home *** CD-ROM | disk | FTP | other *** search

---

/ Handbook of Infosec Terms 2.0 / Handbook_of_Infosec_Terms_Version_2.0_ISSO.iso / text / csspab / minutes.txt

< prev

next >

Wrap

Text File  |  1995-09-15  |  27KB  |  468 lines

---

1.                         MINUTES OF THE 
2.                 MARCH 22-23, 1995 MEETING OF THE
3.       COMPUTER SYSTEM SECURITY AND PRIVACY ADVISORY BOARD
4.  
5. Wednesday, March 22, 1995
6.  
7. Introduction
8.  
9. A quorum being present, the Chairman, Dr. Willis Ware, called the meeting to order at 9:00 a.m.
10. at the Holiday Inn, Gaithersburg, Maryland.  Besides Dr. Ware, the following Board members
11. were present:  Charlie Baggett Jr., Genevieve Burns, Cris Castro, Don Gangemi, Sandra Lambert,
12. Henry Philcox, Randy Sanovic, Stephen Trodden, Steve Walker, and Bill Whitehurst. 
13.  
14. Mr. McNulty informed the Board that he is retiring from government service, effective April 28,
15. 1995.  He appointed Mr. Ed Roback Designated Federal Official for the Thursday meeting.
16.  
17. The Board devoted the entire first day of the meeting to a thorough discussion and review of the
18. assurance component of the process for evaluating security products against a criteria.  It did so
19. because the assurance issue has been an extremely troubling dimension of the evaluation process
20. for many years.  The entire meeting was held in open, public session.
21.  
22. Assurance Framework
23.  
24. Dr. Stuart Katzke, Chief, NIST Computer Security Division, discussed a framework for
25. assurance.  Some of the questions about assurance that need to be addressed, for example, are:
26. What is assurance?  Who requires assurance?  When are assurance measurements needed/useful?  
27. Dr. Katzke presented a framework that includes dimensions (Factors), assurance levels (ALs),
28. metrics/values (Dimensions & ALs), and assurance equivalence classes.  Factors that contribute to
29. assurance are: Verification Process (Testing), Development Process, Qualifications, Operational
30. Track Record of System or Product, and Operational Track Record of Developer on Prior
31. Systems/Products
32.  
33. He also discussed values/metrics for measuring various dimensions of assurance.  He presented an
34. example diagram and pointed out that one dimension could be the verification process.  He also
35. offered a diagram of assurance levels in a hierarchical design with  low, medium, and high.  Dr.
36. Katzke said that the plan is to develop a framework that involves all stakeholders. Currently,
37. NIST/NSA plans to engage the IT community in the development of a framework and short term metrics
38. for assurance.  An annual workshop on assurance is also planned, which will be co-sponsored by
39. NIST.  (See Reference #1).
40.  
41.  
42.  
43.  
44. Assurance Components
45.  
46. Mr. Bill Marshall, NSA, addressed the components of an assurance framework from the
47. perspectives of an information security analyst, the supplier community, and an information
48. systems security customer.  He discussed the reasons someone would look for an information
49. security solution.  He said that a customer may have information that needs protection by value or
50. by direction, which could be legislative or regulatory.  The customer may also have information
51. that they perceive to be subject to unacceptable risk.  Mr. Marshall said that customers would
52. make informed decisions, as they would when buying any product, by gathering information,
53. relying on experts, and using accepted metrics.  
54.  
55. The customer is generally not aware of the qualification options.  Therefore, the customer would
56. need to use some standards set by either regulatory agencies or the professional community.  With
57. regard to specification, the first thing customers need to do is examine their security policy.  He
58. needs to verify that assurance is provided by the vendor and that the product has been time-tested. 
59. Mr. Marshall summarized by saying that the same level of risk reduction can be achieved in
60. several ways.  (See Reference #2).
61.  
62. Canadian Perspective on Achieving Assurance
63.  
64. Mr. Vince Muolo, Manager, Industrial Programs and Initiatives, Communications Security
65. Establishment (CSE), Canada, briefed the Board on the CSE's perspective on information
66. technology security product assurance in the context of information security product evaluations. 
