home *** CD-ROM | disk | FTP | other *** search
/ The Hacker Chronicles - A…the Computer Underground / The Hacker Chronicles - A Tour of the Computer Underground (P-80 Systems).iso / network / nia19 < prev    next >
Text File  |  1992-09-26  |  23KB  |  498 lines
  1.  ZDDDDDDDDDDDDDDDDDD? IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM; ZDDDDDDDDDDDDDDDDDD?
  2.  3   Founded By:    3 :  Network Information Access   : 3   Founded By:    3
  3.  3 Guardian Of Time CD:            17APR90            :D3   Judge Dredd    3
  4.  @DDDDDDDDBDDDDDDDDDY :          Judge Dredd          : @DDDDDDDDDBDDDDDDDDY
  5.           3           :            File 19            :           3
  6.           3           HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<           3
  7.           3     IMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM;    3
  8.           @DDDDD6 Management Guide/Protection Of Information GDDDDY
  9.                 HMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM<
  10.  
  11. $_Executive Summary
  12.  
  13. Today computers are integral to all aspects of operations within
  14. an organization. As Federal agencies are becoming critically
  15. dependent upon computer information systems to carry out their
  16. missions, the agency executives (policy makers) are recognizing
  17. that computers and computer-related problems must be understood
  18. and managed, the same as any other resource. They are beginning
  19. to understand the importance of setting policies, goals, and
  20. standards for protection of data, information, and computer
  21. resources, and are committing resources for information security
  22. programs. They are also learning that primary responsibility for
  23. data security must rest with the managers of the functional areas
  24. supported by the data.
  25.  
  26. All managers who use any type of automated information resource
  27. system must become familiar with their agency's policies and
  28. procedures for protecting the information which is processed and
  29. stored within them. Adequately secure systems deter, prevent, or
  30. detect unauthorized disclosure, modification, or use of
  31. information.  Agency information requires protection from
  32. intruders, as well as from employees with authorized computer
  33. access privileges who attempt to perform unauthorized actions.
  34. Protection is achieved not only by technical, physical and
  35. personnel safeguards, but also by clearly articulating and
  36. implementing agency policy regarding authorized system use to
  37. information users and processing personnel at all levels.  This
  38. guide is one of three brochures that have been designed for a
  39. specific audience.  The "Executive Guide to the Protection of
  40. Information Resources" and the "Computer User's Guide to the
  41. Protection of Information Resources" complete the series.
  42.  
  43. $_Introduction
  44.  
  45. Well, here is the Management Guide, use it to your advantage.
  46.  
  47. $_Purpose of this Guide
  48.  
  49. This guide introduces information systems security concerns and
  50. outlines the issues that must be addressed by all agency managers
  51. in meeting their responsibilities to protect information systems
  52. within their organizations. It describes essential components of
  53. an effective information resource protection process that applies
  54. to a stand alone personal computer or to a large data processing
  55. facility.
  56.  
  57. $_The Risks
  58.  
  59. Effort is required by every Federal agency to safeguard
  60. information resources and to reduce risks to a prudent level.
  61. The spread of computing power to individual employees via
  62. personal computers, local-area networks, and distributed
  63. processing has drastically changed the way we manage and control
  64. information resources. Internal controls and control points that
  65. were present in the past when we were dealing with manual or
  66. batch processes have not been established in many of today's
  67. automated systems. Reliance upon inadequately controlled computer
  68. systems can have serious consequences, including:
  69.  
  70. Inability or impairment of the agency's ability to perform its
  71. mission
  72.  
  73. Inability to provide needed services to the public
  74.  
  75. Waste, loss, misuse, or misappropriation of funds
  76.  
  77. Loss of credibility or embarrassment to an agency
  78.  
  79. To avoid these consequences, a broad set of information security
  80. issues must be effectively and comprehensively addressed.
  81.  
  82. $_Responsibilities
  83.  
