Информационная безопасность — это процедура организации защиты информации при помощи снижения рисков ее утечки. Обычно для организации данного процесса приглашают специалистов, которые постоянно проходят курс повышения квалификации информационной безопасности. Работа данных служб включает в себя предотвращение или, по крайней мере, снижение вероятности осуществления несанкционированного или ненадлежащего доступа к данным или незаконного их использования.

Информация, требующая защиты, может быть как электронной или физической, так и документальной. Основной задачей службы, которая обеспечивает информационную безопасность является организация комплексных мер по организации защиты конфиденциальности, целостности и доступности данных, не внося неудобства или сбои в работу курируемой организации. Как правило, это достигается в результате создания контролируемой процедуры по отслеживанию рисков.

Предварительно производится идентификация информации и связанных с ней активов, которые являются наиболее уязвимыми, а также выявляются другие потенциальные угрозы. После этого происходит принятие решения о том, как устранить или отработать эти риски, то есть избежать, смягчить или полностью их устранить. Там, где требуется снижение риска, происходит выбор или разработка соответствующих мер контроля безопасности, а также их внедрение.

Как правило, организации и люди, описывают свои потребности в информационной безопасности и доверии к системам с точки зрения трех основных требований:

  • Конфиденциальность: контроль за тем, кто получает доступ к информации;
  • Целостность: обеспечение того, чтобы информация и программы изменялись только определенным и разрешенным образом;
  • Доступность: обеспечение постоянного доступа уполномоченных пользователей к информации и ресурсам.

Эти три требования могут быть выполнены по-разному, путем применения различных приложений и мероприятий. Требования к приложениям, подключенным к внешним системам, будут отличаться от требований к приложениям без такого соединения. Таким образом, конкретные требования и средства контроля информационной безопасности могут быть разными, и варьироваться в зависимости от ситуации.