеспечения безопасности информации;

q экономически эффективной; затраты на систему защиты не должны превышать размеры возможного ущерба.

Наряду с основными требованиями существует ряд устоявшихся рекомендаций, которые будут не бесполезны создателям систем информационной безопасности:

q средства защиты должны быть просты для технического обслуживания и «прозрачны» для пользователей;

q каждый пользователь должен иметь минимальный набор привилегий, необходимых для работы;

q возможность отключения защиты в особых случаях, например, когда механизмы защиты реально мешают выполнению работ;

q независимость системы защиты от субъектов защиты;

q разработчики должны предполагать, что пользователи имеют наихудшие намерения(враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты;

q отсутствие на предприятии излишней информации о существовании механизмов защиты.