  84. All functional managers have a responsibility to implement the
  85. policies and goals established by executive management for
  86. protection of automated information resources (data, processes,
  87. facilities, equipment, personnel, and information). Managers in
  88. all areas of an organization are clearly accountable for the
  89. protection of any of these resources assigned to them to enable
  90. them to perform their duties. They are responsible for
  91. developing, administering, monitoring, and enforcing internal
  92. controls, including security controls, within their assigned
  93. areas of authority. Each manager's specific responsibilities will
  94. vary, depending on the role that manager has with regard to
  95. computer systems.
  96.  
  97. Portions of this document provide more detailed information on
  98. the respective security responsibilities of managers of computer
  99. resources, managers responsible for information systems
  100. applications and the personnel security issues involved.
  101. However, all agency management must strive to:
  102.  
  103. $_Achieve Cost-Effective Security
  104.  
  105. The dollars spent for security measures to control or contain
  106. losses should never be more than the projected dollar loss if
  107. something adverse happened to the information resource.
  108. Cost-effective security results when reduction in risk through
  109. implementation of safeguards is balanced with costs. The greater
  110. the value of information processed, or the more severe the
  111. consequences if something  happens to it, the greater the need
  112. for control measures to protect it.
  113. The person who can best determine the value or importance of
  114. data is the functional manager who is responsible for the data.
  115. For example, the manager responsible for the agency's budget
  116. program is the one who should establish requirements for the
  117. protection of the automated data which supports the program. This
  118. manager knows better than anyone else in the organization what
  119. the impact will be if the data is inaccurate or unavailable.
  120. Additionally, this manager usually is the supervisor of most of
  121. the users of the data.
  122.  
  123. It is important that these trade-offs of cost versus risk
  124. reduction be explicitly considered, and that management
  125. understand the degree of risk remaining after selected controls
  126. are implemented.
  127.  
  128. $_Assure Operational Continuity
  129.  
  130. With ever-increasing demands for timely information and greater
  131. volumes of information being processed, the threat of information
  132. system disruption is a very serious one.  In some cases,
  133. interruptions of only a few hours are unacceptable.  The impact
  134. due to inability to process data should be assessed, and actions
  135. should be taken to assure availability of those systems
  136. considered essential to agency operation. Functional management
  137. must identify critical computer applications and develop
  138. contingency plans so that the probability of loss of data
  139. processing and telecommunications support is minimized.
  140.  
  141. $_Maintain Integrity
  142.  
  143. Integrity of information means you can trust the data and the
  144. processes that manipulate it. Not only does this mean that errors
  145. and omissions are minimized, but also that the information system
  146. is protected from deliberate actions to wrongfully change the
  147. data. Information can be said to have integrity when it
  148. corresponds to the expectations and assumptions of the users.
  149.  
  150. $_Assure Confidentiality
  151.  
  152. Confidentiality of sensitive data is often, but not always, a
  153. requirement of agency systems. Privacy requirements for personal
  154. information is dictated by statute, while confidentiality of
  155. other agency information is determined by the nature of that
  156. information, e.g., information submitted by bidders in
  157. procurement actions. The impact of wrongful disclosure must be
  158. considered in understanding confidentiality requirements.
  159.  
  160. $_Comply with Applicable Laws and Regulations
  161.  
  162. As risks and vulnerabilities associated with information systems
  163. become better understood, the body of law and regulations
  164. compelling positive action to protect information resources
  165. grows.  OMB Circular No. A-130, "Management of Federal
  166. Information Resources" and Public Law 100-235, "Computer Security
  167. Act of 1987" are two documents where the knowledge of these
  168. regulations and laws provide a baseline for an information
  169. resource security program.
  170.  
  171. $_Information Systems Development
  172.  
  173. This section describes the protective measures that should be
  174. included as part of the design and development of information
  175. processing application systems.  The functional manager that is
  176. responsible for and will use the information contained in the
  177. system, must ensure that security measures have been included and
  178. are adequate.  This includes applications designed for personal
  179. computers as well as large mainframes.
  180.  
  181. $_Control Decisions
  182.  
  183. The official responsible for the agency function served by the
  184. automated information system has a critical role in making
  185. decisions regarding security and control. In the past, risk was
  186. often unconsciously accepted when such individuals assumed the
  187. computer facility operators were taking care of security. In
  188. fact, there are decisions to be made and security elements to be
  189. provided that cannot be delegated to the operator of the system.
