home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / csspab / csa_87.txt

< prev

next >

Wrap

Text File  |  1995-09-15  |  160KB  |  3,077 lines

---

1.                   COMPUTER SECURITY ACT OF 1987
2.  
3.  
4.  
5.               June 11, 1987 - Ordered to be printed
6.  
7. Mr. Roe, from the Committee on Science, Space, and Technology,
8. submitted the following
9.  
10.  
11.                                 REPORT  
12.  
13. [To accompany H.R. 145 which on January 6, 1987, was referred
14. jointly to the Committee on Science, Space, and Technology and the
15. Committee on Government Operations]
16.  
17.      [Including cost estimate of the Congressional Budget Office]
18.  
19.   The Committee on Science, Space, and Technology, to whom was
20. referred the bill (H.R. 145) to provide for a computer standards
21. program within the National Bureau of Standards, to provide for
22. Government-wide computer security, and to provide for the training
23. in security matters of persons who are involved in the management,
24. operation, and use of Federal Computer systems, and for other
25. purposes, having considered the same, report favorably thereon with
26. an amendment and recommend that the bill as amended do pass.
27.  
28.  
29.  
30.  
31.                             CONTENTS
32.  
33.                                                     Original
34.                                                       Page
35.  
36.    I.  Background                                       6
37.   II.  Issues raised during the hearings                9
38.  III.  Need for legislation                            23
39.   IV.  Explanation of the bill                         23
40.    V.  Sectional analysis                              31
41.   VI.  Effect of legislation on inflation              37
42.  VII.  Committee oversight findings and 
43.        recommendation                                  37
44. VIII.  Oversight findings and recommendations by
45.        the Committee on Government Operations          37
46.   IX.  Budget analysis and projection                  37
47.    X.  Congressional Budget Office cost estimate       37
48.   XI.  Administration position                         41
49.  XII.  Changes in existing law made by the bill,
50.        as reported                                     41
51. XIII.  Committee recommendation                        47
52.  
53.  
54.   The amendment is as follows:
55.  
56.   Strike out all after the enacting clause and insert in lieu
57. thereof the following:
58.  
59.  
60. SECTION 1.  SHORT TITLE
61.  
62.   The Act may be cited as the "Computer Security Act of 1987".
63.  
64.  
65. SEC. 2  PURPOSE
66.  
67.   (a)  IN GENERAL.-The Congress declares that improving the
68. security and privacy of sensitive information in Federal computer
69. systems is in the public interest, and hereby creates a means for
70. establishing minimum acceptable security practices for such
71. systems, without limiting the scope of security measures already
72. planned or in use.
73.  
74.   (b)  SPECIFIC PURPOSES.-The purposes of this Act are--
75.      
76.      (1) by amending the Act of March 3, 1901, to assign to the
77. National Bureau of Standards responsibility for developing
78. standards and guidelines for Federal computer systems, including
79. responsibility for developing standards and guidelines needed to
80. assure the cost-effective security and privacy of sensitive
81. information in Federal computer systems, drawing on the technical
82. advice and assistance (including work products) of the National
83. Security Agency, where appropriate;
84.  
85.      (2) to provide for promulgation of such standards and
86. guidelines by amending section 111(d) of the Federal Property and
87. Administrative Services Act of 1949;
88.  
89.      (3) to require establishment of security plans by all
90. operators of Federal computer systems that contain sensitive
91. information; and
92.  
93.      (4) to require mandatory periodic training for all persons
94. involved in management, use, or operation of Federal computer
95. systems that contain sensitive information.
96.  
97.  
98. SEC. 3.  ESTABLISHMENT OF COMPUTER STANDARDS PROGRAM.
99.  
100.   The Act of March 3, 1901, (15 U.S.C. 271-278h), is amended--
101.  
102.      (1) in section 2(f), by striking out "and" at the end of
103. paragraph (18), by striking out the period at the end of paragraph
104. (19) and inserting in lieu thereof:  "; and", and by inserting
105. after such paragraph the following:
106.  
107.      "(20) the study of computer systems (as that term is defined
108. in section 20(d) of this Act) and their use to control machinery
109. and processes.";
110.  
111.      (2) by redesignating section 20 as section 22, and by
112. inserting after section 19 the following new sections:
113. "SEC. 20.  (a)  The National Bureau of Standards shall--
114.  
115.      "(1) have the mission of developing standards, guidelines, and
116. associated methods and techniques for computer systems;
117.  
118.      "(2) except as described in paragraph (3) of this subsection
119. (relating to security standards), develop uniform standards and
120. guidelines for Federal computer systems, except those systems
121. excluded by section 2315 of title 10, United States Code, or
122. section 3502(2) of title 44, United States Code.
123.  
124.      "(3) have responsibility within the Federal Government for
125. developing technical, management, physical, and administrative
126. standards and guidelines for the cost-effective security and
127. privacy of sensitive information in Federal computer systems
128. except--
129.  
130.           "(A)  those systems excluded by section 2315 of title 10,
131.      United States Code, or section 3502(2) of title 44, United
132.      States Code; and
133.  
134.           "(B)  those systems which are protected at all times by
135.      procedures established for information which has been
136.      specifically authorized under criteria established by an
137.      Executive Order or an Act of Congress to be kept secret in the
138.      interest of national defense or foreign policy, the primary
139.      purpose of which standards and guidelines shall be to control
140.      loss and unauthorized modification or disclosure of sensitive
141.      information in such systems and to prevent computer-related
142.      fraud and misuse;
143.  
144.      "(4) submit standards and guidelines developed pursuant to
145. paragraphs (2) and (3) of this subsection, along with
146. recommendations as to the extent to which these should be made
147. compulsory and binding, to the Secretary of Commerce for
148. promulgation under section 111(d) of the Federal Property and
149. Administrative Services Act of 1949;
150.  
151.      "(5) develop guidelines for use by operators of Federal
152. computer systems that contain sensitive information in training
153. their employees in security awareness and accepted security
154. practice, as required by section 5 of the Computer Security Act of
155. 1987; and
156.  
157.      "(6) develop validation procedures for, and evaluate the
158. effectiveness of, standards and guidelines developed pursuant to
159. paragraphs (1), (2), and (3) of this subsection through research
160. and liaison with other government and private agencies. 
161.  
162.   "(b) In fulfilling subsection (a) of this section, the National
163. Bureau of Standards is authorized--
164.  
165.      "(1) to assist the private sector, upon request, in using and
166. applying the results of the programs and activities under this
167. section;
168.  
169.      "(2) to make recommendations, as appropriate, to the
170. Administrator of General Services on policies and regulations
171. proposed pursuant to section 111(d) of the Federal Property and
172. Administrative Services Act of 1949;
173.  
174.      "(3) as requested, to provide to operators of Federal computer
175. systems technical assistance in implementing the standards and
176. guidelines promulgated pursuant to section 111(d) of the Federal
177. Property and Administrative Services Act of 1949;
178.  
179.      "(4) to assist, as appropriate, the Office of Personnel
180. Management in developing regulations pertaining to training, as
181. required by section 5 of the Computer Security Act of 1987;
182.  
183.      "(5) to perform research and to conduct studies, as needed,
184. to determine the nature and extent of the vulnerabilities of, and
185. to devise techniques for the cost effective security and privacy
186. of sensitive information in Federal computer systems; and
187.  
188.      "(6) to coordinate closely with other agencies and offices
189. (including, but not limited to, the Departments of Defense and
190. Energy, the National Security Agency, the General Accounting
191. Office, the Office of Technology Assessment, and the Office of
192. Management and Budget)--
193.  
194.           "(A) to assure maximum use of all existing and planned
195.      programs, materials, studies, and reports relating to computer
196.      systems security and privacy, in order to avoid unnecessary
197.      and costly duplication of effort; and 
198.           "(B) to assure, to the maximum extent feasible, that
199.      standards developed pursuant to subsection (a) (3) and (5) are
200.      consistent and compatible with standards and procedures
201.      developed for the protection of information in Federal
202.      computer systems which is authorized under criteria
203.      established by Executive order or an Act of Congress to be
204.      kept secret in the interest of national defense or foreign
205.      policy.
206.  
207.   "(c) For the purposes of--
208.  
209.      "(1) developing standards and guidelines for the protection
210. of sensitive information in Federal computer systems under
211. subsections (a)(1) and (a)(3), and 
212.  
213.      "(2) performing research and conducting studies under
214. subsection (b)(5), the National Bureau of Standards shall draw upon
215. computer system technical security guidelines developed by the
216. National Security Agency to the extent that the National Bureau of
217. Standards determines that such guidelines are consistent with the
218. requirements for protecting sensitive information in Federal
219. computer systems.
220.  
221.   "(d) As used in this section--
222.  
223.      "(1) the term computer system'--
224.  
225.           "A) means any equipment or interconnected system or
226.      subsystems of equipment that is used in the automatic
227.      acquisition, storage, manipulation, management, movement,
228.      control, display, switching, interchange, transmission, or
229.      reception, of data or information; and 
230.  
231.           "(B) includes--
232.  
233.                "(i) computers;
234.                "(ii) ancillary equipment;
235.                "(iii) software, firmware, and similar procedures;
236.                "(iv) services, including support services; and
237.                "(v) related resources as defined by regulations
238.                issued by the Administrator for General Services
239.                pursuant to section 111 of the Federal Property and
240.                Administrative Services Act of 1949;
241.  
242.           "(2) the term 'Federal computer system'--
243.  
244.           "(A) means a computer system operated by a Federal agency
245.      or by a contractor of a Federal agency or other organization
246.      that processes information (using a computer system) on behalf
247.      of the Federal Government to accomplish a Federal function;
248.      and
249.  
250.           "(B) includes automatic data processing equipment as that
251.      term is defined in section 111(a)(2) of the Federal Property
252.      and Administrative Services Act of 1949;
253.  
254.           "(3) the term 'operator of a Federal computer system'
255.      means a Federal agency, contractor of a Federal agency, or
256.      other organization that processes information using a computer
257.      system on behalf of the Federal Government to accomplish a
258.      Federal function;   
259.  
260.           "(4) the term 'sensitive information' means any
261.      information, the loss, misuse, or unauthorized access to or
262.      modification of which could adversely affect the national
263.      interest or the conduct of Federal programs, or the privacy
264.      to which individuals are entitled under section 552a of title
265.      5, United States Code (the Privacy Act), but which has not
266.      been specifically authorized under criteria established by an
267.      Executive order or an Act of Congress to be kept secret in the
268.      interest of national defense or foreign policy; and
269.  
270.           "(5) the term 'Federal agency' has the meaning given such
271.      term by section 3(b) of the Federal Property and
272.      Administrative Services Act of 1949.
273.  
274.   "SEC. 21.  (a) There is hereby established a Computer System
275. Security and Privacy Advisory Board within the Department of
276. Commerce.  The Secretary of Commerce shall appoint the chairman of
277. the Board.  The Board shall be composed of twelve additional
278. members appointed by the Secretary of Commerce as follows:
279.  
280.           "(1) four members from outside the Federal Government who
281.      are eminent in the computer or telecommunications industry,
282.      at lease one of whom is representative of small or medium
283.      sized companies in such industries;
284.  
285.           "(2) four members from outside the Federal
286.      Government who are eminent in the fields of computer or
287.      telecommunications technology, or related disciplines,
288.      but who are not employed by or representative of a
289.      producer of computer or telecommunications equipment; and
290.  
291.           "(3) four members from the Federal Government who have
292.      computer systems management experience, including experience
293.      in computer systems security and privacy, at least one of whom
294.      shall be from the National Security Agency.
295.  
296.   "(b) The duties of the Board shall be--
297.  
298.           "(1) to identify emerging managerial, technical,
299.      administrative, and physical safeguard issues relative to
300.      computer systems security and privacy; 
301.  
302.           "(2) to advise the Bureau of Standards and the Secretary
303.      of Commerce on security and privacy issues pertaining to
304.      Federal computer systems; and
305.  
306.           "(3) to report its findings to the Secretary of Commerce,
307.      the Director of the Office of Management and Budget, the
308.      Director of the National Security Agency, and the appropriate
309.      Committees of the Congress.
310.  
311.   "(c) The term of office of each member of the Board shall be four
312. years, except that--
313.  
314.           "(1) of the initial members, three shall be appointed
315.      for terms of one year, three shall be appointed for terms of
316.      two years, three shall be appointed for terms of three years,
317.      and three shall be appointed for terms of four years; and
318.  
319.           "(2) any member appointed to fill a vacancy in the Board
320.      shall serve for the remainder of the term for which his
321.      predecessor was appointed.
322.  
323.   "(d) The Board shall not act in the absence of a quorum, which
324. shall consist of seven members.
325.  
326.   "(e) Members of the Board, other than full-time employees of the
327. Federal Government while attending meetings of such committees or
328. while otherwise performing duties at the request of the Board
329. Chairman while away from their homes or a regular place of
330. business, may be allowed travel expenses in accordance with
331. subchapter I of chapter 57 of title 5, United States Code.
332.  
333.   "(f) To provide the staff services necessary to assist the Board
334. in carrying out its functions, the Board may utilize personnel from
335. the National Bureau of Standards or any other agency of the Federal
336. Government with the consent of the head of the agency.
337.  
338.   "(g) As used in this section, the terms 'computer system' and
339. 'Federal computer system' have the meanings given in section 20(d)
340. of this Act."; and 
341.  
342.      "(3) by adding at the end thereof the following new section:
343.  
344.   "SEC. 23.  This Act may be cited as the National Bureau of
345. Standards Act."
346.  
347.  
348. SEC. 4  AMENDMENT TO BROOKS ACT.
349.  
350.   Section 111(d) of the Federal Property and Administrative
351. Services Act of 1949 (40 U.S.C. 759(d)) is amended to read as
352. follows:
353.  
354.   "(d)(1) The Secretary of Commerce shall, on the basis of
355. standards and guidelines developed by the National Bureau of
356. Standards pursuant to section 20(a) (2) and (3) of the National
357. Bureau of Standards Act, promulgate standards and guidelines
358. pertaining to Federal computer systems, making such standards
359. compulsory and binding to the extent to which the Secretary
360. determines necessary to improve the efficiency of operation or
361. security and privacy of Federal computer systems.  The President
362. may disapprove or modify such standards and guidelines if he
363. determines such action to be in the public interest.  The
364. President's authority to disapprove or modify such standards and
365. guidelines may not be delegated.  Notice of such disapproval or
366. modification shall be submitted promptly to the Committee on 
367. Government Operations of the House of Representatives and the
368. Committee on Governmental Affairs of the Senate and shall be
369. published promptly in the Federal Register.  Upon receiving notice
370. of such disapproval or modification, the Secretary of Commerce
371. shall immediately rescind or modify such standards or guidelines
372. as directed by the President.
373.  
374.   "(2) The head of a Federal agency may employ standards for the
375. cost effective security and privacy of sensitive information in a
376. Federal computer system within or under the supervision of that
377. agency that ar more stringent than the standards promulgated by the
378. Secretary of Commerce, if such standards contain, at a minimum, the
379. provisions of those applicable standards made compulsory and
380. binding by the Secretary of Commerce.
381.  
382.   "(3) The standards determined to be compulsory and binding may
383. be waived by the Secretary of Commerce in writing upon a
384. determination that compliance would adversely affect the
385. accomplishment of the mission of an operator of a Federal computer
386. system, or cause a major adverse financial impact on the operator
387. which is not offset by government-wide savings.  The Secretary may
388. delegate to the head of one or more Federal agencies authority to
389. waive such standards to the extent to which the Secretary
390. determines such action to be necessary and desirable to allow for
391. timely and effect implementation of Federal computer systems
392. standards.  The head of such agency may redelegate such authority
393. only to a senior official designated pursuant to section 3506(b)
394. of title 44, United States Code.  Notice of each such waiver and
395. delegation shall be transmitted promptly to the Committee on
396. Government Operations of the House of Representatives and the
397. Committee on Governmental Affairs of the Senate and shall be
398. published promptly in the Federal Register.
399.  
400.   "(4) The Administrator shall revise the Federal information
401. resources management regulations (41 CFR ch. 201) to be consistent
402. with the standards and guidelines promulgated by the Secretary of
403. Commerce under this subsection.
404.  
405.   "(5) As used in this subsection, the terms 'Federal computer
406. system' and 'operator of a Federal computer system' have the
407. meanings given in section 20(d) of the National Bureau of Standards
408. Act.".
409.  
410.  
411. SEC. 5.  FEDERAL COMPUTER SYSTEM SECURITY TRAINING.
412.  
413.   (a) In General.--Each Federal agency shall provide for the
414. mandatory periodic training in computer security awareness and
415. accepted computer security practice of all employees who are
416. involved with the management, use, or operation of each Federal
417. computer system within or under the supervision of that agency. 
418. Such training shall be--
419.  
420.        (1) provided in accordance with the guidelines developed
421.      pursuant to section 20(a)(5) of the National Bureau of
422.      Standards Act (as added by section 3 of this Act), and in
423.      accordance with the regulations issued under subsection (c)
424.      of this section for Federal civilian employees; or
425.  
426.        (2) provided by an alternative training program approved by
427.      the head of that agency on the basis of a determination that
428.      the alternative training program is at least as effective in
429.      accomplishing the objectives of such guidelines and
430.      regulations.
431.  
