Выбор защитных мер в соответствии с проблемами и угрозами безопасности, изложенными в настоящем разделе, может быть использован следующим образом:
- на первом этапе должна быть проведена идентификация и оценка проблем безопасности. Организация должна рассмотреть требования по обеспечению конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности. Прочность защиты и число выбранных защитных мер должны соответствовать оценкам проблем обеспечения безопасности;
- на втором этапе для каждой из выявленных проблем безопасности должны быть перечислены типичные угрозы и для каждой угрозы в зависимости от рассматриваемой системы ИТ должны быть предложены соответствующие защитные меры. Различные типы систем ИТ приведены в 7.1, краткий перечень защитных мер приведен в подпунктах раздела 8. В некоторых случаях у организации могут возникнуть дополнительные потребности и цели при обеспечении безопасности.