Для разработки облика системы управления информационной безопасностью необходимо определить границы системы, для которой должен быть обеспечен режим информационной безопасности и конкретизировать цели ее создания. Эта работа может быть представлена в отдельном документе, в котором зафиксированы границы системы, перечислены ресурсы, подлежащие защите, дана система оценки их ценности. Описание границ системы целесообразно выполнять в следующей последовательности:
1. Описание существующей структуры корпоративной сети и предполагаемых изменений, которые предполагается ввести в связи с ее модернизацией.
2. Идентификация ресурсов информационной системы, подлежащих защите, в том числе: физических ресурсов (СВТ, АИС, СУБД и т.д.), информационных ресурсов (информационные массивы данных), системного и прикладного ПО, сетевых сервисов, поддерживаемых служб для связи с удаленными пользователями и филиалами.
3. Описание размещения средств вычислительной техники и поддерживающей инфраструктуры, схема движения основных информационных потоков, подлежащих защите.
4. Разработка технологической схемы обработки информации в контексте бизнес задач, решаемых с использованием информационных технологий. Построение модели обработки информации в терминах информационных ресурсов.
Определение границ системы управления ИБ необходимо для возможности рассмотрения вопросов ИБ на разных уровнях, начиная от самого абстрактного, заканчивая уровнем конечной реализации, что обеспечивает логическое обоснование и уверенность в корректности и непротиворечивости конкретных мер защиты информации уровня реализации.