67. CSE provides advice and guidance to the federal government of Canada on Information
68. Technology Security with emphasis on security evaluations of the security aspects of information
69. technology products and systems.  CSE is using third party product evaluations and product
70. reviews, neither of which have proven successful in achieving the levels of timeliness and
71. assurance desired simultaneously.  As a result, CSE is planning to explore new approaches to
72. information security product assurance.  Mr. Muolo described assurance as a measure of
73. confidence that the security functionality will perform as claimed.  Products gain assurance
74. through evaluations under the CSE's Trusted Product Evaluation Program (TPEP). A trusted
75. product allows the end user of the product to make assumptions about the security behavior of
76. the product and how it can be used to counter threats in the target environment.  Currently, CSE
77. has two processes for adding assurance to products: (1) product review, and (2) evaluation.  (See
78. Reference #3).
79.  
80. UK Perspective on Achieving Assurance
81.  
82. Mr. Allen Borrett, CESG, UK, briefed the Board on approaches to assurance by the UK.  The UK ITSEC
83. scheme should meet the needs of government and industry with respect of cost-effective secure IT
84. products and systems.  The scheme would provide a basis for mutual international recognition and
85. produce identical evaluation results.  Mr. Borrett discussed the following differences between the
86. US/UK evaluation process:
87.  
88.  
89. -    The UK evaluations are not government sponsored, and the sponsor sets the time and money
90. constraints to the evaluator.
91.  
92. -    The UK is more methodology focused, while the US is more principle based.
93.  
94. -    The UK evaluators work, in conjunction with the developer, begins with the
95. development process through the product implementation phase.  They obtain the necessary
96. documentation and understand product development as it is being done.  The US begins the evaluation
97. process at the end of the product implementation phase.
98.  
99. Mr. Borrett said that the UK uses Certified Licensed Evaluation Facilities (CLEFs) that are
100. non-government resourced evaluation facilities.  The demand for CLEFs is growing.  The UK will have
101. five operational CLEFs soon and a sixth one is expected.  He said that overall, the ITSEC
102. evaluation time and cost required is significantly less than the US process.  The primary reason is
103. because their process is sponsor controlled and flexible.  (See Reference #4).
104.  
105. Assurance Economics
106.  
107. Mr. Joel Sachs, the Sachs Groups, presented his company's view on the economics of assurance. 
108. He discussed internal economics, which include: threats to the target enterprise, weaknesses as
109. they relate to vulnerabilities, and risks such as operational impacts and acceptable/unacceptable
110. risks.  He discussed the need for a viable information security economy that includes some of the
111. following: (A)  Freeing the market to resolve risk, trust, and assurance for enterprise, systems,
112. and products.  (B) Understanding and accommodating multiple business models across and
113. among the players.  (C)  Developing assurance framework and metrics, both qualitative and
114. quantitative, to define and delineate value.  (See Reference #5).
115.  
116. Capability Maturity Modeling Project
117.  
118. Mr. David Kitson, Software Engineering Institute (SEI), Carnegie Mellon University, briefed the
119. Board on the role and significance of the SEI Software Capability Maturity Modeling  (CMM) for
120. software.  With regard to the transition of technology, the mission is to provide leadership in
121. advancing the state-of-the-practice of software engineering to improve the quality of systems that
122. depend on softwre.  The vision is to bring engineering discipline to the development and
123. maintenance of software.  CMM is a common-sense application, a community-owned guide and a
124. model for organizational improvement.  Some of the benefits of model-based improvement are to:
125.  
126. -    Establish a common language;
127.  
128. -    Build on a set of processes and practices developed with input from a broad selection of
129.      the software community;
130.  
131. -    Provide a framework for prioritizing actions and performing reliable and consistent 
132.      appraisals; and
133.  
134. -    Support industry-wide comparisons.
135. The risks of model-based improvements are simplifications of the real world and a lack of
136. comprehensive scope.  Interpretation and tailoring must be aligned to business objectives.  Mr.
137. Kitson discussed the five maturity levels, the CMM s key process areas, and the evolution of the
138. process capability.  He said that broad-scale acceptance of the CMM is based on plausibility of a
139. common-sense model and experience in other industries.  The CMM is a living document, which
140. will be revised.  Contributions are solicited from the community.  (See Reference #6).
