home *** CD-ROM | disk | FTP | other *** search

---

/ Cuteskunk BBS / cuteskunk.zip / cuteskunk / Text-Files / Network-Information-Access / nia_20.txt

< prev

next >

Wrap

Text File  |  2003-06-29  |  22KB  |  957 lines

---

1.  ZDDDDDDDDDDDDDDDDDD? IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; ZDDDDDDDDDDDDDDDDDD?
2.  
3.  3   Founded By:    3 :  Network Information Access   : 3   Founded By:    3
4.  
5.  3 Guardian Of Time CD6            17APR90            GD4   Judge Dredd    3
6.  
7.  @DDDDDDDDBDDDDDDDDDY :          Judge Dredd          : @DDDDDDDDDBDDDDDDDDY
8.  
9.           3           :            File 20            :           3
10.  
11.           3           HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<           3
12.  
13.           3      IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;    3
14.  
15.           @DDDDDD6 Executive Guide/Protection Of Information GDDDDY
16.  
17.                  HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
18.  
19.  
20.  
21. Federal agencies are becoming increasingly
22.  
23. dependent upon automated information systems to carry out their
24.  
25. missions.  While in the past, executives have taken a hands-off
26.  
27. approach in dealing with these resources, essentially leaving the
28.  
29. area to the computer technologist, they are now recognizing that
30.  
31. computers and computer-related problems must be understood and
32.  
33. managed, the same as any other resource.
34.  
35.  
36.  
37. $_The success of an information resources protection
38.  
39.  
40.  
41. program depends on the policy generated, and on the attitude of
42.  
43. management toward securing information on automated systems.
44.  
45. You, the policy maker, set the tone and the emphasis on how
46.  
47. important a role information security will have within your
48.  
49. agency.  Your primary responsibility is to set the information
50.  
51. resource security policy for the organization with the objectives
52.  
53. of reduced risk, compliance with laws and regulations and
54.  
55. assurance of operational continuity, information integrity, and
56.  
57. confidentiality.
58.  
59.  
60.  
61. $_Purpose of this Guide
62.  
63.  
64.  
65. This guide is designed to help you, the policy
66.  
67. maker, address a host of questions regarding the protection and
68.  
69. safety of computer systems and data processed within your agency.
70.  
71. It introduces information systems security concerns, outlines the
72.  
73. management issues that must be addressed by agency policies and
74.  
75. programs, and describes essential components of an effective
76.  
77. implementation process.
78.  
79.  
80.  
81. $_The Risks
82.  
83.  
84.  
85. The proliferation of personal computers,
86.  
87. local-area networks, and distributed processing has drastically
88.  
89. changed the way we manage and control information resources.
90.  
91. Internal controls and control points that were present in the
92.  
93. past when we were dealing with manual or batch processes have not
94.  
95. always been replaced with comparable controls in many of today's
96.  
97. automated systems.  Reliance upon inadequately controlled
98.  
99. information systems can have serious consequences, including:
100.  
101.  
102.  
103. Inability or impairment of the agency's ability to
104.  
105. perform its mission
106.  
107.  
108.  
109. Inability to provide needed services to the public
110.  
111.  
112.  
113. Waste, loss, misuse, or misappropriation of funds
114.  
115.  
116.  
117. Loss of credibility or embarrassment to an agency
118.  
119.  
120.  
121. To avoid these consequences, a broad set of
122.  
123. information security issues must be addressed effectively and
124.  
125. comprehensively. Towards this end, executives should take a
126.  
127. traditional risk management approach, recognizing that risks are
128.  
129. taken in the day-to-day management of an organization, and that
130.  
131. there are alternatives to consider in managing these risks. Risk
132.  
133. is accepted as part of doing business or is reduced or eliminated
134.  
135. by modifying operations or by employing control mechanisms.
136.  
137.  
138.  
139. $_Executive Responsibilities
140.  
141.  
142.  
143. Set the Security Policy of the Organization
144.  
145. Protecting information resources is an important goal for all
146.  
147. organizations.   This goal is met by establishing an
148.  
149. information resource security program.  It will require staff,
150.  
151. funding and positive incentives to motivate employees to
152.  
153. participate in a program to protect these valuable assets.
154.  
155. This information resource protection policy should
156.  
157. state precisely:
158.  
159.  
160.  
161. the value to the agency of data and information
162.  
163. resources and the need to preserve their integrity, availability,
164.  
165. and confidentiality
166.  
167.  
168.  
169. the intent of the organization to protect the resources
170.  
171. from accidental or deliberate unauthorized disclosure,
172.  
