На основе рекомендаций ТСSЕС ("Оранжевой книги") концепция ИБ может внедряться в следующей последовательности с уточнением ответов на перечень вопросов соответстующего этапа реализации:
(1)анализ текущего состояния информационныхпотоков и ресурсов с использованием МДФ (см.п.1 выше):
• какая информация нуждается в защите;
• наиболее критические элементы защищаемой информации;
• "жизненный цикл" или период критичности информации;
• ключевые элементы (индикаторы) содержания охраняемых сведений и информации;
• организационно-технологическое распределение индикаторов в фирме.
(2) прогнозирование возможных угроз и анализ связанных с ними рисков на основе "информационных кубиков":
• перечень заинтересованных в защищаемых сведениях субъектов;
• оценка методов получения сведений и информации заинтересованных в этом субъектов;
• оценка вероятных каналов утечки информации;
• перечень мероприятий по предупреждению действий со стороны субъектов угрозы ИБ.
(3)планирование мероприятий по предотвращению возникновения критических ситуаций с привлечением МОИБ (аналитико-экспертный уровень):
• эффективностьпринятых и постоянно действующихподсистем обеспечения ИБ;
• экономическая оценка предлагаемых мероприятий и методов.
(4)планирование мероприятий по выходу из возможных критических ситуаций (уровень ситуационного управления в МОИБ), перечень возможных дополнительных мер и средств.
(5)реализация принятых дополнительных мер с учетом заданных выше приоритетов и осуществление контроля.