Этапы построения организационной политики безопасности — это внесение в описание объекта структуры ценностей и проведение анализа риска, и определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации, имеющим данную степень ценности. Прежде всего необходимо составить детализированное описание общей цели построения системы безопасности объекта, выражаемое через совокупность факторов или критериев, уточняющих цель. Совокупность факторов служит базисом для определения требований к системе (выбор альтернатив). Факторы безопасности, в свою очередь, могут разделяться на правовые, технологические, технические и организационные.

Разработка политики безопасности организации, как формальной, так и неформальной, — безусловно, нетривиальная задача. Эксперт должен не только владеть соответствующими стандартами и хорошо разбираться в комплексных подходах к обеспечению защиты информации организации, но и, например, проявлять детективные способности при выявлении особенностей построения информационной системы и существующих мер по организации защиты информации. Аналогичная проблема возникает в дальнейшем при необходимости анализа соответствия рекомендаций политики безопасности реальному положению вещей: необходимо по некоторому критерию отобрать своего рода «контрольные точки» и сравнить их практическую реализацию с эталоном, задаваемым политикой безопасности.

В общем случае можно выделить следующие процессы, связанные с разработкой и реализацией политики безопасности.

1. Комплекс мероприятий, связанных с проведением анализа рисков. К этой группе можно отнести:

— учет материальных или информационных ценностей;

— моделирование угроз информации системы;

— собственно анализ рисков с использованием того или иного подхода — например, стоимостной анализ рисков.

2. Мероприятия по оценке соответствия мер по обеспечению защиты информации системы некоторому эталонному образцу: стандарту, профилю защиты и т. п.