home *** CD-ROM | disk | FTP | other *** search
/ Internet Standards / CD1.mdf / misc / fips / 500_169.txt < prev    next >
Internet Message Format  |  1990-04-11  |  23KB

  1. From brian@ucsd.Edu Thu Apr 12 19:07:13 1990
  2. From: brian@ucsd.Edu (Brian Kantor)
  3. Newsgroups: comp.doc
  4. Subject: FIPS_500_169.TXT.1
  5. Date: 10 Apr 90 03:24:37 GMT
  6. Distribution: usa
  7. Organization: The Avant-Garde of the Now, Ltd.
  8.  
  9. Executive Guide to the Protection of Information 
  10. Resources 
  11.  
  12. National Institute of Standards and Technology 
  13.  
  14. The National Institute of Standards and Technology (NIST), is 
  15. responsible for developing standards, providing technical
  16. assistance, and conducting research for computers and related
  17. telecommunications systems. These activities provide technical
  18. support to government and industry in the effective, safe, and 
  19. economical use of computers.  With the passage of the Computer 
  20. Security Act of 1987 (P.L. 100-235), NIST's activities also 
  21. include the development of standards and guidelines needed to 
  22. assure the cost-effective security and privacy of sensitive 
  23. information in Federal computer systems.  This guide is just one
  24. of three brochures designed for a specific audience.  The 
  25. "Managers Guide to the Protection of Information Resources" and 
  26. the "Computer User's Guide to the Protection of Information 
  27. Resources" complete the series. 
  28.  
  29. Acknowledgments 
  30. This guide was written by Cheryl Helsing of Deloitte, Haskins & 
  31. Sells in conjunction with Marianne Swanson and Mary Anne Todd, 
  32. National Institute of Standards and Technology.  
  33.  
  34. Table of Contents 
  35. Introduction    1 
  36. Executive Responsibilities     3 
  37. Executive Goals 5 
  38. Information Protection Program Elements  7 
  39. Information Protection Program Implementation 11 
  40. For Additional Information     15 
  41. Introduction 
  42.  
  43. Federal agencies are becoming increasingly 
  44. dependent upon automated information systems to carry out their 
  45. missions.  While in the past, executives have taken a hands-off 
  46. approach in dealing with these resources, essentially leaving the
  47. area to the computer technologist, they are now recognizing that
  48. computers and computer-related problems must be understood and 
  49. managed, the same as any other resource. 
  50.  
  51. The success of an information resources protection 
  52. program depends on the policy generated, and on the attitude of 
  53. management toward securing information on automated systems.  
  54. You, the policy maker, set the tone and the emphasis on how 
  55. important a role information security will have within your 
  56. agency.  Your primary responsibility is to set the information 
  57. resource security policy for the organization with the objectives
  58. of reduced risk, compliance with laws and regulations and 
  59. assurance of operational continuity, information integrity, and 
  60. confidentiality.  
  61.  
  62. Purpose of this Guide 
  63. This guide is designed to help you, the policy 
  64. maker, address a host of questions regarding the protection and 
  65. safety of computer systems and data processed within your agency.
  66. It introduces information systems security concerns, outlines the
  67. management issues that must be addressed by agency policies and 
  68. programs, and describes essential components of an effective 
  69. implementation process.   
  70.  
  71. The Risks 
  72. The proliferation of personal computers, 
  73. local-area networks, and distributed processing has drastically 
  74. changed the way we manage and control information resources.  
  75. Internal controls and control points that were present in the 
  76. past when we were dealing with manual or batch processes have not
  77. always been replaced with comparable controls in many of today's
  78. automated systems.  Reliance upon inadequately controlled 
  79. information systems can have serious consequences, including: 
  80.  
  81. Inability or impairment of the agency's ability to 
  82. perform its mission 
  83.  
  84. Inability to provide needed services to the public 
  85.  
  86. Waste, loss, misuse, or misappropriation of funds 
  87.  
  88. Loss of credibility or embarrassment to an agency 
  89.  
  90. To avoid these consequences, a broad set of 
  91. information security issues must be addressed effectively and 
  92. comprehensively. Towards this end, executives should take a 
  93. traditional risk management approach, recognizing that risks are
  94. taken in the day-to-day management of an organization, and that 
  95. there are alternatives to consider in managing these risks. Risk
  96. is accepted as part of doing business or is reduced or eliminated
  97. by modifying operations or by employing control mechanisms. 
