В настоящее время имеется множество разнообразных средств, призванных защищать информацию. Среди них инженерно-технические системы и средства, криптографические, программные. Но только объединение разрозненных средств и одну общую систему может поднять информационную защиту на должный уровень. Данную систему принято называть системой информационной безопасности. Главным элементом любой такой системы являются люди.
От системы информационной безопасности требуется надёжная защита информационных ресурсов организации от всех видов угроз. Она должна учитывать и реальные, и потенциальные риски. Тот, кто работает над созданием подобной системы, должен выявить и рассмотреть каждую возможную угрозу, оценить насколько вероятна её реализация. То есть в дипломном проекте по данной теме должен быть раздел с тщательным анализом рисков.
По результатам данного анализа составляется модель и проводится графический наглядный анализ. Для этого используется специализированное программное обеспечение, выбор которого также должен быть обоснован в пояснениях к диплому.
Оценка риска является основой последующего выбора необходимых методов и средств, призванных защищать информацию. В результате статистических исследований выявлено, что самую большую угрозу целостности информационных ресурсов несут пользователи системы, их неосторожность или злой умысел являются главной проблемой. Данный факт является причиной того, что система информационной безопасности основывается на принципах запрета. Эффективность такого подхода велика, но её оборотной стороной становится застой в компании, из-за отсутствия доступа сотрудников к корпоративной информации.
Практически каждое мероприятие, защищающее информацию, одновременно ограничивает пользователей. Поэтому нельзя увлекаться запретительными методами, дипломник должен найти некий компромисс, использование которого не допустит потери информации, но и позволит пользователям вести информационный обмен.
Система безопасности будет достаточно эффективной только при реализации регулярного процесса использования механизмов безопасности, причём на каждом этапе обработки информации. Кроме того выпускник должен обращать внимание на то, чтобы цена минимизации рисков не превышала убытков их реализации.