173. modification, or destruction by employing cost-effective controls
174.  
175.  
176.  
177. the assignment of responsibility for data security
178.  
179. throughout the organization
180.  
181.  
182.  
183. the requirement to provide computer security and
184.  
185. awareness training to all employees having access to information
186.  
187. resources
188.  
189.  
190.  
191. the intent to hold employees personally accountable for
192.  
193. information resources entrusted to them
194.  
195.  
196.  
197. the requirement to monitor and assess data security via
198.  
199. internal and external audit procedures
200.  
201.  
202.  
203. the penalties for not adhering to the policy
204.  
205.  
206.  
207. $_Executive Goals
208.  
209.  
210.  
211. The policy established for securing information
212.  
213. resources should meet the basic goals of reducing the risk,
214.  
215. complying with applicable laws and regulations, and assuring
216.  
217. operational continuity, integrity and confidentiality.  This
218.  
219. section briefly describes these objectives and how they can be
220.  
221. met.
222.  
223.  
224.  
225. $_Reduce Risk To An Acceptable Level
226.  
227.  
228.  
229. The dollars spent for security measures to control
230.  
231. or contain losses should never be more than the projected dollar
232.  
233. loss if something adverse happened to the information resource.
234.  
235. Cost-effective security results when reduction in risk is
236.  
237. balanced with the cost of implementing safeguards.  The greater
238.  
239. the value of information processed, or the more severe the
240.  
241. consequences if something  happens to it, the greater the need
242.  
243. for control measures to protect it.  It is important that these
244.  
245. trade-offs of cost versus risk reduction be explicitly
246.  
247. considered, and that executives understand the degree of risk
248.  
249. remaining after selected controls are implemented.
250.  
251.  
252.  
253. $_Assure Operational Continuity
254.  
255.  
256.  
257. With ever-increasing demands for timely
258.  
259. information and greater volumes of information being processed,
260.  
261. availability of essential systems, networks, and data is a major
262.  
263. protection issue.  In some cases, service disruptions of just a
264.  
265. few hours are unacceptable.  Agency reliance on essential
266.  
267. computer systems requires that advance planning be done to allow
268.  
269. timely restoration of processing capabilities in the event of
270.  
271. severe service disruption. The impact due to inability to process
272.  
273. data should be assessed, and action taken to assure availability
274.  
275. of those systems considered essential to agency operation.
276.  
277.  
278.  
279. $_Comply with Applicable Laws and Regulations
280.  
281.  
282.  
283. As the pervasiveness of computer systems increases
284.  
285. and the risks and vulnerabilities associated with information
286.  
287. systems become better understood, the body of law and regulations
288.  
289. compelling positive action to protect information resources
290.  
291. grows. OMB Circular No. A-130, "Management of Federal Information
292.  
293. systems," and Public Law 100-235, "Computer Security Act of 1987"
294.  
295. are two documents where the knowledge of these laws provide a
296.  
297. baseline for an information resources security program.
298.  
299.  
300.  
301. $_Assure Integrity and Confidentiality
302.  
303.  
304.  
305. An important objective of an information resource
306.  
307. management program is to ensure that the information is accurate.
308.  
309. Integrity of information means you can trust the data and the
310.  
311. processes that manipulate it.  A system has integrity when it
312.  
313. provides sufficient accuracy and completeness to meet the needs
314.  
315. of the user(s).  It should be properly designed to automate all
316.  
317. functional requirements, include appropriate accounting and
318.  
319. integrity controls, and accommodate the full range of potential
320.  
321. conditions that might be encountered in its operation.
322.  
323.  
324.  
325. Agency information should also be protected from
326.  
327. intruders, as well as from employees with authorized computer
328.  
329. access privileges who attempt to perform unauthorized actions.
330.  
331. Assured confidentiality of sensitive data is
332.  
333. often, but not always, a requirement of agency systems.  Privacy
334.  
335. requirements for personal information are generally dictated by
336.  
337. statute, while protection requirements for other agency
338.  
339. information are a function of the nature of that information.
340.  
341. Determination of requirements in the latter case is made by the
342.  
343. official responsible for that information.  The impact of
344.  
345. wrongful disclosure should be considered in understanding
346.  
347. confidentiality requirements.
348.  
349.  
350.  
351. $_Information Protection Program Elements
352.  
353.  
354.  
355. $_Need for Policies and Procedures
356.  
357.  
358.  
359. Successful execution of the responsibilities previously outlined
360.  
361. requires establishing agency policies and practices regarding
362.  
363. information protection.  The security policy
364.  
365. directive facilitates consistent protection of information
366.  
