home *** CD-ROM | disk | FTP | other *** search

---

/ Ian & Stuart's Australian Mac: Not for Sale / Another.not.for.sale (Australia).iso / fade into you / being there / Rants / US Computer Ethics Policy / Army.notification

< prev

next >

Wrap

Text File  |  1993-09-21  |  10KB  |  234 lines

---

1.  
2.                     DIRECTORATE OF INFORMATION MANAGEMENT
3.              STANDING OPERATING PROCEDURE
4.                                      
5.                        SECURITY     
6.  
7.   TECHNICAL CONTAMINATION, TECHNICAL VULNERABILITY AND INTRUSION NOTIFICATIONS
8.  
9. SOP NO.  380-07                                                 16 Dec 92
10.  
11. 1.  PURPOSE:  This procedure establishes policies and instructions to address
12. notification procedures applicable to information system resources which may be
13. subject to technical contaminations, to technical vulnerabilities and to
14. intrusions/attempted intrusions.
15.  
16. 2.  SCOPE:  This procedure is applicable to contractor, civilian and
17. military personnel assigned/attached or in support of the Directorate of
18. Information Management (DOIM).
19.  
20. 3.  OBJECTIVE:  This procedure implements the requirements of AR 380-19 and
21. other applicable directives.  Information systems security has three objectives:
22. (1) data confidentiality; (2)  data integrity; and (3)  system availability.
23. Contaminations, technical vulnerabilities, and deliberate intrusions into DOIM
24. systems threaten these objectives.
25.  
26. 4.  DEFINITIONS:
27.  
28.     a.  "Contamination" is any software introduced into an information system
29. that intentionally or unintentionally causes a disruption to normal operations
30. through the destruction or modification of data, or through the denial of
31. service.  Examples of such software may include bacteria, logic bomb, trapdoor,
32. trojan horse, virus, and worm programs.
33.  
34.     b.  "Flaw" is an error of commission, omission, or oversight in a system
35. that allows protection mechanisms to be bypassed.
36.  
37.     c.  "Information systems security" refers to all those disciplines applied
38. to protect telecommunications systems and automated information systems, and
39. the information those systems process and store.
40.  
41.     d.  "Information System Security Officer" is the individual responsible for
42. monitoring compliance with those set of safeguards identified in an
43. accreditation document approved by the designated approval authority.
44.  
45.     e.  "Intrusion" is any unauthorized access into an individual host, a
46. network, or a stand-alone personal computer.  Access includes both electronic
47. and physical entry.
48.  
49.     f.  "Technical vulnerability" is any hardware, firmware, communication, or
50. software flaw that leaves a computer processing system open for potential
51. exploitation, either externally or internally, thereby resulting in risk for
52. the owner, user, or manager of the system (reference NCSC-TG-004, 21 Oct 88,
53. subject:  Glossary of Computer Security Terms).
54.  
55. 5.  RESPONSIBILITIES:
56.  
57.  
58.  
59.  
60.     a.  The DOIM will ensure sufficient personnel resources are available to
61. provide the technical expertise required to address the threats of
62. contaminations, of technical vulnerabilities, and of intrusions.
63.    
64.     b.  The DPI Information System Security Officer (ISSO) will:
65.  
66.         (1)  Maintain this SOP and manage the technical implementation of its
67. instructions.
68.  
69.     (2)  Maintain a technical threat database on contaminations, on
70. technical vulnerabilities, and on intrusion attack methodologies.  
71.  
72.         (3)  Stockpile available public domain and commercial software programs
73. for the detection and for the eradication of computer viruses for both the MS-
74. DOS and MACINTOSH environments.
75.  
76.         (4)  Provide security education training to alert individuals to the
77. threats of contaminations, technical vulnerabilities, and intrusions; to ensure
78. users are aware of defensive strategies which they may take to control and to
79. minimize such threats; and to advise users of reporting requirements under
80. Federal statute and Army directives.
81.  
82.     c.  Individuals are responsible to report contaminations, technical
83. vulnerabilities, and intrusions/attempted intrusions immediately upon their
84. detection to the DPI ISSO.
85.  
86. 6.  PROCEDURES:
87.  
88.     a.  The DOIM will maintain the technical expertise to control and to
89. minimize such threats, and will provide educational and technical support to
90. White Sands users under its Information Mission Area (IMA) responsibilities.
91.  
92.     b.  All information on technical vulnerabilities will be classified at
93. least CONFIDENTIAL.  Therefore, individuals who report such information must
94. use secure transmission facilities and must ensure that recipients of such
95. information have the necessary security clearance and need-to-know.  If
96. DOIM employees do not have access to a Secure Telephone Unit (STU-III), they
97. will notify the DPI ISSO in person of the technical vulnerability information.
98.  
99.     c.  Upon the detection of a contamination, of a technical vulnerability, or
100. of an intrusion/attempted intrusion, individuals will contact the DPI ISSO for
101. the initial investigation and for the formal reporting of the incident.
102. Individuals will not delay reporting an incident because their management
103. chain-of-command is unavailable.
104.  
105.     d.  The identification of a contamination, technical vulnerability, or an
106. intrusion/attempted intrusion is a difficult task.  The following procedures
107. will be used at a minimum to assist in the task of identification.  
108.  
109.  
110.  
111.                        2
112.  
113.  
114.  
115.  
116.         (1)  Technical Contamination
117.  
118.              (a)  The DPI ISSO will for personal computers run at least two
