Planowanie ochrony
Krok pierwszy sprowadza się do analizy ryzyka (np. na podstawie tzw. drzewa zdarzeń i/lub drzewa błędów), która w ogólnym ujęciu Findeisena składa się po pierwsze z szacowania ryzyka, po drugie z oceny jego akceptowalności. Szacowanie ryzyka i częstości jego występowania obejmuje: identyfikację zagrożeń, określenie podatności poszczególnych elementów systemu na zagrożenia oraz prawdopodobieństwa wystąpienia skutków ewentualnych zagrożeń. Z kolei ocena akceptowalności ryzyka składa się z: oszacowania kosztów incydentów (w danym przedziale czasu) i analogicznie – kosztów zabezpieczeń, a także z wykonania analizy strat w przypadku wystąpienia zagrożenia przy braku zabezpieczeń, wobec zysków w sytuacji, gdy takie zabezpieczenia zostaną zainstalowane (i udaremnią atak/wyciek danych).
W skrócie, w pierwszym etapie należy zidentyfikować ryzyko, które ma być kontrolowane lub akceptowane w odniesieniu do wartości zasobów firmy, ewentualnych zagrożeń, podatności oraz następstw naruszenia poufności, integralności, dostępności, autentyczności i niezawodności danych.
Następnym krokiem jest już dobór środków ochrony dla poszczególnych obszarów/zasobów firmy, w oparciu o projekt techniczny, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Ów projekt musi uwzględniać wyniki analizy ryzyka, obowiązujące przepisy prawa, normy oraz dobre praktyki inżynierskie. Przy czym trzeba mieć na uwadze, że również zabezpieczenia mogą wprowadzać własne podatności na zagrożenia. Należy więc z jednej strony skupić się na redukcji znanego ryzyka, ale z drugiej, nie wprowadzać nowego, związanego z zabezpieczeniem.