Важливим напрямом захисту інформаційної безпеки є встановлення правових засад захисту інформації, що передається або обробляється за допомогою комунікаційних та автоматизованих систем. Основним нормативно-правовим актом в цій галузі вважається Закон "Про захист інформації в автоматизованих системах"[74].

Згідно з цим Законом (ст. 1) автоматизована система (далі - АС) визначається як система, що здійснює автоматизовану обробку даних і до складу якої входять технічні засоби їх обробки (засоби обчислювальної техніки і зв'язку), а також методи і процедури, програмне забезпечення.

Визначено п'ять типів неправомірних дій щодо інформації в автоматизованих системах та самих автоматизованих систем (ст. 1), до яких відносяться:

1. витік інформації - результат дій порушника, внаслідок яких інформація стає відомою (доступною) суб'єктам, що не мають права доступу до неї;
2. втрата інформації - дія, внаслідок якої інформація в АС перестає існувати для фізичних або юридичних осіб, які мають право власності на неї в повному чи обмеженому обсязі;
3. підробка інформації - навмисні дії, що призводять до перекручення інформації, яка повинна оброблятися або зберігатися в АС;
4. блокування інформації - дії, наслідком яких є припинення доступу до інформації;
5. порушення роботи АС - дії або обставини, які призводять до спотворення процесу обробки інформації.

Об'єктами захисту від неправомірних зазіхань є інформація, що обробляється в АС, права власників цієї інформації та власників АС, права користувача. Захист інформації здійснюється шляхом застосування сукупності організаційно-технічних заходів і правових норм для запобігання заподіянню шкоди інтересам власника інформації чи АС та осіб, які користуються інформацією.

Також Законом "Про захист інформації в автоматизованих системах" визначаються: відносини між суб'єктами в процесі обробки інформації в автоматизованих системах, загальні вимоги щодо захисту інформації в АС і порядок організації цього захисту, відповідальність за порушення норм цього закону та засади міжнародного співробітництва України в сфері автоматизованих систем.

Зокрема передбачено (ст. 11), що вимоги і правила щодо захисту інформації, яка є власністю держави, або інформації, захист якої  гарантується державою, визначаються відповідними нормативно-правовими актами. Ці вимоги є обов'язковими для власників АС, де така інформація обробляється і мають рекомендаційний характер для інших суб'єктів права власності на інформацію. Тобто, захист інформації в АС побудовано на тих самих засадах, що захист інформації взагалі, згідно з якими захист державної, службової таємниці, особистих даних побудовано на вимогах правових актів, що визначають режим доступу до цієї інформації, а захист комерційної таємниці - на основі права власності на цю інформацію.

Політика в галузі захисту інформації в АС визначається Верховною Радою України, а державне управління в цій сфері здійснюється Кабінетом Міністрів.

Державне управління в сфері захисту інформації в автоматизованих системах здійснюється шляхом:

• проведення єдиної технічної політики щодо захисту інформації;
• розроблення концепції, вимог, нормативно-технічних документів і науково-методичних рекомендацій щодо захисту інформації в АС;
• затвердження порядку організації, функціонування та контролю за виконанням заходів, спрямованих на захист оброблюваної в АС інформації, яка є власністю держави, а також рекомендацій щодо захисту інформації - власності юридичних та фізичних осіб;
• організації випробувань і сертифікації засобів захисту інформації в АС, в якій здійснюється обробка інформації, яка є власністю держави;
• створення відповідних  структур для захисту інформації в АС;
• проведення атестації сертифікаційних (випробувальних) органів, центрів і лабораторій, видачі ліцензії на право проведення сервісних робіт в галузі захисту інформації в АС;
• здійснення контролю захищеності оброблюваної в АС інформації, яка є власністю держави;
• визначення порядку доступу осіб і організацій зарубіжних держав до інформації в АС, яка є власністю держави, або до інформації - власності фізичних та юридичних осіб, щодо поширення і використання якої державою встановлено обмеження.

Взагалі, коли мова йде про захист інформації, то більшість дослідників погоджується з тим, що цей захист може мати лише комплексний характер. Але в цій комплексній системі можна виділити цілий спектр напрямків діяльності суб'єктів захисту інформації, які характеризуються властивими специфічними методами і способами захисту інформації. Зазвичай виділяють:

правовий захист - спеціальні закони, інші нормативні акти, правила, процедури і заходи, що забезпечують захист інформації на правовій основі;

організаційний захист - це регламентація виробничої діяльності і взаємовідносин виконавців на нормативно-правовій основі, що виключає або послаблює завдання якої-небудь шкоди виконавцям;

інженерно-технічний захист - використання різних технічних засобів, що попереджають завдання шкоди інформації [363, 32 - 33].

Але слід зазначити, що в будь-якому випадку в основі всіх перерахованих заходів лежать правові норми, якими регламентується діяльність в сфері захисту інформації. Крім того, правовий захист інформації, який було розглянуто в попередніх розділах, стосується так би мовити інформації в "чистому" вигляді, незалежно від її носія. А от наступні - організаційний і інженерно-технічний аспекти захисту інформації, спрямовані не безпосередньо на інформацію, а на системи, об'єкти та носії, на яких ця інформація збирається, зберігається, обробляється та розповсюджується.