367. resources.  Supporting procedures are most effectively
368.  
369. implemented with top management support, through a program
370.  
371. focused on areas of highest risk.  A compliance assessment
372.  
373. process ensures ongoing effectiveness of the information
374.  
375. protection program throughout the agency.
376.  
377.  
378.  
379. $_Scope
380.  
381.  
382.  
383. Although the protection of automated information
384.  
385. resources is emphasized in this publication, protection
386.  
387. requirements will usually extend to information on all forms of
388.  
389. media.  Agency programs should apply safeguards to all
390.  
391. information requiring protection, regardless of its form or
392.  
393. location.  Comprehensive information resource protection
394.  
395. procedures will address: accountability for information,
396.  
397. vulnerability assessment, data access, hardware/software control,
398.  
399. systems development, and operational controls.  Protection should
400.  
401. be afforded throughout the life cycle of information, from
402.  
403. creation through ultimate disposition.
404.  
405. Accountability for Information
406.  
407. An effective information resource protection
408.  
409. program identifies the information used by the agency and assigns
410.  
411. primary responsibility for information protection to the managers
412.  
413. of the respective functional areas supported by the data.  These
414.  
415. managers know the importance of the data to the organization and
416.  
417. are able to quantify the economic consequences of undesirable
418.  
419. happenings.  They are also able to detect deficiencies in data
420.  
421. and know definitively who must have access to the data supporting
422.  
423. their operations. A fundamental information protection issue is
424.  
425. assignment of accountability.  Information flows throughout the
426.  
427. organization and can be shared by many individuals.  This tends
428.  
429. to blur accountability and disperse decision-making regarding
430.  
431. information protection.  Accountability should be explicitly
432.  
433. assigned for determining and monitoring security for appropriate
434.  
435. agency information.
436.  
437.  
438.  
439. When security violations occur, management must be
440.  
441. accountable for responding and investigating.  Security
442.  
443. violations should trigger a re-evaluation of access
444.  
445. authorizations, protection decisions, and control techniques.
446.  
447. All apparent violations should be resolved; since absolute
448.  
449. protection will never be achieved, some losses are inevitable.
450.  
451. It is important, however, that the degree of risk assumed be
452.  
453. commensurate with the sensitivity or importance of the
454.  
455. information resource to be protected.
456.  
457.  
458.  
459. $_Vulnerability Assessment
460.  
461.  
462.  
463. A risk assessment program ensures management that
464.  
465. periodic reviews of information resources have considered the
466.  
467. degree of vulnerability to threats causing destruction,
468.  
469. modification, disclosure, and delay of information availability,
470.  
471. in making protection decisions and investments in safeguards.
472.  
473. The official responsible for a specific
474.  
475. information resource determines protection requirements.
476.  
477. Less-sensitive, less-essential information will require minimal
478.  
479. safeguards, while highly sensitive or critical information might
480.  
481. merit strict protective measures.  Assessment of vulnerability is
482.  
483. essential in specifying cost-effective safeguards; overprotection
484.  
485. can be needlessly costly and add unacceptable operational
486.  
487. overhead.
488.  
489.  
490.  
491. Once cost-effective safeguards are selected,
492.  
493. residual risk remains and is accepted by management.  Risk status
494.  
495. should be periodically re-examined to identify new threats,
496.  
497. vulnerabilities, or other changes that affect the degree of risk
498.  
499. that management has previously accepted.
500.  
501.  
502.  
503. $_Data Access
504.  
505.  
506.  
507. Access to information should be delegated
508.  
509. according to the principles of need-to-know and least possible
510.  
511. privilege.  For a multi-user application system, only individuals
512.  
513. with authorized need to view or use data are granted access
514.  
515. authority, and they are allowed only the minimum privileges
516.  
517. needed to carry out their duties.  For personal computers with
518.  
519. one operator, data should be protected from unauthorized viewing
520.  
521. or use.  It is the individual's responsibility to ensure that the
522.  
523. data is secure.
524.  
525.  
526.  
527. $_Systems Development
528.  
529.  
530.  
531. All information systems software should be
532.  
533. developed in a controlled and systematic manner according to
534.  
535. agency standards.  Agency policy should require that appropriate
536.  
537. controls for accuracy, security, and availability are identified
538.  
539. during system design, approved by the responsible official, and
540.  
541. implemented.  Users who design their own systems, whether on a
542.  
543. personal computer or on a mainframe, must adhere to the systems
544.  
545. development requirements.
546.  
547.  
548.  
549. Systems should be thoroughly tested according to
550.  
551. accepted standards and moved into a secure production environment
552.  
