Далее из всего объема информации выделяется группа наиболее значимых сведений, роль которых особенно очевидна в ситуации, подлежащей анализу и оценке. Выбранные сведения классифицируются по актуальности, способу получения и степени достоверности источника. Наиболее актуальные сведения анализируются в первую очередь.

Затем проводится выбор предварительных гипотез, объясняющих проявления тех или иных событий (появление тех или иных сведений). Причем в отношении одного события осуществляется проверка нескольких гипотез (версий). При последовательной проверке гипотез особое внимание уделяется наиболее реальным. Эти гипотезы фиксируются. Наименее реальные гипотезы отклоняются.

Таким образом, последовательно выбираются и формулируются наиболее вероятные предположения, объясняющие появление тех или иных конкретных событий (возникновение сведений). Возможные противоречия в полученных выводах о предполагаемых версиях происходящих событий устраняются путем всесторонней последовательной проверки реальности гипотез.

Результатом работы по формулированию предварительных гипотез является выбор версии, которая наиболее точно по сравнению с другими версиями объясняет причину возникновения конкретной ситуации, связанной с появлением возможного канала утечки конфиденциальной информации, и характеризует состояние системы защиты информации, в том числе — действия соответствующих должностных лиц, качество выполнения мероприятий и т.д.

На втором этапе проводится отбор и анализ источников информации, сбор и обобщение данных в целях выявления канала несанкционированного доступа к сведениям конфиденциального характера, исключения возможности возникновения такого канала.