Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то сложилась трехэтапная (трехстадийная) разработка таких мер.

Первая стадия – выработка требований – включает:

● определение состава средств информационной системы;

● анализ уязвимых элементов ИС;

● оценка угроз (выявление проблем, возникающих при наличия уязвимых мест);

● анализ риска (прогноз возможных последствий, вызывающих эти проблемы).

Вторая стадия – определение способов защиты – включает ответы на следующие вопросы:

●  Какие угрозы должны быть устранены и в какой мере?

● Какие ресурсы системы должны быть защищаемы и в какой степени?

● С помощью каких средств должна быть реализована защита?

● Какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?

Третья стадия – определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.