  98.  
  99. Executive Responsibilities 
  100. Set the Security Policy of the Organization 
  101. Protecting information resources is an important goal for all
  102. organizations.   This goal is met by establishing an 
  103. information resource security program.  It will require staff, 
  104. funding and positive incentives to motivate employees to 
  105. participate in a program to protect these valuable assets. 
  106. This information resource protection policy should 
  107. state precisely: 
  108.  
  109. the value to the agency of data and information 
  110. resources and the need to preserve their integrity, availability,
  111. and confidentiality 
  112.  
  113. the intent of the organization to protect the resources 
  114. >from accidental or deliberate unauthorized disclosure, 
  115. modification, or destruction by employing cost-effective controls
  116.  
  117. the assignment of responsibility for data security 
  118. throughout the organization 
  119.  
  120. the requirement to provide computer security and 
  121. awareness training to all employees having access to information
  122. resources 
  123.  
  124. the intent to hold employees personally accountable for 
  125. information resources entrusted to them 
  126.  
  127. the requirement to monitor and assess data security via 
  128. internal and external audit procedures 
  129.  
  130. the penalties for not adhering to the policy 
  131.  
  132. Executive Goals 
  133. The policy established for securing information 
  134. resources should meet the basic goals of reducing the risk, 
  135. complying with applicable laws and regulations, and assuring 
  136. operational continuity, integrity and confidentiality.  This 
  137. section briefly describes these objectives and how they can be 
  138. met. 
  139.  
  140. Reduce Risk To An Acceptable Level 
  141. The dollars spent for security measures to control 
  142. or contain losses should never be more than the projected dollar
  143. loss if something adverse happened to the information resource. 
  144. Cost-effective security results when reduction in risk is 
  145. balanced with the cost of implementing safeguards.  The greater 
  146. the value of information processed, or the more severe the 
  147. consequences if something  happens to it, the greater the need 
  148. for control measures to protect it.  It is important that these 
  149. trade-offs of cost versus risk reduction be explicitly 
  150. considered, and that executives understand the degree of risk 
  151. remaining after selected controls are implemented. 
  152.  
  153. Assure Operational Continuity 
  154. With ever-increasing demands for timely 
  155. information and greater volumes of information being processed, 
  156. availability of essential systems, networks, and data is a major
  157. protection issue.  In some cases, service disruptions of just a 
  158. few hours are unacceptable.  Agency reliance on essential 
  159. computer systems requires that advance planning be done to allow
  160. timely restoration of processing capabilities in the event of 
  161. severe service disruption. The impact due to inability to process
  162. data should be assessed, and action taken to assure availability
  163. of those systems considered essential to agency operation.   
  164.  
  165. Comply with Applicable Laws and Regulations 
  166. As the pervasiveness of computer systems increases 
  167. and the risks and vulnerabilities associated with information 
  168. systems become better understood, the body of law and regulations
  169. compelling positive action to protect information resources  
  170. grows. OMB Circular No. A-130, "Management of Federal Information
  171.  
  172. ystems," and Public Law 100-235, "Computer Security Act of 1987"
  173. are two documents where the knowledge of these laws provide a 
  174. baseline for an information resources security program. 
  175.  
  176. Assure Integrity and Confidentiality 
  177. An important objective of an information resource 
  178. management program is to ensure that the information is accurate. 
  179. Integrity of information means you can trust the data and the 
  180. processes that manipulate it.  A system has integrity when it 
  181. provides sufficient accuracy and completeness to meet the needs 
  182. of the user(s).  It should be properly designed to automate all 
  183. functional requirements, include appropriate accounting and 
  184. integrity controls, and accommodate the full range of potential 
  185. conditions that might be encountered in its operation. 
  186.  
  187. Agency information should also be protected from 
  188. intruders, as well as from employees with authorized computer 
  189. access privileges who attempt to perform unauthorized actions. 
  190. Assured confidentiality of sensitive data is 
  191. often, but not always, a requirement of agency systems.  Privacy
  192. requirements for personal information are generally dictated by 
  193. statute, while protection requirements for other agency 
  194. information are a function of the nature of that information.  
  195. Determination of requirements in the latter case is made by the 
  196. official responsible for that information.  The impact of 
  197. wrongful disclosure should be considered in understanding 
  198. confidentiality requirements. 