553. through a controlled process.  Adequate documentation should be
554.  
555. considered an integral part of the information system and be
556.  
557. completed before the system can be considered ready for use.
558.  
559.  
560.  
561. $_Hardware/Software Configuration Control
562.  
563.  
564.  
565. Protection of hardware and resources of computer
566.  
567. systems and networks greatly contributes to the overall level of
568.  
569. control and protection of information.  The information
570.  
571. protection policies should provide substantial direction
572.  
573. concerning the management and control of computer hardware and
574.  
575. software.
576.  
577.  
578.  
579. Agency information should be protected from the
580.  
581. potentially destructive impact of unauthorized hardware and
582.  
583. software.  For example, software "viruses" have been inserted
584.  
585. into computers through games and apparently useful software
586.  
587. acquired via public access bulletin boards; viruses can spread
588.  
589. from system to system before being detected.  Also, unauthorized
590.  
591. hardware additions to personal computers can introduce unknown
592.  
593. dial-in access paths.  Accurate records of hardware/software
594.  
595. inventory, configurations, and locations should be maintained,
596.  
597. and control mechanisms should provide assurance that unauthorized
598.  
599. changes have not occurred.
600.  
601.  
602.  
603. To avoid legal liability, no unauthorized copying
604.  
605. of software should be permitted.  Agencies should also address
606.  
607. the issue of personal use of Federal computer systems, giving
608.  
609. employees specific direction about allowable use and providing
610.  
611. consistent enforcement.
612.  
613.  
614.  
615. $_Operational Controls
616.  
617. Agency standards should clearly communicate
618.  
619. minimum expected controls to be present in all computer
620.  
621. facilities, computer operations, input/output handling, network
622.  
623. management, technical support, and user liaison.  More stringent
624.  
625. controls would apply to those areas that process very sensitive
626.  
627. or critical information.
628.  
629.  
630.  
631. Protection of these areas would include:
632.  
633. Security management;
634.  
635. Physical security;
636.  
637. Security of system/application software and data;
638.  
639. Network security; and
640.  
641. Contingency planning.
642.  
643.  
644.  
645. The final section of this guide describes the
646.  
647. organizational process of developing, implementing, and managing
648.  
649. the ongoing information protection program.
650.  
651.  
652.  
653. $_Information Protection Program Implementation
654.  
655.  
656.  
657. $_Information Protection Management
658.  
659.  
660.  
661. In most cases, agency executive management is not
662.  
663. directly involved in the details of achieving a controlled
664.  
665. information processing environment.  Instead, executive action
666.  
667. should focus on effective planning, implementation, and an
668.  
669. ongoing review structure.  Usually, an explicit group or
670.  
671. organization is assigned specific responsibility for providing
672.  
673. day-to-day guidance and direction of this process.  Within this
674.  
675. group an information security manager (ISM) should be identified
676.  
677. as a permanent focal point for information protection issues
678.  
679. within the agency.
680.  
681.  
682.  
683. The ISM must be thoroughly familiar with the
684.  
685. agency mission, organization, and operation.  The manager should
686.  
687. have sufficient authority to influence the organization and have
688.  
689. access to agency executives when issues require escalation.
690.  
691.  
692.  
693. $_Independence
694.  
695.  
696.  
697. In determining the reporting relationship of the
698.  
699. ISM, independence of functional areas within the agency is
700.  
701. desirable.  Plans and budget for the ISM function should be
702.  
703. approved by agency management, rather than being part of any
704.  
705. functional area budget.  This approach avoids conflicts of
706.  
707. interest and facilitates development and maintenance of a
708.  
709. comprehensive and consistent protection program that serves the
710.  
711. needs of agency management.
712.  
713. Degree of Centralization
714.  
715.  
716.  
717. The desirability of centralized versus
718.  
719. decentralized security is heavily debated and largely depends on
720.  
721. size, organizational structure, and management approach at the
722.  
723. individual agency.  A centralized approach to security has the
724.  
725. advantages of being directly responsive to executive direction
726.  
727. and specifically accountable for progress and status.
728.  
729.  A decentralized approach to security has the
730.  
731. advantages of being close to the functional area involved.  In
732.  
733. the long term, decentralization may provide better integration of
734.  
735. security with other entity functions.
736.  
737.  
738.  
739. An effective combined approach offers advantages.
740.  
741. A small dedicated resource at the agency level can direct the
742.  
743. information protection program, while additional resources are
744.  
745. utilized at the functional area level to implement the program in
746.  
747. each area.
748.  
749.  
750.  
751. $_Dedicated Staff
752.  
753.  
754.  
755. The common practice of assigning responsibility
756.  