432.   (b)  TRAINING OBJECTIVES.--Training under this section shall be
433. started within 60 days after the issuance of the regulations
434. described in subsection (c).  Such training shall be designed--
435.  
436.      (1) to enhance employees' awareness of the threats to and
437.      vulnerability of computer systems; and
438.      
439.      (2) to encourage the use of improved computer security
440.      practices.
441.  
442.   (c) REGULATIONS.--Within six months after the date of the
443. enactment of this Act, the Director of the Office of Personnel
444. Management shall issue regulations prescribing the procedures and
445. scope of the training to be provided Federal civilian employees
446. under subsection (a) and the manner in which such training is to
447. be carried out.
448.  
449.  
450. SEC. 6.  ADDITIONAL RESPONSIBILITIES FOR COMPUTER SYSTEMS SECURITY
451.          AND PRIVACY.
452.  
453.   (a) IDENTIFICATION OF SYSTEMS THAT CONTAIN SENSITIVE INFORMATION-
454. Within 6 months after the date of enactment of this Act, each
455. Federal agency shall identify each Federal computer system, and
456. system under development, which is within or under the supervision
457. of that agency and which contains sensitive information.
458.  
459.   (b) SECURITY PLAN.--Within one year after the date of enactment
460. of this Act, each such agency shall, consistent with the standards,
461. guidelines, policies, and regulations prescribed pursuant to
462. section 111(d) of the Federal Property and Administrative Services
463. Act of 1949, establish a plan for the security and privacy of each
464. Federal computer system identified by that agency pursuant to
465. subsection (a) that is commensurate with the risk and magnitude or
466. the harm resulting from the loss, misuse, or unauthorized access
467. to or modification of the information contained in such system. 
468. Copies of each such plan shall be transmitted to the National
469. Bureau of Standards and the National Security Agency for advice and
470. comment.  A summary of such plan shall be included in the agency's
471. five-year plan required by section 3505 of title 44, United States
472. Code.  Such plan shall be subject to disapproval by the Director
473. of the Office of Management and Budget.  Such plan shall be revised
474. annually as necessary.
475.  
476.  
477. SEC. 7.  DEFINITIONS.
478.  
479.   As used in this Act, the terms "computer system", "Federal
480. computer system", "operator of a Federal computer system",
481. "sensitive information", and "Federal agency" have the meanings
482. given in section 20(d) of the National Bureau of Standards Act (as
483. added by section 3 of this Act).
484.  
485.  
486. SEC. 8.  RULES OF CONSTRUCTION OF ACT.
487.  
488.   Nothing in this Act, or in any amendment made by this Act, shall
489. be construed--
490.  
491.      (1) to constitute authority to withhold information sought
492. pursuant to section 552 of title 5, United States Code; or
493.  
494.      (2) to authorize any Federal agency to limit, restrict,
495. regulate, or control the collection, maintenance, disclosure, use,
496. transfer, or sale of any information (regardless of the medium in
497. which the information may be maintained) that is--
498.  
499.           (A)  privately-owned information;
500.  
501.           (B)  disclosable under section 552 of title 5, United
502.           States Code, or other law requiring or authorizing the
503.           public disclosure of information; or
504.  
505.           (C)  public domain information.
506.  
507. ***************************************************************
508.  
509.  
510.                          I.  BACKGROUND
511.  
512.   Computers and information systems have so permeated today's
513. society that there is virtually no sector which does not rely
514. heavily on their use.  This includes the Federal Government, which
515. currently has over 17,000 medium- and large-scale computers and
516. will have almost 500,000 microcomputers by 1990, according to a
517. 1985 report by the General Services Administration, entitled "ADP
518. Management of Information Systems".
519.  
520.   The Federal Government is the largest single user of computers
521. in the world.  Its investment in automated systems technology is
522. so large that about l.6 percent of the 1986 budget was spent on
523. automated data processing (ADP) equipment and services, or more
524. than 15 billion dollars.  This budget, included ADP for defense and
525. national security, education, national energy programs, social
526. welfare, and tax problems.
527.  
528.   As the role of the Federal Government has become broader, the
529. need to automate and the corresponding need to secure data also has
530. grown.  In recent years, Congress and the executive agencies have
531. directed their attention to Federal computer systems in a number
532. of areas, including investigating and commenting on their integrity
533. and security.  Both Section 111(f) of the Federal Property and
534. Administrative Service Act of 1949 (as amended by the Brooks Act
535. of 1965) and the Paperwork Reduction Act of 1980 represented
536. attempts by Congress to address the issues of automating
537. information in Federal agencies and creating an efficient method
538. of storing and disseminating this information.  In October 1984,
539. Congress passed the first Federal computer crime legislation, the
540. Counterfeit Access Device and Computer Fraud Act of 1984 (P.L. 98-
541. 473).  That law has been amended by the Computer Fraud and Abuse
542. Act of 1986 (P.L. 99-474).  This law prohibited "unauthorized
543. access" into "Federal interest computers" affecting national
544. security data, financial data, and other data stored in these
545. computers.  In addition, penalties were established for pirated
546. "bulletin boards" containing information which might lead to the
547. fraud or abuse of data in a computer.
548.  
549.   Within the Federal Government several agencies have been charged
550. with the responsibility for establishing computer security controls
551. and standards.  The Office of Management and Budget (OMB) has
552. overall responsibility for computer security policy.  The General
553. Services Administration (GSA) also issues regulations for physical
554. security of computer facilities, and ensures that security hardware
555. and software meet certain technological and fiscal specifications. 
556. In defense and national security, the National Security Agency
557. (NSA) has traditionally been responsible for the security of
558. classified information, including that processed by and stored
559. within computers.  Recently, NSA has been given the responsibility
560. to establish and maintain technical standards for secure, or
561. "trusted" computers.  NSA does this through its administration of
562. the Department of Defense (DOD) National Computer Security Center. 
563. NSA also will work with industries at the DOD Computer Security
564. Center to develop security standards for private sector use.
565.  
566.   At the Department of Commerce, the National Bureau of Standards'
567. (NBS) Institute of Computer Science and Technology (ICST) has
568. developed computer and processing standards, such as the Data
569. Encryption Standard (DES), which protects data transferred between
570. automated information systems.  The Federal Information Processing
571. Standards (FIPS) developed by the ICST provide specific codes,
572. language, procedures, and techniques for Federal and private sector
573. information systems managers.  Also at the Department of Commerce,
574. the National Telecommunications and Information Administration
575. (NTIA) has the responsibility for analyzing, developing,
576. implementing and applying executive branch policy for
577. telecommunications in the Federal Government.
578.  
579.  
580.                       CURRENT FEDERAL ROLE
581.  
582.   This mixture of laws, regulations, and responsible agencies has
583. raised concern that Federal computer security policy is lacking
584. direction and forcefulness in some areas, yet has created
585. overlapping and duplication of effort in other areas.  Recently,
586. Federal regulations and directives have been issued and
587. congressional legislation has been introduced to address the lack
588. of coordination of Federal ADP systems.
589.  
590.   On March 15, 1985, OMB issued a draft circular intended "to
591. provide a general framework of management of information
592. resources."  This circular combined and updated previous OMB
593. circulars, including OMB Circular A-71 (originally issued in July
594. 1978).  The final OMB circular, A130, was issued on December 12,
595. 1985.  Appendix III of the circular addressed Federal Government
596. computer security.  Those responsible for implementing of this
597. circular include the Department of Commerce, Department of Defense,
598. General Services Administration, and the Office of Personnel
599. Management, in addition to OMB.
600.  
601.   On September 17, 1984, the executive branch issued National
602. Security Decision Directive 145 (NSDD-145), "National Policy on
603. Telecommunications and Automated Information Systems Security". 
604. This directive is aimed at safeguarding automated information
605. systems with a special focus on protecting those Federal systems
606. accessed via (and dependent on) network communications.  NSDD-145
607. creates a National Telecommunications and Information Systems
608. Security Committee (NTISSC), a panel of 22 voting representatives
609. from 12 defense/intelligence agencies and 10 civilian agencies. 
610. An Assistant Secretary of Defense chairs NTISSC, and the Director
611. of the National Security Agency acts as the National Manager for
612. implementing policy under NSDD-145.  The NTISSC is empowered to
613. issue operating policies to assure the security of
614. telecommunications and automated information systems that process
615. and communicate both classified national security information and
616. other sensitive information.
617.  
618.   On June 27, 1985, Representative Dan Glickman, then chairman of
619. the Subcommittee on Transportation, Aviation and Materials, House
620. Committee on Science and Technology, introduced H.R. 2889, the
621. Computer Security and Training Act of 1985.  The intent of this
622. legislation was to establish NBS as the focal point for developing
623. training guidelines for Federal employees who are involved in
624. management, operation, and use of automated information processing
625. systems.  This legislation was based in part on hearings which the
626. subcommittee conducted in 1983 and a 1984 subcommittee report which
627. had recommended increased ADP training and awareness in Federal
628. agencies.  The Subcommittee on Transportation, Aviation and
629. Materials held hearings on H.R. 2889 on September 24, 1984, June
630. 17, 1985, and October 29 and jointly with the Subcommittee on
631. Science, Research and Technology on October 30, 1985.  At the end
632. of the 99th Congress, under House procedures, the bill was brought
633. up for consideration under suspension of rules, the bill failed to
634. obtain the two-thirds vote required and the bill went no further.
635.  
636.   On October 29, 1986, National Security Adviser John Poindexter
637. issued National Telecommunications Information Systems and Security
638. (NTISS) policy Directive No. 2.  This directive would have added
639. a new "sensitive but unclassified" category of Federal information,
640. setting new classification criteria for information formerly
641. unclassified.  It would not only have affected managers, users, and
642. programmers of information systems within the Federal Government,
643. but there was concern that it could have been extended to private
644. sector contractors of the Federal Government as well, potentially
645. restricting the type of information and data released.  However,
646. on March 16, 1987, National Security Adviser Frank Carlucci
647. rescinded NTISS Directive No. 2, following negotiations with the
648. committees having jurisdiction over H.R. 145.
649.  
650.   On January 6, 1987, Representative Dan Glickman introduced H.R.
651. 145, the Computer Security act of 1987.  This legislation, based
652. in part on H.R. 2889 introduced during the 99th Congress would
653. assign the National Bureau of Standards responsibility for
654. developing standards and guidelines for the security of Federal
655. computer systems, drawing upon technical guidelines developed by
656. the National Security Agency, when such guide lines are consistent
657. with the requirements for protecting sensitive information.  H.R.
658. 145 also provides for a Computer Systems Advisory Board to identify
659. emerging Federal computer security and privacy issues, advise NBS
660. on these issues, report its findings to the Office of Management
661. and Budget (OMB), NSA, and Congress.  The bill also would amend the
662. Brooks Act of 1965 by updating the term "computer"; require
663. establishment of security plans by all operators of Federal
664. computer systems that contain sensitive information; and require
665. mandatory periodic training for all persons involved in management,
666. use, or operation of Federal computer systems that contain
667. sensitive information.
668.  
669.  
670. ****************************************************************
671.  
672.              II.  ISSUES RAISED DURING THE HEARINGS
673.  
674.   During the 99th Congress, the Subcommittee on Transportation,
675. Aviation and Materials held hearings on Federal computer and
676. communications privacy and security on September 24, 1984, June 27,
677. 1985, and October 29 and jointly with the Subcommittee on Science,
678. Research and Technology on October 30, 1985.  During the 100th
679. Congress, the Subcommittee on Transportation, Aviation, and
680. Materials, and the Subcommittee on Science, Research and Technology
681. of the House Science, Space, and Technology Committee held hearings
682. on H.R. 145 on February 26, 1987.  The Subcommittee on
683. Transportation, Aviation, and Materials held an additional hearing
684. on May 19, 1987, before final consideration of H.R. 145 by the full
685. House Science, Space and Technology Committee.
686.  
687.   These hearings touched upon four major issues:  (1) the current
688. state of computer security in the Federal Government; (2) the role
689. of the National Security Agency (NSA) in setting Federal computer
690. security; (3) the issue of privacy and security, particularly with
691. a new "sensitive but unclassified" criteria; and (4) the role of
692. the Federal Government in adequately training Federal employees and
693. heightening awareness of computer security.
694.  
695.  
696.                FEDERAL COMPUTER CRIME AND SECURITY
697.  
698. 99th Congress
699.  
700.   Over the course of the 99th Congress, there was a heightened
701. awareness both inside and outside the Federal Government that
702. current computer security measures were inadequate.  The American
703. Bar Association, the Inspector General's Office of the Department
704. of Health and Human Services, computer crime experts such as Donn
705. Parker, and industry representatives have repeatedly cited the lack
706. of management, controls, and coordination of computer security in
707. both the private sector and in the Federal Government.
708.  
709.   During the September 24, 1984 hearings, John Tompkins, chairman
710. of the Task Force on Computer Crime of the American Bar Association
711. (ABA), commented on a survey conducted by the ABA on the state of
712. computer crime in government and the private sector.  The ABA
713. report was one of the first extensive studies done on the number
714. of "known and verifiable losses" which have resulted from computer
715. crimes, and the results of the survey included responses from 13
716. Federal agencies and 28 State and local agencies.  Although the
717. results of the survey indicated a wide range of losses by
718. respondents, several consistent factors emerged:  that "insiders"
719. having access to computer systems are the more likely perpetrators
720. of fraud and abuse; that there is a proliferation of computers in
721. government; that such security systems as currently exist do not
722. facilitate detection of computer crimes; that security systems
723. themselves often are vulnerable and inadequate; and that a lack of
724. awareness and concern by the public as well as computer systems
725. managers, are contributing to these problems.  Mr. Tompkins noted
726. that, although the ABA did not state any formal recommendations,
727. the conclusions reached by the respondents to the ABA survey
728. indicated:  the need for Federal computer crime legislation; the
729. need to adequately train and supervise personnel in data
730. processing; and the large overall cost and expense of computer
731. fraud and abuse.
732.  
733.   Richard Kusserow, Inspector General for the Department of Health
734. and Human Services, also testified on the nature of fraud and abuse
735. in Federal computer systems.  AS Inspector General for the largest
736. Federal civil agency, Mr. Kusserow's office has been involved with
737. auditing computer systems, reducing costs, and insuring the
738. integrity of HHS ADP systems.  As Mr. Kusserow stated at the
739. September 24 hearings:
740.  
741.        We must ensure that agency managers in overseeing programs
742.      that use computerized systems, do audit the systems, do look
743.      and make sure that the controls are functioning, and that we
744.      in the inspector general community, using our auditors and
745.      investigators, follow up to make sure it's being done.  I
746.      think that in all of these areas is has not been done nearly
747.      enough.
748.  
749.   Also, as chairman of the President's Council on Integrity and
750. Efficiency investigating computer crime in the Federal Government,
751. Mr. Kusserow testified on September 24, 1984, and again on October
752. 29, 1985, on a study he directed which examined computer-related
753. fraud and abuse in general, and a subsequent study in which the
754. Inspector General's office interviewed those who had been convicted
755. of Federal computer fraud and abuse.  The results of these studies
756. are consistent with the findings of the ABA study:  that Federal
757. computer fraud and abuse is often committed by insiders within the
758. Federal agency; that training for computer security and awareness
759. of vulnerabilities in computer systems were lacking; and that
760. internal controls for computer security need to be increased.  The
761. profile of Federal computer criminals shows that they are young,
762. considered good employees, and often use co-conspirators, that many
763. who commit these crimes never think about the consequences of being
764. caught, or if they consider the consequences, assess the risk of
765. being caught as minimal.  As Mr. Kusserow stated in the October 29
766. hearing:
767.  
768.        One of the most disturbing findings from this study is that
769.      the work environment provided the perpetrators with the
770.      opportunity to commit their crime.  We asked the perpetrators
771.      about computer security where they had committed their crime
772.      . . . Virtually all of them had been aware of security efforts
773.      but most said they had been weak.  So, they make the judgment
774.      that, although there may have been security efforts in their
775.      agencies, they were weak and could not be counted upon to act
776.      as a deterrence for them to committing the crime.
777.  
778.   The General Accounting Office also testified during the hearings
779. on June 27, 1985, and October 29 and 30, 1985.  GAO has conducted
780. several studies on a computer crime and security in the Federal
781. Government, including a 1985 survey of 25 computer systems in 17
782. Federal civil agencies, to evaluate the state of computer security
783. and integrity of these systems.  This survey was conducted by GAO
784. using two questionnaires and subsequent interviews, promising
785. anonymous to the agencies so the systems could not be compromised
786. after public disclosure.  GAO indicated that:
787.  
788.        Generally, the results of our survey showed that each of the
789.      systems is vulnerable to abuse, destruction, error, fraud, and
790.      waste.  Specifically we found that:  key management
791.      responsibilities were missing.  For example, many agencies do
792.      not use a risk management approach as part of implementing a
793.      security program; and actual safeguards needed to protect
794.      systems from potential threats were not always in place.  For
795.      example, computerized techniques, such as passwords, allowing
796.      access to systems were not periodically changed.
797.  
798.   GAO categorized Federal computer security methods into management
799. and three basic safeguard components:  physical, technical, and
800. administrative.  No agency met all of the management
801. responsibilities outlined in the questionnaire, and only five of
802. the 25 systems evaluated contained an element of physical,
803. technical and administrative control.  Only two of the systems
804. provide what GAO described as adequate training for computer
805. employees.  GAO further characterized the systems as very
806. vulnerable, and given the minimal oversight and coordination
807. between agencies, GAO found that there is a lack of a balanced
808. approach to security of Federal computer systems.
