Stabilirea cerinelor Este important ca fiecare organizaie s poat s-i identifice propriile cerine de securitate.

Pentru aceasta ea trebuie sa fac apel la trei surse principale: analiza riscurilor; legislaia existent; standardele i procedurile interne. Folosind o metodologie corespunztoare pentru a analiza riscurile organizaia i poate identifica propriile cerine legate de securitate. Un astfel de proces presupune n general patru etape principale: identificare activelor care trebuie protejate; identificarea riscurilor/ameninrilor specifice fiecrui activ; ierarhizarea riscurilor; identificarea controalelor prin care vor fi eliminate/diminuate riscurile Nu trebuie ns trecute cu vederea nici aspectele financiare. Fiind un obiectiv comun, dictat de cerinele de afacere, pentru c pn la urm orice activitate derulat de o organizaie are o raiune economica, n implementarea unei arhitecturi de securitate trebuie puse n balan costurile i beneficiile. Un mecanism de control nu trebuie s coste organizaia mai mult dect bunul ce trebuie protejat. Stabilirea cerinelor de securitate, a msurilor necesare pentru a asigura nivelul de control dorit, are o component deseori subiectiv, fiind dificil de cuantificat n temeni monetari pierderea suferit n cazul unui incident de securitate. Aspectele intangibile precum alterarea imaginii organizaiei pe pia, credibilitatea n faa clienilor sau efectele indirecte ale unui incident de securitate major, sunt cel mai greu de apreciat. Aceasta este raiunea i pentru care adoptarea unor standarde i practici general acceptate, susinute de evaluri periodice independente este de recomanda

dezvoltarea cerinelori analiza specificaiilor de securitate; validarea datelor de intrare controlul procesrii interne autentificarea mesajelor transmise electronic validarea datelor de ieire utilizarea tehnicilor de criptare