Для определения уровней защиты информации при разработке систем безопасности можно выделить три уровня: 1

1. Правовой. 1 Основан на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации. 1
2. Организационный. 1 Содержит меры управленческого, ограничительного и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. 1
3. Технический. 1 Включает инженерно-технический, программно-аппаратный и криптографический элементы системы защиты информации. 1

Также можно выделить три основных уровня защиты информации на предприятии: 3

1. Защита информации на уровне рабочего места пользователя. 3
2. Защита информации на уровне подразделения предприятия. 3
3. Защита информации на уровне предприятия. 3

В соответствии с механизмами реагирования на угрозу, определяют следующие уровни защиты информации: 3

• Предотвращение — внедрение служб контроля доступа к информации и технологии. 3
• Обнаружение — раннее обнаружение угрозы, даже в случае обхода механизмов защиты. 3
• Ограничение — уменьшение размера информационных потерь, в случае уже произошедшего преступления. 3
• Восстановление — обеспечение эффективного восстановления информации в случае её утраты или уничтожения. 3

При формировании политики информационной безопасности также выделяют верхний, основной (средний) и технический уровни: 5

• Верхний уровень — это документы, содержащие перечень основных рисков и целей в сфере защиты конфиденциальной информации. 5
• Основной (средний) уровень — это документы с перечнем информации, которая подлежит защите (реестр информационных активов или их категорий). 5
• Технический уровень — это документы, определяющие меры по защите информации и обязанности конкретных сотрудников. 5