119. viral scanning software programs on the possibly contaminated system.  In the
120. event the programs detect a computer virus or trojan horse, the DPI ISSO will
121. provide the necessary disinfectant programs and provide technical assistance to
122. eliminate the contamination.  In the event the programs do not detect a known
123. computer virus or trojan horse, the DPI ISSO will determine if the system
124. displays any symptoms normally associated with a computer virus or other type
125. of malicious software.  A list of symptoms is at enclosure 1.
126.  
127.          (b)  The DPI ISSO will for other systems attempt to identify if any
128. symptoms are present based upon a baseline of what is the normal system
129. operation.  Where appropriate, the DPI ISSO will look for specific
130. contaminations already identified for mainframes, such as the WANK WORM for
131. Digital Equipment Corporation (DEC) VAX VMS systems.  If a known contamination
132. can be identified, the DPI ISSO will provide the approved "fix", when
133. available.
134.  
135.          (c)  If the DPI ISSO in conjunction with the best efforts of
136. DOIM personnel and other local experts is unable to identify the contamination
137. regardless of the type of system, the DPI ISSO will contact the appropriate
138. emergency response team under the Forum of Incident Response and Security Teams
139. (FIRST).
140.  
141.         (2)  Technical Vulnerability
142.  
143.          (a)  The DPI ISSO will maintain an inventory of known technical
144. vulnerabilities and provide such information to individuals on a need-to-know
145. basis.
146.  
147.              (b)  Examples of "technical vulnerabilities" include the use of
148. software commands which unexpectedly disable protection features or which
149. provide greater access privileges than required; the failure of hardware to
150. separate individual processes or to protect security relevant protective
151. mechanisms from unauthorized access or modification; or a communications
152. channel which allows two cooperating processes to transfer information in a
153. manner that violates the overall system's security policy.
154.  
155.          (c)  The DPI ISSO will contact the appropriate emergency response
156. team for assistance in the event in-house personnel resources are insufficient
157. to fully describe, fix, or reduce the impact of the vulnerability.
158.  
159.         (3)  Intrusion/Attempted Intrusion
160.  
161.          (a)  Audit trail records are an essential element of detecting
162. intrusion/attempted intrusion attacks.  System administrators and individual
163. data processing activity ISSOs will review available records on a daily
164.  
165.  
166.                        3
167.  
168.  
169.  
170.  
171. basis, and will report all "suspicious" activity to the DPI ISSO.
172.  
173.          (b)  "Suspicious" activity includes incorrect logons; dual logons;
174. successful and unsuccessful connections from hosts which do not normally
175. establish connections to DOIM systems; error messages which indicate that
176. non-privileged users have attempted to execute or obtain privileges; error
177. messages that privileged users have experienced problems; and appropriate
178. symptoms identified at enclosure 1.  These do not constitute a complete list of
179. all activity which may suggest that an intrusion/attempted intrusion has
180. occurred.   But the examples do provide a starting point for evaluation.
181.  
182.          (c)  For those systems which lack audit trail capabilities,
183. announced and unannounced reviews are the minimum criteria which system
184. administrators and ISSOs will use to detect and to discourage intrusions.
185. Those reviews will utilize the symptoms at enclosure 1 as a baseline, and will
186. include whatever additional standards individual administrators and ISSOs
187. determine are appropriate.
188.  
189.          (d)  The DPI ISSO will distribute specific threat data and
190. signature information on known attackers and their methodology to respective
191. system administrators on a need-to-know basis.
192.  
193.     e.  The DPI ISSO will investigate the validity of all contaminations,
194. technical vulnerabilities, and intrusion/attempted intrusion reports.  
195.  
196.     f.  The DPI ISSO will notify the individuals/organizations identified at
197. enclosure 2 immediately upon the confirmation of any report.  The method of
198. notification will be appropriate to the sensitivity of the information to be
199. transmitted.  For example, any information on technical vulnerabilities is at a
200. minimum CONFIDENTIAL national defense information.  
201.  
202.     g.  The DPI ISSO will coordinate technical recovery actions and will
203. submit interim (if necessary) and final reports on all incidents.  Reports will
204. contain at a minimum the information specified at enclosure 3.
205.  
206.     h.  The DOIM will distribute anti-viral scanning programs to all elements
207. at White Sands for which site licensing exists.  As of the date of this SOP,
208. two programs are available for the MS-DOS environment; and one program is
209. available for the MACINTOSH environment.  Distribution will be by the DOIM's
210. Information Center and by the DPI ISSO.  Individuals may contact either source
211. for the software and any updates.
212.  
213. 7.  REFERENCES:
214.  
215.     a.  AR 380-19, Information Systems Security, 1 Aug 90
216.  
217.     b.  AMC Supplement 1 to AR 380-19, Information Systems Security, 4 Jan 91
218.  
219.  
220.  
221.                        4
222.  
223. 8.  PROPONENT:  Computer Operations Division, Mission Systems Branch,
224. Scientific and Engineering Operations Section (IM-CM-S).
225.  
226.  
227.  
228.  
229. 3 Encls                       
230. 1.  Symptoms of Contamination         
231. 2.  Notification List             
232. 3.  Notification Formats
233.  
234.