С точки зрения стратегии защиты выделяют ресурсный подход, рассматривающий систему как набор ресурсов и привязывающий компоненты подсистемы информационной безопасности к ресурсам, и сервисный подход, трактующий систему как набор служб, предоставляемых пользователям.
При реализации ресурсного подхода задачу защиты информации необходимо решать без дополнительных ограничений на структуру служб, что в условиях неоднородной системы не представляется возможным.
Сегодня сервисный подход представляется предпочтительным, поскольку привязывается к реализованным в системе службам и позволяет исключить широкий класс угроз при помощи отказа от «лишних» служб, делая структуру подсистемы информационной безопасности более логически обоснованной. Именно сервисный подход лежит в основе современных стандартов по безопасности, в частности, ISO 15408.