809.  
810.   The testimony by the ABA, the Inspector General's office of HHS,
811. and GAO clearly indicated that Federal systems are in danger
812. because of improper use and negligence.  Other witnesses from both
813. the public and private sector testified during the hearings that
814. they also found computer security in general and Federal computer
815. security specifically remains vulnerable and open to fraud and
816. abuse, despite stated efforts by representatives of the Federal
817. agencies to remedy this problem.
818.  
819. 100th Congress
820.  
821.   After the hearings on H.R. 2889 during the 99th Congress, the
822. House Science and Technology Committee requested that GAO review
823. how successfully appropriate security controls are being
824. incorporated into mission-critical, sensitive systems now being
825. developed in Federal civilian agencies.  GAO proceeded to evaluate
826. nine Federal civilian agencies to determine the effectiveness of
827. computer security controls.
828.  
829.   GAO evaluators determined during the course of this study that
830. currently there is a lack of effective guidance for assessing
831. whether appropriate security controls are initiated during the
832. development of computer systems.  None of the nine agencies
833. reviewed treated information security as one of its functional
834. requirements.  According to GAO, six of the nine agencies studied
835. did not address, or inadequately addressed, the sensitivity of the
836. information to be handled in a computer system.  Eight of the nine
837. agencies performed no risk analysis of the computer systems in the
838. agency.
839.  
840.   Thomas B. Giammo, Associated Director, Information Management and
841. Technology Division of GAO stated during testimony:
842.  
843.        Mr. Chairman, our review suggests that the practices
844.      currently being used by civilian agencies in the development
845.      of mission-critical, sensitive systems will not assure that
846.      the appropriate security controls are being successfully
847.      incorporated into these systems.  Specifically, we reviewed
848.      the practices currently being used at nine civilian agencies
849.      in the development of nine specific systems.  We found that
850.      the practices in use at all nine agencies had permitted
851.      decisions critical to the specification, design, and
852.      construction of all nine systems to be made without adequate
853.      management consideration of important security issues.
854.  
855.   This evaluation of Federal civilian agencies' lack of computer
856. security planning and management supports the previous GAO study
857. on Federal civilian agency computer security.  It also corroborates
858. testimony from other witnesses during hearings on H.R. 145
859. regarding the need for incorporating security controls into
860. mission-sensitive critical computer systems.
861.  
862.  
863.            ROLE OF THE NATIONAL SECURITY AGENCY (NSA)
864.  
865.   With the introduction of NSDD-145, the prominent role of the NSA
866. in establishing Federal computer security in civilian agencies
867. became a subject of debate among computer security experts.  The
868. Subcommittee on Transportation, Aviation and Materials devoted an
869. entire day of hearings to this subject on June 27, 1985, during
870. which representatives from NSA and DOD testified.  The role of NSA
871. under NSDD-145 was a topic mentioned during the hearings on October
872. 29 and 30, 1985.  The role of NSA under NSDD-145 was further
873. examined during hearings on H.R. 145 on February 26, 1987.
874.  
875.  
876. 99th Congress
877.  
878.   Donald Latham, Chairman of the National Telecommunications and
879. Information Systems Security Committee (NTISSC), Walter Deeley,
880. Deputy Director for Communications Security, NSA, and Robert
881. Brotzman, Director, DOD National Computer Security Center,
882. testified on why NSDD-145 was necessary to coordinate Federal
883. computer security.  Citing a lack of overall coordination among
884. Federal agencies, the high risk of compromising, losing or
885. destroying Federal agency data, and the overall vulnerability of
886. Federal computer security systems, they emphasized that the NSA had
887. the experience and expertise to administer Federal computer
888. security programs.  As Mr. Latham stated:
889.  
890.        We have provided cryptographic devices for protection of
891.      classified data, as Mr. Deeley will explain further.  While
892.      we have done a reasonable job in some areas, there are still
893.      many areas that are left uncovered and there is more emphasis
894.      needed here.
895.  
896.        We have put in controls for tighter access to unclassified
897.      data through network access controls and things like this, so
898.      that the so-called hackers can't go in and just play havoc
899.      with our data.
900.  
901.        We are fostering very much a security awareness program. 
902.      We are instituting training programs at the national level as
903.      well as the local level, I'll say, within service schools and
904.      across the various agencies.  And we are looking at more
905.      rigorous ways of clearing people who have access to computer
906.      systems and telecommunications network security devices. 
907.  
908.   Other witnesses appearing before the subcommittee expressed
909. concerns that NSDD-145 would hamper efforts to adequately
910. administer Federal computer security.  One area of concern is that
911. NSDD-145 will create conflict with other Federal security
912. regulations, notably Transmittal Memorandum 1 to OMB Circular A-71
913. (which has since been embodied in OMB Circular A-130, published
914. December 12, 1985).  Although both NSDD-145 and the OMB circular
915. are broadly constructed, the emphasis in the OMB circular for
916. planning and implementing Federal computer security rests with
917. civil agencies, primarily with OMB and the Department of Commerce. 
918. In NSDD-145, the Director of NSA and the Secretary of Defense have
919. primary roles.  NSDD-145 does incorporate many of the lead Federal
920. agencies on its NTISSC panel; but not all agencies are included. 
921. When Warren Reed, Director, Information Management and Technology
922. Division, General Accounting Office, testified on the GAO survey
923. on Federal computer security, he stated that the issuance of NSDD-
924. 145 might create confusion among the Federal agencies over which
925. agency has jurisdiction over security functions.  Mr. Reed stated
926. that this could be a large or small problem, and may interfere with
927. other Federal statutes and regulations which have given this
928. jurisdiction to NBS.  Raymond Wyrsch, Senior Attorney, Office of
929. General Counsel at GAO, stated:
930.  
931.        * * * we do have laws on the books, the Brooks Act and the
932.      Paperwork Reduction Act, and there are very distinct
933.      responsibilities that have been placed on these agencies,
934.      namely OMB has been given the general oversight authority, if
935.      you will to set government policy.
936.  
937.        * * * And I don't know if anyone is really in the position
938.      to say with any degree of conclusiveness now, on what are the
939.      other agencies supposed to do if you have inconsistent or
940.      conflicting guidance that may be issued.  There have been
941.      various pronouncements that have been made by the Secretary
942.      of Commerce over the years dealing with ADP standards.
943.  
944.   Representative Jack Brooks, Chairman of the Subcommittee on
945. Legislation and National Security of the House Government
946. Operations Committee, and author of the Brooks Act, highlighted
947. these concerns during his testimony on NSDD-145:  "NSA has a
948. propensity and a tendency to classify everything."  GAO witnesses
949. also expressed concern that a lack of definition of "unclassified
950. information considered sensitive" in civil agencies may be
951. interpreted either broadly or narrowly, significantly affecting how
952. agencies store and disseminate information contained in computer
953. and telecommunications systems.  However, Lt. Gen. Odom, Director
954. of NSA, has stated in a letter to Chairman Fuqua on February 25,
955. 1986: ". . . the Systems Steering Group, the senior governmental
956. body created by NSDD-145 for information security matters, has
957. concluded that each government department or agency must make its
958. own determination as to what constitutes sensitive information to
959. that department or agency mission or operation."
960.  
961.   Other witnesses, including representatives from the American
962. Civil Liberties Union and the Institute of Electrical and
963. Electronics Engineers, expressed similar concerns over the
964. "unclassified but sensitive" categorization of computerized data
965. and how that will affect citizens' access to public information or
966. freedom to exchange scientific information.
967.  
968.   There has been some controversy over the review process for NSDD-
969. 145.  Expressing concern that issuing National Security Decision
970. Directive 145 effectively circumvents the review process that OMB
971. Circular A-71 went through, Subcommittee Chairman Glickman noted
972. during testimony given on June 27, that a document which ordinarily
973. might be called a regulation, if labeled a national security
974. directive, may avoid the Administrative Procedures Act, all public
975. notification requirements, and Congressional oversight.  Also, Mr.
976. Richard P. Kusserow, Inspector General of HHS, stated at the
977. October 29 hearing that "I haven't seen it, and I have not had any
978. input in the process".  Still the review process spanned nearly a
979. year and Dr. Robert E. Conley, who was chairman of the Subgroup on
980. Telecommunications Security created under NSDD-145 while he was
981. with the Treasury Department, said at the same hearing that "we
982. invited all of the government agencies to attend the meetings". 
983. Thus, although there is no question that Federal computer security
984. is a vital national issue, use of NSDD-145 as an instrument for
985. setting policy, without legislative or agency debate and review,
986. has raised concerns in the Congress.
987.  
988. 100th Congress
989.  
990.   During the 100th Congress, the debate regarding NSDD-145 and the
991. role of NSA in setting computer security policy for Federal
992. civilian agencies has continued.  H.R. 145 states that the
993. responsibility for developing standards and guidelines for the
994. security and privacy of Federal computer systems rests with NBS,
995. with technical advice and assistance coming from NSA "where
996. appropriate".  The hearings before the Subcommittee on
997. Transportation, Aviation, and Materials and the Subcommittee on
998. Science, Research and Technology on H.R. 145 at the beginning of
999. the 100th Congress continued to focus on the role of NSA oversight
1000. in computer security among the Federal agencies.
1001.  
1002.   Donald Latham, Chairman of the National Telecommunications and
1003. Information Systems Security Committee (NTISSC) and Lt. General
1004. William Odom, Director of the National Security Agency, testified
1005. at the February 26, 1987 hearings on the role of the NSA, the
1006. function of NSDD-145, and the form of technical assistance which
1007. the defense and military security agencies provide for the Federal
1008. Government.  Also on February 26, 1987, Raymond Kammer, Deputy
1009. Director of the National Bureau of Standards, testified before the
1010. two Subcommittees on the role of NBS and his position on NTISS
1011. Directive No. 2 and its effect on Federal information security.
1012.  
1013.   Mr. Latham's statement before the House Subcommittees outlined
1014. the role of NSA under NSDD-145.  Mr. Latham stated that the
1015. civilian agencies are represented on two committees created under
1016. NSDD-145.  These include the Systems Security Steering Group which
1017. consists entirely of civilian members of the President's Cabinet
1018. (see table 1), which sets overall information security policy for
1019. Federal agencies, and the National Telecommunications Information
1020. Systems Security Committee (NTISSC) (see table 2 for membership),
1021. under which NSA is the National Manager and assists NTISSC in
1022. implementing actual Federal computer security.  Mr. Latham stated
1023. during questioning from Subcommittee Members:
1024.  
1025.             TABLE 1.--SYSTEMS SECURITY STEERING GROUP
1026.  
1027.        Chairman:  The Honorable Frank C. Carlucci, Assistant to the
1028.      President for National Security Affairs.
1029.        Executive Secretary:  Lieutenant General William E. Odom,
1030.      USA, National Manager for Telecommunications and Automated
1031.      Information Systems Security.
1032.        Member:  The Honorable George P. Shultz, Secretary of State;
1033.      The Honorable James A. Baker III, Secretary of the Treasury;
1034.      The Honorable Casper W. Weinberger, Secretary of Defense; The
1035.      Honorable Edwin Meese III, Attorney General; The Honorable
1036.      James C. Miller III, Director, Office of Management and
1037.      Budget; and Robert Gates, Acting Director of Central
1038.      Intelligence.
1039.  
1040.             TABLE 2.--NATIONAL TELECOMMUNICATIONS AND
1041.          INFORMATION SYSTEMS SECURITY COMMITTEE (NTISSC)
1042.  
1043.        Chairman:  The Honorable Donald C. Latham, Assistant
1044.      Secretary of Defense C3I.  
1045.        Executive Secretary:  John C. Wobensmith.
1046.        Members:  NSC, Department of State, Department of the
1047.      Treasury, Department of Defense, Office of Management and
1048.      Budget, Department of Justice, Department of Commerce,
1049.      Department of Transportation, Department of Energy, Director
1050.      of Central Intelligence, General Services Administration,
1051.      Office of the Joint Chiefs of Staff, Department of the ARmy,
1052.      Department of the Navy, Department of the Air Force, United
1053.      States Marine Corps, National Security Agency, Defense
1054.      Intelligence Agency, Federal Bureau of Investigation, Federal
1055.      Emergency Management Agency, and National Communications
1056.      System.
1057.        Observers:  Federal Communications Commission, Intelligence
1058.      Community Staff, Defense Communications Agency, National
1059.      Aeronautics and Space Administration, Nuclear Regulatory
1060.      Commission, Chairman, SAISS, and Chairman, STS.
1061.        The Steering Group is chaired by the Assistant to the
1062.      President for National Security Affairs and then is composed
1063.      of all civilians from various cabinet level departments that
1064.      are on the Steering Committee--Treasury, Defense, State, and
1065.      so on--so that there is, in fact, at the very top of the NSDD-
1066.      145 structure a group of cabinet level civilians who actually
1067.      operate the mechanisms that are laid out in 145.
1068.  
1069.   General Odom, in his testimony before the Subcommittee, described
1070. the role of the Department of Defense's National Computer Center
1071. and the services this Center provides both military and civilian
1072. agencies in the Federal Government.  Under NSDD-145, the Assistant
1073. Secretary of Defense for Command, Control, Communications and
1074. Intelligence (C31) chairs NTISSC.
1075.  
1076.   Both Mr. Latham and General Odom, while testifying on the
1077. respective roles of NSA and DOD, stated that their main concern
1078. with an enhanced role for NBS, as outlined in H.R. 145, would be
1079. to duplicate efforts in computer security in the Federal
1080. Government.  Both Mr. Latham and General Odom praised the role of
1081. NBS in providing standards for Federal computer systems, including
1082. security.  However, both felt that many of the responsibilities
1083. outlined for NBS under H.R. 145 are identical to the
1084. responsibilities already provided for under NSDD-145, and that NSA
1085. and DOD currently are handling these responsibilities capably.  In
1086. response to a question on how the respective roles of NSA and NBS
1087. might be affected under H.R. 145, General Odom stated:
1088.  
1089.        Well, it is my general impression that it would give NBS
1090.      responsibility for a lot of things we are now doing and would
1091.      essentially build a duplication, presumably for two different
1092.      sectors.  In other words, you're building computers that are
1093.      secure for civilian agencies, non-military or intelligence
1094.      activities, and you would be securing computers or developing
1095.      a program for those in the Defense Department.
1096.  
1097.   However, despite the concern for duplication and potential
1098. overlap of computer security technology and services, there are
1099. those who are still concerned that civilian and defense and
1100. military computer security policies in the Federal Government
1101. should be separated.  Specifically, there is concern that, for the
1102. sake of a unified Federal computer security policy, the military
1103. and defense would gain preeminence over Federal civilian agencies. 
1104. Representative Glickman stated in his opening remarks before the
1105. first panel of witnesses. 
1106.  
1107.      * * * the basic concept of this bill, civilian preeminence in
1108.      determining standards for classified information is the heart
1109.      of what we are trying to do, not military preeminence * * *
1110.  
1111.   Raymond Kammer, Deputy Director of the National Bureau of
1112. Standards, commented on the role of NBS in setting Federal computer
1113. security, particularly the role of the Institute of Computer
1114. Sciences and Technology at NBS in developing a civilian
1115. telecommunications and computer security program.  Mr. Kammer
1116. stated that he believed that H.R. 145, rather than causing
1117. duplication between NBS and NSA, complemented the two agencies. 
1118. According to Mr. Kammer:
1119.  
1120.        The bill removes the potential for conflict between the
1121.      Department of Commerce and the Director of the National
1122.      Security Agency (NSA) in his capacity as National Manager
1123.      under National Security Directive 145 (NSDD 145).  Conflict
1124.      has not yet arisen because the level of cooperation between
1125.      NBS and the National Manager to develop security standards has
1126.      been satisfactory.  We have worked well together.
1127.  
1128.   Mr. Kammer emphasized that there are some technical skills which
1129. NSA has which NBS does not have, nor is likely to acquire.  Mr.
1130. Kammer also responded to questioning on the NBS budget by stating
1131. that a larger program involving reimbursable funding, in which
1132. Federal agencies pay NBS directly for services contracted out,
1133. would be an appropriate method for increasing the Federal civilian
1134. computer security budget at NBS.
1135.  
1136.   David Pronko, President of PE Systems, a supplier of encryption
1137. devices for both military and private sector communications, added
1138. a private sector viewpoint.  He was asked to characterize the
1139. relative strengths and weaknesses of NSA and NBS with respect to
1140. providing security for military and civilian computers.  He said:
1141.  
1142.        From the communications security point of view, I feel that
1143.      NSA has--my own personal view--a much more pragmatic approach
1144.      and a more methodical approach on handling the communications
1145.      security.  AT NBS, you have really more of a laissez faire
1146.      approach to it, and here again, it is probably brought about
1147.      by private industry working within that system.
1148.  
1149.  
1150.                 INFORMATION PRIVACY AND SECURITY
1151.  
1152.   During the Subcommittee hearings on the 99th Congress, several
1153. questions were raised about a possible "sensitive but unclassified"
1154. categorization of Federal information.  When NTISS Directive No.
