В соответствии с наиболее реальными вариантами сочетаний значений рассмотренных факторов выделено три стратегии защиты:

— оборонительная — защита от уже известных угроз осуществляемая автономно, т. е. без оказания существенного влияния на информационно-управляющую систему;

— наступательная — защита от всего множества потенциально возможных угроз, при осуществлении которой в архитектуре информационно-управляющей системы и технологии ее функционирования должны учитываться условия, продиктованные потребностями защиты;

— упреждающая — создание информационной среды в которой угрозы информации не имели бы условий для проявления.

Прежде чем предлагать какие-либо решения по организации системы защиты информации, предстоит разработать политику безопасности. Политика безопасности — набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности реализуется при помощи организационных мер и программно-технических средств, определяющих архитектуру системы защиты, а также при помощи средств управления механизмами защиты. Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств, расположения организации и т. д.

Организационно политика безопасности описывает порядок представления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система защиты информации окажется эффективной, если она будет надежно поддерживать выполнение правил политики безопасности, и наоборот.