home *** CD-ROM | disk | FTP | other *** search
/ Forum of Incident Response & Security Teams / Forum_of_Incident_Response_and_Security_Teams_FIRST_October_1994.iso / teaminfo / nist / csl10_93.txt < prev    next >
Text File  |  1994-07-02  |  19KB  |  362 lines
  1.                              CSL Bulletin 
  2.                              October 1993
  3.  
  4. PEOPLE:  AN IMPORTANT ASSET IN COMPUTER SECURITY
  5. People are an important factor in ensuring the security of computer
  6. systems and the valuable information resources which they process. 
  7. This bulletin looks at some of the issues involved in staffing
  8. positions which interact with computer systems, the administration
  9. of users on a system, and the termination of user accounts.
  10.  
  11. STAFFING
  12. Staffing is the process of defining a position, normally involving
  13. the development of a position description; determining the
  14. sensitivity of the position; filling the position, which involves
  15. screening applicants, conducting background checks, and selecting
  16. the individual; and training the new employee.
  17.  
  18. Position Definition 
  19. Managers should identify and address security issues early in the
  20. process of defining a position.  Once a position has been broadly
  21. defined, management must determine the type of computer access
  22. needed for the position.  Management should consider two general
  23. principles when determining access:  separation of duties and least
  24. privilege.  
  25.  
  26. Separation of duties refers to the division of roles and
  27. responsibilities so that a single individual cannot subvert a
  28. critical process.  In accounting systems, for example, no
  29. single individual is given authority to issue checks.  Rather, one
  30. person initiates a request for a payment and another authorizes
  31. that same payment.  In effect, checks and balances are designed
  32. into the process based on the individual positions.  
  33.  
  34. Least privilege refers to the security objective of granting users
  35. only those accesses required to perform their duties.  Least
  36. privilege may mean that some employees have significant access if
  37. required for their position.  However, application of this
  38. principle may limit the damage resulting from accidents, errors, or
  39. unauthorized use of system resources.  For example, data entry
  40. clerks may have no need to run analysis reports of their database. 
  41.  
  42. A supervisor must carefully determine the duties, responsibilities,
  43. and access levels in accordance with the principles of separation
  44. of duties and least privilege prior to actually staffing a
  45. position.  Knowledge of the duties and access levels that a
  46. particular position will require is necessary for determining the
  47. sensitivity of the position.  
  48.  
  49. Determining Position Sensitivity
  50. Managers should correctly identify position sensitivity levels so
  51. that appropriate, cost-effective screening can be accomplished. 
  52. The position sensitivity designation directly affects resources
  53. since screening can be costly.
  54.  
  55. Various levels of sensitivity are assigned to positions in the
  56. government.  Determining the appropriate sensitivity level is based
  57. upon such factors as the type and level of harm (disclosure of
  58. private information, interruption of agency critical processing,
  59. computer fraud) the individual can cause through use of the
  60. computer system as well as more traditional factors such as access
  61. to classified information and fiduciary responsibilities. The
  62. Office of Personnel Management's Federal Personnel Manual (Section
  63. 732-5, subchapter 7) provides detailed guidance on computer/ADP
  64. risk levels.  Three separate levels are defined, as shown below. 
  65.  
  66.         
  67.  
  68. Filling the Position - Screening and Selection
  69. Once a position's sensitivity has been determined, the position is
  70. ready to be staffed.  In the government, this typically includes
  71. publication of a formal vacancy announcement followed by a review
  72. of candidates to determine which meet the requirements of the
  73. position.  More sensitive positions typically require
  74. pre-employment background screening while post-employment screening
  75. is often acceptable for less sensitive positions.  
  76.  
  77. Background screening determines whether a particular individual is
  78. suited to occupy a given position.  In positions requiring a high
  79. degree of trust, the screening process will attempt to document the
  80. person's trustworthiness and the appropriateness of holding a
  81. particular position.  In the government, the screening process is
  82. formalized through a series of background checks.  The importance
  83. of selecting the appropriate position sensitivity becomes obvious,
  84. since screening in excess of the sensitivity of the position wastes
  85. resources, while the reverse causes unacceptable risks.  
  86.  