1155. 2 was issued in late 1986, providing a mechanism for a "sensitive
1156. but unclassified" category, interest and concern both in the
1157. Federal Government and in the private sector grew.
1158.  
1159.   This concern was voiced by several witnesses during the hearings
1160. on February 26, 1987.  The definitions of "sensitive but
1161. unclassified" used in NTISS Directive No. 2 and in H.R. 145
1162. initially appear similar.  H.R. 145 defines "sensitive" information
1163. as "any information, the loss, misuse, or unauthorized access of
1164. which could adversely affect the national interest or the conduct
1165. of Federal programs . . . "  NTISS Directive No. 2 cited that
1166. "sensitive" information is that information in which the
1167. "disclosure, loss, misuse, alteration, or destruction could
1168. adversely affect national security or other Federal Government
1169. interests."  But NTISS Directive No. 2 goes on to add that
1170. government interests may be those related, but not limited to:
1171.  
1172.      . . . the wide range of government or government-derived
1173.      economic, human, financial, industrial, agricultural,
1174.      technological, and law enforcement information, as well as the
1175.      privacy or confidentiality of personal or commercial
1176.      proprietary information provided to the U.S. Government by its
1177.      citizens.
1178.  
1179.   This additional range of activities, along with the intent of
1180. classifying this information as "sensitive", concerned many
1181. witnesses during the hearings on H. 145.  Mr. Kammer of NBS stated:
1182.  
1183.        The definition of sensitive data that's contained in the
1184.      Poindexter Directive is a totally--in my point of view, at
1185.      least--is a totally inclusionary definition.  There is no data
1186.      that anyone would spend money on that is not covered by that
1187.      definition.  Therefore, civil data is covered; therefore, the
1188.      Brooks Act and the Privacy Act are either in conflict with it,
1189.      or one is superior to the other.
1190.  
1191.   One group of witnesses which responded to the definition of
1192. "sensitive" information during the hearings on February 26, 1987
1193. included Jack Simpson, President of Mead Data Central, Inc.;
1194. Kenneth Allen, Senior Vice President, Government Relations,
1195. Information Industry Association; Ms. Ceryl Helsing, Information
1196. Security Manager, BankAmerica Corporation and Chairman, Data
1197. Security Committee, American Bankers Association; and Mr. Geoffrey
1198. Turner, Communications Security manager, BankAmerica Corporation. 
1199. They raised concerns that NSA would apply the "sensitive but
1200. unclassified" categorization to commercial databanks (such as
1201. NEXIS), which provide a wide range of data on Federal Government
1202. policies and laws; as well as raising concerns about the role of
1203. NSA in recertifying the Data Encryption Standard (DES), a method
1204. of encrypting data in information systems, developed by NBS.  NSA
1205. had stated it would not recertify DES after 1988.
1206.  
1207.   Many commercial databases are online services in which a user,
1208. gaining access to the database through a computer, can retrieve
1209. information on a wide variety of subjects.  Corporations, news
1210. media, Federal, State and Local governments, and the legal, medical
1211. and accounting professions use these services for timely and
1212. current information.  Providers of these services feel that
1213. restrictions on the type of information which may be made available
1214. to the general public will hurt that industry.  Mr. Simpson stated
1215. in testimony:
1216.  
1217.        Such new restrictive and unwarranted policies and the
1218.      unilateral control of the Defense Community threaten to bring
1219.      this industry to a halt and would negate the significant
1220.      productivity gains being made in many sectors of our economy
1221.      including legal, financial, government, medical, and the
1222.      scientific and technological community.
1223.  
1224.   Mr. Simpson and others also stated that they were not opposed to
1225. the restriction of classified data by the national security and
1226. defense communities in the Federal Government.  But Mr. Simpson
1227. stated that no "magical transformation" occurs when unclassified
1228. data is entered into a computer; if it is already unclassified in
1229. print form, it does not become more important or crucial because
1230. it is entered into a computer database.  Mr. Simpson opposed the
1231. "sensitive" categorization in NTISS Directive No. 2, and supported
1232. H.R. 145 during testimony.
1233.  
1234.   The failure to recertify DES and NSA also was criticized by
1235. several witnesses during the February 26, 1986 hearings.  Failure
1236. to recertify is seen by many in the private sector as an attempt
1237. by NSA to infringe on a security process for transmitting data. 
1238. Mr. Turner, commenting on the ability of BankAmerica to safely and
1239. expeditiously transfer funds through DES, claimed that a failure
1240. to recertify by NSA has led to a "slowdown" in the security of
1241. electronic funds transfer and further encryption technology
1242. development and use in the financial community.  Ms. Helsing also
1243. echoed these concerns, and strongly supported the concept of a
1244. Computer Security and Privacy Advisory Board, with some minor
1245. changes, as recommended by H.R. 145, as a formal measure for
1246. private sector communication with the Federal Government on such
1247. issues as data encryption.
1248.  
1249.   Other witnesses were concerned that an expanded "sensitive but
1250. unclassified" definition would impinge upon personal liberties, as
1251. well as the free flow of information vital to scientific and
1252. industrial development.  Mr. Jerry Berman of the American Civil
1253. Liberties Union and Mr. John Richardson of the Institute of
1254. Electrical and Electronics Engineers, testified during the 100th
1255. Congress on this issue.
1256.  
1257.   Mr. Berman, in his opposition to NSDD-145 and NTISS Directive No.
1258. 2, testified that currently there are statutes which protect
1259. classified information from disclosure:  "If it's classified,
1260. protect it.  If it's proprietary, trade secrets, there are statutes
1261. on the books."  Mr. Berman stated that a broad and vague definition
1262. would lead to a restriction of information, less free access to
1263. information, and less right to know, and he supported H.R. 145 for
1264. passage into law.  Mr. Berman also stated that since NSA has no
1265. public charter, that statutory power to NSA for categorizing
1266. sensitive information would lead to a situation in which citizens
1267. would not have redress to overturn decisions restricting sensitive
1268. information.
1269.  
1270.   Mr. Richardson, also testifying on February 26, 1987, opposed
1271. NTISS Directive No. 2, and supported H.R. 145, because of concerns
1272. which the IEEE has that a new categorization of information as
1273. sensitive might restrict the free flow of information vital to U.S.
1274. economic survival.  Mr. Richardson stated:
1275.  
1276.        The IEEE thinks, in this regard, that the unabridged
1277.      dissemination of unclassified scientific and technical
1278.      information is crucial for the continued advancement of U.S.
1279.      industry, and we oppose restraints on its exchange.
1280.  
1281.   Mr. Richardson stated that such exchanges would be severely
1282. restricted under NTISS Directive No. 2.  He stated that both
1283. government and non-government information might qualify for this
1284. classification, and supported H.R. 145 as an alternative to
1285. separate the protection of computer systems which deal with
1286. national security information, from those computer systems dealing
1287. with non-national security information.  Mr. Richardson also
1288. expressed some dissatisfaction with the definition of "sensitive"
1289. as outlined in H.R. 145, believing that it was, like the NTISS
1290. definition, too broad and general.
1291.  
1292.   These witnesses, representing a variety of perspectives and
1293. concerns, felt that NTISS Directive No. 2, with its expanded
1294. definition of "sensitive" data, would impair the use of data bases,
1295. the ability to encrypt data, the protection of civil liberties, and
1296. the free flow of scientific and technical information.  All
1297. supported the general intent of H.R. 145.  The subsequent
1298. rescinding of NTISS Directive No. 2 in March, 1987, resulted in
1299. part from this opposition over the nature and intent of this
1300. directive.
1301.  
1302.  
1303.            TRAINING FOR FEDERAL COMPUTER SYSTEMS USERS
1304.  
1305.   Testimony from the hearings during the 99th Congress emphasized
1306. the need for greater training of personnel responsible for computer
1307. security training of personnel in the Federal Government.  GAO,
1308. ABA, the Inspector General of HHS, and others commented on the
1309. current state of Federal computer training during the course of the
1310. Subcommittee on Transportation, Aviation and Materials hearings.
1311.  
1312.   H.R. 2889, as introduced by Representative Glickman during the
1313. 99th Congress, would have established a focus within the Federal
1314. Government at the National Bureau of Standards for computer
1315. security research, and development of computer security guidelines. 
1316. The intent of this provision was to ensure that agencies would
1317. better train personnel in the vulnerabilities of computer and
1318. communication systems.  On the last day of testimony before the two
1319. subcommittees on October 30, 1985, witnesses dealt directly with
1320. H.R. 2889 and the need for Federal computer security training.
1321.  
1322.   There is little argument that such training is needed or that in
1323. some areas, that much is needed to supplement existing training
1324. procedures.  Most of the witnesses testifying on the current state
1325. of Federal computer security commented that computer security
1326. training the Federal Government is either inadequate or nonexistent
1327. and that such training is necessary.  William Franklin, Associate
1328. Director, Information Management and Technology Division, GAO,
1329. stated on October 30:
1330.  
1331.        There can be little question that extensive and continuing
1332.      security research and training are essential if we are to gain
1333.      reasonable assurance that our computerized information is
1334.      properly safeguarded in storage, processing and transmission.
1335.  
1336.   However, there was concern that the creation of a new structure
1337. within the Federal Government might add unnecessarily to its
1338. overall cost and bureaucracy.  Several witnesses stated that
1339. existing Federal computer training facilities, such as those at
1340. NSA, should be used to train Federal employees.  Robert Brotzman,
1341. Assistant Director for Computer Security at the National Computer
1342. Security Center at NSA, described the security program at the
1343. Computer Security Center.  This program assists civilian and
1344. military agencies, as well as outside contractors with sensitive
1345. data, to develop secure information and communication systems.  As
1346. Mr. Brotzman stated:
1347.  
1348.        The knowledge base that we have now will support an
1349.      effective training program, and it will support the
1350.      substantial improvement in the security of computer systems
1351.      operated by and for the United States Government.
1352.  
1353.   James Burrows, Director, Institute for Computer Sciences and
1354. Technology (ICST), of the NBS, spoke on the computer training and
1355. security programs at the ICST.  As part of its mandate to develop
1356. computer security standards and guidelines, the ICST assists
1357. Federal agencies in developing computer security programs.  This
1358. includes both software and hardware development, system interfaces,
1359. personal identification and authentication of users.  The
1360. Department of Commerce opposed the structure of H.R. 2889 because
1361. of its interpretation that the Brooks Act and other legislation
1362. makes a Federal computer training and awareness mandate for NBS
1363. unnecessary.  However, Mr. Burrows did state that NSDD-145 could
1364. be "slightly confusing in who has control" of overall Federal
1365. security management among the agencies.  Mr. Burrows also stated
1366. that, to date, NSDD-145 has had little adverse effect on NBS'
1367. activities in computer security and training.
1368.  
1369.   Several of the witnesses did speak in favor of Federal computer
1370. training legislation, although they also suggested changes in the
1371. language and intent of H.R. 2889.  Donn Parker, a computer crime
1372. and security expert at SRI International, also spoke on October 30
1373. on computer security in general, while testifying on H.R. 2889. 
1374. Mr. Parker made several observations:  that it is the information,
1375. not the technology, which needs security; that information must be
1376. considered secure before it goes into the computer; that technology
1377. controls to date are inadequate--it is the management of "human
1378. controls" which need improvement; that most information systems
1379. employees consider security a detriment to productivity, therefore,
1380. that measures must be taken to incorporate computer security into
1381. personnel performance evaluations; that each individual must be
1382. held accountable for taking security precautions, to ensure that
1383. these measures are taken; that advisory and counseling provisions
1384. within an organization can short-circuit the stresses and problems
1385. which may drive someone to commit a computer crime; that all
1386. information systems workers, not just computer programmers, should
1387. be trained in securing systems; and that training should be
1388. broadened to include a wider range of potential vulnerabilities,
1389. including the full civil, military, and private sector prospective
1390. of computer training and awareness.
1391.  
1392.   William Franklin of GAO also addressed H.R. 2889:
1393.  
1394.        We endorse the bill's purpose in requiring the National
1395.      Bureau of Standards to establish and conduct a computer
1396.      security research program in the Federal Government and the
1397.      requirement that each Federal agency provide mandatory
1398.      periodic training in computer security.
1399.  
1400.   Testimony during the 100th Congress also touched upon the current
1401. state of computer security and the need for training of Federal
1402. employees.  This issue was discussed specifically during the May
1403. 19, 1987 testimony by GAO of its investigation of the computer
1404. security policies of nine Federal agencies.  Other witnesses,
1405. during the hearings on February 26, 1987, on H.R. 145, stated that
1406. the overall responsibility for civilian Federal computer security
1407. policies should rest in the civilian agencies.  Under H.R. 145, the
1408. focus for training civilian Federal agency personnel for computer
1409. security again would be placed with the National Bureau of
1410. Standards.  The need for a strong computer security training
1411. program for Federal employees is still seen as a necessary and
1412. vital aspect of ensuring Federal computer security.
1413.  
1414.   David Pronko, President of PE Systems, responded to a question
1415. about whether NSA or NBS could provide the training envisioned in
1416. H.R. 145.
1417.  
1418.        At this stage, from what I've seen and in my earlier
1419.      comments, I'm not sure either has a leg on the other as far
1420.      as the computer security training right now.  It seems that
1421.      the NSA within the last few years has gained a foot hold in
1422.      that arena, due to their programs.
1423.  
1424.  
1425. ****************************************************************
1426.  
1427.  
1428.                    III.  NEED FOR LEGISLATION
1429.  
1430.   There are several key principles the Committee seeks to emphasize
1431. by this legislation:
1432.  
1433.   1.  Computer crime in the Federal Government appears to be much
1434. more pervasive and serious an issue than previously assumed. 
1435. Descriptions of computer criminals as "insiders" by ABA, GAO, the
1436. Inspector General of HHS, and others may imply that many Federal
1437. computer users represent potential risks of fraud and abuse.
1438.  
1439.   2.  Security measures in a number of agencies are very vulnerable
1440. to abuse and fraud.  Only five of 25 Federal computer systems
1441. surveyed by GAO contained minimum safeguards, and only two of 25
1442. systems offered formal training sessions for computer users.
1443.  
1444.   3.  There is a need for coordinated guidance for security of
1445. sensitive information in computers.  There is a perception that
1446. NSDD-145 could further complicate a situation which already is
1447. unclear; that is Federal agencies are currently required to follow
1448. existing laws and regulations, such as the Brooks Act, the
1449. Paperwork Reduction Act, and the OMB circular, to set guidelines
1450. and standards for computer security.
1451.  
1452.   4.  NSDD-145 can be interpreted to give the national security
1453. community too great a role in setting computer security standards
1454. for civil agencies.  Although the Administration has indicated its
1455. intention to address this issue, the Committee felt it is important
1456. to pursue a legislative remedy to establish a civilian authority
1457. to develop standards relating to sensitive, but unclassified data.
1458.  
1459.   5.  Training of Federal personnel in ADP security is a critical
1460. issue to ensure security in Federal agencies.  Yet many Federal
1461. agencies do not take advantage of available training to remedy this
1462. problem.  A stronger, more active computer training and awareness
1463. program is needed to address this issue in the civil agencies of
1464. the Federal Government.
1465.  
1466.   6.  Greater emphasis should be given to cooperation between the
1467. military and civil agencies as well as the private sector in
1468. setting computer security and training goals.  This can be
1469. accomplished by fostering greater communication and cooperation
1470. between the NBS and NSA in setting overall Federal computer policy.
1471.  
1472.  
1473. **************************************************************
1474.  
1475.  
1476.                   IV.  EXPLANATION OF THE BILL
1477.  
1478.                              PURPOSE
1479.  
1480.   The purpose of H.R. 145, the Computer Security Act of 1987, as
1481. amended, is to improve the security and privacy of sensitive
1482. information in Federal computer systems.  It achieves this purpose
1483. through improved training, aimed at raising the awareness of
1484. Federal workers about computer system security, by establishing a
1485. focal point within the government for developing computer system
1486. security standards and guidelines to protect sensitive information,
1487. and by requiring agencies to establish computer system security
1488. plans.
1489.  
1490.   To explain what these mean, it is first necessary to examine
1491. several underlying concepts that define and scope the boundaries
1492. of the bill's coverage.  First, the primary objective of the bill
1493. is controlling unauthorized use of the information in Federal
1494. computer systems, rather than merely protecting the computer
1495. systems themselves.  Although computer hardware and software have
1496. real value and certainly must be safeguarded, it is the data
1497. stored, manipulated, displayed and transmitted by computer systems
1498. that represent the greatest vulnerability.  Nevertheless, computer
1499. systems are the instrumentality through which security measures are
1500. usually applied.  Therefore, the bill makes distinctions both about
1501. which computer systems are included as well as about what kinds of
1502. information are subject to the bill's provisions.
1503.  
1504.   Second, the term "computer system" as used throughout the bill
1505. is defined to be essentially identical to the term "automatic data
1506. processing equipment" in Section 111 of the Federal Property and
1507. Administrative Services Act of 1949 (Brooks Act).  A computer
1508. system is described structurally to include traditional hardware
1509. (computers and ancillary equipment), software, firmware, procedures
1510. for use of the system by people, services intended to provide
1511. support to the operation of the system, and related resources as
1512. defined in regulations issued by the Administrator of General
1513. Services.  A computer system is also described functionally to
1514. include any equipment or interconnected system or subsystems used
1515. in the automatic acquisition, storage, manipulation, management,
1516. movement, control, display, switching, interchange, transmission,
1517. or reception of data or information.
