Определение источников угрозы и требований безопасности.

Документирование информационных потоков и оценка чувствительности информации к несанкционированному доступу.

Определение рамок системы информационной безопасности.

Необходимо провести инвентаризацию аппаратных средств, операционных систем, сетей и прикладных программных средств, которые будут использоваться для доступа к информации и задокументировать все это в виде схемы.

Определите по всем ключевым бизнес - процессам, какая информация подлежит совместному использованию, с какими информационными потоками она связана. Проведите классификацию информации по степени ее закрытости. Для информации каждого типа потребуется своя форма защиты целостности, конфиденциальности, доступа. Если ряд организаций пользуется единым виртуальным хранилищем данных о продукте, в котором имеется большой объем коммерческой информации и интеллектуальной собственности, то всегда существует вполне обоснованная озабоченность тем, что именно и в какой мере можно показать различным партнерам и заказчику. Широкий и всеобъемлющий характер такого хранилища данных может сделать доступной конфиденциальную информацию, законного права доступа к которой заказчики, партнеры, поставщики и другие члены организации могут и не иметь. Кроме того, партнер по одному проекту может стать конкурентом в другом проекте. Во избежание каких - либо недоразумений важно точно определить и согласовать, какая информация относится к информации общего пользования, зафиксировать это в ведомости используемых данных и принять меры по защите данных и прикладных программных средств ограниченного доступа. При электронном обмене данными нужно установить, какие наборы данных подлежат обмену, а также те действия, которыми должен сопровождаться каждый случай обмена.

Зная о том, какая информация подлежит совместному использованию, определив степень ее конфиденциальности и соответствующие информационные потоки, следует определить вероятные риски в области информационной безопасности. Основную угрозу в среде CALS могут представлять:

- нарушение непрерывности работы системы;

- несанкционированный доступ к системам или данным;

- несанкционированное изменение данных;

- несанкционированное раскрытие данных;

- недостаточность ресурсов системы.

Кроме того, при электронном обмене данными существует опасность отказа от совершенного действия как со стороны отправителя, так и со стороны получателя.

Возможность реализации каждой из перечисленных угроз следует сопоставить со стоимостью защиты от нее и, исходя из этого, определить объем мер защиты.