  190. In many cases, the user or manager develops the application and
  191. operates solely.
  192.  
  193. The cost of control must be balanced with system efficiency and
  194. usability issues. Risk must be evaluated and cost-effective
  195. controls selected to provide a prudent level of control while
  196. maximizing productivity. Controls are often closely connected
  197. with the system function, and cannot be effectively designed
  198. without significant understanding of the process being automated.
  199.  
  200. $_Security Principles
  201.  
  202. There are some common security attributes that should be present
  203. in any system that processes valuable personal or sensitive
  204. information. System designs should include mechanisms to enforce
  205. the following security attributes.
  206.  
  207. $_Identification and Authentication of Users
  208.  
  209. Each user of a computer system should have a unique
  210. identification on the system, such as an account number or other
  211. user identification code. There must also be a means of verifying
  212. that the individual claiming that identity (e.g., by typing in
  213. that identifying code at a terminal) is really the authorized
  214. individual and not an imposter. The most common means of
  215. authentication is by a secret password, known only to the
  216. authorized user.
  217.  
  218. $_Authorization Capability Enforcing the Principle of Least
  219. $_Possible Privilege
  220.  
  221. Beyond ensuring that only authorized individuals can access the
  222. system, it is also necessary to limit the users access to
  223. information and transaction capabilities. Each person should be
  224. limited to only the information and transaction authority that is
  225. required by their job responsibilities. This concept, known as
  226. the principle of least possible privilege, is a long-standing
  227. control practice. There should be a way to easily assign each
  228. user just the specific access authorities needed.
  229.  
  230. $_Individual Accountability
  231. >From both a control and legal point of view, it is necessary to
  232. maintain records of the activities performed by each computer
  233. user. The requirements for automated audit trails should be
  234. developed when a system is designed. The information to be
  235. recorded depends on what is significant about each particular
  236. system. To be able to hold individuals accountable for their
  237. actions, there must be a positive means of uniquely identifying
  238. each computer user and a routinely maintained record of each
  239. user's activities.
  240.  
  241. $_Audit Mechanisms
  242.  
  243. Audit mechanisms detect unusual events and bring them to the
  244. attention of management. This commonly occurs by violation
  245. reporting or by an immediate warning to the computer system
  246. operator. The type of alarm generated depends on the seriousness
  247. of the event.
  248.  
  249. A common technique to detect access attempts by unauthorized
  250. individuals is to count attempts. The security monitoring
  251. functions of the system can automatically keep track of
  252. unsuccessful attempts to gain access and generate an alarm if the
  253. attempts reach an unacceptable number.
  254.  
  255. $_Performance Assurance
  256.  
  257. A basic design consideration for any information system should
  258. be the ability to verify that the system is functioning as
  259. intended. Systems that are developed without such design
  260. considerations are often very difficult to independently audit or
  261. review, leading to the possibility of unintended results or
  262. inaccurate processing.
  263.  
  264. $_Recoverability
  265.  
  266. Because Federal agencies can potentially be heavily dependent on
  267. a computer system, an important design consideration is the
  268. ability to easily recover from troublesome events, whether minor
  269. problems or major disruptions of the system. From a design point
  270. of view, systems should be designed to easily recover from minor
  271. problems, and to be either transportable to another backup
  272. computer system or replaced by manual processes in case of major
  273. disruption or loss of computer facility.
  274.  
  275. $_Access Decisions
  276.  
  277. Once the automated system is ready to use, decisions must be
  278. made regarding access to the system and the information it
  279. contains. For example, many individuals require the ability to
  280. access and view data, but not the ability to change or delete
  281. data. Even when computer systems have been designed to provide
  282. the ability to narrowly designate access authorities, a
  283. knowledgeable and responsible official must actually make those
  284. access decisions. The care that is taken in this process is a
  285. major determining factor of the level of security and control
  286. present in the system. If sensitive data is being transmitted
  287. over unprotected lines, it can be intercepted or passive
  288. eavesdropping can occur.  Encrypting the files will make the data
  289. unintelligible and port protection devices will protect the files
  290. from unauthorized access, if warranted.
  291.  
  292. $_Systems Development Process
  293.  