1518.  
1519.   The term "federal computer system" is used to delineate the reach
1520. of the bill to include federal agencies, contractors of federal
1521. agencies, and other organizations that process information using
1522. a computer system on behalf of the federal government to accomplish
1523. a federal government function.  The latter category is limited to
1524. cases where there is a direct federal interest.  Examples would
1525. include state agencies that disburse federal funds, monitor
1526. compliance with federal regulations on behalf of the federal
1527. government, collect statistical information for the purpose of
1528. federal funding decisions, or act in some other way as a direct
1529. extension of the federal government.  The measures used for
1530. protecting sensitive information in such cases, just as elsewhere,
1531. must be cost effectively applied and commensurate with the risk and
1532. magnitude of harm.  The term "operator of a federal computer
1533. system" denotes an agency or institution that owns or otherwise
1534. possesses a federal computer system, rather than an individual who
1535. physically operates the machine.  The term "sensitive information"
1536. is used to limit the kinds of information which are covered by the
1537. bill.  It is intended to guide the National Bureau of Standards as
1538. to the kinds of information it should address in the standards
1539. development process.  It is not intended to authorize establishment
1540. of a formal new category of information.  (See discussion on Rules
1541. of Construction.)  Sensitive information is defined as unclassified
1542. information which, if lost, misused, accessed or modified in an
1543. unauthorized way, could adversely affect the national interest the
1544. conduct of federal programs or the privacy of individuals.* 
1545. Examples include information which if modified, destroyed or
1546. disclosed in an unauthorized manner could cause:
1547.  
1548.      Loss of Life;
1549.  
1550.      Loss of property or funds by unlawful means;
1551.  
1552.      Violation of personal privacy or civil rights;
1553.  
1554.      Gaining of an unfair commercial advantage;
1555.  
1556.      Loss of advanced technology, useful to a competitor; or
1557.  
1558.      Disclosure of proprietary information entrusted to the
1559.      government.
1560.  
1561.   The definition of sensitive information allows the possibility
1562. that some unclassified information may not be sensitive.  Each
1563. operator of a federal computer system must make a determination (as
1564. described later) as to which unclassified information in its
1565. possession is sensitive.  Sensitive information does not include
1566. nor does the bill apply to classified information for which
1567. extensive standards-setting authority already exists.  These
1568. mechanisms are unaffected by H.R. 145.
1569.  
1570.  
1571.                   ADDITIONS TO NBS ORGANIC ACT
1572.  
1573.   H.R. 145 amends the Act of March 3, 1901, creating the National
1574. Bureau of Standards, to add the mission of developing standards,
1575. guidelines and associated methods and techniques for computer
1576. systems to the list of authorized activities of the agency.  The
1577. reason for this language is to provide specific authorization
1578. for activities that are widely acknowledged as necessary in the
1579. computer age, but which are conducted currently under general
1580. authorities contained in the Act.  It is intended to authorize NBS
1581. to study the means of automatic computation (computer science)
1582. independent of the technology involved.  Therefore, this
1583. clarification of NBS' Organic Act sets out the NBS mission in
1584. computer science in general and does not focus on computer
1585. security.
1586.  
1587. _______________
1588.  
1589.   * But which has not been specifically authorized under criteria
1590. established by Executive Order or an Act of Congress to be kept
1591. secret in the interest of national defense or foreign policy.  The bill also adds three new sections to the Act of March 3,
1592. 1901.  Section 20 provides a hierarchy enumeration of NBS'
1593. responsibilities.  At the top of the hierarchy is the mission of 
1594. developing standards, and associated methods and techniques for
1595. computer systems generally.  An example would be the "Open Systems
1596. Interconnection" (OSI) standards for computer networking, which the
1597. Bureau develops technically (with extensive private sector input)
1598. and presents to the American National Standards Institute, and
1599. through it to the International Standards Organization, for
1600. adoption.  This statement of responsibility is intended to conform
1601. Section 20 with the above addition to the list of authorized
1602. activities.
1603.  
1604.   At the next hierarchical level NBS is responsible for developing
1605. uniform standards and guidelines, in all areas other than security,
1606. for federal computer systems.  As before, this delineation of
1607. responsibility is intended to conform Section 20 and to provide
1608. specific authority for activities that are currently carried out
1609. under general provisions of the Organic Act.  The product of this
1610. effort is the Federal Information Processing Standards (FIPS) which
1611. are used government-wide.
1612.  
1613.   In current practice, some computer standards developed by NBS
1614. become compulsory under authority of OMB pursuant to the Brooks Act
1615. and the Paperwork Reduction Act.  The process outlined in H.R. 145-
1616. -which includes standards development by NBS and subsequent
1617. promulgation by the Secretary of Commerce under redrafted authority
1618. in the Brooks Act (to be described later)--is essentially the same
1619. as current practice, but is spelled out more explicitly.
1620.  
1621.   Systems involving intelligence activities, cryptologic activities
1622. related to national security, direct command and control of
1623. military forces, equipment that is integral to a weapons system or
1624. direct fulfillment of military or intelligence missions (except
1625. routine administrative and business functions) are exempted from
1626. this provision.  Such systems are highly specialized in their
1627. functions and have been traditionally exempted from government-wide
1628. standards and regulations applying to general purpose computer
1629. systems.  Therefore, the boundary of NBS' responsibility for non-
1630. security standards is drawn so as to exclude such defense-related,
1631. special-purpose systems.
1632.  
1633.   The third hierarchial level spells out explicitly, and thereby
1634. gives special emphasis to, responsibility for standards and
1635. guidelines in the computer security arena.  It assigns to NBS
1636. responsibility within the federal government for developing
1637. technical, management, physical and administrative standards and
1638. guidelines designed to achieve, in a cost-effective way, the
1639. security and privacy of sensitive information in federal computer
1640. systems.  The purpose of the standards and guidelines is to control
1641. loss and unauthorized modification or disclosure of sensitive
1642. information and to prevent computer-related fraud and abuse.
1643.  
1644.   Certain computer systems are exempted from this provision,
1645. regardless of the kind of information they contain.  There are two
1646. categories of such exempted systems.  The first is the same list
1647. of defense and intelligence-related systems that were exempted in
1648. the previous subsection, dealing with non-security standards.  The
1649. second category includes systems that are operated at all times
1650. under rules designed to protect classified information.  The chief
1651. effect of this exemption is to exclude classified systems from
1652. coverage by this subsection of the bill.  Also exempted are mixed
1653. systems--those systems containing classified information at certain
1654. times and unclassified information at other times--provided such
1655. systems are operated at all times under the rules for protecting
1656. classified information.  The purpose of this exemption is to avoid
1657. imposition of a second, less stringent set of security standards-
1658. -the NBS standards--for the unclassified operations of a mixed
1659. system.  Further relief for mixed systems is provided in the
1660. amendment to the Brooks Act, allowing system operators to employ
1661. standards, other than the NBS standards, if such standards are more
1662. stringent.  For example, an operator of a mixed system might use
1663. a subset of the classified rules for his unclassified operations,
1664. if the subset were more stringent than the NBS standards.
1665.  
1666.   One reason for the assignment of responsibility to NBS for
1667. developing federal computer system security standards and
1668. guidelines for sensitive information derives from the committee's
1669. concern about the implementation of National Security Decision
1670. Directive-145.  As indicated previously, this directive established
1671. an interagency committee--the National Telecommunications and
1672. Information Systems Security Committee (NTISSC).  The function of
1673. the NTISSC is to devise operating policies needed to assure the
1674. security of telecommunications and automated information systems
1675. that process and communicate both classified national security
1676. information and other sensitive government national security
1677. information.  Policies developed by NTISSC would apply government-
1678. wide.
1679.  
1680.   While supporting the need for a focal point to deal with the
1681. government computer security problem, the Committee is concerned
1682. about the perception that the NTISSC favors military and
1683. intelligence agencies.  It is also concerned about how broadly
1684. NTISSC might interpret its authority over "other sensitive national
1685. security information".  For this reason, H.R. 145 creates a
1686. civilian counterpart, within NBS, for setting policy with regard
1687. to unclassified information.  In so doing, the bill has the
1688. additional effect of specifically limiting the purview of the
1689. NTISSC to systems containing classified information and cancelling
1690. the authority contained in NSDD-145 for systems containing
1691. unclassified information.  NBS is required to work closely with
1692. other agencies and institutions, such as NSA, both to avoid
1693. duplication and to assure that its standards and guidelines are
1694. consistent and compatible with standards and guidelines developed
1695. for classified systems; but the final authority for developing the
1696. standards and guidelines for sensitive information rests with the
1697. NBS.
1698.  
1699.   Note that the previous subsection dealt with developing non-
1700. security standards and guidelines, most of which affect hardware
1701. and software performance and interfaces.  Accordingly, the bill's
1702. jurisdiction in that area is defined by the universe of federal
1703. computer systems, as limited by certain exceptions.  In this
1704. subsection, the bill deals with security standards and guidelines,
1705. which apply more properly to protecting information.  Therefore,
1706. the bill addresses unclassified (but sensitive) information in
1707. federal computer systems, but with certain systems exempted.
1708.  
1709.   The method for promulgating federal computer system security
1710. standards and guidelines is the same as for non-security standards
1711. and guidelines.  NBS submits them to the Secretary of Commerce
1712. along with recommendations regarding the extent to which they
1713. should be made compulsory and binding.  The Secretary of Commerce,
1714. under redrafted authority in the Brooks Act (to be explained
1715. later), then promulgates standards and guidelines, making those
1716. standards compulsory and binding that he determines are necessary
1717. to improve the efficiency of operation or security and privacy of
1718. federal computer systems.
1719.  
1720.   An additional responsibility of NBS is to devise guidelines for
1721. use by agencies in training employees in security awareness and
1722. good security practice.  Section 5 of H.R. 145 requires each
1723. Federal agency to provide for the training of certain employees of
1724. each operator of a Federal computer system that is within or under
1725. the supervision of that agency.
1726.  
1727.   Also, as part of its responsibility for developing computer
1728. standards and guidelines, NBS is required to devise validation
1729. procedures to evaluate the effectiveness of the standards and
1730. guidelines.  This is not an enforcement or compliance determining
1731. function.  Rather, it provides the ability for operators to
1732. determine if the standards and guidelines are achieving their
1733. desired purpose.  NBS is to maintain liaison (as it now does) with
1734. users of the standards, to assure their workability.
1735.  
1736.   In fulfilling these responsibilities, NBS is authorized to give
1737. technical assistance to the General Services Administration, the
1738. Office of Personnel Management, operators of federal computer
1739. systems and the private sector in implementing the standards and
1740. guidelines promulgated pursuant to the bill.  Also, NBS is
1741. authorized to perform research and conduct studies to determine the
1742. nature and extent of the vulnerabilities of computer systems and
1743. to devise techniques to protect in a cost effective way, the
1744. information contained in them, and to coordinate with other
1745. agencies (including NSA) which perform such research, to gain the
1746. benefits of their efforts.
1747.   Finally, in carrying out its responsibilities to develop
1748. standards and guidelines for protecting sensitive information in
1749. federal computer systems and to perform research, NBS is required
1750. to draw upon technical security guidelines developed by the NSA to
1751. the extent that NBS determines that NSA's guidelines are consistent
1752. with the requirements of civil agencies.  The purpose of this
1753. language is to prevent unnecessary duplication and promote the
1754. highest degree of cooperation between these two agencies.  NBS will
1755. treat NSA technical security guidelines as advisory, however, and
1756. in cases where civil agency needs will best be served by standards
1757. that are not consistent with NSA guidelines, NBS may develop
1758. standards that best satisfy the agencies' needs.
1759.  
1760.   It is important to note the computer security standards and
1761. guidelines developed pursuant to H.R. 145 are intended to protect
1762. sensitive information in Federal computer systems.  Nevertheless,
1763. these standards and guidelines will strongly influence security
1764. measures implemented in the private sector.  For this reason, NBS
1765. should consider the effect of its standards on the ability of U.S.
1766. computer system manufacturers to remain competitive in the
1767. international marketplace.
1768.  
1769.   A new Section 21 of the NBS Organic Act establishes a twelve-
1770. member Computer System Security and Privacy Advisory Board within
1771. the Department of Commerce.  The chief purpose of the Board is to
1772. assure that NBS receives qualified input from those likely to be
1773. affected by its standards and guidelines, both in government and
1774. the private sector.  Specifically, the duties of the Board are to
1775. identify emerging managerial, technical, administrative and
1776. physical safeguard issues relative to computer systems security and
1777. privacy and to advise the NBS and the Secretary of Commerce on
1778. security and privacy issues pertaining to federal computer systems.
1779.  
1780.   Members of the Board are to be appointed by the Secretary of
1781. Commerce and are to come from both inside and outside the federal
1782. government and have qualifications as specified in the bill.
1783.  
1784.   Specifically, the Board's complement is basically divided between
1785. federal government and non-federal government members.
1786.  
1787.   The non-federal government segment is further divided into two
1788. sub-entities, namely, (1) industry and (2) technology or other
1789. related disciplines.
1790.  
1791.   The industry segment is intended to be for hardware, and/or
1792. software producers and systems integrators; at least one of whom
1793. is representative of small or medium sized companies, and one of
1794. whom is representative of a large company.
1795.  
1796.   The technology or other related disciplines segment could include
1797. those eminent in academia, as well as the private sector producers
1798. of data bases, the financial community and other sophisticated
1799. users of the technology.  Members will not be paid for their
1800. services, other than for reimbursement of travel expenses.  The
1801. Board may use personnel from NBS or other agencies of the federal
1802. government for the purpose of staff support, with the consent of
1803. the respective agency head.
1804.  
1805.   The Board may conduct business with as few as seven members
1806. present.  Findings must be reported to the Secretary of Commerce,
1807. the Director of the Office of management and Budget, the Director
1808. of the National Security Agency, and the appropriate Committees of
1809. Congress.
1810.  
1811.   Section 23 is a housekeeping change.  It adds a short title to
1812. the NBS Organic Act for ease of reference.
1813.  
1814.  
1815.                    AMENDMENT TO THE BROOKS ACT
1816.  
1817.   H.R. 145 contains a redrafted version of section 111(d) of the
1818. Federal Property and Administrative Services Act of 1949.  The
1819. chief purpose is to establish an orderly process for promulgating
1820. standards and guidelines pertaining to Federal computer systems. 
1821. Specifically, the Secretary of Commerce is charged with issuing
1822. standards and guidelines based on the standards and guidelines
1823. developed by NBS, pursuant to two subsections in the amendment to
1824. the NBS Act.  As explained, those subsections formalize NBS'
1825. responsibility for developing both non-security and security
1826. standards and guidelines.  The Secretary is authorized to make
1827. certain standards compulsory and binding as needed to improve the
1828. efficiency of operation or security and privacy of federal computer
1829. systems.  The President may disapprove or modify the standards and
1830. guidelines if he determines such action to be in the public
1831. interest.
1832.  
1833.   As described earlier, the amendment contains relief from strict
1834. compliance with these standards, when agencies already employ
1835. standards that are more stringent.  An example is the instance
1836. where the unclassified operations of a mixed system are conducted
1837. under a subset of the rules used during classified operations,
1838. provided the subset is tougher than the standards mandated by the
1839. Secretary.
1840.  
1841.   Further relief is provided by language authorizing the Secretary
1842. of Commerce to waive the compulsory standards when compliance would
1843. adversely affect an operator's mission or cause major financial
1844. impact on the operator that is not offset by government-wide
1845. savings.  The Secretary may delegate this authority to agency heads
1846. when necessary and desirable to achieve timely and effective
1847. implementation of measures to improve federal computer system
1848. security and privacy.  Agency heads may redelegate this authority
1849. only to certain high level officials, designated pursuant to the
1850. Paperwork Reduction Act for the purpose of carrying out the
1851. agencies information management activities under that Act.
1852.   The need for delegation authority arises from Committee concerns
1853. about the administrative burden on NBS.  Under normal procedures,
1854. the Secretary can be expected to rely on NBS for technical
1855. evaluation of any requests for waiver.  The Committee expects NBS
1856. to devote the bulk of its energy to producing computer systems
1857. standards, rather than to such compliance determinations. 
1858. Accordingly, the amendment to the Brooks Act allows the Secretary
1859. flexibility to delegate the waiver authority.
1860.  
1861.   The amendment ties the process for developing and promulgating
1862. computer system standards to the requirement for an integrated
1863. information resources management system, as set forth in the
1864. Paperwork Reduction Act.  To achieve this, the Administrator of
1865. General Services is charged with developing and implementing
1866. policies on federal computer systems and revising the federal
1867. information resources management regulations to reflect the
1868. standards and guidelines emanating from the Secretary of Commerce.
1869.  
1870.  
1871.                             TRAINING
1872.  
1873.   One of the fundamental purposes of H.R. 145 is improved computer
1874. security awareness and use of accepted computer security practice
1875. by all persons involved in management, use, or operation of federal
1876. computer systems that contain sensitive information.  As indicated,
1877. the Committee found in its hearings that training in these areas
1878. is a particular weakness at most agencies.  A GAO study revealed,
1879. for example, that only two of twenty-five major federal computer
1880. systems surveyed had adequate training programs.  For this reason,
1881. the bill contains a requirement that each Federal agency provide
1882. for the periodic training of all employees involved with the
1883. management, use or operation of each Federal computer system within
1884. or under the supervision of that agency.  The objectives of the
1885. training are to enhance employees' awareness of the threats and
1886. vulnerabilities of computer systems and to encourage the use of
1887. improved security practices.
