«Фрагментарный» подход ориентируется на противодействие строго определенным угрозам при определенных условиях.
Примерами реализации такого подхода являются, например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т. д. Главная отличительная особенность «фрагментарного» подхода — отсутствие единой защищенной среды обработки информации.
Главным достоинством (и главным недостатком, ведь недостатки — это продолжение достоинств) «фрагментарного» подхода является его высокая избирательность относительно конкретной угрозы, обуславливающая и основной его недостаток локальность действия. Фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов АСОИ от конкретной угрозы, но не более того. Небольшое видоизменение угрозы ведет к потере эффективности защиты; распрос гранить действие таких мер на всю АСОИ практически невозможно. Особенностью комплексного подхода является создание защищенной среды обработки информации в АСОИ, объединяющей разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Защищенная среда обработки информации строится на основе разработанных для конкретной АСОИ правил обработки критической информации.
Организация защищенной среды обработки информации позволяет гарантировать (в рамках разработанной политики безопасности) уровень безопасности АСОИ. Недостатками подхода являются высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления, ограничения на свободу действий пользователей АСОИ.
Комплексный подход применяют для защиты крупных АСОИ или небольших АСОИ, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи. При этом способ реализации комплексной защиты определяется спецификой АСОИ, другими объективными и субъективными факторами.
Для всех крупных организаций характерно то, что нарушение безопасности информации в их АСОИ может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому эти организации вынуждены особое внимание уделять гарантиям безопасности, что ведет к необходимости реализации комплексной защиты.
Комплексного подхода придерживаются большинство Государственных и крупных коммерческих предприятий и учреждений, он нашел свое отражение в стандартах и целенаправленно проводится в жизнь, например, Министерством обороны США в лице Национального Центра Компьютерной Безопасности (National Computer Security Center; NCSC).
