Для защиты информации сегодня предлагается огромное количество разнообразных средств и систем: инженерно-технические, программные, криптографические. Для того чтобы обеспечить высокий уровень информационной защиты, требуется объединить эти разрозненные средства в единую систему информационной безопасности. При этом следует понимать, что важнейшим элементом этой системы является человек.
Система информационной безопасности должна обеспечить защиту важных информационных ресурсов от потенциальных и реальных угроз. Необходимо выявить все возможные угрозы и оценить вероятность реализации каждой из них, поэтому диплом защита информации должен содержать в себе такой раздел, как анализ рисков.
Для эффективного управления рисками все данные о рисках, полученные на этапе анализа, могут быть обработаны с помощью специализированного программного обеспечения, позволяющего составить модель и провести наглядный графический анализ. Выбор соответствующего программного обеспечения следует обосновать в пояснительной записке.
На основе оценок рисков выбираются необходимые методы и средства защиты информации. Статистические исследования показывают, что наиболее серьезной угрозой являются внутренние, исходящие от пользователей системы, которые по неосторожности либо умышленно наносят существенный вред информационным ресурсам.
По этой причине на практике системы защиты информации нередко базируются на запрещающем принципе. Такой подход, хотя и бывает весьма эффективным, не способствует развитию предприятия, поскольку его сотрудники теряют доступ к корпоративным знаниям и информационным ресурсам.
Безусловно, мероприятия, направленные на защиту информации, накладывают некоторые ограничения на пользователей системы, но диплом защита информации не должен полностью базироваться на запрещающих методах. Выпускнику, как специалисту, следует найти «золотую середину» между ограничениями и свободой информационного обмена.
Для обеспечения высокой эффективности системы защиты информации недостаточно создать соответствующие механизмы, необходимо реализовать регулярный процесс, который будет осуществляться на всех этапах обработки информации. Этот процесс позволит корректировать понимание рисков, их оценку и требуемые действия.
И еще один момент, на который следует обратить внимание выпускнику. Некоторые риски не требуют минимизации, поскольку затраты на их минимизацию могут существенно превысить убытки от реализации рисков. Такие риски следует исключить из обработки. Логическая граница между рисками, требующими минимизации, и остаточными рисками изначально имеет высокий уровень, но в ходе дипломного проектирования, как правило, понижается.