1888.  
1889.   The process envisioned in the bill starts with NBS, which is
1890. responsible for developing training guidelines based on its
1891. research and study of vulnerabilities and countermeasures.  Within
1892. six months of enactment and using these guidelines, the Office of
1893. Personnel Management must issue regulations covering such areas as
1894. training objectives for various categories of employee, general
1895. guidance concerning course content and frequency of training. 
1896. Strictly speaking, the regulations issued by OPM under this section
1897. apply only to Federal civilian employees.  The overall effect of
1898. the section, however, is to extend the regulations' applicability
1899. to employees of all operators of a Federal computer system as
1900. defined in the bill.  The bill specifies that training begin within
1901. 60 days after the issuance of regulations by OPM.  Each Federal
1902. agency is responsible for making provisions for the training of its
1903. own employees as well as those of contractors and other
1904. organizations that it supervises.  Training should be tailored to
1905. the particular operating conditions and needs of each operator. 
1906. Agencies may provide for the training in a variety of ways.  For
1907. example, an agency may use its internal training capabilities or
1908. the services of training providers such as OPM or private
1909. companies.  For the employees of contractors and other
1910. organizations under the supervision of an agency, the agency may
1911. use any available contractual or management instrument to require
1912. the operator to conduct periodic training in accordance with the
1913. NBS training guidelines and the OPM regulations.  In so doing, the
1914. Committee expects that the agency will require the operator to bear
1915. the costs associated with furnishing the training.  An agency head
1916. may approve an alternative training program which he determines to
1917. be at least as effective in accomplishing the objectives of the NBS
1918. guidelines and OPM regulations.
1919.  
1920.   A key determination upon which many provisions of the bill depend
1921. is the identification of which Federal computer systems contain
1922. sensitive information.  By definition, the search for such systems
1923. is restricted to systems containing unclassified information. 
1924. Some, but possibly not all of these systems will be determined to
1925. contain unclassified-sensitive information.  The philosophy
1926. reflected in the bill is that each Federal agency is best equipped
1927. to make that determination relative to its own mission and
1928. circumstances.  Therefore, the bill calls on each agency to make
1929. a determination for each computer system under its control, within
1930. six months of enactment.  The determination should be based on the
1931. definition of "sensitive" contained in the bill and use the
1932. additional guidance in the section on purpose in this report.
1933.  
1934.   Within one year of enactment, each agency must also establish a
1935. plan for the security and privacy of each computer system so
1936. identified.  Plans are to be based on the standards and guidelines
1937. issued by the Secretary of Commerce pursuant to the Brooks Act, or
1938. any waivers received.  This requirement applies only to those
1939. computer systems subject to the provision of that Act.  Plans are
1940. also to be commensurate with the risk and magnitude of the harm
1941. resulting from the loss, misuse, or unauthorized access to or
1942. modification of the information being protected.  Copies of the
1943. plans must be submitted to the National Bureau of Standards and the
1944. National Security Agency for advise and comment and to the Office
1945. of Management and Budget, which has the authority to disapprove the
1946. plan.  
1947.  
1948.   Implicit in the authority to disapprove security plans is
1949. responsibility for oversight of the identification process and
1950. compliance with the security plans as approved.  Thus, OMB is the
1951. watchdog over the key implementation step in the bill.
1952.  
1953.  
1954.                       RULES OF CONSTRUCTION
1955.  
1956.   The purpose of this section is to make it explicitly clear that
1957. the Computer Security Act has no bearing on the public availability
1958. or use of information.  The designation of information as sensitive
1959. [or as subject to protection] under the Computer Security Act is
1960. not a determination that the information is not subject to public
1961. disclosure.
1962.  
1963.   The Computer Security Act is strictly neutral with respect to
1964. public disclosure of information.  Any information that was
1965. required to be disclosed under the Freedom of Information Act or
1966. other laws before enactment of the Computer Security Act will still
1967. have to be disclosed after enactment.  Requests for information
1968. that was previously subject to withholding and that continues to
1969. qualify for withholding may be denied.
1970.  
1971.   Also, the Act may not be construed to expand the authority of
1972. any Federal agency to limit, restrict, regulate, or otherwise
1973. control the collection, maintenance, disclosure, use, transfer, or
1974. sale of (1) any privately-owned information; (2) any information
1975. disclosable under the Freedom of Information Act or other law
1976. requiring or authorizing the public disclosure of information by
1977. Federal agencies; or (3) any public domain information.  This
1978. restriction on government authority applies regardless of the
1979. medium in which the information may be maintained.  For example,
1980. in recent months, interest has been expressed by some Federal
1981. officials in restricting or monitoring use of unclassified, private
1982. sector computerized databases such as LEXIS and NEXIS.  This
1983. section makes it explicitly clear that no such authority is granted
1984. to agencies by the Computer Security Act.
1985.  
1986.  
1987.  
1988. *****************************************************************
1989.  
1990.  
1991.                 V.  SECTIONAL ANALYSIS--H.R. 145
1992.  
1993.   Section 1.  Short Title
1994.  
1995.   Section 2.  Purpose:  Sets forth the Congressional declaration
1996. that improving the security and privacy of federal computer systems
1997. is in the public interest and states Congressional intent to
1998. institute a means for establishing minimum acceptable security
1999. practices for such systems, without limiting the scope of security
2000. measures already planned or in use.
2001.  
2002.   The specific purposes of the Act are to assign the National
2003. Bureau of Standards responsibility for developing standards and
2004. guidelines for Federal computer systems, including standards and
2005. guidelines for the cost-effective security and privacy of sensitive
2006. information in Federal computer systems drawing upon the technical
2007. advice and assistance of the National Security Agency, where
2008. appropriate; to provide for promulgating such standards and
2009. guidelines through the Federal Property and Administrative Services
2010. Act of 1949; to require all operators of Federal computer systems
2011. that contain sensitive information to establish security plans; and
2012. to require mandatory periodic training for all persons involved in
2013. management, use or operation of Federal computer systems that
2014. contain sensitive information.
2015.   Section 3.  Establishment of Computer Standards Program.  Amends
2016. the Act of March 3, 1901 to add to the mission of the National
2017. Bureau of Standards the study of computer systems, as defined in
2018. section 20(d) of the NBS Act, and their use to control machinery
2019. and processes. 
2020.  
2021.   Inserts a new Section 20(a) stating the National Bureau of
2022. Standards shall:
2023.  
2024.        (1) have the mission of developing standards, guidelines,
2025.      and associated methods and techniques for computer systems;
2026.  
2027.        (2) develop uniform standards and guidelines for Federal
2028.      computer systems, except those systems excluded by section
2029.      2315 of title 10, United States Code, or section 3502(2) of
2030.      title 44, United States Code;
2031.  
2032.        (3) have responsibility within the Federal Government for
2033.      developing technical, management, physical and administrative
2034.      standards and guidelines for the cost-effective security and
2035.      privacy of sensitive information in Federal computer systems
2036.      except--
2037.  
2038.             (A) those systems excluded by section 2315 of title 10,
2039.           United States Code; and
2040.  
2041.             (B) those systems which are protected at all times by
2042.           procedures established for information which has been
2043.           specially authorized under criteria established by an
2044.           Executive order or an Act of Congress to be kept secret
2045.           in the interest of national defense or foreign policy;
2046.  
2047.        (4) submit standards and guidelines developed pursuant to
2048.      paragraphs (2) and (3) above, along with recommendations as
2049.      to the extent to which these should be made compulsory and
2050.      binding, to the Secretary of Commerce, for promulgation under
2051.      section 111 of the Federal Property and Administrative
2052.      Services Act of 1949;
2053.  
2054.        (5) develop guidelines for use by operators of Federal
2055.      computer systems that contain sensitive information in
2056.      training their employees in security awareness and accepted
2057.      security practice, as required by section 5 of the Computer
2058.      Security Act of 1987; and
2059.  
2060.        (6) develop validation procedures for, and evaluate the
2061.      effectiveness of, standards and guidelines developed pursuant
2062.      to paragraphs (1), (2), and (3) above through research and
2063.      liaison with other government and private agencies.
2064.  
2065.   Inserts a new Section 20(b) authorizing the National Bureau of
2066. Standards to:
2067.        (1) assist the private sector in using and applying the
2068.      results of the programs and activities under this section;
2069.  
2070.        (2) make recommendations to, assist and coordinate with
2071.      other Federal agencies, as appropriate, in carrying out this
2072.      Act;
2073.  
2074.        (3) provide, as requested, technical assistance to operators
2075.      of Federal computer systems in implementing the standards and
2076.      guidelines promulgated pursuant to this Act;
2077.  
2078.        (4) perform research and to conduct studies, as needed, to
2079.      determine the nature and extent of the vulnerabilities of, and
2080.      to devise techniques for the cost effective security and
2081.      privacy of sensitive information in Federal computer systems;
2082.      and
2083.  
2084.        (5) coordinate closely with other agencies and offices
2085.      (including, but not limited to, the Departments of Defense and
2086.      Energy, the National Security Agency, the General Accounting
2087.      Office, the Office of Technology Assessment, and the Office
2088.      of Management and Budget) to assure--
2089.  
2090.            (A) maximum use of all existing and planned programs,
2091.           materials, studies and reports relating to computer
2092.           systems security and privacy, in order to avoid
2093.           unnecessary and costly duplication of effort; and 
2094.  
2095.            (B) to the maximum extent feasible, that standards
2096.           developed by the National Bureau of Standards are
2097.           consistent and compatible with standards and procedures
2098.           developed for the protection of information in Federal
2099.           computer systems which is authorized under criteria
2100.           established by Executive order or an Act of Congress to
2101.           be kept secret in the interest of national defense or
2102.           foreign policy.
2103.  
2104.   Inserts a new Section 20(c) that requires the National Bureau of
2105. Standards to draw upon computer system technical security
2106. guidelines developed by the National Security Agency to the extent
2107. that the National Bureau of Standards determines that such
2108. guidelines are consistent with the requirements for protecting
2109. sensitive information in Federal computer systems.
2110.  
2111.   Inserts a new Section 20(d) that defines--
2112.  
2113.      (1) the term "computer system" as--
2114.  
2115.             (A) any equipment or interconnected system or
2116.           subsystems of equipment that is used in the automatic
2117.           acquisition, storage, manipulation, management, movement,
2118.           control, display, switching, interchange, transmission,
2119.           or reception, of data information; and
2120.  
2121.             (b) includes--
2122.  
2123.                (i) computers;
2124.                (ii) ancillary equipment;
2125.                (iii) software, firmware, and similar procedures;
2126.                (iv) services, including support services; and
2127.                (v) related resources as defined by regulations
2128.                issued by the Administrator for General Services
2129.                pursuant to section 111 of the Federal Property and
2130.                Administrative Services Act of 1949;
2131.  
2132.        (2) the term "Federal computer system" as a computer system
2133.      operated by a Federal agency or by a contractor of a Federal
2134.      agency or other organization that processes information using
2135.      a computer system on behalf of the Federal Government to
2136.      accomplish a Federal Government function;
2137.  
2138.        (3) the term "operator of a Federal computer system" as a
2139.      Federal agency, or other organization that processes
2140.      information using a computer system on behalf of the Federal
2141.      Government to accomplish a Federal Government function;
2142.  
2143.        (4) the term "sensitive information" as any information, the
2144.      loss, misuse, or unauthorized access or modification of which
2145.      could adversely affect the national interest or the conduct
2146.      of Federal programs, or the privacy to which individuals are
2147.      entitled under section 552 of title 5, United States Code (the
2148.      Privacy Act), but which has not been specifically authorized
2149.      under criteria established by an Executive order or an Act of
2150.      Congress to be kept secret in the interest of national defense
2151.      or foreign policy; and
2152.  
2153.        (5) the term "Federal agency" as having the meaning given
2154.      such term by section 3(b) of the Federal Property and
2155.      Administrative Services Act of 1949.
2156.  
2157.   Inserts a new section 21(a) establishing a Computer System
2158. Security and Privacy Advisory Board, with a chairman to be
2159. appointed by the Secretary of Commerce and twelve members as
2160. follows:
2161.  
2162.        (1) four members from outside the Federal Government who are
2163.      eminent in the computer or telecommunications industry, at
2164.      least one of whom is representative of small or medium sized
2165.      companies in such industry;
2166.  
2167.        (2) four members from outside the Federal Government who are
2168.      eminent in the computer or telecommunications industry, at
2169.      least one of whom is representative of small or medium sized
2170.      companies in such industry;
2171.  
2172.        (2) four members from outside the Federal Government who are
2173.      eminent in the computer or telecommunications technology, or
2174.      related disciplines, but who are not employed by or
2175.      representative of a producer of computer or telecommunications
2176.      equipment; and
2177.  
2178.        (3) four members from the Federal Government who have
2179.      computer systems management experience, including experience
2180.      in computer systems security and privacy, at least one of whom
2181.      shall be from the National Security Agency.
2182.  
2183.   Inserts a new Section 21(b) stating that the duties of the Board
2184. shall be:
2185.  
2186.        (1) to identify emerging managerial, technical,
2187.      administrative, and physical safeguard issues relative to
2188.      computer systems security and privacy;
2189.  
2190.        (2) to advise the Bureau of Standards and the Secretary of
2191.      Commerce on security and privacy issues pertaining to Federal
2192.      computer systems; and
2193.  
2194.        (3) to report its findings to the Secretary of Commerce, the
2195.      Director of the Office of Management and Budget, the Director
2196.      of the National Security Agency, and the appropriate
2197.      Committees of the Congress.
2198.  
2199.   Inserts a new Section 21(b) stating that the term of office of
2200. each member of the Board shall be four years, except that--
2201.  
2202.        (1) of the initial members, three shall be appointed for
2203.      terms of one year, three shall be appointed for terms of two
2204.      years, three shall be appointed for terms of three years, and
2205.      three shall be appointed for terms of four years; and
2206.  
2207.        (2) any member appointed to fill a vacancy in the Board
2208.      shall serve for the remainder of the term for which his
2209.      predecessor was appointed.
2210.  
2211.   Inserts a new Section 21(d) prohibiting the Board from acting in
2212. the absence of a quorum, which shall consist of seven members.
2213.  
2214.   Inserts a new section 21(e) stating that Members of the Board,
2215. other than full-time employees of the Federal Government, while
2216. attending meetings of such committees or while otherwise performing
2217. duties at the request of the Board Chairman while away from their
2218. homes or a regular place of business, may be allowed travel
2219. expenses in accordance with subchapter I of chapter 57 of title 5,
2220. United States Code.
2221.  
2222.   Inserts a new Section 21(f) that authorizes the Board in carrying
2223. out its functions, to use staff personnel from the National Bureau
2224. of Standards or any other agency of the Federal Government with the
2225. consent of the head of the agency. 
2226.   
2227.   Adds a new Section 23 which establishes a short title for the Act
2228. of March 3, 1901, henceforth to be known as the "National Bureau
2229. of Standards Act".
2230.  
2231.   Section 4.  Amendment to the Brooks Act.  Replaces Section 11(d)
2232. of the Federal Property and Administrative Services Act of 1949
2233. with new language that:
2234.  
2235.        (1) empowers the Secretary of Commerce, on the basis of
2236.      standards and guidelines developed by the National Bureau of
2237.      Standards pursuant to section 20(a)(2) and (3) of the National
2238.      Bureau of Standards Act, to promulgate standards and
2239.      guidelines pertaining to Federal computer systems, making such
2240.      standards compulsory and binding to the extent to which the
2241.      Secretary determines necessary to improve the efficiency of
2242.      operation of security and privacy of Federal computer systems;
2243.  
2244.        (2) authorizes the head of a Federal agency to employ
2245.      standards for the cost effective security and privacy of
2246.      sensitive information in a Federal computer system within or
2247.      under the supervision of that agency that are more stringent
2248.      than the standards promulgated by the Secretary of Commerce,
2249.      if such standards contain, at a minimum, the provisions of
2250.      those applicable standards made compulsory and binding by the
2251.      Secretary of Commerce.
2252.  
2253.        (3) provides that the standards determined to be compulsory
2254.      and binding may be waived by the Secretary of Commerce in
2255.      writing upon a determination that compliance would adversely
2256.      affect the accomplishment of the mission of an operator of a
2257.      Federal computer system, or cause a major adverse financial
2258.      impact on the operator which is not offset by government-wide
2259.      savings.  The Secretary may delegate to the head of one or
2260.      more Federal agencies authority to waive such standards to the
2261.      extent to which the Secretary determines such action to be
2262.      necessary and desirable to allow for timely and effective
2263.      implementation of Federal computer systems standards.  The
2264.      head of such agency may redelegate such authority only to a
2265.      senior official designated pursuant to section 3506(b) of
2266.      title 44, United States Code.  Notice of each such waiver and
2267.      delegation shall be promptly transmitted to the Committee on
2268.      Government Operations of the House of Representatives and the
2269.      Committee on Governmental Affairs of the Senate;
2270.  