141.  
142. Security Engineering Capability Maturity Model and Trusted Capability Maturity Model
143.  
144. Mr. John Adams, National Security Agency, briefed the Board on a Trusted Capability Maturity
145. Model (TCMM).  The TCMM will allow organizations to use one reference model and derive
146. from it the benefits of two models, software process improvement and increased software
147. assurance.  There are two components of the TCMM: (1) A Software Capability Maturity Model
148. and (2) a Trusted Software Development Methodology.  
149.  
150. Mr. Adams also described the Security Engingineering Capability Maturity Model (SECMM). 
151. The purpose of the model is to:
152.  
153. -    Increase asssurance in system trustworthiness;
154.  
155. -    Reach a point to transfer assurance from evaluation to development process;
156.  
157. -    Provide consistent maturity framework for security engineering development processes;
158.  
159. -    Provide security engineering process improvement mechanisms; and
160.  
161. -    Provide process-based assurance measurement mechanisms.
162.  
163. The model structure is based on a maturity framework (similar to the SEI model).  It tailors
164. management and organizational processes and adds evolutionary security engineering processes. 
165. Mr. Adams said that to date the SECMM has accomplished a draft model, which includes a
166. framework for process improvement, independent of specific organizational structure.  The draft
167. model was presented at the NIST/NSA National Computer Security Conference in October,
168. 1994.  There was a public workshop in January, 1995 and received overwhelming community
169. endorsement.  Future directions include expanding the scope of the SECMM market.  It has
170. focused only on the NSA/DoD community.  As a follow-on to the workshop, there will be three
171. working groups driven by industry: (1)  a steering work group to define the key process, (2)  an
172. authoring work group for overall strategy, and (3) an application work group to define
173. measurement techniques.  (See Reference #7).
174.  
175.  
176.  
177.  
178. Update on X/Open Branding Project
179.  
180. Mr. Bill Whitehurst, IBM, gave a brief update of the activities of the X/Open Branding Project. 
181. Two major components exist within their branding concept: (1) the ability to implement
182. functionality based on a minimum set of assurance functionality requirements (MSFR), and (2) the
183. confidence in the development process for achieving the functionality.  
184.  
185. He said that the workgroup meeting, hosted by Hewlett Packard, was held early in March.  The
186. group plans to re-write their document to include some type of evaluation process prior to the
187. vendor product getting branded.  X/Open plans to have a public review of the changes this
188. summer.
189.  
190. Vendor Perspective
191.  
192. Ms. Linda Vetter, Oracle Corporation, presented oracle's views of security assurance.  She
193. discussed three types of assurance issues: (1) governent evaluation and certification; (2) third
194. party evaluation and certification (government and business sponsored); and (3) vendor claims. 
195. Ms. Vetter explained Oracle s evaluation experience for two DBMS server products, Oracle7 and
196. Trusted Oracle7, in both the US and the UK.  Oracle used the US TCSEC TPEP evaluation for
197. B1 and C2 systems.  They also used the UK ITSEC evaluation for E3 systems (which is the
198. equivalent for US B1 and C2 systems).  The UK process took significantly less time and cost less
199. money for an identical product.  Ms. Vetter suggested that NIST/NSA look into developing
200. equivalent/comparable trust levels between the two different evaluation criteria methods as well as
201. those for other countries.  This would minimize the need to have different evaluations performed
202. (one for each country) for the same product.  
203.  
204. Oracle has on-going work in other areas (e.g., RAMP, CMM, ISO, and Audits) as well as
205. multiple CLEFS with the UK, Sweden, France and Germany.  Ms. Vetter explained the
206. differences in criteria between the TCSEC and the ITSEC.  She said that the ITSEC requirements
207. for the content of evaluation deliverables formed a superset of the corresponding TCSEC
208. requirements for the evaluations.  However, the TCSEC creates a framework for the presentation
209. of these requirements and there can be little deviation from this.
210.  
211. Oracle would like to see more concentration on low-end assurance requirements and processes. 
212. This would enable various sectors like health care, banking, and financial industries to have
213. protection for unclasified to sensitive data.  Ms. Vetter encouraged NSA to continue its efforts in
214. modeling (Common Assurance Framework, TCMM, and SE CMM) and would discourage any
215. more efforts in product profiling.  The modeling efforts encourage vendor quality improvement,
216. promotes flexibility in meeting assurance objectives, and are transferable to other private sector
217. domains besides DoD.  (See Reference #8).