  199.  
  200. Information Protection Program Elements 
  201.  
  202. Need for Policies and Procedures 
  203. Successful execution of the responsibilities previously outlined
  204. requires establishing agency policies and practices regarding
  205. information protection.  The security policy
  206. directive facilitates consistent protection of information 
  207. resources.  Supporting procedures are most effectively 
  208. implemented with top management support, through a program 
  209. focused on areas of highest risk.  A compliance assessment 
  210. process ensures ongoing effectiveness of the information 
  211. protection program throughout the agency. 
  212.  
  213. Scope 
  214. Although the protection of automated information 
  215. resources is emphasized in this publication, protection 
  216. requirements will usually extend to information on all forms of 
  217. media.  Agency programs should apply safeguards to all 
  218. information requiring protection, regardless of its form or 
  219. location.  Comprehensive information resource protection 
  220. procedures will address: accountability for information, 
  221. vulnerability assessment, data access, hardware/software control,
  222. systems development, and operational controls.  Protection should
  223. be afforded throughout the life cycle of information, from 
  224. creation through ultimate disposition. 
  225. Accountability for Information 
  226. An effective information resource protection 
  227. program identifies the information used by the agency and assigns
  228. primary responsibility for information protection to the managers
  229. of the respective functional areas supported by the data.  These
  230. managers know the importance of the data to the organization and
  231. are able to quantify the economic consequences of undesirable 
  232. happenings.  They are also able to detect deficiencies in data 
  233. and know definitively who must have access to the data supporting
  234. their operations. A fundamental information protection issue is 
  235. assignment of accountability.  Information flows throughout the 
  236. organization and can be shared by many individuals.  This tends 
  237. to blur accountability and disperse decision-making regarding 
  238. information protection.  Accountability should be explicitly 
  239. assigned for determining and monitoring security for appropriate
  240. agency information. 
  241.  
  242. When security violations occur, management must be 
  243. accountable for responding and investigating.  Security 
  244. violations should trigger a re-evaluation of access 
  245. authorizations, protection decisions, and control techniques.  
  246. All apparent violations should be resolved; since absolute 
  247. protection will never be achieved, some losses are inevitable.  
  248. It is important, however, that the degree of risk assumed be 
  249. commensurate with the sensitivity or importance of the 
  250. information resource to be protected.   
  251.  
  252. Vulnerability Assessment 
  253. A risk assessment program ensures management that 
  254. periodic reviews of information resources have considered the 
  255. degree of vulnerability to threats causing destruction, 
  256. modification, disclosure, and delay of information availability,
  257. in making protection decisions and investments in safeguards. 
  258. The official responsible for a specific 
  259. information resource determines protection requirements.  
  260. Less-sensitive, less-essential information will require minimal 
  261. safeguards, while highly sensitive or critical information might
  262. merit strict protective measures.  Assessment of vulnerability is
  263. essential in specifying cost-effective safeguards; overprotection
  264. can be needlessly costly and add unacceptable operational 
  265. overhead. 
  266.  
  267. Once cost-effective safeguards are selected, 
  268. residual risk remains and is accepted by management.  Risk status
  269. should be periodically re-examined to identify new threats, 
  270. vulnerabilities, or other changes that affect the degree of risk
  271. that management has previously accepted. 
  272.  
  273. Data Access 
  274. Access to information should be delegated 
  275. according to the principles of need-to-know and least possible 
  276. privilege.  For a multi-user application system, only individuals
  277. with authorized need to view or use data are granted access 
  278. authority, and they are allowed only the minimum privileges 
  279. needed to carry out their duties.  For personal computers with 
  280. one operator, data should be protected from unauthorized viewing
  281. or use.  It is the individual's responsibility to ensure that the
  282. data is secure.  
  283.  
  284. Systems Development 
  285. All information systems software should be 
  286. developed in a controlled and systematic manner according to 
  287. agency standards.  Agency policy should require that appropriate
  288. controls for accuracy, security, and availability are identified
  289. during system design, approved by the responsible official, and 
  290. implemented.  Users who design their own systems, whether on a 
  291. personal computer or on a mainframe, must adhere to the systems 
  292. development requirements.  
  293.  