  87. Within the government, the most basic screening technique involves
  88. a check for a criminal history, checking the FBI fingerprint
  89. records, and other federal indices.  More extensive background
  90. checks examine other factors such as a person's work and
  91. educational history, personal interview, possession or use of
  92. illegal substances, and interviews with current and former
  93. colleagues, neighbors, and friends.  The exact type of screening
  94. that takes place depends upon the sensitivity of the position to be
  95. occupied and applicable agency implementing regulations.  Screening
  96. is not conducted by the prospective employee's manager; rather,
  97. agency security and personnel officers should be consulted for
  98. agency-specific guidance. 
  99.  
  100. Outside of the government, screening processes are often less
  101. formalized.  However, depending upon the harm that a particular
  102. employee may be able to cause, background screening is often
  103. considered a wise investment.  With limited expenditures,
  104. supervisors or personnel officers can telephone or write
  105. references, including personal and work, provided by the applicant. 
  106. A small investment in employee screening before hiring can alert
  107. management to serious questions about a person's trustworthiness. 
  108.  
  109.  
  110. For both the government and private sector, finding something
  111. negative or detrimental in a person's background does not
  112. necessarily mean that they are unsuitable for a particular job. A
  113. determination must be made based on the type of job, the type of
  114. finding or incident, and other relevant factors.  In the
  115. government, this process is referred to as adjudication.  
  116.  
  117. Employee Training and Awareness
  118. Once a candidate has been hired, the staffing process continues
  119. with training in the computer security responsibilities and duties
  120. of the position.  Training can be very cost-effective in promoting
  121. security.  
  122.  
  123. Some computer security experts argue that employees must receive
  124. initial training before granting them any access to computer
  125. systems.  Others argue that this must be a risk-based decision,
  126. perhaps only granting restricted access or access only to their PC
  127. until the required training is completed.  Both approaches,
  128. however, recognize that adequately trained employees are crucial to
  129. the effective functioning of computer systems and applications. 
  130. In addition, although training of new users is critical, managers
  131. must recognize that security training and awareness activities
  132. should be ongoing throughout the time that an individual is a
  133. system user.  
  134.  
  135. USER ADMINISTRATION
  136. The purpose of user administration is to make sure that the
  137. information in the computer system about a user is correct and that
  138. access privileges are authorized and up-to-date.  In addition, user
  139. administration can detect some unauthorized and illegal
  140. activities.  
  141.  
  142. User Account Management 
  143. User account management encompasses the process of requesting,
  144. establishing, issuing, and closing user accounts.  It includes
  145. tracking of users and their respective access privileges and the
  146. management of these functions.  
  147.  
  148. User account management typically begins with a request from the
  149. user's supervisor to the system manager for a system account.  If
  150. a user is to have access to a particular application, this request
  151. may be sent through the application manager to the system manager. 
  152. This assures that the systems office receives formal approval from
  153. the "application manager" for the employee to be given access.  The
  154. request normally states the level of access to be granted, perhaps
  155. by function or by specifying a particular user profile.  Often when
  156. more than one employee is doing the same job, a "profile" of
  157. permitted authorizations is created.
  158.  
  159. Systems operations staff use the account request to create an
  160. account for the new user.  The access levels of the account should
  161. be consistent with those requested by the supervisor.  This account
  162. is normally assigned selected access privileges which are sometimes
  163. built directly into applications, and other times rely upon the
  164. operating system.  "Add-on" access applications are also used. 
  165. These access levels and privileges are often tied to specific
  166. access levels within an application.  
  167.  
  168.  
  169. Next, an employee is given their account information, including the
  170. account identifier (USERID) and means of authentication (password
  171. or smart card/PIN).  One issue which frequently arises at this
  172. stage is whether the USERID is to be tied to the particular
  173. position an employee holds (ACC5 for an accountant) or the
  174. individual employee (BSMITH for Brenda Smith).  Tying accounts to
  175. positions can often simplify auditing.  However, if the USERID is
  176. created in this manner, procedures should be established to change
  177. them if employees switch jobs or are otherwise reassigned.  
  178.  
