демонстрацию противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;

проведение контрразведывательных мероприятий с целью получить сведения о том, как именно противник получает доступ к вашей информации, для организации соответствующего противодействия;

подготовка персонала; в каждой крупной организации должно быть отдельное подразделение, отвечающее за политику безопасности, включающее специальным образом обученный персонал.

Рациональным является организационное построение системы защиты информации на основе следующих положений:

объект должен иметь постоянно обновляемую систему защиты, т. е. быть организован так, чтобы любой наблюдатель за время подготовки «вторжения» не сумел получить знаний об объекте больше “информационного барьера”, необходимого для успешной атаки;

необходимо разделение информации об объекте на «конфиденциальную» и «обычную» и хранение «ключей» к конфиденциальной информации отдельно от блоков с самой информацией;

необходима маскировка ключевой информации в общем объёме сообщений.

Следует помнить слова известного специалиста в области защиты информации Брюса Шнейера: «Безопасность – это процесс, а не продукт. Продукты обеспечивают некоторую защиту, но для организации единственным способом эффективно заниматься своей деятельностью в мире, полном опасностей, является постоянно развивающаяся организация своей защиты с учетом того, что в продуктах всегда имеются ошибки безопасности».

Комплексная защита может быть обеспечена только при централизованном руководстве. В 1992 году Указом Президента Российской Федерации вместо существовавшей около 20 лет Государственной технической комиссии СССР была образована Государственная техническая комиссия при Президенте РФ – коллегиальный орган, отвечающий в том числе и за координацию усилий в области защиты информации. Существует ряд законов, указов Президента и постановлений Правительства РФ в области защиты информации, нормативных документов в области сертификации и лицензирования.

Аналогичная система защиты информации существует и в зарубежных странах. В США сфера информационных технологий регламентируется более чем 300 законами и подзаконными актами. Основными видами документов, регламентирующих функционирование систем защиты за рубежом, являются:

Оранжевая книга (TCSEC);

Радужная серия, гармонизированные критерии Европейских стран (ITSEC);