218.  
219.  
220.  
221.  
222. Wrap-up and Restatement of Issues
223.  
224. Dr. Katzke summarized the discussion of assurance by saying that opportunities exist to look at
225. alternatives.  He is not sure what the government's role is or which areas to concentrate on with
226. respect to cost.  He said that he could continue with the same level of effort that is going on now
227. with community involvement.  He is open to suggestions with regard to the assurance process.
228.  
229. Discussion
230.  
231. After a lengthy discussion on the state of the Common Criteria (CC) and assurance approaches
232. and issues, some of the major points from individual Board members included:
233.  
234.      -    Concern as to when the CC will be widely accepted and used;
235.  
236.      -    Whether to adopt the ITSEC now and migrate to CC;
237.  
238.      -    The need to simplify the CC;
239.  
240.      -    Building assurance and quality into the new assurance framework;
241.  
242.      -    Clearly define assurance needs to be universally understood;
243.  
244.      -    Conduct more C2 and below evaluations in the US;
245.  
246.      -    Concentrate on low-end assurance; and
247.  
248.      -    Bring key industry players into the process.
249.  
250. The meeting recessed at 5:45 pm.
251.  
252. Thursday, March 23, 1995
253.  
254. Chairman's Time
255.  
256. Dr. Ware introduced Mr. Joseph Leo, Deputy Administrator for Management, Food and
257. Consumer Service, U.S. Department of Agriculture.  Mr. Leo is a member designate to fill a
258. government position on the Board. 
259.  
260. After minor changes from Mr. Whitehurst, Board members voted on and unanamously approved
261. the minutes of the December 1994 meeting.
262.  
263. During this time, Board members continued their discussion of criteria and assurance from the
264. previous day.  Some of the major points of the discussion from Board members included the need:
265.  
266.      -    for OMB to state the need for C2 level evaluation compliance for various
267.      government product purchases;
268.  
269.      -    for NSA to make a statement about equivalency among all existing non-US trust
270.      levels;
271.  
272.      -    to begin using components of the Common Criteria and gradually migrate to it;
273.  
274.      -    to continue a wide range of assurance framework options and procedures; and
275.  
276.      -    to focus on low-end assurance methods and encourage C2 level evaluation along the
277.      following Canadian AL-1 evaluation.
278.  
279.  
280.  
281. Security In Governmentwide E-Mail
282.  
283. Mr. Jack Finley, Director, Electronic Messaging Program Management Office (E-Mail PMO) at
284. the General Services Administration (GSA), briefed the Board on the status of security in E-Mail. 
285. He said the E-Mail PMO has three focus areas:  (1) functional requirements, (2) management
286. requirements, and (3) technical requirements.  Mr. Finley said that security is an element in each
287. one of the three focus areas.
288.  
289. There are five PMO program functions:  (1) program management to develop a two-year plan, 
290. (2) directory service support for registration services, and directory synchronization etc.,  (3)
291. value added services for a centralized e-mail help desk, electronic support services, and a model
292. service center,  (4) cross cutting initiatives to implement guidance and training, gateway
293. specifications etc.,  and (5) common system components for standards convergence, requirements
294. definition and X.400 address simplification.
295.  
296. The PMO strategic plan will promote and support electronic messaging business process, increase
297. operational quality, productivity and effectiveness of governmentwide messaging, and provide
298. professional help desk services.  The governmentwide e-mail vision is to produce business quality
299. e-mail, intermediate e-mail, and basic e-mail.  Mr. Finley defined business quality e-mail as having
300. a level of security to conduct financial and regulatory business for the unclassified arena.
301.  
302. The Board continues to be concerned about security not being adequately addressed in the PMO
303. effort.  The Board suggested that Mr. Finley add security and privacy requirements as a separate
304. focus area and that it be number one on the list.  The Board also noted that there was no mention
305. of security policy documentation or an implementation strategy.  Mr. Finley said that security
306. policy efforts are being undertaken by the NIST Public Key Infrastructure (PKI) Steering
307. Committee and other security infrastructure issues are addressed through the Security
308. Infrastructure Program Management Office (SI-PMO).
309. (See Reference #9).