757. for information security to existing staff with other major
758.  
759. responsibilities is often unsuccessful.  At least one dedicated
760.  
761. staff member is recommended at the program management level.
762.  
763. The need for additional full-time resources depends on the
764.  
765. agency's computer environment.  The number of information
766.  
767. systems, their technical complexity, the degree of
768.  
769. networking, the importance of information processed, adequacy of
770.  
771. existing controls, and extent of agency dependence on information
772.  
773. systems affect the resources needed.
774.  
775.  
776.  
777. $_Implementation Stages
778.  
779.  
780.  
781. Development of a comprehensive information
782.  
783. protection program that is practiced and observed widely
784.  
785. throughout a Federal agency occurs in stages and requires ongoing
786.  
787. monitoring and maintenance to remain viable.
788.  
789.  
790.  
791. First, organizational requirements for information
792.  
793. protection are identified.  Different agencies have varying
794.  
795. levels of need for security, and the information protection
796.  
797. program should be structured to most effectively meet those
798.  
799. needs.
800.  
801.  
802.  
803. Next, organizational policies are developed that
804.  
805. provide a security architecture for agency operations, taking
806.  
807. into consideration the information protection program elements
808.  
809. discussed in the previous section of this guide.  The policies
810.  
811. undergo normal review procedures, then are approved by agency
812.  
813. management for implementation.
814.  
815.  
816.  
817. Activities are then initiated to bring the agency
818.  
819. into compliance with the policies.  Depending on the degree of
820.  
821. centralization, this might require development of further plans
822.  
823. and budgets within functional entities of the agency to implement
824.  
825. the necessary logical and physical controls.
826.  
827.  
828.  
829. $_Training
830.  
831.  
832.  
833. Training is a major activity in the implementation
834.  
835. process.  Security violations are the result of human action, and
836.  
837. problems can usually be identified in their earliest stages by
838.  
839. people.  Developing and maintaining personnel awareness of
840.  
841. information security issues can yield large benefits in
842.  
843. prevention and early detection of problems and losses.
844.  
845.  
846.  
847. Target audiences for this training are executives
848.  
849. and policy makers, program and functional managers, IRM security
850.  
851. and audit personnel, computer management and operations, and end
852.  
853. users. Training can be delivered through existing policy and
854.  
855. procedures manuals, written materials, presentations and classes,
856.  
857. and audio-visual training programs.
858.  
859.  
860.  
861. The training provided should create an awareness
862.  
863. of risks and the importance of safeguards, underscoring the
864.  
865. specific responsibilities of each of the individuals being
866.  
867. trained.
868.  
869.  
870.  
871. $_Monitoring and Enforcement
872.  
873.  
874.  
875. An ongoing monitoring and enforcement program
876.  
877. assures continued effectiveness of information protection
878.  
879. measures.  Compliance may be measured in a number of ways,
880.  
881. including audits, management reviews or self-assessments,
882.  
883. surveys, and other informal indicators.  A combination of
884.  
885. monitoring mechanisms provides greater reliability of results.
886.  
887.  
888.  
889. Variances from policy requirements should be
890.  
891. accepted only in cases where the responsible official has
892.  
893. evaluated, documented, and accepted the risk of noncompliance.
894.  
895. Enforcement of agency policies and practices is important to the
896.  
897. overall success of an information protection program.
898.  
899. Inconsistent or lax enforcement quickly results in deterioration
900.  
901. of internal controls over information resources.
902.  
903.  
904.  
905. A positive benefit of an effective monitoring and
906.  
907. enforcement process is an increased understanding of the degree
908.  
909. of information-related risk in agency operations.  Without such a
910.  
911. feedback process, management unknowingly accepts too much risk.
912.  
913. An effective information protection program allows the agency to
914.  
915. continue to rely upon and expand the use of information
916.  
917. technology while maintaining an acceptable level of risk.
918.  
919.  
920.  
921. $_Maintenance
922.  
923.  
924.  
925. As agency initiatives and operations change, and
926.  
927. as the computer environment evolves, some elements of the
928.  
929. information protection program will require change as well.
930.  
931. Information protection cannot be viewed as a project with a
932.  
933. distinct end; rather, it is a process that should be maintained
934.  
935. to be realistic and useful to the agency.  Procedures for review
936.  
937. and update of policies and other program elements should be
938.  
939. developed and followed.
940.  
941.  
942.  
943. -JUDGE DREDD/NIA
944.  
945.  
946.  
947. [OTHER WORLD BBS]
948.  
949.  
950.  
951.  
952.  
953.  
954.  
955. .
956.  
957.