  179. At the time employees receive their account, managers should
  180. provide initial or refresher training and awareness on computer
  181. security issues.  Users should be asked to review a set of rules
  182. and regulations for system access.  To indicate their understanding
  183. of these rules, many organizations require employees to sign a
  184. "computer account receipt," which may also state causes for
  185. dismissal or prosecution under the Computer Fraud and Abuse Act and
  186. other applicable state and local laws.
  187.  
  188. When user accounts are no longer required, the supervisor should
  189. inform the application manager and IRM office so that accounts can
  190. be removed in a timely manner.  One useful secondary check is to
  191. work with the local organization's personnel officer to establish
  192. a procedure for routinely notifying the systems office of employee
  193. departures.
  194.  
  195. Access and privilege administration is a continuing process.  New
  196. users are added while old users are deleted.  Permissions change,
  197. sometimes permanently, sometimes temporarily.  New applications are
  198. added, upgraded, and removed.  Tracking this information ensures
  199. that the principle of least privilege is maintained.  In
  200. administering these accounts, managers must balance timeliness of
  201. service and record keeping.  While sound record keeping
  202. practices are necessary, delays in processing change requests may
  203. lead to requests for more access than is necessary to avoid delays
  204. should such access ever be required.  
  205.  
  206. Managing the process of user access is one that is often
  207. decentralized, particularly for larger systems.  Regional offices
  208. are typically granted the authority to create accounts and change
  209. user privileges.  Proper oversight can help avoid major security
  210. risks. 
  211.  
  212. Temporary Assignments and In-house Transfers
  213. User privileges must be kept up-to-date.  Privileges are typically
  214. changed when there is a change in job role, either temporarily,
  215. such as covering for an employee on sick leave, or permanently,
  216. following an in-house transfer or termination. 
  217.  
  218. During the absence of others, users are often required to perform
  219. duties outside their normal scope, requiring additional access
  220. privileges.  Such necessary access privileges should be granted
  221. sparingly and carefully monitored, consistent with the need to
  222. maintain separation of duties for internal control purposes.  Also,
  223. these privileges should be removed in a timely manner when no
  224. longer required.  
  225.  
  226. Permanent changes in access privileges are usually necessary when
  227. employees change positions within an organization.  In this case,
  228. the process of granting account privileges occurs again.  Access
  229. privileges of the prior position should be promptly removed.  Many
  230. instances of "privilege creep" have occurred with employees
  231. continuing to maintain their access rights for all previously held
  232. positions within an organization.  This practice is inconsistent
  233. with the principle of least privilege.
  234.  
  235. Audit and Management Reviews
  236. From time to time, a review of an entire system becomes necessary. 
  237. For personnel issues, such reviews may examine the levels of access
  238. of each individual, consistent with the concept of least privilege;
  239. whether all accounts are still active; whether management
  240. authorizations are up-to-date; and whether required training has
  241. been completed. 
  242.  
  243. These reviews can be conducted on at least two levels:  an
  244. application-by-application basis or a system-wide basis.  Both
  245. kinds of reviews can be conducted by, among others, "in-house"
  246. personnel, contractor personnel, or audit personnel such as the
  247. Inspector General (IG) or the General Accounting Office (GAO). 
  248. Application managers may wish to review all access levels of all
  249. users of the application on a monthly basis.  While it may appear
  250. that such reviews should be conducted by systems personnel, they
  251. usually are not fully effective. System personnel can verify that
  252. users have only those accesses which their managers have specified. 
  253. However, in light of ongoing changes, the application manager is
  254. often the only individual likely to know what access the user
  255. should have.
  256.  
  257. Audits can also look at least privilege or separation of duties
  258. issues, such as a review of permissions which may involve
  259. discussing the need for particular access levels for specific
  260. individuals or the number of users with high levels of access. For
  261. example, how many employees should really have authorization to the
  262. check printing function?  Auditors may also look at non-computer
  263. access by reviewing who should have physical access to the
  264. check printer or blank stock of checks.  
  265.  
  266. Detecting Unauthorized and Illegal Activities
  267. Auditing user accounts can detect unauthorized and illegal
  268. activities.  If fraudulent activities require the regular physical
  269. presence of the perpetrator(s), the fraud may be detected during
  270. the employee's absence.  Mandatory vacations for critical systems
  271. and applications personnel can help detect such activity.  Managers
  272. should avoid creating an excessive dependence upon any single
  273. individual, since the system will have to function during the
  274. vacation period.  Periodic re-screening of personnel may also
  275. provide indications of illegal activity, such as living a lifestyle
  276. in excess of known income level.