310.  
311. Mr. Al Williams, Director, Federal Information Security Infrastructure Program Management
312. Office (SI-PMO) at GSA, gave the Board an update on the progress of the SI-PMO.  The PMO is
313. Co-chaired by GSA and DoD.  The charter is due to be signed by DoD and the Government
314. Information Technology Services (GITS) Working Group by May 1, 1995.  A Program Action
315. Plan is expected to be completed by April.  The primary role of the PMO is to provide
316. governmentwide support and coordination of federal activities necessary to implement an
317. information security infrastructure for the use of the federal government.  A more specific goal is
318. that the SI-PMO, working with individual agencies, will design pilots, coordinate implementations
319. across agencies, promote the use of an information security infrastructure within government, and
320. make recommendations to resolve conflicts in implementation and funding of this information
321. security infrastructure. The PMO is not chartered, staffed, or funded to manage specific product
322. developments, or to manage the development programs of individual government agencies.  The
323. total SI-PMO is composed of DoD, civilian agencies, financial institutions, medical/health care,
324. and technical elements.  The PMO security objectives show support for multiple technologies that
325. include: RSA, DSS with DES encryption, FORTEZZA, and other X.509 variants.  (See
326. Reference #10).
327.  
328. Security Policy Board
329.  
330. Mr. Peter Saderholm, Director, Security Policy Board (SPB) Staff, briefed the Board on the
331. proposed activities of the SPB.  He said the creation of the SPB was based on a recommendation
332. by the Joint Security Commission report of February 28, 1994.  Presidential Decision Directive
333. (PDD) 29, signed by the President on September 10, 1994, articulates the roles and
334. responsibilities for the SPB, the Security Policy Advisory Board, and the Security Policy Forum.
335.  
336. Board members were provided a "fact sheet" on PDD29.  Some Board members expressed 
337. concern with the SPB's activities with regard to [setting policy for unclassified sensitive
338. information in addition to classified information] in light of the national security scope of PDD29.
339. Mr. Saderholm mentioned the need for the Board and the SPB to work together regarding
340. privacy and security policy issues for unclassified sensitive information.  He expressed his desire
341. to continue dialogue with the Board and to build cooperative arrangements with industry
342. representation when dealing with the protection of unclassified information.  He said that the SPB
343. is abiding by the Computer Security Act of 1987 and therefore, will not be responsible for policy
344. surrounding unclassified information.  However, he noted that the SPB will need to facilitate
345. cross-sharing of information with those responsible for setting unclassified information protection
346. policy.  (See Reference #11).
347.  
348.  
349.  
350.  
351. Federal Computer Security Program Managers  Forum Opinion
352.  
353. Ms. Sadie Pitcher, Department of Commerce and Forum Co-Chair, presented the views of the
354. Forum regarding the SPB report's proposal to form a Information Systems Security Committee
355. (ISSC).  The Forum represents 75 federal government agencies.  The Steering Committee of the
356. Forum drafted a position paper to Ms. Sally Katzen of the Office of Management and Budget on
357. January 11, 1995.  The position paper articulated the following concerns:
358.  
359.      -    Establishment of a national security dominated ISSC is contrary to the Computer
360.      Security Act and inconsistent with the authority of PDD-29;
361.  
362.      -    Would undercut the effort for open government;
363.  
364.      -    National security related information will be viewed as imposing new government
365.      restrictions on access to information;
366.  
367.      -    The proposal may serve to increase public concerns over the government s
368.      intentions in the field of ISS;
369.  
370.      -    It is inappropriate for the national security/intelligence communities to
371.      participate in selecting security measures for unclassified systems at civil
372.      agencies;
373.  
374.      -    The unclassified security focus is on cost-effectiveness, integrity and
375.      availability, not primarily confidentiality, which is the traditional primary concern
376.      of the classified sector; and
377.  
378.      -    Concern that the SPB report is being misrepresented as Administration policy.
379.  
380. Ms. Pitcher said that OMB was asked to restrict the SPB report implementation to only classified
381. systems.  (See Reference #12).