  294. All information systems software should be developed in a
  295. controlled and systematic manner according to agency standards.
  296. The quality and efficiency of the data processed, and the
  297. possible reconfiguration of the system can all be affected by an
  298. inadequate development process.  The risk of security exposures
  299. and vulnerabilities is greatly reduced when the systems
  300. development process is itself controlled.
  301.  
  302. $_Computer Facility Management
  303.  
  304. Functional managers play a critical role in assuring that agency
  305. information resources are appropriately safeguarded. This section
  306. describes the protective measures that should be incorporated
  307. into the ongoing management of information resource processing
  308. facilities.  As defined in OMB Circular No. A-130, "Management of
  309. Federal Information Resources,"  the term "information technology
  310. facility" means an organizationally defined set of personnel,
  311. hardware, software, and physical facilities, a primary function
  312. of which is the operation of information technology.  This
  313. section, therefore applies to any manager who houses a personal
  314. computer, mainframe or any other form of office system or
  315. automated equipment.
  316.  
  317. $_Physical Security
  318.  
  319. Information cannot be appropriately protected unless the
  320. facilities that house the equipment are properly protected from
  321. physical threats and hazards. The major areas of concern are
  322. described below.
  323.  
  324. $_Environmental Conditions
  325.  
  326. For many types of computer equipment, strict environmental
  327. conditions must be maintained. Manufacturer's specifications
  328. should be observed for temperature, humidity, and electrical
  329. power requirements.
  330.  
  331. $_Control of Media
  332.  
  333. The media upon which information is stored should be carefully
  334. controlled. Transportable media such as tapes and cartridges
  335. should be kept in secure locations, and accurate records kept of
  336. the location and disposition of each. In addition, media from an
  337. external source should be subject to a check-in process to ensure
  338. it is from an authorized source.
  339.  
  340. $_Control of Physical Hazards
  341.  
  342. Each area should be surveyed for potential physical hazards.
  343. Fire and water are two of the most damaging forces with regard to
  344. computer systems. Opportunities for loss should be minimized by
  345. an effective fire detection and suppression mechanism, and
  346. planning reduces the danger of leaks or flooding. Other physical
  347. controls include reducing the visibility of the equipment and
  348. strictly limiting access to the area or equipment.
  349.  
  350. $_Contingency Planning
  351.  
  352. Although risks can be minimized, they cannot be eliminated. When
  353. reliance upon a computer facility or application is substantial,
  354. some type of contingency plan should be devised to allow critical
  355. systems to be recovered following a major disaster, such as a
  356. fire. There are a number of alternative approaches that should be
  357. evaluated to most cost-effectively meet the agency's need for
  358. continuity of service.
  359.  
  360. $_Configuration Management
  361.  
  362. Risk can be introduced through unofficial and unauthorized
  363. hardware or software. Another key component of information
  364. resource management is ensuring only authorized hardware and
  365. software are being utilized. There are several control issues to
  366. be addressed.
  367.  
  368. $_Maintaining Accurate Records
  369.  
  370. Records of hardware/software inventories, configurations, and
  371. locations should be maintained and kept up-to-date.
  372.  
  373. $_Complying with Terms of Software Licenses
  374.  
  375. Especially with microcomputer software, illegal copying and
  376. other uses in conflict with licensing agreements are concerns.
  377. The use of software subject to licensing agreements must be
  378. monitored to ensure it is used according to the terms of the
  379. agreement.
  380.  
  381. $_Protecting Against Malicious Software and Hardware
  382.  
  383. The recent occurrences of destructive computer "viruses" point
  384. to the need to ensure that agencies do not allow unauthorized
  385. software to be introduced to their computer environments.
  386. Unauthorized hardware can also contain hidden vulnerabilities.
  387. Management should adopt a strong policy against unauthorized
  388. hardware/software, inform personnel about the risks and
  389. consequences of unauthorized additions to computer systems, and
  390. develop a monitoring process to detect violations of the policy.
  391.  
  392. $_Data Security
  393.  
  394. Management must ensure that appropriate security mechanisms are
  395. in place that allow responsible officials to designate access to
  396. data according to individual computer users' specific needs.
