Проведение такого рода обследования обычно осуществляется по следующей схеме:
- Общее знакомство с системой, визуальный осмотр физического размещения, отдельных компонент или составляющих.
- Предварительная беседа с администратором/менеджером об общем направлении функционирования системы.
- Ознакомление с документацией по информационной системе.
- Составление описания системы с точки зрения информационной безопасности.
- Уточнение описания на основе работы с документацией и с привлеченными специалистами.
Необходимо отметить, что для качественной дальнейшей работы данные характеристики следует хорошо структурировать, например, по следующим параметрам:
- аппаратное обеспечение информационной системы (компьютеры, модемы, маршрутизаторы, мосты, повторители, принтеры и прочие периферийные устройства);
- отдельно можно выделить сетевое обеспечение (сетевые кабели, разъемы, розетки, коннекторы и т. п.);
- системное программное обеспечение (операционная система, другие средства создания среды работы, например, программы резервного копирования или СУБД);
- прикладное программное обеспечение, т. е. программы, выполняющие собственно функции производственные, вспомогательные и сопутствующие производству;
- организационное обеспечение, т. е. пользователи или субъекты системы и их функциональные обязанности в системе;
- нормативное обеспечение — правила и инструкции работы с системой, возможно, отдельные выдержки из них;
- данные — информация, которая используется в работе системы в ее производственном значении.