  294. Systems should be thoroughly tested according to 
  295. accepted standards and moved into a secure production environment
  296. through a controlled process.  Adequate documentation should be 
  297. considered an integral part of the information system and be 
  298. completed before the system can be considered ready for use. 
  299.  
  300. Hardware/Software Configuration Control 
  301. Protection of hardware and resources of computer 
  302. systems and networks greatly contributes to the overall level of
  303. control and protection of information.  The information 
  304. protection policies should provide substantial direction 
  305. concerning the management and control of computer hardware and 
  306. software. 
  307.  
  308. Agency information should be protected from the 
  309. potentially destructive impact of unauthorized hardware and 
  310. software.  For example, software "viruses" have been inserted 
  311. into computers through games and apparently useful software 
  312. acquired via public access bulletin boards; viruses can spread 
  313. >from system to system before being detected.  Also, unauthorized
  314. hardware additions to personal computers can introduce unknown 
  315. dial-in access paths.  Accurate records of hardware/software 
  316. inventory, configurations, and locations should be maintained, 
  317. and control mechanisms should provide assurance that unauthorized
  318. changes have not occurred.   
  319.  
  320. To avoid legal liability, no unauthorized copying 
  321. of software should be permitted.  Agencies should also address 
  322. the issue of personal use of Federal computer systems, giving 
  323. employees specific direction about allowable use and providing 
  324. consistent enforcement. 
  325.  
  326. Operational Controls 
  327. Agency standards should clearly communicate 
  328. minimum expected controls to be present in all computer 
  329. facilities, computer operations, input/output handling, network 
  330. management, technical support, and user liaison.  More stringent
  331. controls would apply to those areas that process very sensitive 
  332. or critical information. 
  333.  
  334. Protection of these areas would include: 
  335. Security management; 
  336. Physical security; 
  337. Security of system/application software and data; 
  338. Network security; and 
  339. Contingency planning. 
  340.  
  341. The final section of this guide describes the 
  342. organizational process of developing, implementing, and managing
  343. the ongoing information protection program. 
  344.  
  345. Information Protection Program Implementation 
  346.  
  347. Information Protection Management 
  348. In most cases, agency executive management is not 
  349. directly involved in the details of achieving a controlled 
  350. information processing environment.  Instead, executive action 
  351. should focus on effective planning, implementation, and an 
  352. ongoing review structure.  Usually, an explicit group or 
  353. organization is assigned specific responsibility for providing 
  354. day-to-day guidance and direction of this process.  Within this 
  355. group an information security manager (ISM) should be identified
  356. as a permanent focal point for information protection issues 
  357. within the agency. 
  358.  
  359. The ISM must be thoroughly familiar with the 
  360. agency mission, organization, and operation.  The manager should
  361. have sufficient authority to influence the organization and have
  362. access to agency executives when issues require escalation. 
  363.  
  364. Independence 
  365. In determining the reporting relationship of the 
  366. ISM, independence of functional areas within the agency is 
  367. desirable.  Plans and budget for the ISM function should be 
  368. approved by agency management, rather than being part of any 
  369. functional area budget.  This approach avoids conflicts of 
  370. interest and facilitates development and maintenance of a 
  371. comprehensive and consistent protection program that serves the 
  372. needs of agency management. 
  373. Degree of Centralization 
  374.  
  375. The desirability of centralized versus 
  376. decentralized security is heavily debated and largely depends on
  377. size, organizational structure, and management approach at the 
  378. individual agency.  A centralized approach to security has the 
  379. advantages of being directly responsive to executive direction 
  380. and specifically accountable for progress and status. 
  381.  A decentralized approach to security has the 
  382. advantages of being close to the functional area involved.  In 
  383. the long term, decentralization may provide better integration of
  384. security with other entity functions. 
  385.  
  386. An effective combined approach offers advantages. 
  387. A small dedicated resource at the agency level can direct the 
  388. information protection program, while additional resources are 
  389. utilized at the functional area level to implement the program in
  390. each area. 
  391.  
  392. Dedicated Staff 
  393. The common practice of assigning responsibility 
  394. for information security to existing staff with other major 
  395. responsibilities is often unsuccessful.  At least one dedicated 
  396. staff member is recommended at the program management level.   
  397. The need for additional full-time resources depends on the
  398. agency's computer environment.  The number of information
  399. systems, their technical complexity, the degree of 
  400. networking, the importance of information processed, adequacy of
  401. existing controls, and extent of agency dependence on information
  402. systems affect the resources needed. 
