Donos de informação podem requisitar que a disponibilidade, disseminação e modificação de qualquer informação seja estritamente controlada e que os ativos sejam protegidos de ameaças por meio de contramedidas.
International Organization for Standardization. ISO/IEC 15408-1: Introduction and general mode, 2009. Tradução livre.
Segundo a ISO/IEC 15408, existem dois elementos principais que devem ser demonstrados para se poder defender a escolha de contramedidas. Esses elementos determinam que as contramedidas devem ser
- A corretas, ou seja, capazes de fazer o que afirmam, e suficientes, ou seja, caso corretas, devem neutralizar as ameaças.
- B corretas, ou seja, capazes de fazer o que afirmam, e imprevisíveis, ou seja, devem ser difíceis de prever.
- C imprevisíveis, ou seja, devem ser difíceis de se prever, e suficientes, ou seja, caso corretas devem neutralizar as ameaças.
- D complexas, ou seja, difíceis de se compreender, e suficientes, ou seja, caso corretas devem neutralizar as ameaças.
- E imprevisíveis, ou seja, devem ser difíceis de se prever, e complexas, ou seja, difíceis de se compreender.