382.  
383. Status of Key Escrow Initiative
384.  
385. Mr. Steve Walker, Trusted Information Systems (TIS), briefed the Board on the status of
386. Commercial Key Escrow (CKE).  He said, with regard to application vendors, TIS is actively
387. seeking the participation of commercial software vendors in widespread implementation of CKE
388. enabled software products.  TIS has installed a Data Recovery Center (DRC) on the Internet and
389. is prepared to distribute sample DRC application software packages to any interested software
390. application developer.  TIS is seeking approval of the US government for export of application
391. programs using encryption algorithms such as the Data Encryption Standard (DES) when
392. properly bound with CKE.  
393.  
394. Mr. Walker said the advantages of  CKE for government interests is that if the TIS CKE system
395. were to become widely used throughout the private sector and government communities, law
396. enforcement, national security and private sector interests would be preserved.
397.  
398. Mr. Walker said that TIS has filed for patent protection for its Software Key Escrow (Clipper
399. equivalent) and CKE systems including the DRC and application software approaches.  TIS is
400. prepared to license its CKE system and software applications technology to any software or
401. hardware vendor under very favorable licensing terms.  TIS is also prepared to license its DRC
402. system and technology to qualified DRC operators and vendors under similarly favorable licensing
403. terms.  (See Reference #13).
404.  
405. OMB Circular A-130, appendix III Revision and Reauthorization of the Paperwork Reduction
406. Act
407.  
408. Mr. Ed Springer, Office of Management and Budget (OMB), briefed the Board on the proposed
409. revision of Appendix III of Circular A-130.  Mr. Springer said that the proposal is intended to
410. guide agencies in securing information as they increasingly rely on an open and interconnected
411. National Information Infrastructure.  It stresses management controls such as individual
412. responsibility, awareness and training, and accountability, rather than technical controls.  The
413. Appendix proposes to re-orient the federal computer security program to better respond to a
414. rapidly changing technological environment.  It establishes governmentwide responsibilities for
415. federal computer security and requires federal agencies to adopt a minimum set of management
416. controls.  
417.  
418. As in the previous Appendix III, agencies are still required to establish controls to assure adequate
419. security for all information processed, transmitted, or stored in federal automated information
420. systems.  This proposal emphasizes management controls affecting individual uses of information
421. technology.  The Appendix requires that these management controls be applied in two areas of
422. management responsibility, general support systems and major applications.  The Federal Register
423. announcement of the Appendix provides supplementary discussion to aid reviewers in
424. understanding the changes in emphasis proposed.  Mr. Springer said that agencies will phase into
425. implementing security requirements articulated in Appendix III.  (See Reference #14).
426.  
427. Public Comment
428.  
429. During the public comment period, Ms. Sadie Pitcher advised the Board of an effort in progress
430. by the Federal Information Systems Security Educators  Association, a subgroup of the Federal
431. Computer Security Program Managers' Forum, to revise NIST Special Pub 500-172, Training
432. Guidelines.  This effort is in line with OMB s recommendation to the Department of Commerce,
433. in Appendix III, to review and update guidelines for training in computer security awareness and
434. accepted computer security practice.
435.  
436.  
437.  
438. Board Discussion
439.  
440. After discussion, deliberation, and debate, the Board passed three resolutions.  (See Attachments
441. 1-3.)
442.  
443. The meeting adjourned at 6:00 pm.
444.  
445. Attachments
446. #1 - Resolution 95-1
447. #2 - Resolution 95-2
448. #3 - Resolution 95-3
449.                                                                                                  /s/
450.                   
451. References                                   Edward Roback
452. #1   - Katzke slides                              Secretary
453. #2   - Marshall slides  
454. #3   - Muolo slides                                            
455. #4   - Borrett slides
456. #5   - Sachs slides
457. #6   - Kitson slides
458. #7   - Adams slides
459. #8   - Vetter slides                              CERTIFIED as a true
460. #9   - Finley slides                              and accurate summary
461. #10 - Williams slides                             of the meeting
462. #11 - Saderholm slides
463. #12 - Pitcher slides
464. #13 - Walker slides                                                                     /s/
465. #14 - Springer paper
466.                                         Willis Ware
467.                                         Chairman
468.