  277.  
  278. TERMINATIONS
  279. Managers should consider security issues that arise due to
  280. terminations, both friendly and unfriendly.  Friendly termination
  281. may occur when an employee is voluntarily transferred, resigns to
  282. accept a better position, or retires.  Unfriendly termination may
  283. include situations when the user is being fired for cause, "RIFed,"
  284. or being involuntarily transferred.  Security issues must be faced
  285. in both situations.  
  286.  
  287. Friendly Termination
  288. Since mutually acceptable terminations occur regularly, most
  289. agencies follow a standard set of procedures for outgoing or
  290. transferring employees.  These are part of the standard employee
  291. "out-processing," and can be used to ensure that system accounts
  292. are removed in a timely manner.  In this case, the personnel office
  293. may send a memo to the head of the computer processing office with
  294. the employee's scheduled date of departure.  Other issues must be
  295. examined by the agency as well.  
  296.  
  297. The continued availability of data must often be assured.  In both
  298. the manual and electronic world, this may involve documenting
  299. procedures or filing schemes.  How are documents stored on the hard
  300. disk and how are they backed up?  Are employees instructed whether
  301. or not to "clean up" their PC before leaving?  If cryptography is
  302. used to protect data, how will the availability of cryptographic
  303. keys to management personnel be assured?  Are employees asked to
  304. document how they accomplish their tasks?  What procedures are in
  305. place to make sure this is accomplished?  
  306.  
  307. Managers must also address the confidentiality of data.  Do
  308. employees know what information they are allowed to share with
  309. their immediate organizational colleagues?  Does this differ from
  310. the information they may share with the public?  These and other
  311. agency-specific issues should be addressed throughout an
  312. organization to assure continued access to data and to provide
  313. continued appropriate protection for its confidentiality and
  314. integrity during personnel transitions.  The agency's training and
  315. awareness program should include such issues, as appropriate.
  316.  
  317. Unfriendly Termination
  318. The greatest threat from unfriendly terminations is likely to come
  319. from systems personnel, as they are best positioned to wreak
  320. considerable havoc on systems operations.  Without appropriate
  321. safeguards, systems personnel can place logic bombs (e.g., a hidden
  322. program to erase a disk) in code which will not even execute until
  323. after the employee's departure.  Backup copies can be destroyed. 
  324. There are even examples where code has been "held hostage."  But
  325. other employees, such as general users, can also cause damage. 
  326. Errors can be input purposefully.  Documentation can be misfiled. 
  327. Other "random" errors can be made. Correcting these situations can
  328. be resource-intensive.  
  329.  
  330. Given the potential for adverse consequences, security specialists
  331. routinely recommend that system access be terminated as quickly as
  332. possible in such situations.  If an employee is to be fired, system
  333. access should be removed at the same time (or just before) the
  334. employee is notified of dismissal.  When an employee notifies an
  335. agency of a resignation and it can be reasonably expected that it
  336. is on unfriendly terms, system access should be immediately
  337. terminated.  During the "notice" period, it may be necessary to
  338. assign the individual to a less sensitive area and function.  This
  339. may be particularly true for systems personnel.  In other cases,
  340. physical removal may be warranted.
  341.  
  342. SUMMARY
  343. We have considered the personnel security issues including the
  344. staffing and screening of employees for positions and the
  345. management of user privileges.  Particularly important are security
  346. issues involved in user administration, including identification
  347. and authentication management and access and privilege
  348. administration.  Audit and other management reviews are useful in
  349. detecting unauthorized and illegal activities.  Finally, agencies
  350. must be aware of security issues involved in removing access
  351. privileges for both friendly and unfriendly terminations.  
  352.  
  353. For more information, we suggest that you consult:
  354. Office of Personnel Management, Federal Personnel Manual
  355.  
  356. NIST CSL Bulletin on Security Issues in Public Access Systems, May
  357. 1993
  358.  
  359. 5 CFR Part 903, "Training Requirements for the Computer Security
  360. Act"
  361.  
  362.