У відповідності до RFC 2196 виділяють чотири етапи формування політики безпеки:
1. Реєстрація всіх ресурсів, які повинні бути захищені
2. Аналіз та створення списків можливих загроз для кожного ресурсу
3. Оцінка ймовірності появи кожної загрози
4. Прийняття рішень, які дозволять економічно ефективно захистити інформаційну систему.
Інформаційні системи наражені на такі загрози:
- несанкціонований доступ;
- ненавмисне розкриття інформації;
- різні види атак, що дозволяють проникнути в мережу або
перехопити управління нею;
- комп’ютерні віруси;
- логічні бомби;
- засоби пригальмовування передавання даних;
- природні катаклізми та стихійні лиха.
Щодо визначення економічної ефективності систем захисту, то тут слід керуватись наступним міркуванням: вартість засобів захисту не повинна перевищувати втрат, до яких може спричинити ця загроза, зокрема витрат на відновлення інформації.