Для определения оптимальных уровней защиты для разных типов информационных систем можно использовать следующую методику: 2

1. Изучение исходных данных по структуре, архитектуре, инфраструктуре и конфигурации информационной системы (ИС) на момент обследования. 2
2. Предварительная оценка рисков, связанных с осуществлением угроз безопасности в отношении технических и информационных ресурсов. 2
3. Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности (ИБ). 2 Оценка их соответствия требованиям существующих стандартов и нормативных документов, а также их адекватности существующим рискам. 2
4. Анализ конфигурационных файлов маршрутизаторов, Proxy-серверов, почтовых и DNS-серверов, шлюзов виртуальных частных сетей (VPN) и других критических элементов сетевой инфраструктуры. 2
5. Сканирование внешних сетевых адресов локальной сети. 2
6. Сканирование ресурсов локальной сети изнутри. 2
7. Анализ конфигурации серверов и рабочих станций при помощи специализированных программных агентов. 2

Также можно использовать классификацию по стандартам ФСТЭК РФ. 3 Согласно им, предусмотрено три уровня защиты, которые определяются по параметрам масштабов информационной системы (федеральная, региональная, муниципальная) и уровню конфиденциальности защищаемой информации. 3

Для точной оценки и определения оптимального уровня защиты рекомендуется обратиться к специалисту.