Для оцінки реального стану безпеки інформаційної системи застосовуються різні критерії. Аналіз вітчизняного і зарубіжного досвіду показав певну спорідненість підходу до визначення стану безпеки в різних країнах. Її суть така. Для того щоб користувач міг оцінити безпеку, запроваджено деяку систему показників і задано ієрархію класів безпеки. Кожному класу відповідає певна сукупність обов’язкових функцій. Ступінь реалізації вибраних критеріїв показує поточний стан безпеки. Подальші дії зводяться до порівняння реальних загроз із реальним станом безпеки. Якщо реальний стан повною мірою перекриває загрози, система безпеки вважається надійною і не потребує додаткових заходів. Таку систему можна віднести до класу систем з повним перекриттям загроз і каналів витікання інформації. У протилежному разі система безпеки потребує додаткових засобів захисту.