Определение источников угрозы и требований безопасности.

Зная о том, какая информация подлежит совместному использованию, определив степень ее конфиденциальности и соответствующие информационные потоки, следует определить вероятные риски в области информационной безопасности. Основную угрозу в среде CALS могут представлять:

- нарушение непрерывности работы системы;

- несанкционированный доступ к системам или данным;

- несанкционированное изменение данных;

- несанкционированное раскрытие данных;

- недостаточность ресурсов системы.

Кроме того, при электронном обмене данными существует опасность отказа от совершенного действия как со стороны отправителя, так и со стороны получателя.

Возможность реализации каждой из перечисленных угроз следует сопоставить со стоимостью защиты от нее и, исходя из этого, определить объем мер защиты.

Выбор мер защиты информации

Весьма важно обеспечить, чтобы CALS-система была должным образом защищена, и одновременно избежать ненужных расходов на излишние меры безопасности. Задача заключается в том, чтобы выбрать наиболее подходящие меры из широкого набора потенциальных решений, таких как:

- физические методы обеспечения безопасности за счет ограничения доступа персонала в помещения;

- процедурная безопасность, начиная от проверки служащих, имеющих дело с закрытой информацией, до контроля их подготовки к процедурам выполнения работ;

- использование сетевых экранов, способных изолировать сети и хранилища данных компаний от внешних коммуникационных сетей;

- внедрение виртуальных частных сетей (VPN);

- антивирусная защита;

- введение жесткого контроля за всей пересылкой файлов путем назначения лица, выполняющего роль «библиотекаря данных»;

- введение функции «только для чтения» как фактического стандарта на доступ к данным;

- специальная защита коммерческих и других закрытых данных;

- методы аутентификации по установлению правильности и идентификации инициаторов сообщений, включая применение паролей доступа, смарт - карт, криптографии и т.д.;

- должное планирование на случай аварийных ситуаций с хорошо документированными и апробированными процедурами резервирования;

- набор методов для обеспечения целостности сообщений, включая проверку транзакций, подтверждения сообщений, шифрование;

- надежные процессы контроля версий и конфигурации.