Так, наприклад, головні напрями підвищення безпеки передачі інформації, що є власністю держави, визначено в Указі Президента України "Про деякі заходи щодо захисту державних інформаційних ресурсів у мережах передачі даних"[319]. Зокрема передбачається запровадити щодо органів виконавчої влади, інших державних органів, а також підприємств, установ та організацій, які одержують, обробляють, поширюють і зберігають інформацію, що є об'єктом державної власності та охороняється згідно із законодавством: спеціальний порядок підключення до іноземних і міжнародних мереж передачі даних, у тому числі до мережі Інтернет; спеціальний порядок придбання комп'ютерної та телекомунікаційної техніки, засобів програмного забезпечення; та здійснення передачі даних глобальними мережами виключно через підприємства (операторів), що визначатимуться Державним комітетом зв'язку та інформатизації України. Органам місцевого самоврядування також рекомендується здійснювати передачу даних глобальними мережами в порядку, передбаченому вищезазначеним Указом.

Комплексний характер захисту інформаційної інфраструктури реалізується і в національному законодавстві. Так, зокрема відзначається, що захист державних інформаційних ресурсів в автоматизованих системах, що входять до складу інформаційно-телекомунікаційних систем, здійснюється шляхом запровадження комплексної системи захисту інформації (КСЗІ). КСЗІ складається з комплексу технічних, криптографічних, організаційних та інших заходів і засобів, спрямованих на недопущення блокування інформації, несанкціонованого ознайомлення з нею та/або її модифікації [212].

Основними елементами комплексної системи захисту інформації можна вважати заходи технічного та криптографічного захисту інформації, а також комплекс заходів організаційного характеру, який включає встановлення відповідних режимів діяльності об'єктів інформаційних систем, контроль за дотриманням правил і норм здійснення захисту інформації, контроль за діяльністю суб'єктів захисту інформації тощо.

Згідно з відповідним Указом Президента України, технічний захист інформації (ТЗІ) представляє собою "діяльність, спрямовану на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації"[334]. Комплекс заходів щодо технічного захисту інформації може здійснюватися лише в інформаційній системі або на іншому об'єкті інформаційної інфраструктури. Рівень безпеки інформації, яка обробляється в системах та на об'єктах інформаційної інфраструктури визначається комплексом її властивостей, який включає три компоненти:

1. конфіденційність - властивість інформації бути захищеною від несанкціонованого ознайомлення;
2. цілісність - властивість інформації бути захищеною від несанкціонованого спотворення, руйнування або знищення;
3. доступність - властивість інформації бути захищеною від несанкціонованого блокування.

Лише забезпечення всіх цих трьох характеристик інформації, що підлягає захисту, є умовою ефективного і безпечного використання суб'єктами інформаційних процесів необхідних об'єктів інформаційної інфраструктури.

Технічний захист інформації повинен здійснюється за допомогою системи технічного захисту інформації, яка представляє собою "сукупність суб'єктів, об'єднаних цілями та завданнями захисту інформації інженерно-технічними заходами, нормативно-правову та їхню матеріально-технічну базу"[214].

Суб'єктами цієї системи є:

• Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України;
• органи державної влади, органи місцевого самоврядування, органи управління Збройних Сил України та інших військових формувань, утворених згідно із законодавством, відповідні підприємства, установи та організації, щодо яких здійснюється ТЗІ);
• державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи Служби безпеки України і виконують завдання ТЗІ;
• військові частини, підприємства, установи та організації всіх форм власності й громадяни-підприємці, які провадять діяльність з ТЗІ за відповідними дозволами або ліцензіями;
• навчальні заклади з підготовки,  перепідготовки та підвищення кваліфікації фахівців з ТЗІ.

Організація технічного захисту інформації в органах, щодо яких здійснюється ТЗІ, покладається на їхніх керівників. Основними завданнями суб'єктів системи ТЗІ є:

• забезпечення технічного захисту інформації згідно з вимогами нормативно-правових актів з питань технічного захисту інформації;
• видання у межах своїх повноважень нормативно-правових актів із питань технічного захисту інформації;
• здійснення контролю за станом технічного захисту інформації.

Безпосередні організаційно-технічні принципи, порядок здійснення заходів із технічного захисту інформації, характеристики загроз для інформації, норми та вимоги з технічного захисту інформації, визначаються окремими нормативно-правовими актами, які в основному мають конфіденційний характер.

Неодмінно слід відзначити існування диференціації щодо вимог та стандартів технічного захисту інформації. Ця диференціація залежить від суб'єкта власності інформації, що захищається, та її правового режиму. Так, відносно захисту конфіденційної інформації, яка знаходиться у приватній власності і режим якої визначається її власником, положення більшості нормативно-правових актів з ТЗІ мають рекомендаційний характер. В той же час ці нормативно-правові акти обов'язкові для органів державної влади та органів місцевого самоврядування, які здійснюють технічний захист інформації, необхідність охорони якої визначена законодавством.

Роботи з ТЗІ проводяться організаціями, які мають ліцензії на право провадження господарської діяльності у цій галузі. Також передбачена можливість здійснення робіт з ТЗІ для власних потреб органами державної влади та місцевого самоврядування у дозвільному порядку. Ліцензування господарської діяльності з ТЗІ, а також надання дозволів на проведення таких робіт для власних потреб здійснюється Департаментом спеціальних телекомунікаційних систем та захисту інформації СБУ.