2271.        (4) directs the Administrator of the General Services
2272.      Administration to revise the Federal information resources
2273.      management regulations to be consistent with the standards and
2274.      guidelines promulgated by the Secretary of Commerce; and
2275.        (5) defines the terms "Federal computer system" and
2276.      "operator of a Federal computer system" as having the meanings
2277.      given in section 20(d) of the National Bureau of Standards
2278.      Act.
2279.  
2280.   Section 5.  Federal Computer System Security Training.  Requires
2281. each Federal agency to provide for the mandatory periodic training
2282. in computer security awareness and accepted computer security
2283. practice of all employees who are involved with the management,
2284. use of, or operation of, each Federal computer system within or
2285. under the supervision of that agency.
2286.  
2287.        (1) Directs that training be provided in accordance with the
2288.      guidelines developed by the National Bureau of Standards and
2289.      in accordance with regulations issued by the Office of
2290.      Personnel Management for Federal civilian employees; or
2291.  
2292.        (2) Provided by an alternative training program approved by
2293.      the head of that agency on the basis of a determination that
2294.      the alternative training program is at least as effective in
2295.      accomplishing the objectives of such guidelines and
2296.      regulations.
2297.  
2298.   Training under this section shall be started within 60 days after
2299. the issuance of the regulations.  Such training shall be designed-
2300.  
2301.        (1) to enhance employees' awareness of the threats to and
2302.      vulnerability of computer systems; and
2303.  
2304.        (2) to encourage the use of improved security practices.
2305.  
2306.   Directs that within six months after the date of the enactment
2307. of this Act, the Director of the Office of Personnel Management
2308. shall issue regulations prescribing the procedures and scope of the
2309. training to be provided and the manner in which such training is
2310. to be carried out.
2311.  
2312.   Section 6.  Additional Responsibilities for Computer Systems
2313. Security and Privacy.  Directs that within 6 months after the date
2314. of enactment each Federal agency shall identify each Federal
2315. computer system, and system under development, which is within or
2316. under the supervision of that agency and which contains sensitive
2317. information.
2318.  
2319.   Provides that within one year after the date of enactment of this
2320. Act, each such agency shall, consistent with the standards,
2321. guidelines, policies, and regulations prescribed pursuant to
2322. section 111(d) of the Federal Property and Administrative Services
2323. Act of 1949, establish a plan for the security and privacy of each
2324. Federal computer system identified by that agency that is
2325. commensurate with the risk and magnitude of the harm resulting from
2326. the loss, misuse, or unauthorized access to or modification of the
2327. information contained in such system.  Copies of each such plan
2328. shall be transmitted to the National Bureau of Standards and the
2329. National Security Agency for advice and comment.  A summary of such
2330. plan shall be included in the agency's five-year plan required by
2331. section 3505 of title 44, United States Code.  Such plan shall be
2332. subject to disapproval by the Director of the Office of Management
2333. and Budget.  Such plan shall be revised annually as necessary.
2334.  
2335.   Section 7.  Definitions.  Defines the terms "computer system",
2336. "Federal computer system", "operator of a Federal computer system",
2337. "sensitive information", and "Federal agency" as having the
2338. meanings given in section 20(d) of the National Bureau of Standards
2339. Act (as added by section 3 of this Act).
2340.  
2341.   Section 8.  Rules of Construction of Act.  States that nothing
2342. in this Act, or in any amendment made by this Act, shall be
2343. construed--
2344.  
2345.        (1) to constitute authority to withhold information sought
2346.      pursuant to section 552 of title 5, United States Code; or
2347.  
2348.        (2) to authorize the collection, maintenance, disclosure,
2349.      use, transfer, or sale of any information (regardless of the
2350.      medium in which the information may be maintained) that is--
2351.      
2352.           (A) privately-owned information;
2353.  
2354.           (B) disclosable under section 552 of title 5, United
2355.           States Code, or other law requiring or authorizing the
2356.           public disclosure of information; or
2357.  
2358.           (C) public domain information.
2359.  
2360.  
2361. ***************************************************************
2362.  
2363.  
2364.              VI.  EFFECT OF LEGISLATION ON INFLATION
2365.  
2366.   In accordance with Rule XI, Clause 2(l)(4), of the Rules of the
2367. House of Representatives, this legislation is assessed to have no
2368. adverse inflationary effect on prices and costs in the operation
2369. of the national economy.
2370.  
2371.  
2372. **************************************************************
2373.  
2374.  
2375.      VII.  COMMITTEE OVERSIGHT FINDINGS AND RECOMMENDATIONS
2376.  
2377.   Pursuant to Rule XI, Clause 2(l)(3)(A), and under the authority
2378. of Rule X, Clause 2(b)(l) and Clause 3(f), of the Rules of the
2379. House of Representatives, the following statement on oversight
2380. activities is made:
2381.  
2382.   The Committee's oversight findings are incorporated in the
2383. recommendations contained in the present bill and report.
2384.  
2385.  
2386. ****************************************************************
2387.  
2388.  
2389.       VIII.  OVERSIGHT FINDINGS AND RECOMMENDATIONS BY THE
2390.                COMMITTEE ON GOVERNMENT OPERATIONS
2391.  
2392.  
2393.   Pursuant to Rule XI, Clause 2(l)(3)(D), and under the authority
2394. of Rule X, Clause 2(c)(2), of the Rules of the House of
2395. Representatives, the following statement on oversight activities
2396. by the Committee on Government Operations is made:
2397.  
2398.   The Committee's oversight findings are reflected in the
2399. recommendations contained in the bill as reported by that Committee
2400. and the accompanying report.
2401.  
2402.  
2403.  
2404. *****************************************************************
2405.  
2406.  
2407.                IX.  BUDGET ANALYSIS AND PROJECTION
2408.  
2409.  
2410.   The bill provides for new authorization rather than new budget
2411. authority and consequently the provisions of Section 308(a) of the
2412. Congressional Budget Act are not applicable.
2413.  
2414.  
2415. *****************************************************************
2416.  
2417.  
2418.           X.  CONGRESSIONAL BUDGET OFFICE COST ESTIMATE
2419.  
2420.   Pursuant to Section 403 of the Congressional Budget Act of 1974
2421. and Rule XI, Clause 2(l)(3) of the Rules of the House of
2422. Representatives, the report of the Congressional Budget Office
2423. follows:
2424.  
2425.  
2426.            CONGRESSIONAL BUDGET OFFICE COSTS ESTIMATE
2427.  
2428.      1.  Bill number:  H.R. 145
2429.      2.  Bill title:  Computer Security Act of 1987.
2430.      3.  Bill status:  As ordered reported by the House Committee
2431. on Science, Space, and Technology, May 20, 1987.
2432.      4.  Bill purpose:  H.R. 145 would require the National Bureau
2433. of Standards (NBS) to establish a computer security standards
2434. program for those computer systems subject to the Brooks Act.  The
2435. bill directs NBS to develop government-wide standards and
2436. guidelines, training programs, and validation standards to evaluate
2437. the effectiveness of computer security standards; and to work with
2438. the National Security Agency (NSA) and other agencies in developing
2439. these standards and guidelines and conducting research and studies. 
2440. Based on recommendations submitted by the NBS, the Secretary of
2441. Commerce would be required to promulgate standards and guidelines
2442. for computer security.  The bill would also establish a 13-member
2443. Computer System Security and Privacy Advisory Board composed of
2444. representatives of other federal agencies and the private sector.
2445.  
2446.   Within six months after the date of enactment, H.R. 145 would
2447. require all federal agencies to identify each computer system that
2448. contains sensitive data.  Each agency would be required to
2449. establish a plan for the security of each computer and related
2450. system previously identified within a year after the date of
2451. enactment, and to revise it annually as necessary.  The bill also
2452. requires mandatory periodic training in computer security for all
2453. federal agency employees who manage, use or operate computer
2454. systems.  Each federal agency would also be required to provide for
2455. similar training for certain employees of private contractors and
2456. other organizations, such as state and local governments, that
2457. process information on behalf of the federal government.
2458.  
2459.      5.  Estimated cost to the Federal Government:  CBO estimates
2460. that enactment of this bill would cost NBS about $4 million to $5
2461. million annually beginning in fiscal year 1988.  Additional costs
2462. for planning and training in computer security by all agencies
2463. throughout the federal government would probably cost $20 million
2464. to $25 million in 1988 and $15 million to $20 million in each
2465. fiscal year thereafter.  To the extent that this legislation would
2466. reduce fraud or other financial losses, some savings could also
2467. result from enactment of this bill.  It is not possible to quantify
2468. these potential savings at this time.
2469.  
2470.   Basis of Estimate:  Under the National Security Decision
2471. Directive (NSDD) 145, which became effective in September 1984, the
2472. President gave the National Security Agency (NSA) responsibility
2473. for ensuring the security of all classified and certain other
2474. sensitive information transmitted by federql computers or
2475. telecommunications systems.  If enacted, H.E. 145 would assign some
2476. of this authority to NBS, mainly in the area of unclassified data. 
2477. Although under current guidelines it is expected that most federal
2478. agencies, with assistance from NSA, would have strengthened
2479. security efforts consistent with the directive, this bill would
2480. enhance the role of NBS and would also impose new requirements upon
2481. federal agencies and their contractors in the area of computer
2482. security.
2483.  
2484.   National Bureau of Standards.--Assuming enactment of H.R. 145 and
2485. any necessary appropriations by October 1, 1987, the expanded role
2486. of NBS in computer security management and training is estimated
2487. to cost about $2 million annually beginning in 1988.  Based on
2488. information from NBS, an estimated $2 million to $3 million
2489. annually may also be needed for research, beginning in 1988.  This
2490. assumes that NBS would expand its management and oversight role,
2491. but would also receive assistance and information from the National
2492. Computer Security Center (NCSC) within the Department of Defense
2493. (DoD).
2494.  
2495.   Government-wide computer security plans.--The level of computer
2496. security varies greatly among the approximately 80 federal
2497. entities, including about 1,300 different organizations that would
2498. be affected by this legislation.  The cost of identifying all
2499. sensitive computer systems and developing an appropriate plan for
2500. facility, application and personnel security would thus vary
2501. greatly from agency to agency, depending upon the agency's current
2502. level of security, the size and number of sites, and the resources
2503. and expertise available to implement this provision.
2504.  
2505.   CBO has not been able to contact each major federal entity to
2506. determine the cost of identifying and developing these plans for
2507. computer security.  Based on the information available, it is
2508. expected that most agencies would probably assign existing
2509. personnel and resources to this task in order to meet the one-year
2510. deadline imposed by H.R. 145.  If approximately 10,000 plans were
2511. developed, each requiring about 1-2 work weeks of effort by agency
2512. personnel, and two and one-half work days of review by NBS, NSA,
2513. and the Office of Management and Budget (OBM), the cost spread
2514. among the various federal agencies would be $10 million to $20
2515. million over the fiscal years 1988 and 1989.
2516.  
2517.   Government-wide training.--Currently, training resources in the
2518. area of computer security are scattered throughout the federal
2519. government.  A few civilian agencies, such as the Department of
2520. Energy, have developed their own computer security training for
2521. both classified and unclassified systems.  Most agencies, however,
2522. send employees to commercial courses or those offered by other
2523. federal agencies, such as the General Services Administration
2524. (GSA), the Office of Personnel Management (OPM), the Department of
2525. Agriculture Graduate School, or NSA.
2526.  
2527.   H.R. 145 would require mandatory training for all federal and
2528. contractor personnel who manage, use or operate computer systems. 
2529. The cost of such training depends on the number of people involved
2530. and the kind of training provided.  Based on information from a
2531. number of agencies, it is expected that roughly half of all
2532. government and contractor employees, or about 3 million employees,
2533. would initially receive some type of training as a result of the
2534. bill.  Subsequently, training would be provided to most new
2535. employees, and retraining would be required only periodically.
2536.  
2537.   It is expected that most training in the area of computer
2538. security would become decentralized, with each agency responsible
2539. for developing its own programs, although some centralized training
2540. for smaller agencies and in specialized program areas would remain. 
2541. The NCSC has developed a data base of educational opportunities
2542. offered by government, universities and private sources that is
2543. available to agencies.  Training courses are relatively expensive,
2544. however.  They currently cost about $50 to $200 per day per person
2545. (not including development costs) and typically are offered to
2546. technical personnel who attend a three-to-five day session.  In an
2547. effort to reduce training costs, NCSC is developing training
2548. packages that will be available on tape or film, sharply reducing
2549. the training cost per person.
2550.  
2551.   Based on the information from NCSC, GSA, OPM, and OMB, CBO made
2552. a number of assumptions about the amounts and types of training
2553. that would be required as a result of enactment of H.R. 145.  The
2554. resulting estimates provide a rough estimate of the possible
2555. additional cost of training, but should not be considered precise.
2556.  
2557.   Within three years after the date of enactment, it is assumed
2558. that about 90 percent of the estimated 3 million employees affected
2559. by the bill would receive some type of computer security awareness
2560. training.  Assuming the availability of training modules and other
2561. low-cost products, it is expected that the cost for this type of
2562. training would have no significant budget impact over and above the
2563. cost of maintaining good information sysstems, which is now the
2564. responsibility of each agency.  It is estimated that about 10
2565. percent of the 3 million employees, or 300,000, would require more
2566. formalized training.  Assuming that about three-quarters of these
2567. individuals (about one-half from DoD) would have received training
2568. under current law, then about 75,000 employees would like require
2569. training as a result of this bill.  Three days of specialized
2570. training, at an average cost of $100 per day, for 75,000 persons
2571. would cost $20 million to #25 million over several years.  After
2572. the initial training, costs for retraining and training of new
2573. personnel are expecsted to cost about $5 million annually.
2574.  
2575.   Finally, it is assumed that about 250 civilian employees would
2576. gradually be recruited and/or trained to evaluate the technical
2577. protection capabilities of industry and government-developed
2578. systems, and to train other agency personnel.  This type of
2579. training, according to NCSC, takes two to three years.  At an
2580. average cost of $60,000 per year, including overhead, it is
2581. estimated that this type of support staff would cost the feceral
2582. government about $15 million annually, once fully implemented.
2583.  
2584.      6.  Estimated cost to State and local governments:  H.R. 145
2585. would require training in computer security for non-federal as well
2586. as federal operators of computer systems that process data on
2587. behalf of the federal government.  This requirement would include
2588. state or local governments that are involved in such activities as
2589. monitoring compliance with federal regulations, disbursing federal
2590. funds, and collecting or maintaining data for ultimate federal use. 
2591. Based on information from the committee, these non-federal
2592. operators would be expected to bear the cost of furnishing the
2593. training.  Because no complete inventory of the relevant computer
2594. systems at the state and local level exists, it is not possible at
2595. this time to estimate with precision the costs to state and local
2596. governments of providing this training.  Based on the limited
2597. information available, we expect that total costs incurred by state
2598. and local governments are likely to be less than $25 million
2599. annually.
2600.  
2601.      7.  Estimate comparison:  None
2602.  
2603.      8.  Previous CBO estimate:  On May 4, 1987, CBO transmitted
2604. to the House Committee on Government Operations a cost estimate for
2605. H.R. 145, as ordered reported by that committee on April 7, 1987. 
2606. The estimated cost of each version of H.R. 145 is the same.  
2607.  
2608.      9.  Estimate prepared by:  Carol Cohen
2609.     10.  Estimate approved by:  C.G. Nuckols, for James L. Blum,
2610. Assistant Director for Budget Analysis.
2611.  
2612.  
2613. ****************************************************************
2614.  
2615.  
2616.                   XI.  ADMINISTRATION POSITION
2617.  
2618.                     EXECUTIVE OFFICE OF THE PRESIDENT
2619.                          OFFICE OF MANAGEMENT AND BUDGET
2620.                                    Washington, DC, May 12, 1987
2621.  
2622. Hon. Robert A. Roe,
2623. Chairman, Committee on Science, Space and Technology,
2624. U.S. House of Representatives, Washington, DC.
2625.  
2626.   DEAR MR. CHAIRMAN:  I am pleased that through intensive
2627. consultations between the Administration and the Congress great
2628. progress has been made toward agreement on a Computer Security Act
2629. of 1987.  I hope that this statement of Administration views will
2630. assists in offering construction solutions to areas where further
2631. improvements are desirable.
2632.  
2633.   As we have reviewed H.R. 145, a primary concern has been to
2634. assure that the roles of the National Security Agency (NSA) are
2635. discharged in a manner that will promote a sound public policy and
2636. result in efficient/cost effective, and productive solutions.  In
2637. this regard it is the Administration's position that NBS in so far
2638. as they are available and consistent with the requirements of civil
2639. departments and agencies to protect data processed in their
2640. systems.  When developing technical security guidelines, NSA will
2641. consult with NBS to determine how its efforts can best support such
2642. requirements.  We believe this would avoid costly duplication of
2643. effort.
2644.  
2645.   Computer security standards, like other computer standards, will
2646. be developed in accordance with established NBS procedures.  In
2647. this regard the technical security guidelines provided by NSA to
2648. NBS will be treated as advisory and subject to appropriate NBS
2649. review.  In cases where civil agency needs will best be served by
2650. standards that are not consistent with NSA technical guidelines,
2651. the Secretary of Commerce will have authority to issue standards
2652. that best satisfy the agencies' needs.  At the same time agencies
2653. will retain the option to ask for Presidential review of standards
2654. issued by the Department of Commerce do not appear to be consistent
2655. with U.S. public interest, including that of our national security. 