  397. Security mechanisms should be sufficient to implement individual
  398. authentication of system users, allow authorization to specific
  399. information and transaction authorities, maintain audit trails as
  400. specified by the responsible official, and encrypt sensitive
  401. files if required by user management.
  402.  
  403. $_Monitoring and Review
  404.  
  405. A final aspect of information resource protection to be
  406. considered is the need for ongoing management monitoring and
  407. review. To be effective,  a security program must be a continuous
  408. effort. Ideally, ongoing processes should be adapted to include
  409. information protection checkpoints and reviews. Information
  410. resource protection should be a key consideration in all major
  411. computer system initiatives.
  412.  
  413. Earlier, the need for system audit trails was discussed. Those
  414. audit trails are useful only if management regularly reviews
  415. exception items or unusual activities. Irregularities should be
  416. researched and action taken when merited. Similarly, all
  417. information-related losses and incidents should be investigated.
  418.  
  419.  A positive benefit of an effective monitoring process is an
  420. increased understanding of the degree of information-related risk
  421. in agency operations. Without an ongoing feedback process,
  422. management may unknowingly accept too much risk. Prudent
  423. decisions about trade-offs between efficiency and control can
  424. only be made with a clear understanding of the degree of inherent
  425. risk. Every manager should ask questions and periodically review
  426. operations to judge whether changes in the environment have
  427. introduced new risk, and to ensure that controls are working
  428. effectively.
  429.  
  430. $_Personnel Management
  431.  
  432. Managers must be aware that information security is more a
  433. people issue than a technical issue. Personnel are a vital link
  434. in the protection of information resources, as information is
  435. gathered by people, entered into information resource systems by
  436. people, and ultimately used by people. Security issues should be
  437. addressed with regard to:
  438.  People who use computer systems and store information in the
  439. course of their normal job responsibilities
  440.  People who design, program, test, and implement critical or
  441. sensitive systems
  442.  People who operate computer facilities that process critical or
  443. sensitive data
  444.  
  445. $_Personnel Security
  446.  
  447. >From the point of hire, individuals who will have routine access
  448. to sensitive information resources should be subject to special
  449. security procedures. More extensive background or reference
  450. checks may be appropriate for such positions, and security
  451. responsibilities should be explicitly covered in employee
  452. orientations. Position descriptions and performance evaluations
  453. should also explicitly reference unusual responsibilities
  454. affecting the security of information resources.
  455.  
  456. Individuals in sensitive positions should be subject to job
  457. rotation, and work flow should be designed in such a way as to
  458. provide as much separation of sensitive functions as possible.
  459. Upon decision to terminate or notice of resignation, expedited
  460. termination or rotation to less sensitive duties for the
  461. remainder of employment is a reasonable precaution.
  462.  
  463. Any Federal computer user who deliberately performs or attempts
  464. to perform unauthorized activity should be subject to
  465. disciplinary action, and such disciplinary action must be
  466. uniformly applied throughout the agency. Any criminal activity
  467. under Federal or state computer crime laws must be reported to
  468. law enforcement authorities.
  469.  
  470. $_Training
  471.  
  472. Most information resource security problems involve people.
  473. Problems can usually be identified in their earliest stages by
  474. people who are attuned to the importance of information
  475. protection issues. A strong training program will yield large
  476. benefits in prevention and early detection of problems and
  477. losses. To be most effective, training should be tailored to the
  478. particular audience being addressed, e.g., executives and policy
  479. makers; program and functional managers; IRM security and audit:
  480. ADP management and operations; end users.
  481.  
  482. Most employees want to do the right thing, if agency
  483. expectations are clearly communicated. Internal policies can be
  484. enforced only if staff have been made aware of their individual
  485. responsibilities. All personnel who access agency computer
  486. systems should be aware of their responsibilities under agency
  487. policy, as well as obligations under the law. Disciplinary
  488. actions and legal penalties should be communicated.
  489.  
  490. -JUDGE DREDD/NIA
  491.  
  492. [OTHER WORLD BBS]
  493.  
  494.  
  495.  
  496.  
  497. Downloaded From P-80 International Information Systems 304-744-2253 12yrs+
  498.