Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то сложилась трехэтапная (трехстадийная) разработка таких мер.
Первая стадия – выработка требований – включает:
● определение состава средств информационной системы;
● анализ уязвимых элементов ИС;
● оценка угроз (выявление проблем, возникающих при наличия уязвимых мест);
● анализ риска (прогноз возможных последствий, вызывающих эти проблемы).
Вторая стадия – определение способов защиты – включает ответы на следующие вопросы:
● Какие угрозы должны быть устранены и в какой мере?
● Какие ресурсы системы должны быть защищаемы и в какой степени?
● С помощью каких средств должна быть реализована защита?
● Какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?
Третья стадия – определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.