2656. I am enclosing proposed changes to the present text of H.R. 145
2657. which are consistent with the NBS-NSA relationship outlined above
2658. and make several minor changes that would further improve the bill.
2659.  
2660.   In closing, I want to assure you that a reported bill within the
2661. parameters outlined in this letter will have the Administration's
2662. support.
2663.      
2664.      Sincerely yours,
2665.  
2666.                                    JAMES C. MILLER III, Director
2667.  
2668.  
2669. ****************************************************************
2670.  
2671.  
2672.      XII. CHANGES IN EXISTING LAW MADE BY THE BILL, AS REPORTED
2673.  
2674.      In compliance with clause 3 of rule XIII of the Rules of the
2675. House of Representatives, changes in existing law made by the bill,
2676. as reported, are shown as follows (existing law proposed to be
2677. omitted is enclosed in black brackets, new matter is printed in
2678. italic, existing law in which no change is proposed is shown in
2679. roman):
2680.  
2681.                       ACT OF MARCH 3, 1901
2682.  
2683.                AN ACT To establish the National Bureau of Standards
2684.  
2685.      *         *         *         *         *         *         *
2686.  
2687.   SEC. 2. The Secretary of Commerce (hereinafter referred to as the
2688. "Secretary") is authorized to undertake the following functions:
2689.   (a) * * *
2690.  
2691.      *         *         *         *         *         *         *
2692.  
2693.   (f)  Invention and development of devices to serve special needs
2694. of the Government.
2695.   
2696.   In carrying out the functions enumerated in this section, the
2697. Secretary is authorized to undertake the following activities and
2698. similar ones for which need may arise in the operations of
2699. Government agencies, scientific institutions, and industrial
2700. enterprises:
2701.  
2702.           (1) * * *
2703.  
2704.  
2705.           *         *         *         *         *         *    *
2706.  
2707.           (18)  the prosecution of such research in engineering,
2708.      mathematics, and the physical sciences as may be
2709.      necessary to obtain basic data pertinent to the functions
2710.      specified herein; [and]
2711.  
2712.           (19)  the compilation and publication of general
2713.      scientific and technical data resulting from the performance
2714.      of the functions specified herein or from other sources when
2715.      such data are of importance to scientific or manufacturing
2716.      interests or to the general public, and are not available
2717.      elsewhere, including demonstration of the results of the
2718.      Bureau's work by exhibits or otherwise as may be deemed most
2719.      effective, and including the use of National Bureau of
2720.      Standards scientific or technical personnel for part-time or
2721.      intermittent teaching and training activities at educational
2722.      institutions of higher learning as part of and incidental to
2723.      their official duties and without additional compensation
2724.      other than that provided by law [.]; and 
2725.  
2726.           (20)  the study of computer systems (as that term is
2727.      defined in section 20(d) of the Act) and their use to control
2728.      machinery and processes.
2729.  
2730.           *         *         *         *         *         *    *
2731.  
2732.   SEC 20.(a)  The National Bureau of Standards shall--
2733.  
2734.           (1)  have the mission of developing standards,
2735.      guidelines, and associated methods and techniques for computer
2736.      systems;
2737.  
2738.           (2)  except as described in paragraph (3) of this
2739.      subsection (relating to security standards), develop uniform
2740.      standards and guidelines for Federal computer systems, except
2741.      those systems excluded by section 2315 of title 10, United
2742.      States Code, or section 3502(2) of title 44, United States
2743.      Code;
2744.  
2745.           (3)  have responsibility within the Federal Government
2746.      for developing technical, management, physical, and
2747.      administrative standards and guidelines for the cost-effective
2748.      security and privacy of sensitive information in Federal
2749.      computer systems except- 
2750.  
2751.           (A)  those systems excluded by section 2315 of title 10,
2752.           United State Code, or section 3502(2) of title 44, United
2753.           States Code; and
2754.  
2755.      
2756.  
2757.            (B)  those systems which are protected at all times by
2758.           procedures established for information which has been
2759.           specifically authorized under criteria established by an
2760.           Executive order or an Act of Congress to be kept secret
2761.           in the interest of national defense or foreign policy,
2762.           the primary purpose of which standards and guidelines
2763.           shall be to control loss and unauthorized modification
2764.           or disclosure of sensitive information in such systems
2765.           and to prevent computer-related fraud and misuse;
2766.  
2767.           (4)  submit standards and guidelines developed pursuant
2768.      to paragraphs (2) and (3) of this subsection, along with
2769.      recommendations as to the extent to which these should be made
2770.      compulsory and binding, to the Secretary of Commerce for
2771.      promulgation under section 111(d) of the Federal Property and
2772.      Administrative Services Act of 1949;
2773.  
2774.           (5)  develop guidelines for use by operators of Federal
2775.      computer systems that contain sensitive information in
2776.      training their employees in security awareness and accepted
2777.      security practice, as required by section 5 of the Computer
2778.      Security Act of 1987; and
2779.  
2780.           (6)  develop validation procedures for, and evaluate the
2781.      effectiveness of, standards and guidelines developed pursuant
2782.      to paragraphs (1), (2), and (3) of this subsection through
2783.      research and liaison with other government and private
2784.      agencies.f
2785.  
2786.   (b) In fulfilling subsection (a) of this section, the National
2787. Bureau of Standards is authorized-
2788.  
2789.           (1) to assist the private sector, upon request, in using
2790.      and apply the results of the programs and activities under
2791.      this section;
2792.  
2793.           (2)  to make recommendations, as appropriate, to the
2794.      Administrator of General Services on policies and regulations
2795.      proposed pursuant to section 111(d) of the Federal Property
2796.      and Administrative Services Act of 1949;
2797.  
2798.           (3)  as requested, to provide to operators of Federal
2799.      computer systems technical assistance in implementing the
2800.      standards and guidelines promulgated pursuant to section
2801.      111(d) of the Federal Property and Administrative Services Act
2802.      of 1949;
2803.  
2804.           (4)  to assist, as appropriate, the Office of Personnel
2805.      Management in developing regulations pertaining to training,
2806.      as required by section 5 of the Computer Security Act of 1987;
2807.  
2808.           (5)  to perform research and to conduct studies, as
2809.      needed, to determine the nature and extent of the
2810.      vulnerabilities of, and to devise techniques for the cost
2811.      effective security and privacy of sensitive information in
2812.      Federal computer system; and
2813.  
2814.           (6)  to coordinate closely with other agencies and
2815.      offices (including, but not limited to, the Departments of
2816.      Defense and Energy, the National Security Agency, the General
2817.      Accounting office, the Office of Technology Assessment, and
2818.      the Office of Management and Budget)--
2819.  
2820.           (A)  to assure maximum use of all existing and planned
2821.           programs, materials, studies, and reports relating to
2822.           computer systems security and privacy, in order to avoid
2823.           unnecessary and costly duplication of effort; and
2824.  
2825.           (B)  to assure, to the maximum extent feasible, that
2826.           standards developed pursuant to subsection (a) (3) and
2827.           (5) are consistent and compatible with standards and
2828.           procedures developed for the protection of information
2829.           in Federal computer systems which is authorized under
2830.           criteria established by Executive order or an Act of
2831.           Congress to be kept secret in the interest of National
2832.           defense or foreign policy.
2833.  
2834.      (c)  For the purposes of-
2835.  
2836.        (1)  developing standards and guidelines for the protection
2837.      of sensitive information in Federal computer systems under
2838.      subsections (a)(1) and (a)(3), and
2839.  
2840.        (2)  performing research nd conducting studies under
2841.      subsection (b)(5),
2842.  
2843.      the National Bureau of Standards shall draw upon computer
2844.      system technical security guidelines developed by the National
2845.      Security Agency to the extent that the National Bureaus of
2846.      Standards determines that such guidelines are consistent with
2847.      the requirements for protecting sensitive information in
2848.      Federal computer systems.
2849.  
2850.      (d)  As used in this section-
2851.  
2852.             (1)  the term "computer system"-
2853.  
2854.             (A)  means any equipment or interconnected system or
2855.           subsystems of equipment that is used in the automatic
2856.           acquisition, storage, manipulation, management, movement,
2857.           control, display, switching, interchange, transmission,
2858.           or reception, of data or information; and
2859.  
2860.                  (B)  includes--
2861.  
2862.                     (i) computers;
2863.                     (ii) ancillary equipment;
2864.                     (iii) software, firmware, and similar
2865.                     procedures;
2866.                     (iv) services, including support
2867.                     services; and
2868.                     (v) related resources as defined by
2869.                     regulations issued by the Administrator
2870.                     for General Services pursuant to 
2871.                     section 111 of the Federal Property and
2872.                     Administrative Services Act of 1949;
2873.  
2874.           (2)  the term "Federal computer system"--
2875.  
2876.                  (A)  means a computer system operated by a
2877.                Federal agency or by a contractor of a Federal
2878.                agency or other organization that processes
2879.                information (using a computer system) on behalf of
2880.                the Federal Government to accomplish a Federal
2881.                function; and
2882.  
2883.                  (B)  includes automatic data processing equipment
2884.                as that term is defined in section 111(a)(2) of the
2885.                Federal Property and Administrative Services Act of
2886.                1949;
2887.  
2888.           (3)  the term "operator of a Federal computer system"
2889.           means a Federal agency, contractor of a Federal agency,
2890.           or other organization that processes information using
2891.           a computer system on behalf of the Federal Government to
2892.           accomplish a Federal function;
2893.  
2894.           (4)  the term "sensitive information" means any
2895.           information, the loss, misuse, or unauthorized access to
2896.           or modification of which could adversely affect the
2897.           national interest or the conduct of Federal programs, or
2898.           the privacy to which individuals are entitled under
2899.           section 552a of title 5, United States Code (the Privacy
2900.           Act), but which has not been specifically authorized
2901.           under criteria established by an Executive order or an
2902.           Act of Congress to be kept secret in the interest of
2903.           national defense or foreign policy; and
2904.  
2905.           (5)  the term "Federal agency" has the meaning given
2906.           such term by section 3(b) of the Federal Property and
2907.           Administrative Services Act of 1949.
2908.  
2909.   SEC. 21.  (a)  There is hereby established a Computer System
2910. Security and Privacy Advisory Board within the Department of
2911. Commerce.  The Secretary of Commerce shall appoint the chairman of
2912. the Board.  The Board shall be composed of twelve additional
2913. members appointed by the Secretary of Commerce as follows:
2914.  
2915.           (1)  four members from outside the Federal Government
2916.           who are eminent in the computer or telecommunications
2917.           industry, at least one of whom is representative of
2918.           small or medium sized companies in such industries;
2919.  
2920.           (2) four members from outside the Federal Government who
2921.           are eminent in the fields of computer or
2922.           telecommunications technology, or related disciplines,
2923.           but who are not employed by or representative of a
2924.           producer of computer or telecommunications equipment;
2925.           and
2926.  
2927.           (3) four members from the Federal Government who have
2928.           computer systems management experience, including
2929.           experience in computer systems security and privacy, at
2930.           least one of whom shall be from the National Security
2931.           Agency.
2932.  
2933.      (b) The duties of the Board shall be--
2934.  
2935.           (1) to identify emerging managerial, technical,
2936.           administrative, and physical safeguard issues relative
2937.           to computer systems security and privacy; 
2938.  
2939.           (2) to advise the Bureau of Standards and the Secretary
2940.           of Commerce on security and privacy issues pertaining to
2941.           Federal computer systems; and
2942.  
2943.           (3) to report its findings to the Secretary of Commerce,
2944.           the Director of the Office of Management and Budget, the
2945.           Director of the National Security Agency, and the
2946.           appropriate Committees of the Congress.
2947.  
2948.      (c) The term of office of each member of the Board shall be
2949. four years, except that--
2950.  
2951.           (1) of the initial members, three shall be appointed for
2952.           terms of one year, three shall be appointed for terms of
2953.           two years, three shall be appointed for terms of three
2954.           years, and three shall be appointed for terms of four
2955.           years; and
2956.  
2957.           (2) any member appointed to fill a vacancy in the Board
2958.           shall serve for the remainder of the term for which his
2959.           predecessor was appointed.
2960.  
2961.      (d) The Board shall not act in the absence of a quorum, which
2962. shall consist of seven members.
2963.  
2964.      (e) Members of the Board, other than full-time employees of
2965. the Federal Government while attending meetings of such committees
2966. or while otherwise performing duties at the request of the Board
2967. Chairman while away from their homes or a regular place of
2968. business, may be allowed travel expenses in accordance with
2969. subchapter I of chapter 57 of title 5, United States Code.
2970.  
2971.      (f) To provide the staff services necessary to assist the
2972. Board in carrying out its functions, the Board may utilize
2973. personnel from the National Bureau of Standards or any other
2974. agency of the Federal Government with the consent of the head of
2975. the agency.
2976.  
2977.      (g) As used in this section, the terms "computer system" and
2978. "Federal computer system" have the meanings given in section 20(d)
2979. of this Act." 
2980.  
2981.   SEC. 23.  This Act may be cited as the National Bureau of
2982. Standards Act.
2983.  
2984.  
2985.      SECTION 111 OF THE FEDERAL PROPERTY AND ADMINISTRATIVE
2986.                       SERVICES ACT OF 1949
2987.  
2988.                AUTOMATIC DATA PROCESSING EQUIPMENT
2989.  
2990.   SEC. 111. (a) * * *
2991.  
2992.      *         *         *         *         *         *         *
2993.  
2994.   [(d)  The Secretary of Commerce is authorized (1) to provide
2995. agencies, and the Administrator of General Services in the
2996. exercise of the authority delegated in this section, with
2997. scientific and technological advisory services relating to
2998. automatic data processing and related systems, and (2) to make
2999. appropriate recommendations to the President relating to the
3000. establishment of uniform Federal automatic data processing
3001. standards.  The Secretary of Commerce is authorized to undertake
3002. the necessary research in the sciences and technologies of
3003. automatic data processing computer and related systems, as may be
3004. required under provisions of this subsection.]
3005.  
3006.   (d)(1)  The Secretary of Commerce shall, on the basis of
3007. standards and guidelines developed by the National Bureau of
3008. Standards pursuant to section 20(a) (2) and (3) of the National
3009. Bureau of Standards Act, promulgate standards and guidelines
3010. pertaining to Federal computer systems, making such standards
3011. compulsory and binding to the extent to which the Secretary
3012. determines necessary to improve the efficiency of operation or
3013. security and privacy of Federal computer systems.  The President
3014. may disapprove or modify such standards and guidelines if he
3015. determines such action to be in the public interest.  The
3016. President's authority to disapprove or modify such standards and
3017. guidelines may not be delegated.  Notice of such disapproval or
3018. modification shall be submitted promptly to the Committee on
3019. Government Operations of the House of Representatives and the
3020. Committee on Governmental Affairs of the Senate and shall be
3021. published prompt in the Federal Register.  Upon receiving notice
3022. of such disapproval or modification, the Secretary of Commerce
3023. shall immediately rescind or modify such standards or guidelines
3024. as directed by the president.
3025.  
3026.   (2)  The head of a Federal agency may employ standards for the
3027. cost effective security and privacy of sensitive information in a
3028. Federal computer system with in or under the supervision of that
3029. agency that are more stringent than the standards promulgated by
3030. the Secretary of Commerce, if such standards contain, at a
3031. minimum, the provisions of those applicable standards made
3032. compulsory and binding by the Secretary of Commerce.
3033.  
3034.   (3)  The standards determined to be compulsory and binding may
3035. be waived by the Secretary of Commerce in writing upon a
3036. determination that compliance would adversely affect the
3037. accomplishment of the mission of an operator of a Federal computer
3038. system, or cause a major adverse financial impact on the operator
3039. which is not offset by government-wide savings  The Secretary may
3040. delegate to the head of one or more Federal agencies authority to
3041. waive such standards to the extent to which the Secretary
3042. determines such action to be necessary and desirable to allow for
3043. timely and effective implementation of Federal computer systems
3044. standards.  The head of such agency may redelegate such authority
3045. only to a senior official designated pursuant to section 3506(b)
3046. of title 44, United States Code.  Notice of each such waiver and
3047. delegation shall be transmitted promptly to the Committee on
3048. Government Operations of the House of Representatives and the
3049. Committee on Governmental Affairs of the Senate and shall be
3050. published promptly in the Federal Register.
3051.  
3052.   (4)  The Administrator shall revise the Federal information
3053. resources management regulations (41 CFR ch. 201) to be consistent
3054. with the standards and guidelines promulgated by the Secretary of
3055. Commerce under this subsection.
3056.  
3057.   (5)  As used in this subsection, the terms "Federal computer
3058. system" and "operator of a Federal computer system" have the
3059. meanings given in section 20(d) of the National Bureau of
3060. Standards Act.
3061.  
3062.      *         *         *         *         *         *         *
3063.  
3064.  
3065. ***************************************************************
3066.  
3067.  
3068.                  XIII.  COMMITTEE RECOMMENDATION
3069.  
3070.   A quorum being present, the bill was ordered favorably reported
3071. on May 20, 1987, by unanimous voice vote.
3072.  
3073.                                 
3074.  
3075. *************************  END  OF  TEXT  **********************
3076.  
3077.