  403.  
  404. Implementation Stages 
  405. Development of a comprehensive information 
  406. protection program that is practiced and observed widely 
  407. throughout a Federal agency occurs in stages and requires ongoing
  408. monitoring and maintenance to remain viable. 
  409.  
  410. First, organizational requirements for information 
  411. protection are identified.  Different agencies have varying 
  412. levels of need for security, and the information protection 
  413. program should be structured to most effectively meet those 
  414. needs. 
  415.  
  416. Next, organizational policies are developed that 
  417. provide a security architecture for agency operations, taking 
  418. into consideration the information protection program elements 
  419. discussed in the previous section of this guide.  The policies 
  420. undergo normal review procedures, then are approved by agency 
  421. management for implementation. 
  422.  
  423. Activities are then initiated to bring the agency 
  424. into compliance with the policies.  Depending on the degree of 
  425. centralization, this might require development of further plans 
  426. and budgets within functional entities of the agency to implement
  427. the necessary logical and physical controls. 
  428.  
  429. Training 
  430. Training is a major activity in the implementation 
  431. process.  Security violations are the result of human action, and
  432. problems can usually be identified in their earliest stages by 
  433. people.  Developing and maintaining personnel awareness of 
  434. information security issues can yield large benefits in 
  435. prevention and early detection of problems and losses. 
  436.  
  437. Target audiences for this training are executives 
  438. and policy makers, program and functional managers, IRM security
  439. and audit personnel, computer management and operations, and end
  440. users. Training can be delivered through existing policy and 
  441. procedures manuals, written materials, presentations and classes,
  442. and audio-visual training programs. 
  443.  
  444. The training provided should create an awareness 
  445. of risks and the importance of safeguards, underscoring the 
  446. specific responsibilities of each of the individuals being 
  447. trained. 
  448.  
  449. Monitoring and Enforcement 
  450. An ongoing monitoring and enforcement program 
  451. assures continued effectiveness of information protection 
  452. measures.  Compliance may be measured in a number of ways, 
  453. including audits, management reviews or self-assessments, 
  454. surveys, and other informal indicators.  A combination of 
  455. monitoring mechanisms provides greater reliability of results. 
  456.  
  457. Variances from policy requirements should be 
  458. accepted only in cases where the responsible official has 
  459. evaluated, documented, and accepted the risk of noncompliance.  
  460. Enforcement of agency policies and practices is important to the
  461. overall success of an information protection program.  
  462. Inconsistent or lax enforcement quickly results in deterioration
  463. of internal controls over information resources. 
  464.  
  465. A positive benefit of an effective monitoring and 
  466. enforcement process is an increased understanding of the degree 
  467. of information-related risk in agency operations.  Without such a
  468. feedback process, management unknowingly accepts too much risk. 
  469. An effective information protection program allows the agency to
  470. continue to rely upon and expand the use of information 
  471. technology while maintaining an acceptable level of risk. 
  472.  
  473. Maintenance 
  474. As agency initiatives and operations change, and 
  475. as the computer environment evolves, some elements of the 
  476. information protection program will require change as well. 
  477. Information protection cannot be viewed as a project with a 
  478. distinct end; rather, it is a process that should be maintained 
  479. to be realistic and useful to the agency.  Procedures for review
  480. and update of policies and other program elements should be 
  481. developed and followed. 
  482.  
  483. For Additional Information 
  484.  
  485. National Institute Of Standards and Technology
  486. Computer Security Program Office
  487. A-216 Technology
  488. Gaithersburg, MD 20899
  489. (301) 975-5200 
  490.  
  491. For further information on the management of information 
  492. resources, NIST publishes Federal Information Processing 
  493. Standards Publications (FIPS PUBS).  These publications deal with
  494. many aspects of computer security, including password usage, data
  495. encryption, ADP risk management and contingency planning, and 
  496. computer system security certification and accreditation.  A list
  497. of current publications is available from: 
  498.  
  499. Standards Processing Coordinator (ADP)
  500. National Computer Systems Laboratory
  501. National Institute of Standards and technology
  502. Technology Building, B-64
  503. Gaithersburg, MD 20899
  504. Phone:   (301)  975-2817 
  505.  
  506.